금융보안연구원 OTP통합인증센터 개소 … 과열경쟁·수익성 악화 ‘불안요소’
금융보안의 OTP(One Time Password) 시대가 시작됐다. OTP, 즉 일회용비밀번호는 매순간 달라지는 비밀번호로 사용자를 인증함으로써 보다 강력한 사용자 인증을 구현하는 보안 기술이다. 예를 들어, 누군가가 로그인 과정을 지켜봐 비밀번호를 훔쳐낸다고 하더라도 이로 인한 ID 도용을 걱정하지 않아도 된다. 매번 새로운 비밀번호가 생성되는 OTP를 사용하면 다음 로그인 시 이전 숫자조합은 아무런 의미 없는 숫자에 불과하기 때문이다.
보안 인증을 획기적으로 강화하는 OTP는 올해 급격한 성장세를 맞이했다. 금융보안연구원의 OTP 통합인증센터가 설립되면서 각 은행들의 OTP 도입이 본격화된 것이다. 금융보안연구원 통합인증센터에는 19개 은행, 30개 증권사를 비롯한 55개 금융기관이 참여해 OTP를 이용한 전자금융거래가 가능하도록 하고 있다.
OTP에 대한 관심 증가는 2005년 5월 발생한 인터넷뱅킹 해킹사고가 촉발시켰다고 평가된다. 이 사고로 인해 인터넷뱅킹 시 이용되는 인증방식의 강화가 요구됐으며, 금융감독원은 OTP와 HSM(Hardware Security Module)을 이용해 안전성을 더욱 강화하겠다는 방침을 발표했다.
OTP는 전자금융이체 시 사용되는 보안카드의 대안으로, HSM은 공인인증서의 대안으로 제시됐다. HSM은 공인인증서의 탈취를 원천봉쇄하며, OTP는 무한대의 비밀번호조합을 생성함으로써 제한된 숫자조합으로 이뤄진 보안카드의 취약점을 해소할 수 있다. 금융감독원은 기업고객에게는 전자금융거래 시 OTP 또는 HSM의 사용을 의무화했으며, 개인고객의 경우에도, 1회 최대 1억원, 1일 최대 5억원까지 이체하기 위해서는 OTP 또는 HSM을 이용하도록 했다.
기존 공인인증서 기반 방식과 마찬가지로 금융결제원을 통해 연동성이 확보되던 HSM과 달리 OTP는 각 금융기관별로 새로운 시스템을 구축해야 해 초기에는 어려움이 예상됐다. 하지만, 금융보안연구원이 설립되고, 금융보안연구원의 첫 사업으로 OTP 통합인증센터 설립이 추진되면서 OTP 도입은 급물살을 타게 됐다. 통합인증센터로 최대 걸림돌이던 금융기관 연동 문제가 해소된 것. 통합인증센터가 OTP 확산의 중심축의 역할을 수행하면서 현재 HSM 보다 OTP가 보다 더 빠르게 보급되고 있는 상황이다.
미래테크놀로지·OTP멀티솔루션, 양강구도
초기 시장 선점을 위해 치열한 경쟁이 진행된 올해 OTP 시장의 경쟁 구도를 살피면, 미래테크놀로지와 OTP멀티솔루션의 양강구도로 압축할 수 있다. 지난해 말 신한은행에 50만개의 OTP 토큰을 공급한 미래테크놀로지는 OTP가 이슈화되기 이전부터 다져놓은 탄탄한 영업 및 고객 기반을 바탕으로 우리은행, 외환은행, SC제일은행, 경남은행, 전북은행, 농협, 제주은행 등의 제1금융권을 비롯 20여곳 이상의 금융기관에 OTP 솔루션을 공급하면서 국산 OTP 기업의 자존심을 곧추 세웠다.
