대한민국 인터넷 서비스‘보안’비상,
이 기회에 보안 패러다임 전환하자
기술적 대책 중심 → 기술, 관리적, 법/제도적 대책 총체적 결합
활성화와 편의성 우선 → 위험성 고려한 성숙한 서비스 시행
1부. 인터넷 뱅킹 해킹 대책
2부. 인터넷 민원서류 위·변조 대책
3부. 전문가 시각
지난 5월 인터넷 뱅킹 해킹으로 발생된 최초의 현금 인출 사건에 이어, 지난 9월 국정감사 기간 한 국회의원에 의해 이뤄진 전자정부의 인터넷 민원서류 위·변조 시연을 계기로 전자정부를 비롯해 대법원, 국세청 등 각종 인터넷 민원서류와 토익시험, 대학 등 증명서 발급서비스가 줄줄이 중단되는 사태가 벌어졌다. 많은 국민들이 사용하는 금융 거래와 공공 분야 인터넷 민원서류 발급 서비스를 둘러싼 이들 파장은 인터넷 서비스가 국민 전반의 생활 편의성을 크게 높여준 반면, 그 이면에 항상 존재하고 있는 보안 위협이 사용하는 당사자에게 실제 피해를 일으킬 수 있다는 것을 보여주면서 큰 사회적인 충격을 안겨준 동시에 국가적인 보안 비상 경계령을 발동시켰다.
본지는 이 두 사건을 집중 점검해봄으로써, 서비스를 사용하는 우리들이 생각해봐야 할 보안 문제점과 시사점은 무엇이고 향후 인터넷 서비스의 보안 대책은 어떠한 방향으로 이뤄져야 하는지 살펴봤다. 이유지 기자 yjlee@infotech.co.kr
인터넷 뱅킹 해킹 대책
정부 ‘전자거래안전성 강화 대책’ 발표, 보안카드 개선 및 전담조직 구성이 골자
지난 6월 초 서울경찰청은 인터넷을 통해 다른 사람의 컴퓨터에 해킹프로그램을 설치, 인터넷뱅킹 계좌번호와 비밀번호 등을 알아낸 뒤 해당 계좌에서 5000만원을 인출한 이모(20)씨 등 2명에 대해 컴퓨터 등 사용 사기 혐의로 구속영장을 신청했다고 발표했다. 이 사건은 해킹 프로그램을 이용해 인터넷 뱅킹을 이용해 현금을 유출한 최초의 사건으로, 사용자들에게 인터넷 금융거래의 위험성을 실질적으로 느끼게 해주었다.
이 사건 이후 사고 은행을 비롯한 국내 6개 주요 은행들은 부랴부랴 해킹 툴로 인해 사용자 PC에서 입력하는 비밀번호가 새어나가지 않도록 하는 키보드 해킹방지 시스템을 도입해, 전자거래에서 의무적으로 다운로드 받아 사용할 수 있는 조치를 수행했다. 그리고 금융감독원과 정보통신부 등은 국민들이 안심하고 이용할 수 있는 전자거래 기반을 조성하기 위해 현재 수준의 인터넷 금융거래 취약점을 분석해 종합적인 안정성 강화 대책 마련에 착수했다.
사용자 PC에 해킹 프로그램 설치해 정보 빼내
이번 사건의 개요를 살펴보면, 범죄를 저지른 20대 이씨 등은 인터넷 카페에 글을 올리고 이 글을 보는 사람에게 자동으로 그 사람의 컴퓨터에 ‘넷데블’이라는 해킹 툴의 일종인 키로거 프로그램(키입력 기록기)을 자동으로 내려 받아 실행되도록 했다.
여기에 40대 김모씨가 걸려들었으며, 피해자 김씨가 인터넷 뱅킹을 사용할 때 키보드로 입력한 인터넷 뱅킹 아이디, 패스워드, 공인인증서 비밀번호, 보안카드 비밀번호 등이 모두 이씨의 컴퓨터로 전송되었다. 이씨는 김씨의 개인정보를 갖고 인터넷 뱅킹에 접속해 김씨의 계좌에서 돈을 빼내 다른 사람의 계좌에 이체하는 방법을 사용한 것이다.
인터넷 뱅킹을 이용해 돈을 송금하거나 계좌이체하기 위해서는 인터넷 뱅킹 아이디와 패스워드, 공인인증서 비밀번호, 보안카드 번호 등 3단계 이상의 관문을 거쳐야하는데, 이씨는 이러한 정보를 뱅킹 사용자 PC에 깔린 프로그램으로 모두 알아내었을 뿐만 아니라 피해자의 PC에 설치된 공인인증서를 폐기하고 새로 인증서를 발급받아 예금을 인출했다는 면에서 큰 충격을 안겨줬다.
