스마트OTP 보안성 취약

금융결제원, 스마트OPT 수용 적합성 시험절차 강화

최근 은행권에 도입되고 있는 일회용 비밀번호 생성기 '스마트OTP'의 보안성이 취약하다는 지적에 따라 금융결제원의 스마트OPT 보안성 심사기준이 강화된다.  스마트OTP는 일회용 비밀번호 생성을 통해 기존보다 보안성이 높다고 빠르게 도입되고 있지만 일각에서 오류가 지적되고 있었다.

최근 새정치민주연합 김승남 의원에 따르면 농협, 국민은행, 신한은행, KEB하나은행, 산업은행, 부산은행에 공급된 A사의 스마트OTP의 경우 보안성이 취약하다고 한다. 김승남 의원은 A사 스마트OTP가 금융결제원의 칩 규격서를 전혀 따르지 않았다. 또한 알 수 없는 명령어가 발견돼 개발자를 통해 비밀번호가 유출될 유려가 있다고 지적했다.

이와 같이 A사 스마트OTP는 금융결제원의  규격서뿐만 아니라 스마트카드와 단말기, 시스템 간 통신을 위한 기본 명령어에 대한 국제표준인 ISO 7816-4도 무시하고 있다고 지적했다.

이에 따라 금융결제원은 스마트OTP의 수용 적합성 시험절차를 개선하여 핀테크 업체가 개발한 스마트OTP의 오류와 불필요한 명령어 유무 여부 등을 시험에 포함시킬 계획이다.() 2015-12-20

In My Opinion :  핀테크 산업의 발전에 따라 전자금융거래에 다양한 인증수단이 제안되고 있다. 카드형 스마트OTP는 보안성이 취약한 보안카드와 두껍고 항상 소지하고 다니는 불편한 토큰형 OTP를 대체하기 위해 등장했다. 이렇게 스마트OTP가 주목을 받으며 각 은행마다 서로 다른 핀테크 기술을 활용한 스마트OTP를 선보이고 있다.

2015년 6월 근거리 무선통신(NFC) 기술을 적용한 국민은행 스마트OTP 출시를 시작으로 각 은행이 도입을 서두르고 있다. 금융결제원도 스마트OTP 보급을 위해 기존 토큰형 OTP와 같이 스마트OTP를 모든 금융사에서 하나로 통합 사용할 수 있도록 개발하여 2016년 3월까지 보급한다는 계획이다.

그러나 스마트OTP는 기존 토큰형 OTP의 불편함과 번거로움을 크게 줄였지만, 편의성을 지나치게 강조하여 자칫 보안에 구멍이 뚫릴 수 있다는 지적이 있었다.  결국 그런 지적이 현실화되고 있는 것이 아닌지 우려된다. 취약한 보안을 보강하지 못하면 사업확 추진된 기술이 사장될 수도 있기 때문이다.

우선 스마트OTP의 보안상 취약점으로 OTP가 채택하고 있는 시간 동기화 방식에 따른 구조적 결함이 지적된다. OTP는 서버와 기기간 동기화된 시간 정보를 기준을 1분마다 다른 번호를 생성하는데 기존 토큰형 OTP는 시간 기능이 내장되어 이를 조작할 수 없었다. 그러나 스마트OPT는 모바일앱(App)을 통해 번호를 받는 식이라 스마트폰의 시간을 미래로 설정해 놓으면 해당 시간에 발생할 OTP 번호를 미리 받을 수 있다.

또한 모바일앱(App) 자체가 해킹될 경우 스마트OTP IC칩 보안과 별도로 실제로 OTP 번호를 보여줄 때 스마트폰에 악성코드가 설치되어 있거나 모바일앱(App)이 위변조 될 경우 OTP 번호 전달 과정에서 정보가 유출될 수 있다.

실제 스마트OTP는 기존 토큰식 OTP, 카드형 OTP가 사용되는 환경에서 반드시 도입이 필요할까! 사용 측면에서도 스마트폰에 카드형 스마트OTP를 갖다 대어 비밀번호를 생성하고 있어 기존 카드형 OTP보다 편의성에서 차이가 없다. 보안 측면에서 보안성이 취약한 보안카드를 대체한다고 하지만 스마트OTP는 기존 OTP보다 보안등급이 한 단계 낮다. ()