미래테크놀로지의 독주를 견제하고 있는 기업은 바로 OTP멀티솔루션. 바스코의 OTP 솔루션을 공급하는 OTP멀티솔루션은 OTP통합인증센터의 설립 이후 공급된 OTP 토큰 물량의 90%를 점유하는 놀라운 성과를 거뒀다고 전했다. 기존 공급분을 제외하고, 통합인증센터 설립 이후 신규 등록된 토큰의 90%가 OTP멀티솔루션이 공급한 바스코의 토큰이라는 것이 OTP멀티솔루션 측의 설명이다. 국민은행, 광주은행, 경남은행 등 17개 금융기관에 솔루션을 공급, 사이트 기준으로는 통합인증센터 설립 이후 공급계약이 체결된 금융기관 중 70%를 고객사로 확보했다고 OTP멀티솔루션은 덧붙였다.
이 외에 EMC RSA시큐리티의 OTP 솔루션을 공급하는 트라이콤이 기업은행, 농협, 수협, 우정사업본부(우체국) 등에 레퍼런스를 구축했으며, 인네트는 하나은행과 메리츠증권에 각각 액티브아이덴티티의 OTP토큰과 인카드의 OTP카드를 공급했다. 예스컴은 하나은행에 카드형 OTP 공급사례를 확보하는 성과에 그치는 등 업체간 희비가 엇갈렸다.
미래테크놀로지와 OTP멀티솔루션이 초기 시장 선점에 성공한 반면, 다른 기업들의 성과는 이에 미치지 못했던 것. 특히 국민은행, 신한은행, 우리은행, 하나은행 등 빅4 중 하나은행을 제외하고, 국민은행, 신한은행, 우리은행이 모두 미래테크놀로지, 또는 OTP멀티솔루션을 OTP 파트너로 선택한 점이 더욱 뼈아픈 부문이다.
지난 10월 ‘제1회 금융정보보호컨퍼런스 2007(FICON 2007)’에서 금융보안연구원이 밝힌 바에 따르면, 9월 20일 현재 OTP를 이용한 거래건수가 1천만건을 돌파(1천10만7천458건)할 정도로 OTP 이용이 빠르게 확산되고 있는 상황. OTP 토큰은 175만천267개가 보급돼 이 중 74만7천247개가 사용되고 있다.
강우진 금융보안연구원 인증관리팀장은 FICON2007에서 “6월 말 9개 금융기관 서비스로 출발, 점진적으로 연동기관의 숫자를 확대하는 상황에서 1천만 거래건수 돌파는 안전한 OTP 기반의 전자금융거래가 빠르게 자리를 잡아가고 있음을 의미하는 것”이라며, “연동되는 금융기관이 증가함에 따라 OTP는 본격적으로 대중화의 시대를 맞이하게 될 것”이라고 기대했다.
인터넷 시장도 OTP
금융보안연구원 OTP 통합인증센터 구축으로 금융권에서의 OTP가 주목받았지만, 금융 이외의 시장에서도 OTP는 빠르게 영역을 넓혀나가고 있다. 특히 온라인게임 시장에서 OTP의 약진이 두드러진다.
최근 사이버 위협이 금전적 이득을 노리는 경향이 점점 뚜렷하게 나타나면서 온라인 게임은 해커들의 주요 공격 대상으로 자리매김하고 있는 상황이다. 인기 게임의 게임 아이템의 경우, 높은 가격으로 쉽게 현금화할 수 있기 때문이다. 이에 각 온라인 게임 운영사들은 계정탈취를 막기 위한 방안 중 하나로 OTP 도입을 추진하고 있다.
이 시장에서는 전통적인 토큰형 방식의 OTP 보다는 초기 비용 부담이 적은 모바일OTP가 선호되고 있다. 모바일OTP란, 생성되는 일회용 인증번호를 핸드폰을 통해 전송함으로써 전용 비밀번호 생성 토큰이 없이도 OTP를 구현하는 방법이다. 모바일OTP는 토큰 구입이 필요없어 비용 부담이 적을 뿐 아니라 소지율이 높은 핸드폰을 이용함으로써 언제 어디서나 쉽고 간편하게 OTP를 사용할 수 있는 장점이 있다.
모바일OTP의 대표주자는 이니텍이라고 할 수 있다. 이니텍은 엔씨소프트를 비롯하여 NHN, 네오위즈, 파란게임, CCR, 가마소프트, 매직스 등 국내 주요 온라인 게임사들과 MOTP 공급계약을 체결하면서 모바일OTP 확산에 나서고 있다.
