금융거래를 할 때 OTP 기기를 사용하는 사람은 그리 많지 않으며, 많은 경우 금융사 모바일 앱의 모바일 OTP나 스마트폰의 생체인증이나 PIN번호 인증을 사용한다. 모바일 OTP와 스마트폰의 본인인증 기능을 이용하면 하드웨어 OTP나 별도의 인증서를 갖고 다지니 않아도 돼 거래가 한층 편리해지기 때문이다.
그런데 모바일 OTP나 스마트폰의 인증 기능이 얼마나 믿을 수 있을지 걱정하는 사람도 많다. 스마트폰이 해킹 당해 모바일 OTP 정보를 위조하거나 모바일 OTP의 비밀번호를 무단으로 탈취할 수 있기 때문이다.
송금·결제 시 사용하는 모바일 OTP, 해킹으로부터 안전하지 않다
안전하고 편리한 금융거래 가능한 센스톤 '카드 태깅형 모바일 OTP'
실제로 싱가포르 은행 OCBC에서 싱가포르 역사상 최대 규모의 전자금융 사기 사고가 발생했다. OCBC는 고객이 계좌이체 시 SMS로 OTP르 받도록 했는데, 공격자가 SMS를 탈취해 470여 명으로부터 850만 싱가포르 달러를 탈취했다. 공격자가 피해자 스마트폰을 해킹해 SMS를 탈취했거나 해킹된 해외 통신사로 우회시켰을 것으로 보인다.
우리나라에서는 SIM 스와핑 사고자 발생하면서 스마트폰에만 의존하는 인증에 경종이 울렸다. 해커는 스마프톤을 해킹해 USIM을 복제하거나 탈취한 개인정보를 이용해 SIM 카드를 발급받아 새로운 스마트폰을 개설하고 개인 금융자산을 훔쳤다.
앱카드 보편화되어도 실물카드 계속 사용
스마트폰만을 이용하는 인증 방식을 보완하면서 더 안전하고 편리한 방법으로 ‘카드 태깅형 모바일 OTP’가 있다. NFC 기능이 있는 스마트폰과 카드를 가까이 대기만 하면 모바일 OTP가 생성된다. 사용자가 늘 소지하는 스마트폰과 결제카드를 이용하기 때문에 별도의 하드웨어 OTP나 인증서를 갖고 다니지 않아도 돼 편리하다.
사용자 본인 명의의 스마트폰과 결제카드를 가까이 대야 모바일 OTP가 생성되기 때문에, 모바일 앱에서 일회용 비밀번호를 발생시키는 방법보다 안전하다. 결제카드는 NFC 기능이 있어야 하는데, 교통카드 기능이 있는 모든 카드에 NFC 기능이 있으므로 범용성은 충분하다. 출입증으로 사용하는 카드 역시 NFC 기능이 있으므로 결제카드가 아니어도 카드 태깅형 모바일 OTP를 위한 매체로 사용 가능하다.
만일 하나의 카드로 결제, 교통카드, 신분증, 출입증, 모바일OTP를 사용할 수 있다면 사용 편의성이 매우 높을 것이다. 현재 사람들은 평균 3.5개의 카드를 소지하고 있으며, 이를 스마트폰 하나로 통합시키기를 원한다. 그러나 통신이 원활하지 않은 환경이나 스마트폰 분실 혹은 배터리가 없을 때, 해킹 당했을 때 등 사용에 제약이 있는 경우를 고려해 실물 카드를 버리지 못한다.
카드사에서 여러 기능이 통합된 결제카드를 출시한다면, 여러 서비스 사업자와 다양한 결합 상품을 출시할 수 있으며, 더 많은 고객을 확보할 수 있다. 여러 기능을 통합하기 위해 IC칩을 개선하는 등 카드 제조 단가 상승이 우려된다. 그러나 다양한 부가 서비스를 통해 더 많은 고객과 수익을 창출할 수 있다면 제조단가 상승 부담은 충분히 상쇄될 수 있다.
사용자 결제카드·스마트폰 고유값 Seed로 활용해 일회용 인증코드 생성
카드 태깅형 모바일 OTP의 장점이 있지만, 아직 해결하지 못한 단점이 있다. 스마트폰을 해킹한 공격자가 결제카드 태깅 시 생성되는 OTP를 훔칠 수 있다는 점이다.
센스톤의 경우, 일회용 인증코드(OTAC) 알고리즘을 결제카드와 스마트폰 앱에 적용해 2단계 OTAC를 발생시키는 방법으로 보안 문제를 해결한다. OTAC는 기기 자체에서 중복되지 않는 문자·숫자 조합의 일회용 인증코드를 생성시키는 기술로, 네트워크가 단절된 환경에서도 일회용 인증 코드를 생성시킬 수 있으며, 이 코드는 단 한번만 사용 가능해 공격자가 탈취해도 재사용할 수 없다.
센스톤은 IC칩에 애플릿 형태로 OTAC 알고리즘을 적용한다. IC칩 고유값을 Seed로 삼아 OTAC를 생성시킨다. 스마트폰 앱에 OTAC를 SDK로 적용하며, 결제카드 태깅 시 생성되는 OTAC와 스마트폰 앱의 고유 값을 Seed로 활용한 OTAC를 다시 생성시킨다. 공격자가 결제카드와 스마트폰을 위조한다 해도 Seed 값이 다르기 때문에 인증코드가 달라져 인증이 정상적으로 완료되지 못한다.
센스톤의 ‘카드 태깅형 모바일 OTP’는 이미 토스뱅크에 적용돼 많은 사용자들이 편리하게 이용하고 있다. 토스뱅크는 쉽고 믿을 수 있는 금융 서비스를 위해 편의성과 보안성이 보장된 센스톤의 ‘카드 태깅형 모바일 OTP’를 선택했으며, 고객들이 거액을 송금한다 해도 편리하고 안전하게 거래를 할 수 있도록 한다.
토스뱅크 성공사례가 알려지면서 국내 대규모 금융기관에서도 ‘카드 태깅형 모바일 OTP’ 도입을 구체화하고 있으며, 가상자산 탈취를 방어할 수 있는 강력하고 간편한 본인인증 수단으로 주목하고 있다. 또한 국내 여러 공공·금융 및 일반 기업과 해외에서도 안전하고 편리한 인증 수단으로 적극 검토하고 있다.