인터넷 뱅킹 취약점과 보안 문제 갖가지
당시 인터넷 뱅킹 접속 시 은행에서 제공하는 해킹 방지 프로그램이 제대로 작동하거나 피해자의 PC에 백신 또는 방화벽 프로그램이 설치되어 있었다면, 사용자 PC에 깔린 해킹 프로그램을 감지해 삭제할 수 있었을 것이지만, 유감스럽게도 피해자의 컴퓨터는 무방비로 노출 상태에 있었다.
은행의 인터넷 뱅킹 사이트를 이용할 때 사용자는 은행에서 제공하는 해킹 방지 프로그램을 설치해야 하지만, 금융기관에 따라 이용자들이 불편하다는 점을 이유로 당시 보안 프로그램을 사용자 선택에 의해 설치하도록 하거나 실행을 종료해도 거래를 계속할 수 있으며, 새로운 해킹 프로그램을 막기에 어려운 점이 있었다. 따라서 사용자가 보안 의식과 지식이 없다면 금융거래에 사용되는 자신의 개인정보를 무방비로 노출시킬 수 있는 위험에 처하게 된다.
또한 인터넷 뱅킹 사용 시에 이용하는 보안카드의 3회 입력 오류 제한 기능은 재접속 시에 그대로 사용이 가능하거나 30~35개로 구성된 보안카드의 동일 번호를 재사용할 수 있는 빈도가 높아 1개의 번호라도 유출될 시에는 안전성이 떨어지는 결과를 가져오는 문제점이 있었다.
공인인증서 관리 프로그램과 발급 및 관리체계상의 취약점도 발견되었다.
개인이 인터넷 뱅킹을 사용하기 위해 공인인증서를 발급할 때에는 공인인증기관이나 해당 은행에 직접 방문해 신원 확인 절차를 거친 후 온라인상에서 다시 개인정보를 확인한 후 최종 발급하게 된다. 그러나 이번 사고에서 나타난 것처럼 개인 비밀정보가 유출이 되었을 시에는 다른 사람의 정보를 갖고도 그 사람 명의로 공인인증서를 온라인 재발급을 받을 수 있다.
뿐만 아니라 액티브X 컨트롤의 취약점을 이용해 악성 프로그램이 설치 사용자 PC에서 실행되거나, 악성 프로그램을 이용해 공인인증서를 복사한다든지, 취약점을 이용해 공인인증서 관리프로그램 상의 주민등록번호와 계좌번호, 비밀번호 등 개인정보를 빼낼 수 있다.
이러한 인터넷 뱅킹 서비스의 취약점 때문에 금융거래를 이용하는 사용자가 자산을 지키기 위해 보안 의식을 높여 위협에 대비할 수 있는 장치를 마련하는 것이 가장 중요하다.
하지만 서비스를 제공하는 당사자인 금융기관이 고객의 재산을 지키기 위한 보안 관리 노력이 부족했으며, 이를 감독하는 기관들의 체계적인 점검 미흡 등 책임이 간과된 부분이 있었던 것이 사실이다.
더욱이 이 사건 발생 직후에 사고 은행은 ‘은행의 명백한 과실이 드러나지 않을 경우 책임지지 않는다’는 현행 약관을 들어 피해자에 대한 배상을 거부한 바 있다.
결국 배상으로 방향을 선회하긴 했지만, 앞으로 이런 일이 발생할 경우 현행 제도 아래에서는 은행의 인터넷 뱅킹 시스템이 뚫려 고객의 현금이 유출되는 정도의 ‘명백한’ 은행의 과실이 없으면 손해배상 책임이 없다는 조항에 따라, 유사한 사고가 있을 경우 피해는 고스란히 해당 고객에게 전가된다.
이 때문에 현행 제도의 조속한 보완이 필요하다는 지적도 제기되었다. 재정경제부는 지난 1월 ‘고의나 중과실이 없는 금융사고의 경우 금융회사가 책임을 부담한다’는 내용을 포함한 ‘전자금융거래법’을 국회에 제출했지만 아직까지 처리되지 않고 있는 실정이다. 금융감독원은 이 사건 이후 ‘전자금융거래법’ 상에 고객의 책임을 입증할 수 있는 내용을 포함시키는데 힘쓸 방침이다.
금감원, 정통부 등 ‘전자거래 안전성 강화 종합대책’ 발표
이 사건을 계기로 은행 등 금융기관들과 금융감독원, 정보통신부, 산업자원부 등은 금융 부문 TF(태스크포스)를 구성하고 전자거래 해킹방지 대책 수립에 착수했다. 약 2달 간 전자거래시스템 안정성 분석과 해킹프로그램 분석, 공인인증서 관리체계 개선을 위한 작업을 마친 지난 9월 20일 ‘전자거래 안정성 강화 종합대책’이 발표되었다.