일반 기업시장에서도 OTP의 이용은 점차 증가하는 추세다. OTP를 통해 네트워크의 불법 침입을 봉쇄할 수 있기 때문. EMC의 경우, 무선 네트워크에 접근하려면 RSA시큐리티의 OTP 토큰을 이용해 생성된 키 값을 입력해야 한다. 시큐어컴퓨팅코리아는 지난 7월 국내 최대 로펌인 김앤장법률사무소와 OTP 솔루션 공급 계약을 체결, 비금융권으로 OTP를 확산시킬 수 있는 기반을 마련하기도 했다.
스위벨시큐어는 어레이네트웍스와 글로벌 계약을 체결하고 SSL VPN의 인증수단으로 OTP를 활용하는 전략으로 기업시장에 접근하고 있다. 스위벨시큐어의 OTP 솔루션인 ‘핀세이프(Fin Safe)’는 전송받은 번호를 그대로 사용하는 것이 아니라 전송받은 인증키를 사용자가 알고 있는 고유의 핀을 적용해 재구성해 사용하는 특징이 있다. 이에 인증수단과 매체가 일치하더라도 높은 보안성을 유지할 수 있게 되며, 보다 사용자 편리성이 강화된 OTP 구현이 가능하다.
단가 하락, OTP 열풍의 그림자
금융권 수요에 힘입어 OTP 시장이 올해 큰 폭으로 성장했지만, 업계는 마냥 웃음짓기에는 힘든 상황이다. 금융 OTP 시장 성장의 이면에는 단가 폭락이란 그림자가 존재하기 때문이다. 금융기관 공급은 당장의 물량보다 향후 더 많은 물량 공급을 기대할 수 있기에 출혈경쟁이 촉발된 상황이다.
빅4를 제외한 금융기관들의 초기 물량은 약 1~2만대 수준에 불과하지만, 추가 물량에 대한 기대로 인해 1만원 이하의 낮은 제안이 이뤄지고 있는 것. 하지만, 문제는 추가 물량은 누구도 장담하기 어려운 부문이란 점이다.
업계는 “지나친 출혈경쟁은 결국 공멸로 이어질 것”이라며 “장밋빛 전망에 매달려 가격을 낮추기 보다는 정당한 가격으로 서비스해야 OTP 시장을 키워나갈 수 있다”고 한 목소리를 냈다. 또 금융권 역시 가격을 최우선으로 한 최저가 입찰을 지양해야 할 것으로 지적된다. 가격에 연연한 입찰로 출혈경쟁을 부추겨 OTP 업체가 무너질 경우, 그 피해는 고스란히 도입 기관이 떠안을 수밖에 없는 까닭이다. OTP 시장 성장의 화려한 빛에 드리워진 깊은 그림자에 기업과 고객 모두 주목할 때다.a <오현식 기자·hyun@datanet.co.kr>
전문가기고
통합인증센터의 본격 가동으로 대중화 ‘눈앞’
정부주도형 사용자 인증시장 확대 … 기업·공공·게임 수요 ‘기대’
박정일 // OTP멀티솔루션 팀장·charlesp@multi-solution.co.kr
불과 2~3년 전만해도 사용자 인증이나 OTP(One Time Password)라는 단어는 우리에게 매우 생소한 단어였다. 말 그대로 소수의 관심 있는 사용자만 사용하는 시장이라고 할 수 있었던 것이다.
OTP의 출발은 고정형 패스워드로 인한 고민에서 출발한다. 패스워드를 기억해야 한다는 단순한 의문에서부터, 패스워드 유출 시 심각한 피해를 야기할 수 있다는 측면에서의 보안적 고려 등이 바로 그것이다. 고정된 패스워드로 인한 피해를 겪었던 많은 사람들은 이러한 인증체계, 즉 패스워드를 기억해야 하는 것에 대한 이런 의문을 한번쯤은 해봤을 것이다.
2005년 5~6월 모 금융권에서 개인의 패스워드 관리의 문제로 인해 고객의 정보유출에 대한 이슈가 여러 차례 발생했다. 특히 잘 알려진 것이 A은행에서 인터넷뱅킹을 통해 5천만원이란 거액이 불법 유출된 사고다.
