초연결사회 그리고 보안의 중요성
인터넷이 탄생한 이후 테크놀로지의 거듭되는 진화를 통해 디지털 디바이스 역시 급속도로 발전했고 인류 역시 디지털 충만한 세상에서 살게 됐다. 삶의 편의를 주기 위한 다양한 모바일 애플리케이션이 존재하고 있고 우리는 각자 입맛에 맞는 서비스를 이용하고 있다. 앱스토어에는 셀 수 없을 정도로 수많은 애플리케이션이 있지만 결코 적지 않은 앱을 이용하는 것도 사실이다. 때문에 개인 정보 제공을 요구하는 사례도 이전보다 더욱 많아진 것을 제대로 실감하고 있다. 과거보다 간편해진 것도 사실이긴 하지만 내 정보가 어디로 어떻게 흘러들어 갔는지 알 수 없을 정도로 서비스의 범위라는 '한계'없이 무한하게 뻗어나가고 있다.
최근 코인이나 주식정보를 제공한다는 단톡방이 있다며 가입을 권유하는 문자를 자주 받기도 했다. 알려준 적도 없고 알려주고 싶지도 않은 내 정보가 어떻게 그들의 손까지 흘러가게 되었을까? 사실 개인정보에 대한 보안은 여전히 부족하고 또 부실하다. 그렇다고 각종 서비스별로 어렵고 복잡한 비밀번호에 2차 인증까지 이용하는 것도 한계가 있다. 개인별로 유니크한 생체 인증 정보로 이 복잡한 문제를 해결할 수 있다면?
아이폰의 경우, Face ID를 전면 도입했다. 필자 역시 아이폰5의 홈버튼을 활용하다가 아이폰X로 바꾸게 되면서 홈버튼의 습관을 내던져야 했다. 아이폰X의 생체 인증은 비밀번호를 굳이 넣지 않아도 가능했지만 몇 년이 지나자 나를 알아보지 못하는 전면 카메라 렌즈의 고장 때문에 지극히 아날로그적 방식인 6자리의 비밀번호를 활용해야 했다. 과연 이러한 생체 인증은 아무런 부담 없이 활용 가능할까?
금융거래를 활용할 때 통상 OTP라는 걸 쓰기도 한다. 여기서 말하는 OTP는 'One Time Password'라 쉽게 말하면 일회성 비밀번호를 이용한 사용자 인증 방식이다. 심지어 회사 업무 포털을 이용할 때에도 모바일OTP를 사용하는 사례도 있다. 금융거래의 경우는 매우 중요한 정보들이 오가기 때문에 N차 인증에 대한 필요성은 누가 뭐라고 하지 않아도 인지하고 있을 것이다. SMS로 받게 되는 인증번호나 OTP처럼 별도의 하드웨어를 들고 다니는 경우도 분실의 위험이나 해킹이라는 리스크를 안고 간다. SMS로 수신하는 OTP 역시 스마트폰 해킹 혹은 탈취를 통해 가능하다고 하니 안전하다고 말하기에 다소 무리가 있어 보인다. 그렇다면 이러한 방법은 어떨까? 사용자 본인 명의로 된 스마트폰과 결제카드를 태깅해서 모바일OTP를 받는 방식으로 안전성에 범용성까지 가져갈 수 있다면?
실제로 인증 보안 기업 센스톤에서 내놓은 카드 태깅형 모바일OTP가 그것이다. 앞서 언급했듯 스마트폰과 결제카드를 가까이 태깅하면 모바일OTP가 생성되니 애플리케이션을 통한 1회성 OTP번호보다 안전할 수 있다. 직장인 대다수가 하나쯤 들고 있을 법한 NFC 카드를 굳이 따지면 지하철, 버스에서 쓰는 교통카드부터 회사 출입증이나 이러한 기능을 탑재한 신분증이 있는데 '카드 태깅형 모바일OTP' 매체로 활용 가능하므로 '범용성'에 대해서는 두말할 필요가 없을 것 같다.
