|오현식 기자·hyun@datanet.co.kr|
지난해 개소된 OTP통합인증센터는 우리나라는 물론 전세계적인 관심을 끌었다. 전세계 어떤 곳에서도 OTP에 기반해 각 은행의 인증업무를 일원화하는 제도가 운행되지 않았기 때문이다. OTP통합인증센터는 유래없는 일이란 점에서 우려와 기대를 동시에 낳았다.
금융권의 OTP 도입과 보급을 촉진시킴으로써 보안 향상에 일조할 수 있을 것이란 것이 OTP통합인증센터에 거는 기대였던 반면, 각 은행의 자율성을 저해하며, OTP 산업에 오히려 피해를 가중시킬 수 있다는 우려가 그것이다.
전사회적 보안 향상 기여
OTP센터가 가동된 지 1년이 흐른 지금, OTP 토큰 보급을 살피면 일정한 성과를 거뒀다고 볼 수 있다. 가장 큰 성과는 생소했던 보안 인증 솔루션인 OTP를 일반인들에게까지 익숙한 개념으로 전파해 전 사회적 보안의식 향상에 기여했다는 점이다.
금융감독기관은 기존 ID/PW, 공인인증서와 보안카드를 이용하는 기존 전자금융거래방식의 보안성을 향상시키기 위해 기업고객과 거래금액이 일정규모 이상인 개인 고객들에게는 보안토큰이라고도 불리는 하드웨어보안모듈(HSM), 또는 OTP의 이용을 의무화했다. 지난 2005년 외환은행 인터넷뱅킹 사용자에 대한 중간자 공격으로 불법인출이 발생, 전자금융거래의 보안을 한층 강화해야 한다는 요구가 높아졌기 때문이다. 
HSM과 OTP는 ID/PW 등 기본 인증에 더해 투팩터 인증을 위해 이용되는 공인인증서와 보안카드의 보안성을 통해 강화할 수 있는 보안 솔루션으로 HSM은 공인인증서 유출방지를 통해, OTP는 매번 변경되는 인증번호 생성을 통해 보안카드가 갖는 숫자조합의 한계성을 극복하게 해 보안사고의 가능성을 낮추게 된다. 따라서 금융감독기관은 금융권에 인증수단에 따른 거래금액 차등화 방침을 발표했으며, 1등급 인증 수단으로 HSM와 OTP를 지정하고, 기업고객과 고액의 전자금융거래에 이를 의무화했다.
이에 금융기관들은 HSM 혹은, OTP를 도입해야 했는데, OTP통합인증센터가 설립됨으로써 OTP 방식의 인증이 보다 비용효율적으로 간편하게 구축 가능해져 OTP에 대한 선호도가 단연 높았다. 현재 54개 금융기관 중 이트레이드증권과 HSBC 등 2개 기관을 제외한 전 금융기관이 OTP통합인증센터와 연동되는 OTP인증을 구현하고 있는데, 이 가운데 HSBC는 통합인증센터와 연계되지는 않았지만, 자체적인 OTP 솔루션을 이용하고 있기에 OTP 이용기관은 53개라고 볼 수 있을 정도로 OTP는 금융보안의 주축으로 자리매김한 상황이다.
OTP토큰 발급과 OTP인증을 이용한 거래건수에서도 이는 잘 드러난다. OTP통합인증센터에 따르면, 5월 3일 기준으로 총 314만3천개의 OTP토큰이 등록돼 166만3천개가 이용되고 있으며, OTP인증에 기반한 일평균 거래건수는 93만건에 달한다.
OTP통합인증센터를 운용하는 금융보안연구원 측은 “OTP를 이용한 인증건수는 예상보다 빠르게 증가하고 있다”면서 “이러한 추세라면 올해 말에는 일평균 150만건까지 증가할 것으로 전망된다”고 밝혔다.
인증보안 걱정 ‘스톱’
100만건에 육박하는 OTP인증 증가는 OTP에 대한 사용자 인식 향상을 반증하는 것으로 볼 수 있다. 2006년 신한은행이 최초로 OTP를 보급하던 당시에는 OTP가 어떤 기능을 하는지, OTP 기기를 어떻게 사용해야 하는지 낯설어 했던 고객들이 지금은 OTP를 익숙하게 사용하고 있는 것이다. 그만큼 OTP에 대한 사용자 인식이 급격히 높아진 것을 의미한다.
