금융감독원 산하의 금융보안연구원(이하 금보연)이 추진하고 있는 OTP통합인증센터 사업이 실수요자인 고객과 금융권, 그리고 보안전문가 등 그 누구로부터도 환영 받지 못하는 '천덕꾸러기'로 전락할 상황에 처함으로써 이 사업을 처음부터 재검토해야 한다는 목소리가 높다.
고객이 여러 금융기관의 OTP를 보유해야 하는 불편함을 해소하고 금융권이 자체적으로 백업시스템을 갖추는 번거로움과 중복투자를 방지한다는 목적으로 설립한 OTP통합인증센터가 당초 목적을 구현하지 못하는 것은 물론이고, OTP 도입의 근본 목적인 보안을 강화하기는 커녕 더 큰 보안 위협에 노출될 위험이 크다는 것 때문이다.
OTP는 고정형 보안카드에 비해 일회용 번호를 생성, 경우의 수가 많은 관계로 상대적으로 보안성이 높다는 것 때문에 보안카드의 대안으로 등장했다. 여기에 금융감독원이 금융기관별로 OTP를 보유해야 하는 고객의 불편함을 해소한다는 목적으로 OTP 통합인증센터를 설립, 하나의 OTP만으로 전 금융기관과 거래할 수 있게 했다. 또한 금융기관별로 각자 별도의 OTP 인증서버를 구축해야 하는 번거로움과 중복투자를 막는다는 취지도 있었다.
그러나 실상은 정 반대의 상황을 초래하고 있다. 우선 고객은 통합인증을 받기 위해 하나의 OTP를 발급받은 후 여타 거래 금융기관을 찾아다니면서 서비스 등록을 해야 한다. 고객들은 "개별 은행을 찾아가 서비스 신청을 하느니 차라리 복수의 OTP 기기를 휴대하겠다"고 말한다.
불편하기는 고객만이 아니다. 금융권은 금융권대로 이중의 부담을 떠안고 있다. OTP 통합인증 센터의 백업을 통합 백업센터가 아닌, 개별 은행에서 처리하게 함으로써 OTP 서버가 구축되지 않은 금융기관에게 이중 부담을 떠 안기고 있는 실정이다. 금보연은 "OTP 서비스를 시행중이었던 은행들의 서버를 활용하고, 통합 백업 센터 구축비용에 대한 금융기관의 부담을 줄이기 위함이었다"고 설명한다.
현재까지 17개 은행과 우체국, 새마을 금고, 상호저축은행 등 총 20개의 금융기관들이 OTP 대체 인증 서버를 구축했다. 통합인증 서비스를 시행하게 되는 35개 금융기관들도 자체 서버를 어쩔 수 없이 구축해야만 한다. 통합 백업 센터 구축은 서비스 시행 2년 이후에나 구축여부를 결정한다는 방침이다.
OTP 통합인증 서비스는 그러나 고객의 불편을 초래하고, 금융기관들에게 이중 부담을 지우는 등의 설립목적을 역행하는 것 이상으로 더 심각한 문제를 안고 있다. 당초 각 금융기관들이 보안강화 수단으로 여겼던 OTP가 오히려 더 큰 보안위협에 노출시킴으로써 보안을 악화시키고 있는 것이다. 좀도둑 잡으려다 큰도둑을 들이는 꼴이 되고 있다.
OTP 통합인증 서비스가 시행되면 모든 금융기관들의 패스워드가 동일해 진다. 기존에 한 개의 금융기관을 대상으로 발생했던 피싱 공격이 전 금융기관으로 확산돼 대형 금융 사고를 발생시킬 우려가 있는 것이다. A금융기관 홈페이지로 가장한 피싱사이트를 만들어 사용자를 유도해 OTP 값을 발췌할 경우 기존에는 A기관만 피싱 금융사기 대상이 됐으나, 그 값을 제 3의 금융기관 사이트에서 사용 가능하므로 피싱 대상이 55개 전 금융기관으로 확대될 수 있다는 것이다.
금융관련 보안전문가들은 "당장은 이런 사건이 일어나지 않았지만, 앞으로 얼마든지 일어날 수 있으며, 이전의 금융 보안사고보다 그 피해규모나 여파가 훨씬 클 것"이라고 경고한다. 지금부터라도 방안을 마련해야 한다는 지적이다.
이 같은 위험성을 금감원이나 금보연이 모를 리 없다. 그럼에도 금감원이나 금보연이 OTP 통합인증센터 설립을 강행한 것은 석연치 않다. 이와 관련해 보안 전문가들은 "금감원이 금융기관 관리감독기관이라는 지위를 악용해 밀어붙이기식 사업을 추진한 결과"라고 분석한다. 특히 최근들어 각 금융기관 보안담당자 및 보안관련 업계에 금감원의 모 인사와 관련한 '평가'를 자제해 줄 것을 요청하는가 하면 "사업초기에 찬물을 끼얹는 일은 하지 말아달라"고 한 것만 봐도 통합인증센터 설립에 무리가 있었다는 것을 드러내고 있다.
OTP 통합인증센터는 그 설립목적만으로 보면 대단히 바람직한 사업이다. 그러나 현실은 정 반대로 가고있다. 정반대로 가고 있다면 지금이라도 바로 잡아야 한다. 금보연이 어떤 기관인가? 금융과 관련한 보안 사고를 미연에 방지하기 위해 설립한 연구기관 아닌가? 지금부터라도 OTP 통합센터가 제대로 기능하도록 다양한 대안을 마련해야 한다.
그도 저도 대안이 없고, 여전히 더 큰 보안위협에 노출될 수 있다면 사고가 발생하기 전에 OTP통합 서비스를 중단하고 통합센터를 폐쇄해야 한다. 그것이 진정으로 고객을 위하고, 금융권의 피해를 최소화하는 길이다.
박종환 기자
telepark@itdaily.kr