이번 대책을 마련한 금감원을 비롯해 정통부, 금감위, 산자부는 전자거래 사고 예방과 대응을 위해 각 기관별로 역할을 분담해 대책을 강구하는 한편, 서로 간의 협조체계도 구축할 방침이다. 여기에는 정통부 산하 한국정보보호진흥원(KISA)에서 운영하고 있는 정보수집 시스템(허니넷)을 확대 구축해 신종 해킹 프로그램의 자동 수집·분석체계를 강화, 정보를 금감원, 금융기관 등과 공유하는 내용도 포함되어 있다.
이 종합대책의 기본 방향은 해킹과 내부유출 등 한 경로를 통해 획득한 정보만으로 거래가 불가능하도록 하는 것과 기존에 은행에서만 주로 사용해온 공인인증서를 증권, 보험 등에까지 확대 적용하는 것, 증권사를 통해 정보를 습득해 은행의 계좌정보를 알아 사고를 발생시키는 금융권역 간 정보유출 사고 연계 방지, 보안 수준별 서비스 차등화를 통한 사고피해 최소화 및 보안수준 제고, 이용자에 대한 정보보호의식 제고 등이다.
금융권에 공통적으로 적용되는 세부적인 조치는 10가지로, ▲위·변조 신분증에 의한 금융거래 봉쇄 ▲금융권역 간 정보유출에 의한 사고 방지 ▲공인인증서 발급 및 보관, 재발급 체계 개선 ▲해킹방지 대책 강화 ▲일회용비밀번호 기능 강화 ▲전자금융 이용자 정보보호의식 제고 ▲비금융회사 전자금융 서비스 보안 강화 ▲금융부문 정보보호 전담조직 구축 ▲정보보호 예산, 조직 및 인력 확충 ▲신종 전자금융사기방지 대책 마련 등이다.
이 중 신종 전자금융사기방지 대책과 관련해서는 예방 및 신고방법 홍보와 관계기관 공동 대응체계 구축 외에 기술적인 대응책은 없는 실정이고, 현재 KISA에서 장기적인 대책을 강구하고 있다.
김인석 금융감독원 IT감독팀장은 “이번 대책은 전자금융거래상에서 현존하는 문제를 종합적으로 파악해 나온 대책으로, 서비스 제공자인 금융기관뿐 아니라 이용자에게도 책임과 의무를 부과해 마인드를 바꿀 수 있도록 하는 게 최종 목적”이라고 취지를 밝히고, “사용자의 서비스 이용 불편을 최소화하기 위해 충분히 고려했지만 일부 불편은 감수해야할 것”이라고 말했다.
OTP 시행 및 전담기구 설치 최대 관심사
이 종합대책 중 시장에서 가장 관심을 불러일으킨 것은 바로 일회용 비밀번호 기능 강화를 위한 보안카드 개선 및 OTP(One Time Password, 일회용 비밀번호) 발생기 도입, 금융부문 정보보호전담조직 구축, 정보보호 예산 및 조직 인력 확충에 관한 내용 등이다.
먼저, 현재 보안카드의 비밀번호 유효숫자는 30~35개로 한정되어 한 개의 비밀번호만 알아내어도 다른 비밀번호를 비교적 쉽게 유출할 수 있어, 앞으로는 입력방식을 분할해 유효 비밀번호 생성 개수를 1,190개로 확대한다.
또한 보안등급별로 거래 이용 수단을 차별화해, 1등급의 경우 거래 시에 최종적으로 OTP 발생기를 사용하는 것을 목표로 HSM(Hardware Security Module) 방식 공인인증서와 보안카드를 병행해 사용하도록 할 계획이다.
보안카드 2회 분할 입력방식은 올 말까지 전환할 계획이며, 통합인증센터를 구축해 내년 말부터 OTP 사용을 전면 시행하는 방침을 확정했다.
금융부문 정보보호 전담조직도 금년 말까지 예산 등 운영 방안을 검토해 내년 초 정식 설치한다는 목표다. 이 전담기구는 KISA와 국가사이버안전센터, 금융ISAC 등에서 제공되는 해킹 정보에 대한 적용 테스트, 금융 부문에서 요구되는 정보보호 제품 개발, 정보보호 적용 현황 상시 모니터링 등 전반적인 금융 정보보호와 관련된 기술 검토와 정책 마련 및 감시 역할을 수행할 것으로 보인다. 이 기구는 금감원이 사무국을 맡고 있는 금융정보보호협의회 안에 설치, 운영될 것으로 예상된다.
현재까지 OTP 관련 통합인증센터 설치와 전담기구에 대한 구체적인 계획은 나와 있지 않은 상태이며, 금감원은 오는 12월까지 초안을 검토해 내년 초 최종 확정할 예정이다.
이밖에도 금융기관의 정보보호 예산과 조직, 인력 확충 내용이 대책 안에 담겨 있는데, 주요 내용은 IT인력 대비 3~5% 이상 정보보호 인력 유지, 정보보호 조직 CIO 직속의 독립된 조직으로 개편, 정보보호 예산은 IT 전체의 3~5% 이상을 투자해야 한다는 것이다. 금감원은 이러한 내용을 금융기관에 권고해 현장 검사를 통해 점검을 할 방침이지만, 반드시 지켜야할 의무사항은 아니다.
