6월 29일 개시된 1차 가동에서는 국민은행, 기업은행, 농협, 신한은행, 우리은행 등 5개 은행과 대우증권, 메리츠증권, 한국투자증권 등 3개 증권사에 대한 통합인증 서비스가 시작된다. 금융보안연구원은 7월말 2차 가동으로 55개 금융기관 전체에 통합인증서비스를 제공한다는 계획이다.
금융감독원이 인증강도에 따라 전자금융거래의 일일 이체한도를 제한한다는 방침을 발표하면서 주목받기 시작한 OTP는 신한은행, 하나은행을 비롯한 대다수 은행, 증권 등이 도입을 발표했지만, 그간 통합인증 서비스가 개시되지 않아 본격적인 활성화는 이뤄지지 않은 상황이다. 특히 자체적으로 인증서버를 가져가지 않고, 통합인증센터 인증서버를 이용할 방침이었던 대다수 증권사의 경우에는 센터 설립이 OTP 서비스의 전제 조건이었다.
OTP 통합인증센터의 업무개시로 보안등급별 차등한도제 역시 본격 실시될 전망이다. 3개월간 시험운영으로 시스템을 안정화한 후 4분기부터는 개인 고액거래 및 기업 금융거래의 경우, OTP 또는 HSM(Hardware Security Module)의 사용을 의무화한다는 것이 금융감독원의 방침이다. 금감원의 보안등급제도에 따르면, 일일 5억원(건당 1억원)의 이체를 위해서는 1등급 보안 인증매체를 사용해야 하며, 보안 1등급 인증매체는 ‘공인인증서+OTP’, 또는 ‘HSM 기반 공인인증서+보안카드’다. 기업고객의 경우에는 기업고객의 경우에는 전자금융거래 시 보안 1등급이 의무 적용된다.
OTP에 비해 주목을 덜 받고 있지만, OTP와 함께 보안 1등급 수단에 속하는 HSM 인증토큰도 영역을 넓혀가고 있다. 농협이 세이프넷코리아를 통해 HSM 토큰을 도입한 것이 대표적인 사례다. “농협의 사례는 국내 금융권 최초의 HSM 토큰 도입”이라는 것이 솔루션을 공급한 세이프넷코리아 측은 전했다.
HSM 토큰은 외형은 이동식 디스크(USB 메모리)와 유사하지만, 슬롯 삽입 시 고유의 암호화 모듈을 통해서만 내부 접속이 가능하도록 해 저장된 공인인증서의 불법적인 유출을 방지하는 기기이다. 자체 CPU와 메모리 등이 포함된 스마트카드 칩을 탑재해 암호화 키 생성, 키 관리, 암호화 등 보안 연산이 PC의 메모리가 아니라 HSM 내부에서 수행됨으로써 바이러스나 해킹 등 외부의 물리적 압박이나 논리적 공격에서도 저장 데이터를 안전하게 보호할 수 있다.
OTP와 HSM은 보안수행 범위와 개념이 서로 다르다. OTP는 일회성 번호로 제한된 숫자조합인 보안카드의 보안성을 높이는 것이며, 공인인증서의 누출 자체를 차단하는 HSM은 공인인증서 자체의 보안성을 향상시키는 것이다. 하지만, 기존 인터넷뱅킹의 인증수단이었던 ‘공인인증서+보안카드’의 보안성을 더욱 강화한다는 측면에서 서로 경쟁하는 상황이다.
지금까지는 새롭게 도입되는 OTP가 통합인증센터 설립 이슈와 맞물려 주목받았지만, HSM 진영의 반격도 만만치는 않을 것으로 전망된다. HSM의 경우, PKI 기반 시스템을 활용할 수 있어 추가적 시스템 도입이 필요한 OTP 보다 비용절감 효과를 얻을 수 있다. 반면, OTP는 최근의 수요 증가로 토큰 가격이 크게 하락해 HSM 보다 토큰 구입비가 절감되는 이점이 있으며, 통합인증센터의 구축완료로 인한 이용 활성화도 기대된다.
통합인증센터 운영 개시와 등급별 차등한도제도의 본격 실시로, OTP와 HSM의 경쟁도 보다 치열한 양상으로 전개될 전망된다. 업계 관계자는 “HSM은 기존과 인증 시스템이 동일해 은행이 언제든 도입, 운영할 수 있다”며 “HSM과 OTP 모두 일장일단이 있고, 제도 본격 실시 이후의 제2라운드는 실제 이용 현장에서 금융고객의 경험에 따라 승부가 결정날 것”이라는 의견을 밝혔다. <오현식 기자>