나아가 금융권에서의 확산을 통해 OTP에 대한 사용자 교육이 자연스럽게 이뤄짐으로써 기업에서 내부 사용자 인증 용도로 OTP를 도입하는 사례도 증가하고 있다는 것이 업계의 전언이다. 보안성이 높은 OTP 적용 및 이용 증가는 전사회적인 보안 수준 향상을 의미한다는 점에서 OTP통합인증센터 설립에 따른 분명한 성과라고 평가할 수 있다.
특히 최근 높아지고 있는 금융권을 대상으로 한 공격들에 있어 OTP는 든든한 버팀목이 되고 있다고 평가된다. 시간, 혹은 인증 시마다 변화하는 OTP는 공격자들의 사용자 인증정보 탈취를 의미없게 만들 수 있어 키보드 해킹, 메모리 해킹 등에 의한 중간자 공격의 방패막이 역할을 수행하고 있다.
최근 미래에셋의 DDoS 공격에 이어 모아저축은행 대출정보 해킹사고, 하나은행 및 외환은행의 무선망 패킷 탈취 시도 등이 이뤄지면서 보안에 대한 이용자들의 불안감이 확산되고 있는 상황으로 각 금융기관의 보안 강화 노력이 요청된다.
금융권에 대한 이번 공격들도 직접적인 코어망 공격이라기보다는 그동안 보안에 다소 소홀했던 부문을 파고들은 것들이다. 기존 공격들이 보안이 취약한 이용자 PC를 해킹하거나, 피싱 공격을 통해 사용자 정보를 빼낸 것처럼, 이번 공격들도 코어망에 대한 직접적인 해킹이라기 보다는 보안이 상대적으로 소홀했던 부분을 파고들었다.
최근 사건 가운데 코어망 해킹으로 가장 충격적인 사건으로 꼽히는 모아저축은행의 해킹사고의 경우에도 은행 내부 PC를 해킹해 사용자 정보를 취득한 후 이를 통해 은행 코어망에 접근하는 방식의 우회공격이었다. 방화벽, IPS 등 각종 보안 시스템으로 보호되고 있는 코어망의 보안을 우회한 것이다.
강력한 보안이 실시되는 코어망에 대한 직접적인 공격은 어렵기 때문에 이러한 우회공격은 더욱 기승을 부릴 것으로 전망된다. 이러한 점에서 OTP의 조기 확산은 더욱 긍정적이다. 취약지점으로 꼽히는 사용자단에서의 정보 유출 위험성을 제거하는 효과가 있기 때문이다. OTP 이용자의 경우, 매번 변화하는 인증번호가 제공되기 때문에 공격자가 사용자의 인증정보를 취득하더라도 이를 사용할 수 없도록 만듦으로써 OTP이용자를 통한 보안사고를 예방하는 효과가 있다.
▣금융기관 대상 직접 공격 ‘급증’
IT의 급격한 발전으로 사이버 세계가 현실 세계와의 밀접도를 높여가면서 오늘날 사이버 공격은 금전적 이득을 노리는 공격이 되고 있다. 국내외 보안 전문가들은 이구동성으로 금전적 이득을 위한 공격 트렌드 변화를 지적하고 있는 상황이다.
하지만, 금전적 이득을 목적으로 한 공격들이라고 하더라도 그동안 비교적 강력한 보안체제를 구축하고 있는 금융기관은 주요 대상이 되지 않았다. 보안이 취약한 영세사이트를 공격, 돈이 될 만한 정보를 빼내갔을 뿐이다. 금융관련 공격이라고 하더라도 금융권의 코어 시스템을 공격하는 대신 보안이 취약한 사용자 단을 공략해 이용자 정보를 탈취해 접근하는 간접적인 방법이 대다수를 이뤘던 것이 사실이다.