실제 적용된 기업의 사례를 확인해 보자. 대한민국의 3번째 인터넷 전문 은행 '토스뱅크'는 2019년 인터넷전문은행 진출을 선언한 바 있고 2021년 10월부터 영업을 시작했다. 어쨌든 금융거래가 일어나는 곳이라 당연히 보안에 집중하고 있다. 물론 편의성도 고려해야 했다. 그래서 토스뱅크가 도입한 것은 센스톤의 '스위치 OTP(switch-OTP)'다. 사용자의 스마트폰 뒷면에 토스뱅크 체크카드를 태깅하면 고액 송금 서비스도 이용할 수 있다.
앞에서 언급한 것처럼 별도의 OTP 카도도, PIN번호도 필요 없다. 이러한 스위치OTP에 적용된 기술을 두고 일회용 인증코드, 영문으로는 'One-Time Authentication Code'의 앞머리를 따서 OTAC라고 부른다. 카드 태깅을 통해서 생성된 코드를 스마트폰에서 서버로 전송하는 단방향 방식이라 해킹도 어렵고 해킹한다고 해도 고정된 값이 아닌 다이내믹하게 바뀌는 값이기 때문에 사용할 수도 없다. 쉽게 말하면 단 한 번만 사용할 수 있는 유니크한 값인 거이다. 현존하는 스마트 OTP 이상으로 보안 측면에서 굉장히 월등하다는 것도 충분히 이해가 되는 대목이다. 이처럼 OTAC는 고유 사용자 식별이 가능하고 다른 사용자들과 코드 중복 가능성이 제로이기 때문에 1회성 인증만으로도 금융 서비스를 아무런 제한 없이 이용할 수 있기 때문에 편의성도 잡았다.
이처럼 토스뱅크가 도입한 센스톤의 OTAC 테크놀로지가 성공사례로 알려지게 되니 다른 곳에서도 본인인증 수단으로써 활용하고자 적극 검토하는 케이스가 늘어나고 있다고 한다. 카카오뱅크는 토스뱅크와 함께 대한민국을 대표하는 인터넷전문은행인데 여기서는 셀카OTP 서비스를 출시하기도 했다. 실물 OTP 대신 셀카 사진 등록 후 신분증 사진과 비교하여 본인 인증을 시도하는 형태다.
이러한 상상도 가능하지 않을까? OTAC를 회사에 진입하는 순간부터 적용한다면? 요즘 많은 회사들이 입구에서 자신의 출입증을 태깅하여 들어가곤 한다. 사무실에 앉아 PC의 전원을 켜고 인트라넷에 들어가기 위해 다시 한번 사번 혹은 계정을 입력하고 OTP를 기입하는 사례도 있다. 결제할 때도 써야 하고 업무용으로 사용하는 다른 플랫폼 접근 시에도 필수적이라 불편해도 사용한다. 하지만 OTAC로 단 한번 인증하는 시스템이라면 출근부터 퇴근 시점까지 굉장히 편해지지 않을까?
OTP를 금융 거래에서만 활용하기도 했지만 이제는 폭넓게 사용하는 추세에 이르렀다. 그만큼 사람들은 생각보다 더욱 많은 서비스를 이용하고 있고 그에 따른 인증의 중요성도 인지하고 있지만 대수롭지 않게 여기는 경우들이 있다. 하지만 얼마나 견고한지 혹시 모를 빈틈은 없는지 보안성에 대해 다시 한번 생각할 필요가 있겠다. 모바일 시대를 넘어 5G 네트워크에 만물인터넷이 초연결 사회를 이루고 있는 현실 속에서 이러한 보안 테크놀로지는 수도 없이 되풀이해도 모자란 것 같다. 기술 발전은 새로운 형태의 사이버 공격과 공존하고 때로 진화한다. 그러니 이러한 인증 보안과 관련된 테크놀로지는 그보다 더 똑똑해야 살아남는 법이다.