웹게시판을 통해 인터넷뱅킹을 이용하던 사용자 PC에 키스트로크 프로그램인 ‘넷데블’을 설치해 ID와 비밀번호, 공인인증서 비밀번호, 보안카드번호 등을 알아낸 해커는 이를 이용해 5천만원 유출했다. 해커는 35개의 보안카드 번호 중 일부 밖에 탈취하지 못했지만, 로그인과 로그아웃을 반복하는 방법을 통해 ‘3회 오류시 인터넷뱅킹 중지’라는 안전장치를 회피, 불법유출에 성공했다. 또 다른 안전장치인 공인인증서의 경우, 취득한 공인인증서 비밀번호를 이용해 재발급 받음으로써 피해갔다.
언론에서, 또 관계기관에서 이러한 피해에 대한 내용이 전해지면서 사건은 일파만파로 퍼져갔고, 관계기관에서는 이런 사고에 대해 피해를 줄일 수 있는 방안을 마련해 발표했다. 이 가운데 하나가 금융보안연구원의 OTP 통합인증센터의 구축이다. 금융감독원은 금융권과 연계, 보안 사고를 줄이기 위해 금융보안연구원이라는 사단법인을 출범시켰으며, 금융보안연구원에서는 금융권의 OTP 기반 사용자인증을 통합·관리하는 통합인증센터를 구축·운영함으로써 보안 사고를 방지하게 된 것이다. 현재 금융보안연구원의 OTP통합인증센터에는 6개 기업이 참여해 각 금융기관의 OTP 인증을 연동시키고 있다.
OTP는 고정형 패스워드가 아닌 매번 변화하는 일회성 패스워드를 생성하고, 이를 인증수단으로 사용하는 인증솔루션으로 고정형 패스워드의 보안 취약점을 해소할 수 있다. 고객의 입장에서는 보안의 안정성을 높인 것 뿐 아니라 통합인증센터의 구축으로 하나의 OTP기기를 이용해 모든 금융권을 이용할 수 있게 됨으로써 편리함이 높아졌다는 데 중요한 의미를 부여할 수 있다.
이러한 과정을 거치면서 시장은 OTP라는 용어로 매우 뜨거운 시장이 됐으며, OTP는 일반 사용자들에게도 결코 생소하지 않은 단어가 됐다. 나아가 이제 사용자 인증은 OTP라는 공식이 성립될 정도로 OTP는 일상생활에 밀접해진 상황이다. 또한 많은 사람들이 OTP란 용어를 듣게 되면서 점차 인증의 중요성이나 개인정보의 보호에 대한 관심이 높아졌다는 것도 통합인증센터가 주는 의의라고 할 수 있다.
사용자 인증솔루션의 진화
오늘날 네트워크 환경은 끊임없이 변화하고 있으며, 이에 따라 보안의 트렌드 또한 변화하고 있다. 네트워크 보안장비의 변화를 예로 들어보면, 방화벽시장은 초기 소프트웨어 타입에서 하드웨어 타입으로, 그리고 IP필터링방식에서 SI방식 및 프락시 방식으로 변화가 진행됐다.
장비타입도 단순한 방화벽, IPS, IDS, 바이러스월등 개별의 장비군에서 최근에는 UTM(Unified Threat Management)이라는 통합보안의 형태로 진화하고 있다. 방어계층의 경우에는 단순한 네트워크망의 보안에서 이제는 엔드포인트(End-Point) 보안으로 개별 보안에까지 확산되는 움직임을 보이고 있다.
시장은 변화하고 네트워크 공격 또한 매우 지능화되고 있으며, 이러한 공격에 대한 방어의 형태도 어느 한쪽으로 치우치지 않은 통합보안 쪽으로 가는 것이 최근 시장의 형태라고 할 수 있는 것이다.
