'카드 태깅형 OTAC' 결제부터 출입카드까지 인증 필요한 모든 곳에 사용
유출된 개인정보와 카드번호를 이용하는 무카드거래(CNP) 사기로 인한 피해가 급속도로 늘어나고 있다. 비대면·온라인 거래 급증으로 유출된 카드정보를 이용한 부정결제 피해가 우리나라에서도 자주 발생하고 있다. 이러한 문제 해결을 위해 강력한 본인인증이 필요한데, 보안을 위해 사용자를 불편하게 하면 고객에게 외면받기 때문에 편리하면서도 안전한 인증 방법을 찾아야 한다.
가장 보편적으로 생각할 수 있는 방법이 모바일OTP(mOTP)를 이용하는 것이다. mOTP는 스마트폰을 통해 일회용 비밀번호를 받기 때문에 편의성과 보안성이 높다고 인정받지만, 취약점이 없는 것은 아니다.
그 예로 싱가포르 은행 OCBC의 디지털 인증 철회를 들 수 있다. OCBC는 보안과 고객 편의성을 높이기 위해 하드웨어 OTP를 대체하는 디지털 인증 프로세스 전환을 2019년부터 진행해왔으나, 지난해 대규모 피싱 사건으로 최소 69명, 72억원의 피해를 입은 후 하드웨어 OTP 전면 종료 계획을 철회했다. 이 사고는 해커들이 피해자 휴대전화에 악성코드를 감염시켜 SMS로 전송되는 OTP 번호를 탈취하거나 발송된 OTP를 해킹된 해외 통신사로 우회시킨 것으로 보인다.
상시 소지하는 스마트폰·신용카드 이용한 강력한 인증
간편결제와 본인인증을 위해 사용하는 여러 인증 기술은 보안 문제를 갖고 있다. 소프트웨어 혹은 모바일 OTP는 해킹 당할 위험이 있고, 하드웨어 OTP는 기기를 소지해야 해 불편하다. 스마트폰에 인증을 위임하는 방식의 다중요소인증(MFA)도 안전하지 않다. 공격자는 스마트폰을 감염시킨 후 사용자가 스마트폰을 사용하는 동안 사용자도 모르게 생체인증을 진행하고 금융정보를 탈취하거나 부정결제를 한다.
완전한 디지털 인증에 한계가 있기 때문에 사용자 본인이 소유한 스마트카드를 스마트폰에 태깅하는 방법의 인증이 제안된 바 있다. 당시에는 NFC를 지원하지 않는 스마트폰이 많아 상용화되지 못했으며, NFC 통신 구간 스니핑으로 인증·결제 정보가 탈취될 수 있다는 우려와 감염된 스마트폰의 보안 문제를 해결하지 못한다는 한계가 있다.
센스톤은 일회용 인증코드(OTAC) 기술을 스마트카드 IC칩에 애플릿(Applet)으로 탑재하는 방식으로 이 문제를 해결했다. 사용자는 늘 소지하는 신용카드와 스마트폰을 태그하는 것 만으로 본인 확인과 이체·결제를 위한 인증이 가능하며, 1차 인증, 2차 및 다중인증으로도 사용할 수 있다.
사용자가 OTAC 애플릿이 탑재된 카드를 스마트폰에 태깅하면 카드의 OTAC 애플릿이 인증코드를 생성시켜 스마트폰의 뱅킹앱으로 전송하고, 뱅킹앱은 PIN 번호나 생체인증 등 스마트폰의 본인확인 수단을 통해 본인 확인 후 다른 OTAC를 생성해 금융기관에 전송하고 인증을 완료한다.
OTAC 애플릿은 복제 불가능한 IC칩의 고유값을 코드 생성 Seed로 사용하기 때문에 카드를 복제했을 때 다른 인증값이 생성되기 때문에 정상적인 인증을 받을 수 없다. 카드에서 발생시킨 인증코드를 바탕으로 스마트폰의 OTAC SDK에서 다시 인증코드가 생성되기 때문에 NFC 통신 구간 스니핑으로 인증정보를 탈취한다 해도 사용할 수 없다.
스마트카드 자체에서 인증코드를 발생시키며 다른 네트워크 연결이 필요 없기 때문에 인증정보 탈취 우려가 없으며, 중복되지 않은 일회용 숫자·문자 조합으로 인증코드가 생성되기 때문에 인증 정보의 재사용으로 인한 보안 문제도 해결할 수 있다.
OTAC 애플릿은 20KB에 불과해 리소스가 제한된 IC칩이나 초소형 IoT 기기에도 탑재할 수 있어 스마트카드 뿐 아니라 여러 웨어러블 디바이스에도 적용 가능하다. 안드로이드·iOS 등 스마트기기 OS나 기종에 상관없이 사용할 수 있다.
국내외 다양한 고객으로부터 인정 받아
센스톤의 카드 태깅형 OTAC는 국내 대표적인 핀테크 기업 토스뱅크에 적용돼 지난해 10월 고객에게 정식 서비스됐다. 토스뱅크는 쉽고 믿을 수 있는 금융 서비스를 위해 편의성과 보안성이 보장된 센스톤의 카드 태깅형 OTAC를 mOTP로 활용했다. 토스뱅크는 카드 태깅형 OTAC가 인증코드 생성 값을 카드와 스마트폰으로 분리해 안전하게 인증할 수 있다는 사실에 높은 점수를 주었다.
이 서비스는 올해 10월 국내 대형 인터넷 은행에서도 런칭할 예정이며, 대규모 금융권 성공사례에 주목하고 있는 여러 금융기관과 공공·민간 기업에서도 도입 문의가 이어지고 있다.
카드 태깅형 OTAC는 스마트카드와 스마트폰으로 결제와 인증뿐 아니라 고객확인(KYC), 사원증, 신분증, 출입카드 등 본인확인이 필요한 모든 곳에 사용될 수 있어 국내는 물론 해외 시장에서도 주목 받고 있다.
올해 초 스페인에서 열린 'MWC 2022'을 통해 글로벌 고객에게도 많은 관심을 받았으며, 싱가포르 '정보통신전시회(Communic Asia)', 미국 'RSA 컨퍼런스', 영국 '인포시큐리티(InfoSecurity)' 등 세계적인 IT·스타트업 전시회에 참가해 전 세계 글로벌 고객을 만난다.
6월 스페인에서 열리는 스타트업 박람회 '사우스 서밋(South Summit)'에서는 센스톤의 글로벌 헤드쿼터 스위치(swIDch)가 차세대 스타트업을 가리는 톱 100 스타트업에 선정돼 글로벌 투자자와 기업을 대상으로 기술의 차별성에 대해 발표하며, 데모 부스도 운영한다.
같은 달 프랑스 파리에서 열리는 스타트업 컨퍼런스 '비바텍(Vivatech)'에는 프랑스 통신사 오랑주의 '오랑주 Fab 아시아' 엑셀러레이터 프로그램 선정기업 자격으로 참가하며, 전시관 내 마련된 전용 부스에서 오랑쥬 관계자와 파트너사, 전시회 참가기업들을 대상으로 다양한 비즈니스 논의를 진행할 예정이다.
한편 센스톤의 OTAC는 토스뱅크 2차 인증, 육군본부 '밀리패스(MILIPASS)', 영국 '고령층 지문인식 결제카드', 인도네시아 조폐공사 전자수입인지 위·변조 검증 및 예방 등 우리나라와 세계 여러 국가 기관·기업에서 사용하고 있다.
