국내 금융기관들이 버추얼 뱅킹 보안장비로 채택할 예정인 원타임 패스워드(OTP:One Time Password) 시스템의 구현방식을 놓고 전문가들간에 의견이 엇갈리고 있다.
원타임 패스워드 시스템은 사용자가 전산망에 접속, 호스트에 인증을 요구할 경우 비밀번호(패스워드)를 수시로 바꿔주는 보안솔루션으로 「현재시간 입력(Timesync)방식」과 「호스트난수 입력(Challang/Response)방식」이 개발되어 있다.
어떠한 방식을 취하든 원타임 패스워드는 공중망 상에서 패스워드가 누출되더라도 패스워드의 유효시간을 1회로 한정했기 때문에 더 이상 오용할 수 없다는 장점을 갖고 있다.
따라서 이 시스템은 국내 금융계가 추진하고 있는 버추얼 뱅킹 서비스의 성공요소로 부각되고 있으며 최근에는 대형 정보시스템 운영업체나 서비스 사업자들로부터도 새로운 개념의 보안솔루션으로 관심을 모으고 있다.
그러나 이를 구현할 수 있는 기술인 「현재시간 입력방식」과 「호스트난수 입력방식」의 암호체계가 각각 장단점을 갖고 있어 그 채택 여부를 놓고 논란이 일고 있다.
이에 따라 좀더 안전하고 편리한 전자금융서비스를 제공해야 하는 금융기관 입장에선 어떤 방식의 OTP 체계를 선택할지에 대해 고민할 수밖에 없다.
우선 호스트난수 입력방식은 각종 금융서비스 이용고객이 서비스 이용을 위해 인증을 요청할 때마다 인증 호스트가 난수(대략 8자리 랜덤 넘버)를 만들어 화면 또는 ARS음성(폰뱅킹의 경우)을 통해 전달한다.
가입자가 이 숫자를 OTP기기에 입력하면 개별적으로 부여된 비밀암호 키와 공통알고리듬을 이용, 고객이 이용할 수 있는 비밀번호가 만들어진다.
이 방식은 인증 때마다 호스트가 던져주는 난수를 입력해 발생하는 패스워드로 상호인증하기 때문에 상대적으로 보안성이 우수하다는 특징이 있다. 또 기기 자체에 대한 사용비밀번호 입력기능을 추가할 수 있다.
그러나 사용자 입장에서 보면 호스트가 제시하는 난수와 OPT로부터 발생하는 패스워드를 제대로 이해하지 못할 경우 입력시 혼란이 예상되며 이같은 조작절차가 복잡해 일반인들이 사용하기에는 불편하다는 단점이 있다.
현재시간 입력방식은 인증호스트와 OPT간에 현재시각을 기준으로 동기화해 개별적으로 부여된 비밀암호 키와 공통알고리듬을 이용, 시간대별로 비밀번호(패스워드)가 만들어진다.
이 방식은 호스트난수 입력방식과 달리 호스트가 제시하는 난수가 없고 일정한 주기로 비밀번호를 계속 만들고 이를 이용해 사용자를 인증하는 방식을 취한다.
따라서 사용자가 비밀번호를 계산하기 위해 암호발생장치(OTP)에 난수를 입력하는 과정이 생략되는 장점이 있다.
그러나 호스트와 클라이언트(암호표시 단말기) 간에는 시간차가 없는 시계를 공유할 필요가 있다. 그러나 일정기간이 지나면 호스트와 클라이언트 간의 시간차가 발생, 사용자 인증에 문제가 발생할 우려가 있으며 이 경우 사용자는 호스트와 시간동기화 작업이 별도로 필요하게 된다. 시간동기화 작업이 필요하다는 것은 불특정 다수의 고객에게 단말기가 공급됐을 경우 심각한 문제를 야기할 수 있다는 것을 의미한다.
현재 국내에서 미래산업을 비롯해 삼성전자, 씨엔아이 등 3개사가 원타임 패스워드 기기와 관련시스템을 개발하고 있다. 특히 미래산업은 호스트난수 입력방식으로 이미 제품화해 금융시스템 공급 전문업체인 한국컴퓨터와 공동으로 금융권을 대상으로 공급을 추진중이며, 삼성전자는 현재시간 입력방식으로 제품화를 추진중이다. IC카드 단말기 전문업체인 씨엔아이도 올 하반기 출시를 목표로 현재시간 입력방식으로 OTP를 개발중에 있다.
<구근우 기자>