종합대책 반응 대체로 ‘긍정적’, 그러나 “현실 적용이 문제”
이번 대책은 은행을 비롯해 증권, 보험, 카드, 온라인 상거래 등 전자 금융 및 거래 전반을 포괄해 처음으로 종합적으로 대책이 강구되고 수립되었다는 면에서 의미 있는 일로 평가되고 있다.
또 기술적인 대책에만 치우치거나 한두 가지 솔루션으로 임시방편적인 해킹 사고 대책을 수립하고자 한 것이 아니라 안전한 전자거래 근간을 확립하려는 취지로 법제도적, 기술적, 관리적 대책까지 폭넓게 제시되고 여러 단계에 걸쳐 조치를 강화해 적용하도록 만들었다는 점에서 관련 업계나 전문가들 사이에서도 대체로 긍정적인 반응이다.
하지만 서비스 시행 및 설계 단계에서 강구된 것이 아니라 사고가 터진 후 ‘봉합’ 차원에서 마련된 대책이라는 점에서 근본적인 한계를 갖고 있다는 지적이다.
무엇보다 장기적인 대책 하에서 단계적 접근계획이 수립되지 못했기 때문에 기본적인 세부 절차와 계획이 미흡하고, 적용 이후 예상되는 문제점에 대한 다각도의 분석과 이에 대한 대비책도 전무하다는 것이다. 따라서 ‘현실과의 괴리’로 ‘실행 가능성’이 떨어져, 결과적으로 ‘용두사미’가 될 수 있다는 것이 가장 크게 우려되고 있다.
보안관리체계를 바꾸거나 OTP 등 새로운 방식을 도입할 때 금융기관은 기존 시스템을 전반적으로 개비해야 하기 때문에 시간과 예산 확보 면에서 만만치 않은 작업이 될 것은 분명하다.
한 보안업체 사장은 “보안을 추가하거나 새로 적용하기 위해서는 은행 시스템 전체를 뒤엎어야 하는데, 이 때문에 미처 손을 대지 못한 채 미루는 경향도 있다”며, “기존의 경험을 토대로 봤을 때 사고 후 시간이 지나면 흐지부지 되는 경우도 많기 때문에 이를 경계해야 할 것”이라고 지적했다.
또한 어느 금융기관 실무자는 “금감원이 결정해야 하는 사안에 대한 세부 계획과 절차가 나오지 않은 상태에서는 혼선이 있는 것이 사실”이라며, “현재 수준에서는 결국 금융기관 스스로 판단해서 진행할 수밖에 없지만 미리 도입했다가 나중에 다시 작업을 해야 한다거나 하면 큰일이기 때문에 무턱대고 추진하기도 어려운 입장”이라고 토로했다.
특히 OTP의 경우, 통합인증센터 계획이 확정되기 전에 “필요하다고 판단되면 자율적으로 도입하거나 확대하라”는 방침은 중복투자를 일으킬 수 있다는 견해가 지배적이다. 서로 다른 OTP 솔루션을 도입한 후 통합하는 작업이 쉽지 않은데다, 기관별 고객서비스의 ‘차별성’이 부각되지 않으며, 그리고 하드웨어 OTP 생성기의 관리 문제 등이 고스란히 은행 부담이 될 수 있다는 우려를 사고 있는 것이다.
또한 2000만명 이상의 가입자를 보유한 인터넷 뱅킹에서 OTP 사용이 점차 대중화될 경우 통합 운영상에서 OTP 및 인증 시스템의 서비스 가용성과 해킹 등 발생 가능한 문제도 충분히 고려되지 못했다는 지적도 있다.
또 예산이나 전담인력 확충의 경우 기관 자율에 맡겨둘 경우 결국은 ‘문구상’의 대책으로 전락할 수 있다는 지적도 있으며, 공인인증 온라인 재발급 절차 등에서도 오프라인 대면상 확인 수준에 준한 방법으로 체계를 마련해야 한다는 의견도 있다.
보안 업계에서는 시장이 보다 확대된다는 면에서 환영하지만 제값을 받지 못하는 문제 등 금융권의 낮은 시장가 형성은 결국 악순환 구조가 될 수 있는 문제를 걱정하고 있다.
윤원석 인포섹 수석컨설턴트는 “인터넷 뱅킹은 국민들의 실생활과 밀접한 서비스로, 사회적 공익에 걸맞게 대책과 방안이 신중히 고려되어야 한다”며, “사회적 인식과 문화, 교육 등의 내용을 포괄해 금융기관의 업무처리 방식의 혁명을 불러일으킬 수 있는아키텍처상의 대책이 만들어져야 한다”고 강조했다. 비용이나 기간 등도 이러한 근본적인 정책 안에서 세부적으로 고려되어야 한다는 것이다.
