4월 1일부터 1등급 거래시 ‘OTP+공인인증서’ 등 사용해야


정부는 지난 2005년 9월 전자금융거래 안전성 강화를 위해 보안등급별 이체한도 차등화를 추진하기로 결정한 바 있다. 이에 오는 4월 1일부터 인터넷뱅킹 및 텔레뱅킹 고객의 보안등급을 3등급으로 구분하고 보안등급별 이체한도 차등화를 시행하게 됐다.

이에 보안1등급 사용자의 경우 OTP(일회용비밀번호생성기)와 공인인증서 등을 사용하도록 의무화했다. 즉 보안1등급 거래 사용자가 아닌 경우 이체한도가 축소된다. 예를 들어 시행전 이체한도가 1억원이었던 이용자가 1등급 보안매체를 사용하지 않으면 1000만원으로 이체한도가 대폭 축소된다.

OTP의 경우 타임방식과 이벤트 방식이 있다. 타임방식은 1분마다 새로운 일회용비밀번호가 생성되며 거래시 노출된 번호를 입력하면 거래가 이루어진다. 또 이벤트 방식은 이용자가 버튼을 누를 때마다 번호가 바로 생성되는 방식이다. 두 타입 모두 금융보안연구원의 보안심의를 통과했으며 국제 알고리즘을 사용하고 있어 OTP 시스템 자체의 보안취약점은 없다고 전문가들은 말한다.

단 두 타입별로 장단점은 분명히 존재하며 해당은행별로 자사에 맞는 타입을 선정해 고객들에게 다양한 가격으로 배포하고 있는 중이다. 또 두 타입을 복합한 조합형 OTP도 조만간 배포될 예정에 있다. 그리고 하나의 OTP로 전 금융기관을 사용할 수 있어 복수 구입은 할 필요가 없다.

OTP 이용자들은 이를 이용한 금융거래시 주의점에 대해 숙지하고 있어야 한다. 유의사항은 다음과 같다.

1. OTP는 항상 휴대하는 것이 좋다.
2. OTP기기를 타인에게 빌려주거나 일련 번호 등의 관련 정보를 알려주지 않아야 한다.
3. OTP 생성 값은 가급적 생성 즉시 사용하도록 하고 타인에게 노출되지 않도록 해야 한다.
4. OTP 생성 값을 메신저나 전화 등으로 타인에게 알려주지 않아야 한다. 특히 금융거래를 위해 방문한 금융 사이트의 보안 프로그램 설치 유무를 확인하기 바란다. 정상적인 금융사이트 여부를 반드시 확인하고(피싱주의!) 이메일 또는 온라인 게시판에 링크된 금융회사 사이트에 OTP 정보를 입력하지 말아야 한다. 
5. OTP 인증 후 인터넷 뱅킹을 마치거나 타 사이트 이동시에는 거래종료 또는 로그아웃을 수행한다.
6. OTP 기기 분실, 고장, 사용 만료시에는 해당 은행에 반드시 신고하고 재발급 후 사용해야 한다.
7. OTP를 이용한 거래를 수행하더라도 정기적으로 자신의 계좌 잔고 또는 거래 내역을 확인해야 한다.

8. OTP 번호를 연속해서 틀릴 경우, 10회 연속 오류시 이용이 제한된다. 오류해제를 위해서는 실명확인증표를 지참하고 영업점을 방문해야 한다.
9. OTP를 제대로 입력했음에도 불구하고 오류가 계속 발생할 경우, OTP에 저장된 시각 정보를 최신으로 재설정해야 한다.
10. 금융기관 홈페이지에 자동으로 재설정이 되지 않을 경우, 가까운 영업점을 방문해 ‘OTP 보정’을 요청해야 한다.

금융보안연구원 OTP 담당 강우진 팀장은 “모든 보안기기와 마찬가지로 OTP도 100% 완전한 보안제품이라고 할 수는 없다. 그래서 은행에서도 복수 인증체계를 채택해 그 중 하나로 OTP 사용을 권고하고 있다”며 “사용자들도 OTP사용에 대한 주의점을 숙지하고 분실하지 않도록 보관 등에 주의를 기울여주기를 당부한다”고 말했다.

그의 말대로 “보안이라는 것은 사용자의 편의성과 보안 사이에서 아슬아스한 줄타기를 하는 것과 같다”며 “편의성에 치중하다보면 보안성이 약해지고 보안성을 강화하면 당연히 편의성이 줄어들게 된다”며 “OPT는 편의성과 보안성을 균형있게 맞춘 시스템이라고 할 수 있다”고 덧붙였다.

또 “지금까지 OTP 시스템 자체에 대한 보안이슈는 없었다. 피싱이나 보안뉴스에서 제기한 관리적인 문제로 발생하는 문제들은 다른 보안제품이 담당해야 한다”며 “피싱은 피싱보안 제품으로 커버해야 하고 분실이나 도용문제는 사용자의 주의가 절대적으로 필요하다”고도 말했다.
[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>