OTP도 디지털 혁신, ‘카드 태깅형 모바일OTP’ 가치는?
코로나19 이후 세상은 모든 것이 온라인으로 연결되는 디지털 시대를 맞았다. 오프라인에서의 활동이 제약되면서 기업들은 비대면서비스 강화에 나섰고 디지털 전환의 키워드를 온라인 세상에서 찾았다. 지난 2년여간 기업의 주요 IT투자는 온라인 채널 강화에 초점이 맞춰졌고 디지털 마케팅과 서비스 영역 등의 고도화가 이뤄졌다.
금융시장도 마찬가지다. 은행 등 점포의 운영시간 축소와 스마트폰 뱅킹 서비스의 확대와 맞물려 금융사 영업점을 방문하는 횟수도 점차 줄어들고 있는 추세다. 반대로 온라인, 비대면을 이용한 금융거래 이용수는 점차 증가하고 있다. 이와 더불어 증가하고 있는 것이 온라인, 비대면을 중심으로 한 고객 대응(C/S)과 본인확인 기술의 고도화다.
온라인에서 모든 것이 이뤄지고 있는 만큼 기존 대면을 통한 본인확인은 점차 여의치 않는 추세다. 문제는 온라인으로만 이뤄지는 비대면 인증이 서서히 약점도 노출하고 있다는 점이다. 예를 들어 인터넷은행의 비밀번호를 재발급할 경우가 생겼을 때 신분증 촬영과 화상인증 등의 단계를 거치는데 통신이 여의치 않거나 신분증이 훼손됐을 경우 본인을 증명할 방법이 사실상 없는 상황이다.
비대면 시대 다양한 본인확인 기술 확보 시급
결국 금융감독당국의 규제 완화가 선제적으로 필요한 문제이긴 하지만 본인확인에 대한 다양한 대안을 마련해야 하는 시점이기도 하다. 실제 금융권은 영업점 방문 없이도 사용자 인증에 대한 편의성을 확보해야 한다는 숙제를 해결해야 하는 상황이기도 하다.
현재 가장 일반적으로 사용되는 본인인증 수단은 OTP(One Time Password)다. 무작위 생성 알고리즘에 따라 매 시간마다 변경되는 추정 할 수 없는 비밀번호 생성을 이용하는 보안 시스템으로 그 안정성을 오랫동안 인정받고 있다.
이후 OTP는 모바일 시대에 맞춰 ‘모바일 OTP’로 진화했다. 최근 금융 거래시 주요 사용자 인증 수단으로 사용되고 있는 ‘모바일 OTP(One Time Password)’는 스마트폰에서 앱으로 이용하는 일회용 비밀번호 생성기다.
다만 모바일 OTP도 극복해야 할 문제는 있다. 현재 사용자인증 기술은 고정된 식별값으로 유출 및 노출에 취약하고 OTP 코드만으로는 사용자 인증이 불가능하다는 단점이 있었다. 또, 모바일OTP와 비슷하게 다이내믹 코드를 쓰는 토크나이제이션(Tokenization)은 사용자-서버간 양방향 통신에 의해서만 구동돼 비통신 환경에서의 사용이 어렵다는 점도 문제로 지적돼왔다. 이는 단방향으로 동적인 값을 전송해 사용자를 인증하는 기술이 없었기 때문이다.
때문에 사용자 편의성에 기반한 강력한 인증시스템 도입에 대한 요구가 커지고 있는 상황에서 센스톤이 선보인 OTAC(One-Time Authentication Code)는 양방향 통신이 필요한 토크나이제이션(Tokenization)이나, 2차 인증용으로만 사용되는 OTP와 달리 클라이언트 디바이스에서 자체 생성된 다이내믹 코드를 통해 사용자를 인증하는 기술로 차별점을 가져가고 있다.
한편 센스톤의 OTAC는 휴대폰 애플리케이션(앱)이나 카드, 또는 칩 형태로 제공된다. 사용 방식은 기존 인증 솔루션과 크게 다르지 않다. 특정 서비스에 로그인하고자 할 경우 아이디와 패스워드 입력칸 대신 OTAC 기술이 적용된 앱이나 카드를 통해 사용자 인증을 하면 된다. 지문입력 등이 함께 제공되기에 한번에 1, 2차 인증이 이뤄진다. 특히 앱 뿐만 아니라 카드나 칩 등 물리적 실체 기반으로 서비스 제공이 가능하다는 점은 글로벌 시장에서 주목하고 있는 점이기도 하다.
우리나라의 경우 삼성페이 등 스마트폰 기반 결제 시스템이 보편화되면서 실물 카드를 사용하는 빈도도 줄고 있는 상황이다. 카드형태로 발급되던 OTP 역시 모바일로 수렴되고 있다. 하지만 여전히 실물카드의 필요성에 대해선 글로벌 시장에서 동의하고 있다.
실제 글로벌 시장에서 주요 카드 플레이어들은 완벽한 보안을 위해 실물카드 등을 활용한 2채널 인증에 보다 전념하고 있는 분위기다. 이에 따라 단순히 난수번호가 나열돼 있던 플라스틱 카드에서 카드 자체에 액정과 칩이 포함되는 등 지능화, 현대화되고 있는 상황이다.