하지만 금감원은 이번 대책을 적용하는데 금융기관들이 현실적인 어려움이 있더라도 정해진 기한인 내년 말까지 최대한 수용하도록 하겠다는 입장이다.
김인석 팀장은 “이번 대책은 기본적으로 금융권 실무자와 보안 전문기관 및 전문가들과 협의해 나온 것으로, 전자거래 안전성 강화를 위한 기본 틀과 방향을 제시한 것”이라며, “실무에서 적용하지 못한 부분은 지속적인 의견 수렴을 통해 보완하고, 다각도의 검토 과정을 거쳐 세부 계획을 세울 예정이다. 그러나 발표한 방향은 그대로 진행할 것”이라고 설명했다.
또한 “실행을 보장할 수 있도록 정책 및 기술적인 검토, 시행 검증 등을 담당하기 위해 전담기구 설치를 계획한 것”이라고 덧붙였다.
금감원은 은행 등 금융기관에 종합대책과 관련한 이행계획서를 지난달 말까지 제출하도록 요청했으며, 이를 토대로 구체적인 시행 일정 등 전체적인 점검을 진행하고 있다.
보안에 대한 관점과 접근 방식 전환 계기
한편, 전문가들은 이번 인터넷 뱅킹 사고와 뒤이어 발생한 인터넷 민원 발급 서비스 위·변조 논란 사태는 보안에 대한 접근방식의 전환을 가져오는 계기가 되었다고 분석하고 있다.
두 사건이 이전의 침해사고 유형과 다른 공통된 특징을 갖고 있다는 점 때문인데, 인터넷 뱅킹 사고에 사용된 방법이나 위·변조 가능 유형은 모두 서비스를 받는 개인 사용자의 PC를 이용하기 때문이다.
따라서 이제 서비스를 하는 시스템의 보안만을 철저히 하는 것이 아니라 이 서비스를 사용하는 개인들까지도 보호할 수 있도록 시각을 확대해야 하며, 서비스의 활용성이나 편의성 위주가 아닌 위험성을 충분히 고려한 성숙한 시스템과 서비스를 개발해야 한다고 지적한다.
신수정 인포섹 컨설팅본부장은 “이번 보안 사고는 과거와는 다른 특성으로 정보보안을 바라보는 전혀 새로운 관점을 제시한다”며, “기업, IT인프라, 운영환경에 대한 사후대응에서 각각 고객(사용자), 비즈니스 서비스 프로세스, 개발환경에 대한 사전대응 관점으로 보게 하고 있다”고 말했다.
고승철 한국정보보호산업협회 상근부회장은 “안정적인 서비스 제공에서 서비스 이용자의 안전으로 시각을 확대하는 계기가 되었다”며, 앞으로는 가용성뿐만 아니라 무결성과 기밀성을 보장하는 고수준의 정보보호 체계로 발전해야 한다”고 강조했다.
보안 업계 최대 이슈 ‘OTP’ 솔루션
인터넷 뱅킹 해킹으로 급부상, 금융권 의무 사용을 시작으로 시장 전방위 확산 기대
인터넷 뱅킹 해킹 사고 이후 일회용 비밀번호를 생성하는 OTP(One Time Password) 솔루션이 급부상하고 있다. OTP는 시스템에 접속할 때마다 새로운 비밀번호가 생성되어 해킹이나 사용자의 관리소홀 등으로 비밀번호가 노출되는 것을 방지할 수 있는 솔루션이다.
시스템에 접속할 때마다 새로운 비밀번호 생성
인터넷 뱅킹 초기부터 솔루션이 개발, 출시되어 일부 은행에 적용되기 시작했으나 인식 부족으로 수요가 많지 않아 시장이 확대되지 못했다. 최근 기업이나 기관 내·외부에서 웹을 통한 서비스가 확대되고 전자 금융 및 상거래가 활성화되면서 본인 인증 수단 강화에 대한 필요성이 높아져 해외 업체들이 국내에 진출해 사업을 시작하거나 기존 업체들이 보다 활발하게 움직이기 시작했다.
그러던 중 올 5월 인터넷 뱅킹 현금 인출 사건이 발생, 사고 원인 중 하나로 한정된 숫자의 보안카드의 비밀번호 입력 문제가 나타나면서 OTP 솔루션이 그 해결책으로 제시되며 급부상했다.
현재 시장에는 미래테크놀로지, 이니텍, 인터넷시큐리티 등 국내 업체들의 솔루션과 시큐어컴퓨팅, RSA 시큐리티, 알라딘 등 해외 업체의 솔루션이 있으며, 최근 새로운 개념의 OTPr(One Time Passroute) 방식의 그래픽 OTP 솔루션도 등장했다. 이 솔루션은 솔메이즈가 개발한 제품. 현재 시큐어컴퓨팅의 OTP 솔루션은 퓨쳐시스템에서 국내 총판을 맡고 있으며, RSA 시큐리티 제품은 모다정보통신과 싸이클롭스에서 공급하고 있다. 알라딘의 솔루션은 지난 9월 말 국내 총판계약을 맺은 위노블에서 제공한다.