OTP솔루션 또한 마찬가지다. 사용자 로그인에 필요한 솔루션으로 부각된 OTP는 기존 VPN 장비나 네트워크 장비단의 사용자 인증으로 확대됐으며, 기타 써드파티(3rd Party) 제품과의 연계를 통해 고정패스워드를 사용하는 모든 사용자 인증시장에 진입을 했다. 하지만, 최근에는 인증솔루션의 장비가 출시되면서 한 대의 어플라이언스 타입 장비로 미들웨어 서버의 기능을 수행함으로써 안티바이러스, 스팸차단, 침입탐지, 원격접속, SSL VPN 등의 보안기능도 함께 제공하는 것으로 발전하고 있다.
대표적인 OTP 기업인 바스코의 경우, 어플라이언스 타입의 인증서버에 내부에 자체적인 DB와 애플리케이션을 탑재시켜 내년 1월 출시할 예정에 있다. 이 인증서버는 또한 VPN 기능과 더불어 관리자 웹 인터페이스를 제공해 인증관리의 편리성 또한 향상시키게 된다. 이는 하나의 장비로 여러 가지 보안기능을 함께 수행할 수 있는 또 다른 형태의 UTM 장비라고 말할 수 있는데, 이처럼 인증시장 또한 다변화, 전문화 돼가면서 네트워크망의 부수기능인 인증시장에서 꼭 필요한 중요시장으로의 변화를 모색하고 있는 것이다.
토큰에서 카드타입으로 변화
지금까지의 시장은 OTP의 사용 환경에 대한 부분이 많이 강조돼 왔지만, 향후 시장에서는 OTP의 기능 다변화와 더불어 높은 휴대성이 중요시될 것으로 전망된다. 휴대성과 관련해서는 지금까지 OTP 시장을 지배해 온 토큰타입의 OTP에서 보다 더 높은 휴대성을 갖는 카드타입이 대세를 이룰 것으로 예측된다.
카드형 OTP는 한 장의 카드로 OTP 기능은 물론, 신용카드, 사원증, 교통카드 등의 부가 기능까지 통합하는 것을 목표로 하며, 이러한 통합이 구현된다면 보다 사용자 편리성이 보다 강화돼 카드형 OTP가 시장의 대세가 될 것은 자명한 사실이다.
아직까지는 카드형 OTP가 넘어야 할 산은 많다. 배터리 수명과 내구성, 그리고 리얼타임 클럭을 지원하는 시간동기 방식의 OTP가 카드타입 OTP를 구현을 위해 해결해야 할 과제다. 하지만, 각 업체들마다 인지하고 계속 개발에 박차를 가하는 만큼 앞으로는 누구나 지갑에 한 장쯤은 카드형 OTP를 보유하고 있는 때가 올 것이라고 보고 있다.
세분화된 장비는 각 장비별로 전문가가 구성돼야 하지만, 이는 관리비용의 증가를 불러 일으키는 단점이 있다. 다양한 세부 장비를 한 사람이 관리한다면, 관리비용은 감소할 수 있겠지만, 한사람이 여러 대의 장비를 관리하기가 어려워 관리의 허점이 발생할 수 있는 문제가 발생한다. 이러한 문제의 대안은 통합화된 장비라고 할 수 있다. OTP 인증서버의 경우에도 관리의 편의성을 제공하면서 여러 가지 기능을 수행하는 일종의 UTM 어플라이언스 타입으로 발전되고 있기에 한 화면으로 제품전체의 운영을 담당하면서 기업 내부의 자산을 안정적으로 보호하고, 유지관리를 할 수 있게 될 전망이다.
사용자 인증 시장은 통합의 바람이 거세게 일고 있다. 언급한 바와 같이 장비도 각 기능이 통합적으로 사용될 수 있는 모듈타입으로 개발 또는 운영되고 있으며, OTP 또한 한 개의 카드로 여러 가지 기능을 탑재한 형태로 발전하고 있다. 이에 향후 OTP는 보다 안전하고 사용하기 쉬운 소비자에게 친숙한 제품으로 고객에게 다가갈 것이다.
지금까지 한국의 OTP시장은 각국 OTP업체들의 각축장이 되면서, 고객 확보를 위한 각 기업의 출혈 경쟁이 진행된 것이 사실이다. 하지만 앞으로의 시장은 차별화되고 기능적으로 우수한 형태의 제품이 시장을 주도할 것으로 예상된다.