하지만, 최근 금융권에 대한 직접적 공격을 수행하는 사례가 연이어 발생, 충격과 동시에 금융보안 강화의 필요성을 높이고 있다. 지난 3월 서비스거부공격(DDoS)으로 미래에셋의 홈페이지가 접속장애를 일으킨 것을 비롯해 5월에는 모아상호저축은행이 대출정보를 해킹당하는 보안사고가 발생했으며, 하나은행, 외환은행 무선망에 대해 해킹을 시도하던 용의자가 경찰에 검거되는 사고도 발생했다.
인천 모아저축은행의 보안사고는 공격자가 대출정보 관리 시스템의 루트 권한을 취득한 뒤 은행 측이 사용할 수 없도록 암호를 건 것으로, 공격자는 이를 해제하는 대가를 요구한 것으로 알려진다.
특히 이번 사건은 국내 은행 전산망이 공격자에게 뚫렸다는 점에서 충격을 추고 있다. 공격자는 루트권한 취득 후 암호화된 고객정보파일 폴더와 협박문을 남겼으며, 침입으로 확보한 정보로 은행 직원 160명에게 20만달러를 요구하는 문자메시지(SMS)를 전달하는 등 대담성을 보였다. 공격자는 은행 내부 PC를 통해 사용자 정보를 취득해 코어망에 대한 접근하는 방법을 사용한 것으로 조사됐다.
하나은행과 외환은행의 해킹 시도는 무선 패킷을 가로채는 중간자 공격이었다. 이들은 은행 인근에 주차된 승용차에서 지향성 안테나를 이용해 데이터 유출을 시도해 공유기를 통해 이동되는 무선 패킷을 가로채는 데에는 성공했지만, 암호화돼 있어 원했던 정보취득에는 실패한 것으로 알려진다.
미래에셋에 대한 DDoS 협박 공격으로 인터넷 사이트가 다운돼 국내 시장의 DoS/DDoS 이슈를 불러일으킨 데 이어 또다시 금융해킹 적발사례는 금전적 이득을 위해 금융기관에 대한 직접 공격이 강화되고 있는 추세를 보여주는 것으로 비상한 관심을 끌고 있다. 특히, 우리나라의 경우, 인터넷 뱅킹 이용률이 전세계 어느 지역보다도 높은 만큼 사이버 보안에 더욱 만전을 기울여야 한다는 점이 지적되고 있다. 이에 금융위원회와 금융감독원, 그리고 시중은행들은 은행들의 보안상황에 대한 실태점검과 더불어 최고보안책임자(CSO)를 지정 등을 합의하는 등 보안 강화에 나서고 있는 상황이다.
OTP 벤더 ‘을사조약’
OTP가 금융 보안 향상의 긍정적 효과가 ‘빛’이라면, OTP통합인증센터의 효과가 OTP 벤더들에게 가져다주는 실익이 미미하다는 것은 어두운 ‘그림자’다. OTP통합인증센터로 인해 OTP토큰의 공급이 증가해 각 OTP 기업의 매출향상에는 기여한 것은 부인할 수 없는 사실이지만, 공급단가 하락으로 실익은 크지 않다. 글로벌 기업의 OTP를 취급하는 경우에는 최근의 환율급증으로 인해 금융OTP 공급이 오히려 손해인 경우도 발생하고 있다.
국산 벤더들의 경우에도 금융OTP 사업의 상황이 좋은 것은 아니다. 대량 공급을 일궈내긴 했지만, 금융 시장에서의 OTP 공급가격 하락으로 인해 공급이 순이익 향상에 도움을 주지는 못하고 있다. 어떤 OTP토큰이든 OTP통합인증센터를 통해 연동이 가능하기 때문에 금융기관들은 보다 자유롭게 OTP토큰을 선정할 수 있게 됐으며, 이는 각 OTP벤더들의 가격경쟁을 불러일으켜 원가 수준의 공급이 이뤄지는 결과가 되고 있는 것.