OTP 솔루션 공급업체들은 올 초부터 금융 및 기업 시장을 대상으로 활발한 영업을 벌여왔으며, 사고 발생 이후 업체들마다 금융시장을 대상으로 집중 공세를 펼치고 있는 상황이다. 이는 지난 9월 발표된 전자거래 안전성 강화 종합대책에 은행 등 금융권의 OTP 채택이 의무화되었기 때문. 업계에서는 금융권의 본격적인 도입으로 1~2년 내 이 분야에서만 1000억원의 시장이 형성될 것이라는 전망도 흘러나오고 있다.
이들 업체는 또한 OTP에 대한 필요성과 인식이 높아지고 금융기관의 기업 및 개인 고객의 실제 사용이 확대되면서 앞으로 이 시장뿐 아니라 기업 등 전반적인 시장으로 수요가 폭넓게 확산될 것으로 기대하고 있다. 이에 따라 금융시장은 선점 여부에 따라 전체 시장을 대상으로 한 향후 사업 성패를 좌우하는 무대로 인식되고 있다.
현재 OTP 솔루션 7종 국내 출시
하지만 기업 고객들뿐만 아니라 개인 고객들이 직접 비용을 지불해 구매를 해야 한다는 면에서 현재까지 금융권에서도 어느 정도로 확대될 지 미지수다. 최근 이뤄지고 있는 은행의 초기 도입 물량은 은행 규모와 인터넷 뱅킹 사용자 수에 따라 차이는 있지만 1만 5천~2만명의 사용자를 기준으로 책정, 수천개씩 단계별로 도입하는 방향으로 진행하고 있는 상황이며, 대부분 향후 1~2년 내 10만을 훌쩍 넘는 카피/개수 소진이 예상되고 있다.
현재 OTP 솔루션에는 소프트웨어와 하드웨어 방식이 있으며, 이 구분에 따라 PC 내에서 서비스 접속 시마다 새로운 비밀번호를 생성하거나 USB를 비롯한 전용 하드웨어 토큰에서 비밀번호를 생성한다.
최근에는 휴대폰에 솔루션을 탑재해 휴대폰을 비밀번호 생성기로 이용하거나 휴대폰 SMS로 비밀번호를 보내주는 제품도 나왔다.
또한 토큰과 서버 간 토큰값을 처리하는 기술, 쉽게 말해 비밀번호 생성 방식에 따라서는 토큰과 서버 간 질의/응답 방식을 사용하는 ▲챌린지/응답(Challenge/ Response) 방식과, 동시간 대의 토큰과 서버에서 발생한 값을 매칭해 일정 시간마다 새로운 비밀번호를 생성하는 ▲타임 싱크(Time Sync) 방식, 버튼을 눌러 사용할 때마다 서버 안의 일정 범위 값 내의 비밀번호를 생성하는 ▲이벤트 싱크(Event Sync) 방식으로 나뉜다. 최근에는 챌린지/응답 방식은 거의 사용되지 않는 추세이며, RSA가 구현한 타임 싱크 방식과 함께 이벤트 싱크 방식이 주로 사용되고 있다. 또한 이 두 기술 방식을 결합한 제품도 나오고 있다.
금감원에서 현재 금융 OTP 솔루션 도입 기준으로 보안성을 높이기 위해 비밀번호가 생성되는 과정에서 사용자 PC와 분리된 매체를 이용하는 것을 잠정 확정해, 금융권에서 하드웨어와 모바일 지원 소프트웨어 방식의 제품이 유리할 것으로 예상된다. 하지만 은행 등 금융기관에서는 개인 사용자들까지 사용 범위가 확대될 경우, 하드웨어 제품의 분실이나 도난, 고장 등으로 인한 대응에 따른 부담을 느끼고 있는 상황이고 도입 및 운영비용도 도입 변수로 작용될 것이기 때문에 어떠한 방식의 솔루션이 주류가 될지는 좀 더 추이를 지켜봐야 할 것으로 보인다.
관련 업계에서는 통합인증센터 구축으로 사실상 금융 OTP 기준이 되는 기술 방식에 준한 솔루션이 채택될 것이고, 연동 작업을 하게 되더라도 최대 2~3개가 금융 시장을 장악하게 될 것으로 예상, 현재 금융기관을 대상으로 적극적으로 제품 소개와 차별성 알리기에 나서고 있다.
