은행들, “OTP 보안 문제없는 한 도입할 이유 없다” 밝혀
그러나 정작 보안토큰을 면밀히 검토 중인 시중 은행들은 "보안토큰 도입은 고객과 은행의 부담만 과중 시킬 뿐, 현재로서는 은행 입장에서 굳이 나서서 도입할 명분도 이유도 없다"고 단호히 말했다.
OTP와 별도 보안 토큰 도입은 '중복 투자'
은행들이 이처럼 보안토큰 도입에 대해 부정적일 수밖에 없는 가장 큰 이유로, 올 6월 부터 시중 은행들이 OTP 통합인증 서비스를 본격화 했다는 점을 꼽을 수 있다.
OTP 통합인증 센터의 서비스 이용 요금으로 1년에 1억 9000만원이란 비용을 지불하고 있는데다 서비스 운영비, OTP 판매 시 비용 부담 및 재고, 인건비 등 OTP 서비스에 소요되는 비용이 높다. 더욱이 OTP나 보안토큰 모두 보안 1등급이라 사용자들이 둘 중 하나만 이용하면 되는 상황이기 때문에 은행입장에서 별도로 보안토큰에 투자할 필요성을 느끼지 못하고 있는 것이다.
A은행 담당자는 "보안토큰 도입은 은행 입장에서는 중복 투자며, 만약 OTP 보안 문제가 생겨서 보안토큰 이용 시 보안 0등급이 된다는 식의 금감원 감독 규정이 바뀌지 않는 이상 굳이 나서서 도입할 이유가 없다"고 밝혔다.
고객들에 부담만 과중, 불편 초래… 서비스 확산 '쉽지 않을 듯'
OTP기기의 경우 수명이 3년에서 길어야 5년인데 반해, USB기반 보안토큰은 반영구적이며 활용도가 높다는 장점도 존재한다. 하지만 부가 기능 추가 시 비용은 올라가기 때문에 은행들은 "보안토큰의 장점은 반영구적이라는 정도"라며, "보안토큰 도입 시 고객들에게도 부담만 과중시킬 뿐 아니라, 불편함을 오히려 더 초래하게 된다"고 지적했다.
향후 보안토큰의 경우 OTP와 비슷한 수준의 가격으로 사용자들에게 공급될 것으로 보이나, 현재 4000원~5000원대 까지 떨어진 OTP 가격에 비해 당장 보안토큰은 아무리 저장 용량을 작게 해 기본 기능만 이용하더라도 만원 이상이라 비용상 부담이 크다는 게 은행들의 설명이다.
특히 보안토큰은 인터넷뱅킹을 위한 매체며 사용하기 불편하다는 지적이 높다. OTP의 경우 인터넷뱅킹 외에 텔레뱅킹에도 사용 가능하나, 보안토큰만 도입하면 텔레뱅킹(1등급 이체 한도인 1억원 거래 시)을 위해 어차피 OTP를 추가 구매해야 하므로 고객들 입장에서 결국 중복 투자가 될 수밖에 없다고 은행들은 말했다.
또한 OTP 사용자의 경우 OTP없이 예금 이체는 못해도 해당 은행 사이트에서 조회 업무는 가능한 반면, 보안토큰 사용자의 경우 인증서를 내장한 보안토큰 없이는 해당 사이트의 로그인 자체가 어려워 고객들 불편이 클 수 있다는 지적이다. 뿐만 아니라, 보안토큰에 대한 표준이 이제 만들어지고 있는 상황이라 특정 은행에서 발급받아 사용하는 보안토큰을 다른 은행에서 사용할 방법이 없다. 실제 보안토큰 서비스 예정인 농협을 제외한 타 은행들의 경우, 서비스 자체를 안하기 때문에 보안토큰의 공인인증서를 발급할 이유가 없는 것이다.
이 밖에도 보안토큰 인증 시 별도 프로그램을 설치해야 하는데, 사용자 PC의 OS 버전에 따라 영향을 받을 수 있어 일일이 해당 은행 및 보안토큰 공급 업체에서 나서서 대응할 필요가 있는 것으로 조사됐다. 실제 서비스를 시작한 선례도 없다 보니 안정성 등에 대한 검증도 아직 되지 않은 게 사실이다.
이에 은행들은 "보안토큰 서비스가 고객에 정말 필요하고, 은행에 도움이 될 지 정확히 판단하고 제대로 된 사전 검토를 거쳐 진행한다"는 입장을 고수하고 있다.
상황이 이렇다 보니 12월 중순경 서비스 개시 예정인 농협을 제외하고, 당장 시중 은행들이 보안토큰 인증 서비스를 하겠다고 발 벗고 나서진 않을 것으로 보인다. 따라서 금융권 보안토큰 서비스 확산이 결코 쉽지 않을 것으로 예상된다.
* 보안토큰은 전자서명이 저장장치 내부에서 생성되며, 저장된 전자서명 생성키는 저장장치 외부로 나오지 않기 때문에 피싱/해킹 등으로부터 공인인증서(전자서명 생성키 포함) 유출을 방지할 수 있는 휴대용 저장장치이다.
관련기사
김정은 기자
jekim@itdaily.kr