동일한 패스워드로 "전 금융기관 동시 피싱 표적된다"
하지만 OTP 통합인증 서비스가 시행되면 모든 금융기관들의 패스워드가 동일해 진다는 점 때문에, 기존에 한 개의 금융기관을 대상으로 발생했던 피싱 공격이 전 금융기관으로 확산돼 대형 금융 사고를 발생시킬 우려가 있는 것으로 나타났다. A금융기관 홈페이지로 가장한 피싱사이트를 만들어 사용자를 유도해 OTP 값을 발췌할 경우 기존에는 A기관만 피싱 금융사기 대상이 됐으나, 그 값을 제 3의 금융기관 사이트에서 사용 가능하므로 피싱 대상이 55개 금융기관으로 확대될 수 있다는 것이다.
업계 한 관계자는 "OTP 자체가 피싱 사고를 막는 솔루션은 아니지만, OTP 통합 인증 시스템의 구축으로 55개 전 금융기관이 피싱 공격의 표적이 됐다"며 "앞으로 OTP 서비스가 본격화 되면 즉시 피싱 사고가 터질 게 불 보듯 뻔하다"고 말했다. 또한 금융보안연구원 통합OTP센터의 시스템에 대한 보안성 검토는 전혀 논의되지 않은 채, 보안 비전문가에 의해 시스템이 설계‧ 개발‧ 가동돼 전자금융 서비스의 안정성을 오히려 위협하고 있다고 지적했다.
기존 공인인증서 보안 문제 되풀이 하는 격
실제 OTP(One Time Password: 일회용 비밀번호 생성기)는 전자금융 거래(인터넷뱅킹, 모바일뱅킹, 폰뱅킹 서비스) 시 마다 고정된 비밀번호 대신 새롭게 생성된 비밀번호로 인증하는 보안매체며 안전한 전자금융 서비스를 위해 보안카드의 대안으로 등장했다.
OTP 서비스는 과거 시중은행들을 중심으로 별도의 시스템이 구축돼 시행돼 왔다. 각 금융기관별로 서비스가 되다보니 사용자는 복수 OTP 기기를 소지해야 하는데 따른 비용 부담 및 불편이 있었다. 이를 덜어주기 위해 OTP 통합인증센터가 구축된 것이다. 그동안 전자금융 거래를 위한 인증 수단은 공인인증서-보안카드-OTP 순으로 진화해 왔다. 하지만 최근 확대되고 있는 OTP 통합인증 서비스는 보안카드 이전에 제공됐던 공인인증서를 사용해 전 금융기관에 동일한 패스워드를 적용했던 것과 별반 다르지 않다는 점에서 논란이 일고 있다.
업계 관계자는 "한 금융기관의 부주의로 인해 발생한 문제가 전 금융기관으로 확대될 수 있다는 공인인증서의 보안 문제를 해결하기 위해, 각 금융기관은 보안카드 라는 것을 만들어 활용해왔다"며 "통합OTP센터의 아키텍처는 보안카드가 만들어진 배경을 망각한 채 모든 금융기관의 OTP 값을 동일하게 만들어 보안카드가 만들어지기 이전과 동일한 보안 문제를 생성하고 있다"고 말했다.
OTP 통합인증 센터 구축 이전에는 하나의 OTP 기기에서 은행별 패스워드를 생성하는 다기관 코드를 가진 OTP 기기에 대한 논의도 있었던 것으로 알려진다. 하지만 OTP 기기 제조 시 부담이 된다는 이유로, 현재의 전 금융기관에 동일한 패스워드를 생성하는 OTP기기를 통한 OTP 통합인증 서비스를 제공하게 된 것이다.
해당 업체들은 "보안 분야 가운데서도 인증 분야는 특히 기술력을 요하는 분야로, 안정적인 전자금융거래를 위해서는 오히려 금융사별 자체 OTP 시스템을 가져가야 한다"고 주장했다. 또 은행간 타행이체 서비스를 하듯 금결원을 통해 대외전문을 주고 받는 방식으로도 통합 OTP서비스는 얼마든지 가능할 것이라고 덧붙였다.
관련기사
김정은 기자
jekim@itdaily.kr