그런 점에서 최근 토스뱅크가 내놓은 OTP 기능이 탑재된 체크카드는 편리하면서도 강력한 보안을 동시에 지원한다는 점에서 시사하는 바가 크다.
최근 금융권에 적용되어가고 있는 센스톤의 ‘카드 태깅형 모바일OTP’는 기존 모바일OTP의 장점에 보안성과 편의성을 더한 진화된 모바일 OTP이다. 카드와 스마트폰 사이의 중간자공격(man in the middle attack, MITM)을 빠른 속도로 차단하면서, 보이스피싱 시도까지도 차단하는 효과가 있다. 2차 인증 수단으로만 활용이 국한된 OTP와 달리 아이디/패스워드를 대체하는 1차 인증 수단으로 쓰일 수 있다는 것이 특징이다.
센스톤의 ‘스위치 OTP’가 탑재된 이 체크카드는 휴대폰 뒷면에 태깅하는 것만으로도 OTP 코드를 실시간으로 생성한다.
스위치 OTP에는 센스톤의 원천기술인 OTAC(One-Time Authentication Code)가 적용됐다. 근거리무선통신(NFC) 기술을 활용해 사용자가 본인의 휴대폰 뒷면에 카드를 태깅하면 금융 서비스를 이용하는 과정에서 본인 인증은 물론, 고액 송금 및 이체를 위한 2차 인증까지도 한 번에 가능하다.
다양한 활용처 적용 등에 기대
이러한 카드 태깅형 모바일 OTP는 고액송금시 간편한 2차 인증 수단 확보와 모바일 OTP보다 보안성이 높은 솔루션이 필요하다는 요구에 따라 개발됐다.
일례로 싱가포르 2위 은행인 OCBC가 지난 1월 하드웨어 OTP를 디지털로 완전 전환하기로 했다가 보안사고 후 이 계획을 철폐하기도 했다. 2021년 12월 싱가포르 온라인 피싱으로는 역대 최대규모 사건으로 최소 469명이 약 72억원의 피해를 입는 사건이 발생했다. 당시 계좌이체시에 원래 SMS로 OTP를 받게 되어있는데, 해커들이 피해자들의 휴대폰에 심은 악성코드가 이 SMS OTP를 가로챘거나, SMS OTP를 해킹된 해외 통신사로 우회시켰을 가능성이 큰 것으로 알려진 상태다.
당시 OCBC은행은 하드웨어 OTP를 발행할 필요가 없고 SMS로 전송되는 일회성 비밀번호를 줄여 5년에 걸쳐 약 2500만 달러를 절약할 것으로 예상했지만 사고 이후 스마트폰 기반 모바일 디지털 환경의 위험성이 부각되어 하드웨어 OTP 서비스 종결에 대한 입장을 번복했다.
이러한 사고가 아니더라도 대부분의 시장조사 업체들도 글로벌에서 실물카드는 사라지지 않고 디지털 결제와 공존할 것이란 의견을 내놓고 있다. 실제 비자나 마스터카드는 컨택리스 결제를 위해 카드사들에게 카드 타입을 보다 발전한 ‘콤비카드’로 전환하는 것을 요구하기도 했다.
콤비카드는 중앙처리장치(CPU)를 내장한 스마트카드의 하나로, 접촉식 카드와 비접촉식 카드 기능을 통합해 하나의 카드에 서로 공유하는 메모리가 존재하는 스마트카드다. 하지만 금융사로선 단가 상승이 부담이다.
하지만 센스톤이 제안하는 IC 카드 내에 탑재가능한 ‘OTAC 애플릿(Applet)’카드를 적용할 경우 금융사는 카드 하나로 금융거래인증, 출입증/신분증 등 다른 용도로 확장 사용하는 것이 가능해진다. 결국 단가 상승의 부담을 ‘다기능’으로 대응하는 셈이 된다.
카드 애플릿(Card Applet)에서 동적으로 생성하는 1차 OTAC는 카드 내 고정 인증값 탈취에 의한 보안사고를 방지하고 1차 OTAC를 이용해 앱에서 생성되는 2차 OTAC는 통신이 안되는 카드에서 생성된 1차 OTAC를 이용해 해커에게 고유값 탈취를 방어하고 악성코드에 의해 스마트폰 원격제어로 고액송금까지 진행되는 사고도 방어할 수 있다.
국내 금융기관에서 많이 사용하는 모바일 OTP와 달리 핀(PIN) 번호 입력도 필요하지 않다. 기존 OTP가 ID/PW 또는 생체인식 로그인 이후 2차 인증 용도로만 사용되는 반면, 스위치 OTP에 적용된 OTAC는 고유 사용자 식별이 가능하고 타 사용자와 코드 중복 가능성이 없어 곧바로 1차 인증만으로도 금융 서비스를 제한 없이 이용할 수 있다는 것이 센스톤의 설명이다.
게다가 기존 스마트 OTP 사용이 불가능한 아이폰에서도 이용할 수 있도록 문제를 개선했다. 센스톤으로선 보다 다양한 고객을 위한 기술 다양성 및 보편성 확보에 성공한 셈이다. 그동안 스마트OTP 활용에 있어 어려움을 겪던 아이폰 이용자들도 더욱 안전하고 간편하게 인터넷 뱅킹 서비스를 이용할 수 있게 됐다.