[디지털데일리 이상일기자] 기존 은행권에 신선한 자극을 주고 있는 인터넷전문은행이 IT인프라 구성에도 혁신을 더하고 있다.
오픈소스 인프라의 채택 및 클라우드 활용 등에 있어 한발 앞서가고 있는 인터넷 전문은행은 특히 보안 분야에 있어서 그동안 은행권에서 검증된 기술은 물론 새로운 접근방법에도 나서고 있어 주목된다.
이러한 IT신기술 도입을 통해 인터넷은행들은 IT인프라에 디테일을 더하고 있다. 이는 결과적으로 고객의 편의성 향상에 도움이 되고 있다는 분석이다.
토스뱅크가 최근 적용한 ‘OTAC mOTP’는 강력한 인증 보안을 필요로 하는 서비스에서 손쉽게 이용 가능한 모바일 OTP다. 보안기업 센스톤의 OTAC mOTP는 별도의 기기(카드형, 토큰형 등)를 가지고 다닐 필요 없이 휴대폰에서 바로 생성되는 일회용 비밀번호, OTP이며, ID와 비밀번호 이외에 매번 새로운 비밀번호를 이용한 추가 인증(2FA/MFA) 수단으로 활용된다.
대부분 은행에서 1000만원을 초과한 고액 이체를 위해서는 OTP 인증이 필수적이다. 이를 위해 실물 OTP(카드형, 토큰형)를 발급받거나, 핀번호 등을 입력하는 모바일 OTP가 필요하다. 문제는 실물 OTP는 배송 등 발급 과정이 복잡하고, 핀 번호만을 누르는 모바일 OTP는 보안성이 다소 취약할 수 있다는 점이다.
센스톤의 원천기술인 OTAC는 근거리무선통신(NFC) 기술을 활용해 사용자가 본인의 스마트폰 뒷면에 카드를 태깅하면 금융 서비스를 이용하는 과정에서 본인 인증은 물론, 고액 송금 및 이체를 위한 2차 인증까지도 한 번에 가능하다.
기존 OTP가 ID/PW 또는 생체인식 로그인 이후 2차 인증 용도로만 사용되는 반면, 카드 태깅형 모바일 OTP에 적용된 OTAC는 고유 사용자 식별이 가능하고 타 사용자와 코드 중복 가능성이 없어 곧바로 1회 인증만으로도 금융 서비스를 제한 없이 이용할 수 있다.
이러한 기술이 적용된 ‘OTAC mOTP’는 기존 OTP와는 달리 물리적인 보안 카드 없이 스마트폰 앱으로 일회용 비밀번호 생성이 가능하기 때문에 매우 강력한 본인 인증 시스템을 구축할 수 있다. 이러한 방식은 앞서 카카오뱅크도 도입한 것으로 전해진다.
카카오뱅크는 최근 '셀카 OTP(일회성 패스워드)' 서비스를 출시했다. 실물 OTP 없이도 간단한 셀카 촬영만으로 본인 인증이 가능해져, 보안성 강화는 물론 고객 편의 제고에도 도움이 될 것으로 기대된다.
카카오뱅크가 내놓은 셀카 OTP는 고객이 셀카 사진을 등록하면 신분증 사진과 비교해 본인임을 확인하는 방식으로 발급된다. 추후 OTP 이용 시에는 등록해 둔 셀카 사진과 실시간 셀카 사진을 비교해 본인 인증을 진행한다.
한편 OTAC 기반의 mOTP는 OTP를 생성하기 전에 사용자가 등록한 PIN, 생체 정보 등 인증 정보를 먼저 확인하고 해당 암호화 값을 OTP를 생성하는 연계 정보로 사용해 보안성을 강화한다.
또한 수취인 이름/계좌번호 및 송금액 등 금융 거래 정보와 연동된 OTP 생성 후 인증하는 기술로 메모리 해킹이나 중간자 공격(MITM)에 대해 보다 안전하게 대응할 수 있다는 것이 센슨톤측의 설명이다.
토스뱅크는 앞서 센스톤의 ‘카드 태깅형 모바일 OTP’를 도입한 바 있다. 이 서비스는 현금 인출 및 결제를 위한 토스뱅크의 체크카드에 연계되어 단순히 본인의 스마트폰 뒷면에 체크카드를 태깅하는 것만으로 고액 송금 서비스를 이용할 수 있다.
이로 인해 ‘2차 인증’만을 위한 별도의 OTP 카드를 발급받을 필요가 없고, 국내 금융기관에서 많이 사용하는 모바일 OTP와 달리 PIN 번호 입력도 필요 없다.
카드 태깅형 모바일 OTP에 적용된 센스톤의 OTAC(One-Time Authentication Code) 기술은 카드 태깅을 통해 생성된 다이내믹 코드를 스마트폰에서 서버로 전송하는 단방향 방식이기 때문에 아이폰에서도 적용할 수 있다는 설명이다.