국내 주요 OTP 솔루션 및 공급업체 현황
솔메이즈 ‘미로’
그래픽 방식으로 기존 OTP 솔루션과 차별화
솔메이즈의 ‘미로’는 기존 OTP 솔루션과는 차별화된 소프트웨어 방식의 그래픽 OTP 솔루션으로, 여러 이미지가 조합된 그림판에서 한번 기억해놓은 문장에 해당하는 3~4개 이미지를 화살표 키를 사용해 이동, 선택하는 원 타임 패스루트(One Time Passroute) 방식을 사용한다.
사용자가 상/하/좌/우로 움직이는 화살표 순서에 따라 선택된 이미지 위치 값이 숫자로 입력되므로 매번 새로운 비밀번호가 생성, 입력되는 효과를 나타낸다. 매번 순서가 바뀌는 이미지 그림판에서 패스 이미지를 키보드의 화살표 키로 움직여 선택하기 때문에 비밀번호를 입력할 시 누군가 옆에서 보고 있어도 유출될 우려가 없다는 장점이 있다. 또한 하드웨어 구입비용이 필요 없고 운영 및 사용 비용도 저렴하며, 도난이나 분실에서도 자유롭다. 입력하는 사용자 IP를 추적해 ‘미로’ 입력 창에 보여줄 뿐만 아니라 패스 이미지 입력 실패 시 사용자에게 메일로 접속 시도 현황을 통보해주는 기능도 제공한다.
솔메이즈는 SK C&C와 함께 이 솔루션을 SK그룹 내부 시스템 인증과 네이트닷컴과 싸이월드, SK텔레콤의 네이트 서비스에서 동시에 사용할 수 있는 통합 인증센터를 구축하고 있으며, 인증센터 구축이 마무리되는 시점인 11월 중 SK C&C와 정식으로 파트너 계약을 맺는 제휴식을 갖기로 했다.
솔메이즈는 새로운 개념의 OTP 솔루션으로 금융권을 비롯해 기업 시장에 ‘미로’의 우수한 보안성과 편의성, 비용효율성 등 장점을 적극적으로 알릴 예정이다.
시큐어컴퓨팅 ‘세이프워드’ - 국내 공급사 : 퓨쳐시스템
3가지 HW 토큰 방식과 SW 토큰 모두 보유해 선택폭 넓어
시큐어컴퓨팅의 ‘세이프워드’는 토큰의 버튼을 누를 때마다 서버에 있는 보안 키 값과 매칭해 비밀번호가 자동 생성되는 이벤트 싱크 방식으로 개발된 제품으로, 원 버튼 지원과 핀패드 동시 지원, 건전지 교체 여부 등 기능과 모양이 서로 다른 3가지 하드웨어 토큰 방식과 소프트웨어 토큰을 모두 보유하고 있어 고객 선택 폭이 넓은 장점을 갖고 있다.
또한 토큰별(사용자별)로 차별화된 권한을 설정할 수 있고 다양한 구성 방식을 제공하며, 배터리 교환이 가능한 토큰도 지원하고 있어 비용 효율성을 제공한다.
3A(Authentication, Authorization, Administration) 기능을 수행하는 통합 인증 솔루션뿐만 아니라 VPN 장비 2차 인증용이나 시스코, 노텔 등 네트웍 및 보안 장비 전용 인증 솔루션의 모델도 제공하고 있다.
현재 시티뱅크에서 전세계적으로 1백만개 이상의 ‘세이프워드’ 토큰이 사용되고 있으며, 국내에도 10여개 레퍼런스를 갖고 있다.
시큐어컴퓨팅은 지난 4월 퓨쳐시스템과 OTP 솔루션 총판 계약을 맺고 현재 금융권을 중심으로 OTP 시장을 적극 공략하고 있다. 퓨쳐시스템은 현재 금융권 영업에 집중하는 동시에 공공 및 국내 외국기업 등을 대상으로 다양한 마케팅을 펼치고 있으며, 자체 VPN 및 SSL VPN의 2차 인증 솔루션으로도 채택해 VPN 사업과의 OTP 공급 시너지를 창출하고 있다. 올해 우리신용정보 등에 ‘세이프워드’를 설치했다.
RSA 시큐리티 한국지사 ‘시큐어ID’ -
국내 공급사:모다정보통신, 싸이클롭스
다양한 OTP 연동 모듈 보유해 개발기간 단축 이점 제공
RSA의 ‘시큐어ID’는 60초마다 일회용 패스워드를 발생시키는 타임 싱크 방식으로 구현된 OTP 인증 솔루션으로, 현재 포춘 500대 기업의 70%를 비롯해 전세계 1500만명의 폭넓은 사용자를 보유하고 있다. 이 솔루션은 USB 방식과 전용 하드웨어, 모바일 방식을 모두 지원할 수 있으며, 다양한 OTP 연동 모듈을 보유하고 있어 연동 개발 및 구축기간을 현저히 단축시킬 수 있다는 장점을 제공한다.