나아가 OTP통합인증센터 운영에 필요한 운용비 분담도 OTP벤더들의 부담으로 작용하고 있다. OTP통합인증센터는 현재 외부 유지보수 기업에 의해 24시간 운영이 이뤄지고 있으며, 이에 대해 각 OTP벤더가 운용비를 분담하고 있는 상황이다. 이는 OTP통합인증센터 출범당시 입주 조건에 ‘사고발생, 장애대비를 위한 전문인력의 24시간 상주’가 조건화됐기 때문이다. 초기 장애발생 대비를 위해 각 벤더별로 전문인력이 상주하던 상황은 시스템이 안정화됨에 따라 장애발생 가능성이 줄어들면서, 벤더의 구분없이 장애발생을 위한 전문인력의 상주로 변화했으며, 이에 따라 OTP통합인증센터 입주 기업들은 합의를 통해 이를 아웃소싱하고, 비용을 분담하고 있다.
이러한 비용분담은 금융OTP 사업을 지속하는 한 계속되는 지출으로 OTP벤더는 지속적인 투자비를 집행하는 것이다. 이러한 비용은 OTP공급이 호조를 보인다면, 큰 문제가 아니다. 하지만, OTP공급이 부진하게 되면 상황은 바뀐다. 금융 OTP 사업의 순이익이 높지 않은 상황에서 조금의 공급부진이 바로 영업손실로 이어지기 때문이다.
이와 관련, 한 OTP 기업의 관계자는 OTP통합인증센터에서의 운용비 분담을 두고 ‘OTP 산업의 을사조약’이라고 평했다. 유지보수를 진행하지만, 이러한 유지보수에 대한 비용을 지불받는 것이 아니라 오히려 비용을 지불하는 불평등 계약이라는 의미에서다.
OTP통합인증센터 측은 “1초의 장애도 허용되지 않는 금융 OTP에서 장애대비 인력 상주는 반드시 필요하며, 장애발생에 대해 공급기업이 책임지는 것은 당연한 것”이라고 비용분담의 의미를 부여하지만, 유지보수의 대가가 OTP 공급벤더에서 분담되는 것은 과도한 처사라고 OTP 기업들은 불만을 토로하고 있다.
금융 OTP 사업이 국내 OTP 시장에서 갖는 상징성이 크기에 OTP 벤더들은 이러한 불만을 전면에 크게 드러내지는 않고 있지만, 부담강화로 OTP 벤더들의 어려움을 가중시키고 있다는 것. OTP 기업들은 “과도한 부담으로 금융 OTP 사업을 포기한다거나, 혹은 OTP 기업이 고사한다면 피해는 고객이 받을 수밖에 없다”며 개선이 필요하다고 지적했다.
▣EMC RSA 금융 총판 교체 검토(?)
최근 EMC RSA의 금융 OTP 총판인 트라이콤이 금융 OTP 사업포기를 검토하고 있는 것으로 알려진다. 농협과 기업은행을 비롯한 6곳의 금융기관에 OTP 토큰을 공급하는데 성공했지만, 금융권에서의 OTP 사업의 전망이 그리 밝지 못하는 데 더해 유지보수 분담비 등 지속적인 비용지불이 이뤄져야 하기 때문이다.
RSA의 경우, 기본적으로 다른 OTP에 비해 높은 가격을 형성하고 있는 데 더해 최근의 환율급증으로 인해 금융 OTP 시장에서 형성되는 가격대 대응에 어려움을 크다. 금융 OTP 시장은 OTP통합인증센터 출범과 맞물린 수요급증, 업계의 과당경쟁으로 일반시장보다 낮은 공급가격대가 형성돼 있는데, 글로벌 기업의 특성상 환율상승은 저가 공세에 대응할 수 있는 유연성을 제한시키고 있는 것. 나아가 새로운 이명박 정부의 경제팀이 수시로 “경상수지 보존을 위해 우리나라에는 고환율이 유리하다”란 입장을 피력, 향후의 환율전망도 그리 밝지 못해 저가 공급이 고착된 금융 OTP 시장의 돌파구를 쉽게 찾지 못하고 있다.
트라이콤의 사업포기 검토는 아직 결론이 내려진 것은 아니지만, 포기 쪽에 무게가 실리면서 한국EMC RSA는 트라이콤의 뒤를 이어 금융 OTP 사업을 진행할 기업을 물색하고 있는 상황이다. OTP를 주력으로 하는 한국EMC RSA에게 금융시장에서의 이탈은 금융시장이 갖는 상징성으로 인해 일반 기업시장에서의 OTP 보급에 부정적 영향을 미칠 수 있기에 트라이콤을 대신할 기업을 찾고 있는 것이다.
