스마트폰 시간을 미래로 조작하면
OTP 비밀번호 미리 알아낼 수도
악성코드 오염, 앱 위ㆍ변조 가능성
은행 "보안카드 대체용" 의미 축소
당국 "보안은 금융사 책임" 손 놔
상반기 중 도입 예정인 스마트OTP(일회용비밀번호생성기)를 두고 벌써부터 보안 우려가 쏟아지고 있다. 기존 OTP의 불편함과 번거로움을 최대한 줄였지만, 편의성을 지나치게 강조한 탓에 자칫 보안에 구멍이 뚫릴 수도 있다는 것이다. 취약한 보안을 보강하지 못한다면 애써 상용화한 기술이 묻힐 가능성도 있다.
4일 금융권에 따르면 신한, KB국민, 우리, 하나, 기업 등 주요 은행들은 올 상반기 중, 늦어도 연내 휴대폰 모바일앱 형태의 스마트OTP를 출시하기 위해 막바지 작업에 한창이다. 스마트OTP는 기존의 OTP와 달리 별도의 기기를 들고 다닐 필요가 없고 가격도 기존 OTP(5,000원)의 절반 정도에 불과하다.
문제는 보안이다. 가장 먼저 거론되는 스마트OTP의 보안상 취약점은 OTP가 채택하고 있는 시간동기화 방식에 따른 구조적 결함이다. OTP는 서버와 장치간 맞춰진(동기화한) 시간정보를 기준으로 1분마다 다른 번호를 생산하는데, 기존 OTP는 시간 기능이 내장돼 이를 마음대로 조작할 수 없다. 반면 스마트OTP는 스마트폰에 앱을 깔아 번호를 받는 식이라 스마트폰기기의 시간을 미래로 설정해 놓으면 해당 시간에 발생할 OTP 번호를 미리 받을 수 있다. 한 OTP제조업체 관계자는 “만에 하나 기기 주인이 아닌 사람이 시간을 조작해 미래에 생성될 번호를 미리 알아낸다면 금융사고로 이어질 수 있다”고 말했다.
모바일 앱 자체에 대한 해킹 가능성도 배제할 수 없다. IC칩의 보안과는 별개로 실제 OTP 번호를 띄우는 기기에 악성코드가 깔려 있거나 앱이 위ㆍ변조 될 경우 OTP 번호 전달과정에서 정보가 유출될 수 있기 때문이다. 또 다른 OTP제조업체 관계자는 “휴대폰 사용환경이 개인마다 다르고, 운영체제 또한 기기마다 달라 이 같은 사고를 예방하기가 쉽지는 않을 것”이라고 우려했다.
은행 등 금융회사들은 스마트OTP의 취약한 보안을 파악하고 있으면서도 쉬쉬하는 분위기다. 실제 은행 내부적으로 설정한 스마트OTP의 보안등급은 기존 OTP보다 한 단계 낮다. 은행 관계자는 “스마트OTP는 보안상 가장 취약한 보안카드를 대체하기 위한 것이지 기존 OTP를 대체하기 위한 것은 아니다”고 해명했다. 번거롭긴 하지만 기존 OTP가 보안 측면에선 스마트OTP보다 낫다는 얘기다. 지금도 토큰식 외에 카드식 OTP가 있는 마당에 스마트OTP를 별도로 도입하는 것이 얼마나 실효성이 있을지에 대해서도 회의적인 시각이 있다. 휴대폰에 교통카드를 갖다 대야 비밀번호가 생성되는 만큼, 기존 카드형 OTP보다 편의성 면에서 큰 차이가 없다는 것이다.
당국도 보안문제에 대해 손을 놓고 있다. 금융당국 관계자는 “우리는 정책적 방향을 논의할 뿐 특정 기술이 구현됐을 때 얼마나 위험한가에 대해서는 개입하지 않는다”라며 “보안 관련 규제가 사후 규제로 바뀐 이상 이는 금융회사들이 알아서 책임져야 할 부분”이라고 밝혔다.
김진주기자 pearlkim72@hk.co.kr
◆스마트OTP: IC칩이 탑재된 교통카드를 휴대폰에 갖다 대면 모바일앱을 통해 휴대폰 화면에 일회용 비밀번호가 나타나는 본인인증방식. 10㎝ 이내 가까운 거리에서 무선 데이터를 주고받는 근거리무선통신(NFC) 기술을 이용해 NFC OTP라고도 부른다.
기사 URL이 복사되었습니다.
댓글0