6월, OTP 통합인증센터 구축 완료... 7월 본격 서비스
올해 OTP 사용자 300만으로 증가... 차후 모든 이용자에 적용

지난 2005년 9월, 금융보안전담기구와 OTP 통합인증센터 설립 등을 골자로하는 ‘전자금융거래 안정성강화 종합대책’이 발표됐다. 그 이후, 지난해 12월 금융부문 해킹대응 등을 전담할 ‘금융보안연구원’(원장 정성순)이 개원을 했고, 올해 초부터 연구원내 인증관리팀을 중심으로 OTP 통합인증센터 구축이 본격 진행되고 있다.
 

<OTP 통합인증센터 구축을 총괄하고 있는 금융보안연구원 인증관리팀 강우진 팀장.> ⓒ보안뉴스


금융보안연구원 강우진 인증관리팀장은 “2월말까지 센터 구축 SI 업체와 센터에 참여할 OTP 업체들이 최종 결정될 것이다. 센터 구축이 완료되는 시점은 6월 전으로 보고 있고, 6월 이후부터 시험서비스가 실시되고 정식으로는 7월부터 센터의 본격적인 활동이 시작될 전망”이라고 밝혔다.

◇ OTP 통합인증센터가 왜 필요한가
OTP 통합인증센터가 필요한 이유에 대해 강 팀장은 “현재 국내에 사용되고 있는 국산이든 외산이든 OTP 단말기의 보안성 검토가 필요하다. 실제로 이들 제품들이 금융권에 사용됐을 때, 안전한지에 대해 검증이 필요하다. 센터가 이 업무를 담당하고 있다"고 말했다. 

또 하나는 사용자 편의성이다. 만약 센터가 없다면 각 은행별로 개별 시스템의 OTP를 사용해야 때문에 서로 연동이 되지 않아, 일반 은행 고객들은 은행별로 각각의 OTP를 구입해 사용해야 하는 번거로움이 발생한다. 이를 해소하기 위해, 센터에서 통합인증서비스를 실시하려고 하는 것이고 이를 통해 하나의 OTP만으로도 여러 금융권을 통합해서 사용할 수 있게 된다.

비용도 절감된다. 통합인증센터가 없다면, 금융권은 각각 개별적으로 많은 돈을 들여 OTP 인증시스템을 구축해야 한다. 각 금융사별로 개별 구축을 하게 되면 국가적인 낭비가 될 수 있다.

센터가 있으면 공동대응도 용이하다. 센터 구축시 각종 보안기능을 강화하고 금융보안연구원의 대응으로 개별은행에서 각각 대응하는 것보다 훨씬 신속하고 정확하게 대처할 수 있다는 장점도 있다.

◇ 센터 구성은 어떻게 되나
2월말까지 SI업체가 선정된다. 현재 20여개 SI 업체가 이 사업을 수주하기 위해 뛰어들었다고 한다. SI 비용은 고작(?) 30억원 규모로 SI업체에서 봤을 때는 그리 큰 규모의 사업은 아니다. 하지만 센터 구축의 의미와 앞으로 OTP의 확장성을 고려해볼 때 장기적인 대규모 사업이라고 볼 수 있다.

통합인증센터 구축을 총괄책임지고 있는 강우진 팀장은 “앞으로 OTP는 대부분 금융권 이용자들에게 모두 적용될 전망이다. 금감원은 지금 사용하고 있는 보안카드를 향후 OTP로 모두 교체할 생각을 가지고 있다”고 말했다. 그만큼 OTP의 확장성은 더욱 커질 전망이다.

센터 회원사로는 총 55개 기관이 참여했다. 은행이 19개사, 증권이 30개사, 기타 4개 기관 그리고 행자부 소속의 새마을금고와 정통부 소속의 우체국 등이 비회원으로 참여하고 있다.

또 OTP 업체는 연구원 측에서는 5~8개 업체가 센터에 입주한다고 하지만, 업계에서는 대략 7개 업체로 압축되고 있다고 전했다.

◇OTP 업체와 센터간의 계약은
금보연 관계자 말에 따르면 OTP업체가 센터와 계약을 위해서는 우선 금융기관과 OTP 업체간 가계약이 이루어져야 한다. 금융기관에서 하나 혹은 몇 개의 후보 업체를 정하고 센터에 의뢰를 하면, 센터는 이들 업체를 대상으로 OTP 발생 알고리즘 등 보안성 검사를 실시한 후, 문제가 없을 경우 센터에 입주를 하게 되고 금융사와 OTP 업체간 본계약이 이루어진다.