한 기업의 사례이지만, 금융 OTP 시장이 OTP 개발 공급기업들에게 매력적인 시장이 아님을 반증하는 것이라고 할 수 있다. 금융 OTP의 실익에 의구심이 제시되면서, OTP 기업들은 영업의 타깃을 금융권보다는 일반 기업 시장으로 돌리고 있는 상황이다. 금융 OTP 확산으로 OTP의 저변이 확대, 내부 사용자 인증을 위해 일반 기업 시장에서의 OTP 이용이 확대되고 있기 때문이다. 기업들은 OTP를 도입할 경우, ID관리에서 있어서 패스워드의 주기적 변경이 필요없게 돼 비밀번호 변경에 따른 부담을 해소할 수 있어 OTP에 대한 관심이 높아지고 있다.
금융 OTP 2차전
OTP통합인증센터가 설립되면서 지난해 벌어진 OTP 시장 경쟁에서는 미래테크놀로지, 오티피멀티솔루션을 승자로 꼽을 수 있다. 미래테크놀로지는 신한은행, 외환은행, SC제일은행, 경남은행, 전북은행, 농협 등 27개 금융사에 OTP를 공급하면서 국내 OTP 시장의 강자임을 증명했으며, 바스코의 OTP토큰을 공급하는 오티피멀티솔루션은 국민은행, 광주은행, 경남은행 등 제1금융권을 포함한 17개 금융권에 OTP솔루션을 공급해 글로벌 OTP 솔루션의 위력을 과시했다.
이 외에는 인네트가 36만개의 대량 공급 계약이었던 국민은행을 비롯해 무산은행, 하나은행, 매리츠증권을 수주해 눈에 띄는 성과를 이뤘으며, 인터넷시큐리티가 우리은행에 대한 공급에 성공했다. EMC RSA의 OTP 솔루션을 공급하는 트라이콤은 농협과 기업은행을 비롯한 6개 금융기관에, 아이덴티타의 OTP를 공급하는 예스컴은 하나은행과 하나대투은행에 OTP 카드를 공급하는 성과를 이뤄냈다.
◀오티피멀티솔루션이 공급하는바스코OTP토큰
미래테크놀로지와 OTP통합인증센터가 1차 수주전의 승자로 꼽히지만, 인네트, 인터넷시큐리티 등은 “올해 시작되는 2차 공급에서의 상황은 달라질 수 있다”고 주장한다. 몇몇 금융기관은 2차 물량 도입에서 기존 OTP 토큰 공급 제품 변경을 검토하고 있어 초기 시장 판도가 재편될 여지는 충분하다는 것. OTP통합인증센터를 통해 OTP토큰의 연동이 가능하기에 이러한 주장은 설득력을 지닌다.
지난해 OTP통합인증센터 개소 이슈에 따라 대다수 금융기관들이 1차 배포 물량을 공급받은 상황이다. 이에 올해부터는 금융 OTP의 2라운드가 열릴 것으로 전망된다. 미래테크놀로지와 오티피멀티솔루션은 1차전에서의 강세를 이어나간다는 방침으로, 다양한 금융기관에서 적용, 검증된 안정성을 앞세워 2라운드에서도 우위를 자신하고 있다.
물론 다른 기업들의 도전도 만만치는 않다. 특히 지난해 4대 은행 중 하나인 국민은행 수주전에서 승리한 인네트는 2008년부터 시작될 금융 OTP 2차 공급전의 승자를 자신하고 있다. 인네트 측은 “1차 공급의 최종전이었던 국민은행의 수주에 성공함으로써 미래테크놀로지와 오티피멀티솔루션의 양강 구도가 아닌 3강 구도를 만들 수 있게 됐다”고 평가하면서 “올해는 각종 PIN 적용이 가능한 OTP 카드를 출시, 시장의 주도권을 확보하겠다”고 밝혔다.