국내에서는 모다정보통신과 싸이클롭스가 RSA 제품을 꾸준히 공급해왔으며, 국내 인증 시장 분위기로 몇 년 전 철수했던 RSA의 한국 지사가 지난 7월에 다시 정식 설립되었다. 모다정보통신은 지난 5월과 7월 신한은행과 증권예탁결제원에 각각 제품을 공급했으며, 지난달에는 싸이클롭스가 기업은행과 제품 공급 계약을 체결했다. 싸이클롭스는 지난 1월 KT와 손잡고 휴대전화를 이용한 기업용 모바일 OTP 서비스인 ‘비즈메카 엠시큐아이디’를 개발하기도 했다.
RSA 한국지사는 그동안의 레퍼런스 사이트를 바탕으로 OTP 도입을 추진 중인 은행을 비롯한 금융권 영업에 박차를 가할 방침이며, 외국계 기업과 대기업을 위주로 기업 시장도 활발히 공략할 방침이다.
또 솔루션 파트너와 액세스 파트너로 구분된 전세계 RSA의 파트너 정책을 국내에 적용, 올 말까지 채널을 확대, 정비하는 작업을 진행할 방침이다. 그리고 전세계적으로 진행하고 있는 F5 네트웍스, 주니퍼 네트웍스, 시트릭스 등의 장비에 탑재되어 공급되는 RSA의 인증 솔루션 제공 방식을 국내에서 보다 확대하기 위한 공동 프로모션을 준비하고 있다.
알라딘 ‘e토큰’- 국내 공급사 : 위노블
하나의 솔루션으로 OTP 생성ㆍ관리와 인증 모두 수행
위노블은 지난 9월 말 이스라엘 보안업체 알라딘과 총판계약을 맺고, 국내에 OTP 솔루션인 ‘e토큰’과 통합 컨텐츠 보안 솔루션인 ‘e세이프’ 공급 사업을 시작했다.
알라딘의 ‘e토큰’은 스마트카드 기술을 기반으로 USB 방식의 HSM(Hardware Security Module) 보안 제품으로, 하나의 솔루션으로 OTP 생성/관리와 인증을 모두 수행할 수 있는 것이 가장 큰 특징이다.
패스워드, 전자인증서 등의 개인정보를 휴대가 용이한 별개 소형 USB 키에 저장, 보관하여 사용할 때마다 전자서명 및 암호화를 수행하기 때문에, 최근 발표된 전자거래 안전성 강화 대책에서 명시한 HSM 공인인증서 저장 방식과 OTP 사용 기준을 모두 충족한다. USB 방식으로 구현되어 있어 자체 충전을 수행해 약 8000번의 OTP를 생성하는 반영구적인 사용이 가능하며, 각각의 인증과 비밀번호 관리 기능만을 제공하는 모델로도 지원한다.
또한 별도의 키관리 솔루션인 TMS(Token Management Solution)와 소프트웨어 개발 킷(SDK)을 제공해 개인 키의 분실 및 도난 관리와 보안 애플리케이션 개발 및 커스터마이징을 쉽게 할 수 있다.
지난달 이미 50개 파트너사 사용 용도로 환영철강과 ‘e토큰’ 공급 계약을 맺고 시스템 구축에 들어감으로서 공식 진출 한달 만에 레퍼런스 사이트를 확보했다.
위노블은 현재 PKI 및 보안, NI, SI, 기업용 애플리케이션 공급사 등 다양한 사업 분야의 업체를 포괄해 총 5개 정도의 총판 업체를 물색 중에 있다.
올해에는 우선적으로 은행을 비롯해 증권, 보험사 등 금융권을 대상으로 활발한 영업을 진행할 방침이며 레퍼런스 확보에 만전을 기할 예정이다.
이니텍 ‘이니세이프 모바일 OTP’
휴대전화에서 동작하는 소프트웨어 솔루션
이니텍의 ‘이니세이프 모바일 OTP’는 휴대전화에서 동작하는 소프트웨어 솔루션으로, 타임싱크와 이벤트 방식을 결합해 개발되어 비밀번호 입력 에러나 해킹 위협, 하드웨어 교체 등 두 방식이 갖고 있는 단점을 보완한 것이 가장 큰 특징이다. SMS 방식과 보안카드를 병행 지원하며, 핸드폰에서 동작하기 때문에 전용 하드웨어 토큰 방식에 비해 휴대가 편리하고 소프트웨어 토큰 방식으로 구현되어 운영비용이 절감되는 장점이 있다.
또 다양한 서버 플랫폼과 휴대폰 단말기(SK-VM, 브루(BREW) 지원)를 지원해 구축이 용이하다.
이니텍은 OTP의 최대 수요처로 예상되는 금융권을 대상으로 적극적인 영업을 펼칠 예정이며, 특허등록된 자체 기술로 개발한 소프트웨어 방식의 솔루션이 가진 기술·경제적 장점들을 적극 홍보할 계획이다.
현재 이 솔루션 및 서비스를 담당하는 전담팀을 운영하고 있다.