OTP 업체가 센터에 들어오기 위해서는 여러 가지 조건이 있다. 우선 가입비를 내야 한다. 금보연 관계자는 아직 논의중이라고 하지만 업계 관계자들은 센터에 들어가기 위해서 가입비가 1억~1억 5,000만원 선이라고 말하고 있다.

또 센터 운영을 위해 업체에서는 상시직원을 센터에 투입해야 한다. 센터가 24시간 365일 돌아가기 때문에 이를 전담 관리할 인력투입도 OTP 업체에서 모두 감당해야 한다. 이 비용도 만만치 않은 부담이라고 업계는 말하고 있다.

하지만 금보연은 “가입비는 일종의 보험”이라고 말하고 있다. 강우진 팀장은 “만약 한 업체가 모 은행에 OTP를 대량 납품한 업체가 도산을 했을 때, 단말기에 대한 유지보수와 시스템 관리인력 등을 연구원에서 대신 지원해야 하기 때문에 그 비용을 받는 것”이라며 “가입비 규모는 2월말까지 결정될 것”이라고 말했다. 

◇ 통합인증센터에 장애가 발생하면 어쩌나
통합인증센터의 가장 큰 난점이라고 할 수 있다. 센터에 문제가 발생하면 전체에 장애가 발생하기 때문에 이에 대한 대비책은 철저하게 세워둬야 한다.

강 팀장은 “장애 발생시 전 금융기관이 공통으로 사용할 수 있는 대체처리 방법을 개발한 상태다. 금감원의 합의도 이루어졌다. 하지만 통합인증센터가 내년에 안정적으로 돌아간다면, 듀얼체제로 가는 것이 맞다. 그렇게 될 것이다. 내년정도 듀얼센터 구축이 가시화될 전망이다. 이렇게 되면 하나가 다운되면 대체할 수 있는 또 하나의 센터가 있기 때문에 문제가 없다”고 말했다.

이러한 장애대처 능력이 완전하게 해결되고 안정적인 서비스가 이루어진다면, 금감원 생각은 보안카드를 없애고 전 금융권과 모든 금융 서비스에 OTP를 도입할 구상을 가지고 있다고 한다. 

또 은행권에서는 센터에 장애가 발생했을 때를 대비해 자체적인 OTP서버를 구축하기를 원하는 경우도 있다. 금보연 측은 “굳이 그렇게 단독 서버를 구축해야 겠다면 막지는 않을 것”이라며 “하지만 공동대응의 장점이 더 크기 때문에 은행에서 잘 알아서 판단할 것”이라고 말했다.     

◇ OTP 통합인증센터 운영은
센터 운영은 센터 회원사인 금융사들이 일정금액을 기부해 운영될 전망이다. 아무래도 돈 많은(?) 은행권에서 운영비용을 많이 내기로 잠정 결정됐다고 한다.

센터는 차세대 금융이 24/365 체제로 돌입하기 때문에, 센터 또한 24시간 관리하고 365일 서비스가 이루어질 수 있도록 하고 있다. 대략 7개 업체 각각의 상주 관리 인원이 24시간 모니터링을 실시할 계획이다.

센터구축 총괄 강우진 팀장은 “센터 구축에 있어 최우선은 ‘안전성’확보다. 그리고 향후 OTP의 확장성도 고려해 제대로된 SI업체를 선발하겠다. 막중한 책임감으로 하루 서너 시간 밖에 잠을 못자고 있다”고 말했다.

◇ OTP 업계, 향후 전망
우선 업체는 센터에 입주하기 위해 1억 이상의 보험금(?)을 내야하고 상주인력도 최소 3명을 투입해야 한다. 이 또한 만만치 않은 일이다. 또 센터에 입주한 7개 업체들이 개별 경쟁을 해야 한다. 한편 금융권에서는 OTP 단말기를 10,000원 이하로 주장하고 있고, OTP 업체에서는 15,000원은 돼야 기본적인 운영이 된다고 맞서고 있다. 

은행권에서는 올해 안에 전체 전자금융이용자 1,000만명중 30%인 300만명 정도가 OTP를 이용할 것으로 예상하고 있다. 많게는 500만까지 내다본다. 하지만 이는 더욱 늘어날 전망이다. 보안카드 대체로 OTP가 사용되면 아마 대부분의 금융권 이용자들은 OTP 단말기를 사용해야 한다. 신한은행 등에서도 이를 전략적 마케팅 기법으로 사용하고 있다. 1등급 이용자뿐만 아니라 모든 이용자들에게 OTP를 전략적으로 보급하려 하고 있다. 따라서 OTP 산업은 올해를 기점으로 상당한 상승세를 탈 전망이다.
[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>