인터넷시큐리티도 다크호스다. 인터넷시큐리티는 무버튼 방식의 OTP토큰을 개발, 4대 은행 중 하나인 우리은행에 공급하는 성과를 이뤄냈다.
▲인터넷시큐리티 무버튼 OTP토큰
무버튼 OTP토큰은 버튼을 탑재하지 않음으로써 공급원가를 보다 낮출 수 있어 가격경쟁력에서 보다 유리하다. 단점은 항상 켜져 있어야 함에 따라 발생하는 수명문제. OTP토큰은 보안성을 위해 분해가 불가한 구조를 갖고 있으며, 이에 따라 배터리 교체가 불가능하다. 이용자들은 배터리 수명이 다하면, 새로운 OTP토큰을 발급받아야 하는 것으로 무버튼으로 항상 켜져있는 상태로 인한 배터리 수명 단축은 치명적 단점이라고 할 수 있다.
이에 대해 인터넷시큐리티 측은 “전력 소모를 최소화하는 신기술을 개발, 적용함으로써 4년 이상의 사용을 보장한다”고 밝히고 있다. 버튼형의 경우에도 3년의 사용기간을 설정하는 것이 일반적으로 4년의 수명은 배터리 수명이란 단점을 해소한 것으로 볼 수 있다.
예스컴은 카드형 OTP의 강점을 이어나갈 계획이다. 현재 카드형 OTP는 미래테크놀로지, 인카드 등에서 공급해 토큰형에 비해 경쟁이 적다. 또 비교적 가격이 높게 형성돼 있어 업체의 입장에서는 수익성도 보장된다는 점에서 매력적이다. 예스컴은 하나은행과 카드형 OTP 3만개를 공급하는 계약을 체결했는데, 이를 바탕으로 시장 공략에 나설 방침 이다.
그렇지만, 2차 공급에 대한 전망이 밝은 것은 아니다. OTP토큰이 상당수 보급됐기에 1차 공급물량과 같은 대규모 공급을 기대하기는 쉽지 않기 때문이다. 이에 오티피멀티솔루션은 올해의 전망을 100만개의 OTP 공급에서 50만개로 낮췄으며, 다른 OTP벤더들도 큰 폭의 성장을 기대하기는 어렵다는 견해를 보이고 있다.
OTP벤더들은 보안향상을 위해 은행들이 OTP 대상 고객을 확대하기를 기대하고 있다. 최근 높아지는 금융위협으로 사용자들의 관심이 높아지고 있어 OTP 적용 대상 고객의 확대가 필요하다는 것이 OTP벤더들의 주장이다. 현재 개인사용자의 경우, 1일 1억원, 1회 1천만원 이상을 인터넷뱅킹으로 이용할 때에만 OTP 이용이 의무화됐는데, 이를 더욱 확대해야 한다는 것이다. 일부 기업은 이를 위해 금감원 등 감독기관이 보안등급을 재조정하기를 기대하고 있다.
카드형 OTP 등 신기술 접목 ‘승부키’
기업들의 신제품 경쟁도 불을 뿜고 있다. 먼저 관심의 초점이 되는 것이 카드형 OTP다. 지갑에 손쉽게 넣을 수 있는 카드형 OTP는 토큰형에 비해 휴대성에서 유리하다. 토큰형의 경우, 핸드폰 액세서리처럼 활용될 수 있게 소형화와 디자인을 강화하고 있지만, 카드형이 보다 더 휴대에 용이한 것은 부인할 수 없다.
카드형 OTP의 경우, 경쟁이 3개 사로 축소된다는 것도 공급기업의 입장에서는 유리한 요소다. 이에 카드형 OTP를 통해 토큰형에서 떨어진 수익성을 높임과 동시에 경쟁우위를 노리려는 업체들의 노력이 이어지고 있는 것이다.
미래테크놀로지는 카드형 OTP의 대량 공급을 이뤄냈다는 점에서 눈에 띈다. 우리은행과 2만개의 카드형 OTP 공급계약을 체결하고, 이미 공급 완료한 것. 경쟁사인 예스컴이 카드형 OTP의 공급을 아직 진행중에 있고, 인네트의 카드형 OTP는 메리츠증권에 소량 납품됐다는 점에서 미래테크놀로지는 보다 유리한 고지를 선점한 것으로 분석된다.
