일회용 비밀번호 생성기 '스마트OTP', 믿어도 될까

최근 스마트폰에서 신용카드 모양과 비슷한 그림에 터치하면 일회용비밀번호가 형성되는 스마트OTP가 개발됐다. 금융거래의 새로운 보안수단으로 떠오른 스마트OTP. 뭐가 달라졌을까.
OTP(One Time Password device)는 1회용 비밀번호 생성장치를 뜻한다. 스마트OTP는 기존의 OTP와 달리 번호를 입력하는 대신 스마트폰에 직접회로(IC)를 접촉하면 일회용 비밀번호가 생성되는 서비스다. OTP번호가 자동으로 입력되기 때문에 전자금융사기에 번호가 유출되는 것을 사전에 예방할 수 있다.

스마트OTP를 사용하기 위해선 근거리무선통신(NFC) 기능이 지원되는 스마트폰을 사용해야 된다. NFC방식은 인증매체가 분리되기 때문에 보안공격을 당할 염려가 적어 안전한 거래를 할 수 있다. 현재 NFC의 기능은 안드로이드폰에서만 지원된다.


시중은행 중에선 KB국민은행이 최초 스마트OTP 서비스를 시행했다. KB국민은행 영업점에서 스마트OTP가 탑재된 ‘KB스마트원카드’를 발급받은 후 스마트폰뱅킹에서 이용할 수 있다. 스마트OTP 수수료는 3000원으로 기존 토큰형 OTP(5000원)보다 저렴하고 시범서비스 수량 3만개에 한해서는 무료로 제공된다.

◆금융결제원 스마트OTP 수용적합성 개선

스마트OTP는 일회용 비밀번호를 생성해 기존보다 보안이 높아 금융당국이 발 빠르게 상용화를 추진하고 있다. 금융결제원은 기존 OTP처럼 모든 금융사에서 스마트OTP를 사용할 수 있도록 오는 3월까지 전 금융사에 도입할 예정이다. KB국민은행을 시작으로 상반기에는 KEB하나은행, NH농협은행이 스마트OTP를 도입할 예정인 것으로 알려졌다.

아울러 스마트OTP의 수용적합성 시험절차도 개선한다. 금융결제원은 핀테크업체가 개발한 스마트OTP의 오류와 불필요한 명령어 유무여부 등을 시험에 포함할 계획이다.


현재 수용적합성 시험에서는 OTP통합인증센터 연동규격 등에 명시된 항목을 중심으로 인증시험을 진행하고 있다. 이 인증시험을 통과하지 못한 스마트OTP 기술은 시중에서 적용될 수 없다.

◆알 수 없는 명령어 발견…보안성 취약

고객들의 금융거래 편의성을 높인 스마트OTP는 기존 토큰형OTP의 불편함과 번거로움을 크게 줄였지만 자칫 보안에 구멍이 뚫릴 수 있다는 지적이 나온다. 김승남 새정치민주연합 의원은 지난해 12월15일 보도자료를 통해 스마트OTP 중 보안위험이 매우 높은 제품이 사용됐다고 주장했다.

김 의원이 지적한 스마트OTP는 금융결제원의 칩 규격서를 따르지 않았으며 알 수 없는 명령어가 발견돼 개발자를 통해 비밀번호가 유출될 우려가 있다. 해당 업체의 스마트OTP는 농협·국민·신한·KEB하나·산업·부산은행 등이 사용하는 것으로 드러났다.

김 의원은 “금융결제원이 추진하는 스마트OTP는 칩카드 규격서 v3.0이라는 규격서가 있지만 은행 간 연동과 OTP번호의 생성 유무에 관한 것들만 테스트하고 있다”며 “OTP통합인증 센터기반의 스마트OTP 연동규격서 v4.0에도 카드 프로그램에 대한 규격이 없는데 보안을 검증하는 절차가 반드시 필요하다”고 지적했다.

이에 대해 금융결제원 측은 “규격서를 폐지한 것은 핀테크기업 간에 기술 중립성을 지킬 수 없다고 판단했기 때문”이라며 “규격을 정하면 명령어 처분과 규격에 대해 하나의 기술만 인정돼 기술을 개발하는 핀테크기업에 투자가 쏠린다”고 반박했다.

스마트OTP의 편의성에 대한 지적도 꾸준히 나온다. 현재 금융사의 스마트OTP 활용은 기존 토큰식OTP, 카드형OTP가 사용되는 환경으로 스마트폰에 접속해 비밀번호를 생성하는 구조다.

금융권의 한 관계자는 “스마트OTP는 기존 카드형OTP를 스마트폰에 갖다대 번호를 생성하는 것으로 편의성이 높은지 의문”이라며 “보안 측면에선 오히려 카드형OTP보다 낮아 실질적인 상용화를 기대하기 어려워 보인다”고 말했다.