금융IT

사용자 편의와 보안성을 동시에 잡는다? 모바일 OTP의 진화

이상일
[디지털데일리 이상일기자] 코로나19로 인한 비대면서비스 시장이 본격적으로 확대되면서 금융시장도 변화를 맞이하고 있다.

특히 은행 등 점포의 운영시간 축소와 스마트폰 뱅킹 서비스의 확대와 맞물려 금융사 영업점을 방문하는 횟수도 점차 줄어들고 있는 추세다. 이는 반대로 영업점 방문 없이도 사용자 인증에 대한 편의성을 확보해야 한다는 숙제를 금융권에 가져오고 있기도 하다.

현재 가장 일반적으로 사용되는 본인인증 수단은 OTP(One Time Password)다. 무작위 생성 알고리즘에 따라 매 시간마다 변경되는 추정 할 수 없는 비밀번호 생성을 이용하는 보안 시스템으로 그 안정성을 오랫동안 인정받고 있다.

이후 OTP는 모바일 시대에 맞춰 ‘모바일 OTP’로 진화했다. 최근 금융 거래시 주요 사용자 인증 수단으로 사용되고 있는 ‘모바일 OTP(One Time Password)’는 스마트폰에서 앱으로 이용하는 일회용 비밀번호 생성기다.

OTP가 고정된 패스워드 대신 무작위로 생성되는 일회용 패스워드를 이용하는 방식으로 기존 실물 보안카드의 위험성을 낮췄다면 모바일 OTP는 물리적 매체가 필요 없어 편리하고 발급비용이 거의 무료인데다 모바일로도 발급이 가능해 영업점을 방문할 필요가 없다는 장점을 가지고 있다.

모바일OTP는 스마트폰 앱에서 최종 OTP를 구동하는 OTP로, 실물 OTP와 달리 앱을 통해서 OTP 번호를 생성 할 수 있고, 사용하는 모든 방식은 기존의 OTP와 같다. 모바일OTP는 기존의 OTP와 보안카드가 사용되는 모든 영역에서 사용할 수 있다는 점도 장점이다.

다만 모바일 OTP도 극복해야 할 문제는 있다. 현재 사용자인증 기술은 고정된 식별값으로 유출 및 노출에 취약하고 OTP 코드만으로는 사용자 인증이 불가능하다는 단점이 있었다.

또, 모바일OTP와 비슷하게 다이내믹 코드를 쓰는 토크나이제이션(Tokenization)은 사용사-서버간 양방향 통신에 의해서만 구동돼 비통신 환경에서의 사용이 어렵다는 점도 문제로 지적돼왔다. 이는 단방향으로 동적인 값을 전송해 사용자를 인증하는 기술이 없었기 때문이다.

때문에 사용자 편의성에 기반한 강력한 인증시스템 도입에 대한 요구가 커지고 있는 상황에서 센스톤이 선보인 OTAC(One-Time Authentication Code)는 양방향 통신이 필요한 토크나이제이션(Tokenization)이나, 2차 인증용으로만 사용되는 OTP와 달리 클라이언트 디바이스에서 자체 생성된 다이내믹 코드를 통해 사용자를 인증하는 기술로 차별점을 가져가고 있다.

최근 금융권에 적용되어가고 있는 센스톤의 ‘카드 태깅형 모바일OTP’는 기존 모바일OTP의 장점에 보안성과 편의성을 더한 진화된 모바일 OTP이다. 카드와 스마트폰 사이의 중간자공격(man in the middle attack, MITM)을 빠른 속도로 차단하면서, 보이스피싱 시도까지도 차단하는 효과가 있다. 2차 인증 수단으로만 활용이 국한된 OTP와 달리 아이디/패스워드를 대체하는 1차 인증 수단으로 쓰일 수 있다는 것이 특징이다.

한편 센스톤의 OTAC는 휴대폰 애플리케이션(앱)이나 카드, 또는 칩 형태로 제공된다. 사용 방식은 기존 인증 솔루션과 크게 다르지 않다. 특정 서비스에 로그인하고자 할 경우 아이디와 패스워드 입력칸 대신 OTAC 기술이 적용된 앱이나 카드를 통해 사용자 인증을 하면 된다. 지문입력 등이 함께 제공되기에 한번에 1, 2차 인증이 이뤄진다.

스페인 바르셀로나에서 개최된 모바일 월드 콩그레스 2022(MWC22)에서 센스톤은 신용카드, 모뎀, IoT 기기에 삽입하는 SIM 카드에 있는 칩(chip) 안에 애플릿(Applet) 형태로 OTAC 알고리즘을 적용, 기존 인증보안 기술을 더욱 신속하고 안전하게 업그레이드 하거나, OTAC 애플릿을 바탕으로 새로운 서비스를 제공할 수 있는 비즈니스 모델을 선보여 글로벌 통신사업자 및 금융사들로부터 호평을 받은 바 있기도 하다.
이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널