인네트가 공급하는 인카드의 OTP카드▶
미래테크놀로지의 단점은 카드의 두께가 표준두께보다 다소 두껍다는 점이다. 이에 이 카드 플랫폼에 현금카드, 신용카드 솔루션을 탑재해 쓸 수 없는 한계가 있다. 인네트, 예스컴의 카드형 OTP가 표준 두께를 맞춰 다양한 활용이 가능하다는 점을 볼 때는 다소 불리한 요소다.
이에 대해 미래테크놀로지 측은 “보안 기기인 OTP를 신용카드 용도를 접목시키는 것이 보안 측면에서 옳은 방향이라고 볼 수 없으며, 현금입출입기기 등 자동화 기기에서의 사용이 제품 안정성 측면에서 문제가 발생되는 단점이 있다”고 지적했다.
미국 인카드와 계약을 체결, 국내 시장에 카드형 OTP를 처음 소개하고, 적용한 인네트 측의 의견은 다르다. 여러 솔루션을 탑재해 다양한 용도로 활용될 수 있다는 점이 카드형 OTP의 효용을 극대화하는 장점이 있다는 것이다. 이에 인네트 측은 더욱 다양한 기능을 탑재한 카드형 OTP를 출시해 시장 공략을 강화할 계획이다. ePIN, eRA, eFONE 등 다양한 기능을 탑해한 OTP카드를 출시함으로써 시장 요구에 대응한다는 것이다. 다시 말해 OTP 이용 이전에 자체 비밀번호를 입력하는 등의 추가 애플리케이션을 카드 플랫폼 안에 넣어 보안성을 향상시키는 등의 효과를 얻을 수 있다는 것이다.
인네트 측은 “카드형 OTP의 선두주자인 인카드와의 협력사인 인네트는 금융권은 물론 기업의 요구를 모두 충족할 수 있는 기술력을 보유하고 있다”며 “ePIN 등의 적용은 고객의 선택에 따라 가능하고, 이를 통해 기업에서는 OTP카드의 활용도를 더욱 높일 수 있다”고 강조했다.
카드형 OTP로의 진화 이외에 HSM의 접목 등도 이뤄지고 있다. HSM과 OTP를 동시 탑재해 보안성을 한층 강화한 제품의 출시 등이 그것이다. 농협에 공급된 이후 국민은행, 우리은행, 신한은행 등에서도 HSM에 대한 관심을 갖고 있는 것으로 알려진다. 고객의 선택폭을 넓힘과 동시에 하나의 보안솔루션에 쏠림으로써 발생하는 보안 위험 분산을 통해 해소하기 위함이다. 이에 OTP와 HSM의 동시 탑재를 통해 보안성과 사용자 편의성, 동시에 토큰의 활용도를 높임으로써 보다 경쟁력을 가져나가려는 시도로 이어지고 있는 것. 현재 OTP&HSM토큰은 미래테크놀로지가 개발해 선보이고 있다.
▲미래테크놀로지가 선보인 HSM/OTP 통합토큰
미래테크놀로지의 OTP&HSM토큰인 ‘uPIN’은 HSM 부문은 한국정보보호진흥원(KISA)의 규격에 맞게 개발돼 KISA 인증을 추진하고 있으며, OTP는 금융보안연구원에서 사용되는 기존의 OTP와 동일한 스펙을 탑재하고 있다. 아직 금융감독 기관에서 이러한 형태의 제품에 대해 유권해석을 내리지 않고 있는 상황이지만, 보안 1등급 인증수단인 HSM과 OTP를 모두 제공하기 때문에 보안성과 편의성에 강점을 갖고 있다.
▣OTP 이어 HSM도 부상<
OTP와 함께 동일한 보안 1등급 인증수단으로 인정된 HSM 진영도 2008년 시장 활성화를 기대하고 있다. 뜨겁게 달궈졌던 OTP 시장으로 인해 다소 소외된 측면이 있지만, HSM 역시 1등급 인증수단으로 지정될 정도로 뚜렷한 보안 이점을 갖고 있다.
