금융IT

모바일 OTP의 진화, 모바일 OTP 겸용 결제카드

이상일
[디지털데일리 이상일기자] 신용카드로 대표되는 실물 카드는 여전히 효용성이 있을까? 디지털 결제 시장이 발전하고 스마트폰이 결제 채널로서 대두되고 있는 상황에서 실물 카드가 물리적 실체가 없는 모바일 카드 등으로 대체되고 있다.

우리나라의 경우 삼성페이 등 스마트폰 기반 결제 시스템이 보편화되면서 실물 카드를 사용하는 빈도도 줄고 있는 상황이다. 카드형태로 발급되던 OTP 역시 모바일로 수렴되고 있다. 하지만 여전히 실물카드의 필요성에 대해선 글로벌 시장에서 동의하고 있다. 무엇보다 디지털 금융 시대에 가장 중요한 ‘보안’을 확보하기 위해선 실물카드가 보완재로서 기능을 해야 할 필요성이 높아지고 있다.

최근 토스뱅크가 내놓은 OTP 기능이 탑재된 체크카드는 편리하면서도 강력한 보안을 동시에 지원한다는 점에서 시사하는 바가 크다. 인증보안 기술 스타트업 센스톤의 ‘스위치 OTP’가 탑재된 이 체크카드는 휴대폰 뒷면에 태깅하는 것만으로도 OTP 코드를 실시간으로 생성한다.

스위치 OTP에는 센스톤의 원천기술인 OTAC(One-Time Authentication Code)가 적용됐다. 근거리무선통신(NFC) 기술을 활용해 사용자가 본인의 휴대폰 뒷면에 카드를 태깅하면 금융 서비스를 이용하는 과정에서 본인 인증은 물론, 고액 송금 및 이체를 위한 2차 인증까지도 한 번에 가능하다.

카드 태깅형 모바일 OTP는 고액송금시 간편한 2차 인증 수단 확보와 모바일 OTP보다 보안성이 높은 솔루션이 필요하다는 요구에 따라 개발됐다.

일례로 싱가포르 2위 은행인 OCBC가 지난 1월 하드웨어 OTP를 디지털로 완전 전환하기로 했다가 보안사고 후 이 계획을 철폐하기도 했다. 2021년 12월 싱가포르 온라인 피싱으로는 역대 최대규모 사건으로 최소 469명이 약 72억원의 피해를 입는 사건이 발생했다. 당시 계좌이체시에 원래 SMS로 OTP를 받게 되어있는데, 해커들이 피해자들의 휴대폰에 심은 악성코드가 이 SMS OTP를 가로챘거나, SMS OTP를 해킹된 해외 통신사로 우회시켰을 가능성이 큰 것으로 알려진 상태다.
당시 OCBC은행은 하드웨어 OTP를 발행할 필요가 없고 SMS로 전송되는 일회성 비밀번호를 줄여 5년에 걸쳐 약 2500만 달러를 절약할 것으로 예상했지만 사고 이후 스마트폰 기반 모바일 디지털 환경의 위험성이 부각되어 하드웨어 OTP 서비스 종결에 대한 입장을 번복했다.

이러한 사고가 아니더라도 대부분의 시장조사 업체들도 글로벌에서 실물카드는 사라지지 않고 디지털 결제와 공존할 것이란 의견을 내놓고 있다. 실제 비자나 마스터카드는 컨택리스 결제를 위해 카드사들에게 카드 타입을 보다 발전한 ‘콤비카드’로 전환하는 것을 요구하기도 했다.

콤비카드는 중앙처리장치(CPU)를 내장한 스마트카드의 하나로, 접촉식 카드와 비접촉식 카드 기능을 통합해 하나의 카드에 서로 공유하는 메모리가 존재하는 스마트카드다. 하지만 금융사로선 단가 상승이 부담이다.

이에 대해 센스톤 관계자는 “카드 제조사들은 카드 단가 상승으로 주저하고 있는데 금융사의 콤비카드를 금융거래인증, 출입증/신분증 등 다른 용도로 확장 사용한다면, 카드 단가가 상승하더라도 의미가 있다”며 “센스톤의 IC 카드 내에 탑재가능한 ‘OTAC 애플릿(Applet)’을 통해 금융사들의 고민해결이 가능하다”고 밝혔다.

카드 애플릿(Card Applet)에서 동적으로 생성하는 1차 OTAC는 카드 내 고정 인증값 탈취에 의한 보안사고를 방지하고 1차 OTAC를 이용해 앱에서 생성되는 2차 OTAC는 통신이 안되는 카드에서 생성된 1차 OTAC를 이용해 해커에게 고유값 탈취를 방어하고 악성코드에 의해 스마트폰 원격제어로 고액송금까지 진행되는 사고도 방어할 수 있다.
이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널