HSM 사용화를 위한 제반 사항도 현재 착실히 준비되고 있는 상황으로 5월에는 소프트포럼, 이니텍, 드림시큐리티 등이 금융권에 공급하는 공인인증서 소프트웨어 3종이 HSM 기능을 추가해 한국정보보호진흥원(KISA)의 인증을 받았다. 공인인증서를 넣은 HSM토큰을 전자금융거래에 사용하기 위해서는 공인인증서 소프트웨어가 지원해야 한다. KISA의 이번 인증은 HSM 기능을 추가한 공인인증서 소프트웨어에 대해 보안성 적합 인증으로 이로써 HSM이 확산될 수 있는 기반을 마련하게 됐다고 평가된다.
세이프넷 '아이키'▶
현재 다양한 금융기관이 고객의 선택폭을 넓히고, 공인인증서 유출에 따른 보안 위험을 해소하기 위해 HSM 도입에 관심을 보이고 있는 것으로 알려진다. 지난해 12월에는 농협이 최초로 HSM토큰을 도입했다. 농협은 알라딘 ‘e토큰’과 세이프넷코리아 ‘아이키’을 HSM토큰 공급 벤더를 선정하고, HSM 2만개를 공급받아 서비스를 개시했다.
이에 따라 HSM 벤더들의 움직임도 빨라지고 있다. 현재 알라딘 e토큰, 세이프넷 아이키, 엔엘에스의 마거HSM 3종이 KISA의 구현적합성 평가를 완료했으며, 미래테크놀로지 등이 HSM 구현적합성 인증을 신청한 상황이다.
흔히 보안토큰이라고 불리는 HSM토큰은 토큰 내부에서 암·복호화함으로써 공인인증서의 유출을 원천 봉쇄한다. 특히 공인인증서의 암·복호화가 PC 메모리가 아닌 토큰 내부에서 이뤄진다는 점은 최근 이슈로 부상하는 PC메모리 해킹에도 대응할 수 있게 하는 장점이 있다.
세이프넷코리아 황동순 사장은 “그동안 OTP에 급격하게 몰려갔던 은행들의 관심이 이제 HSM으로 옮겨오고 있다”고 시장 상황을 전했으며, 미래테크놀로지 정균태 사장은 “농협 외에도 국민은행, 우리은행, 신한은행 등도 HSM에 대한 제반 준비를 마무리한 상황”이라고 전했다.
금융 기반, 기업시장으로 진군
다른 한편, OTP 기업들은 기업시장에 더욱 관심을 갖고 있다. 금융 OTP가 실익 측면에서는 큰 이점이 없기에 금융권 공급을 기반으로 일반 기업 시장으로의 진출을 노리고 있는 것. 금융권에서의 OTP 보급 및 이용으로 OTP의 저변이 확대됐다는 것은 금융 외 일반 시장에서 OTP 보급을 확대시킬 수 있는 호재임에 분명하다.
인네트의 경우 기업은행, 롯데쇼핑, NHN 등에서 내부사용자 인증용도로 OTP를 공급하는 데 성공했으며, 한국EMC RSA의 경우에도 기업시장에서의 우위를 지속시킨다는 전략을 갖고 있다. EMC RSA는 현대자동차에 3만개 규모의 OTP 토큰을 공급하는 등의 성과를 올려 비금융 시장에서 OTP의 확산을 증명했으며, 또다른 대형 계약이 성사 직전에 있는 것으로 알려진다.
금융 시장이 최대의 시장인 것은 분명하지만, 과열경쟁에 따른 수익성 악화와 더불어 지난해와 같은 대량공급이 당분간은 없을 것이라는 전망 아래 속속 기업시장으로 눈을 돌리고 있다.
그러나 금융권이 지니는 상징성과 더불어 여전히 많은 물량을 소모할 수 있는 최대 시장이란 점으로 기업 시장에 주력하면서도 금융권 시장에 대한 치열한 수주전은 계속될 것으로 전망된다. 7천128만명에 달하는 은행의 전자금융거래 가입자수를 고려하면, 여전히 금융시장은 놓칠 수 없는 것이기 때문이다.
