은행권이 내년 인터넷 뱅킹 보안 강화를 위해 일회용비밀번호(OTP) 단말기와 보안토큰(HSM) 도입을 저울질하고 있다.
지난 5월 발생한 인터넷 뱅킹 해킹 사건의 후속 대책으로 금감원이 ‘전자금융거래 종합대책’을 내놓으면서 내년 시중 은행은 보안 수준 1등급을 맞추기 위해 OTP 단말기나 보안토큰을 도입해야 한다. 문제는 도입의 우선 순위다. 금감원은 이들 두 솔루션 도입을 권고 사항으로 발표, 은행권은 어느 쪽을 먼저 도입할지 고심하고 있다.
은행권이 두 솔루션 중 어느 쪽을 먼저 도입하느냐에 따라 내년 관련 솔루션 시장의 판도가 바뀔 것으로 예상돼 두 진영 간 주도권 싸움이 시작됐다.
OTP 진영 통합인증센터 설립에 기대=OTP 단말기 진영은 금감원이 내년 중 OTP통합인증센터를 설립을 추진한다는 계획에 한층 고무돼 있다. 통합인증센터는 이르면 6월 말 구축이 완료되며 7월부터 시범 서비스에 들어간다. 통합인증센터를 설립하면 각 은행별로 OTP인증 시스템을 갖추지 않아도 된다. 은행은 일정금액의 분담금만 내면 자체 솔루션 구축에 대한 부담을 줄일 수 있다. 여기에 은행권이 OTP단말기를 공동으로 구입해 사용자에 배포하는 방안까지 논의되고 있어 OTP진영이 힘을 얻고 있다.
최해철 퓨쳐시스템 사장은 “이미 몇몇 시중 은행이 OTP솔루션 구축 비용을 내년 예산에 반영하는 등 1등급 보안 수준을 원하는 고객 서비스를 강화할 움직임”이라며 “시큐어컴퓨팅의 OTP솔루션을 더욱 저렴하게 공급하기 위해 국내 생산을 추진하는 등 적극 대처하고 있다”고 말했다.
공인인증서 안전 보관이 최우선=보안토큰 진영은 안전한 전자거래를 위해 PC하드웨어에 공인인증서를 보관하는 것 자체를 막는 원천적인 대책을 내세우고 있다.
보안토큰은 USB메모리 저장장치와 같은 형태로 PC에 장착해 사용한다. 장치 내 자체 CPU와 메모리 등이 포함된 스마트카드 칩을 사용해 외부의 물리적 압박이나 논리적 공격에도 안전한 솔루션이다. 보안모듈은 고객의 비밀번호 등 데이터가 PC 메모리에서 처리되지 않기 때문에 해킹으로부터 이론적으로 완벽히 보호된다.
신기영 엘립시스 사장은 “보안토큰은 기존 전자거래 시스템을 건드리지 않고 사용자에게 단말기를 배포하는 것만으로 안전성을 높일 수 있다”며 “OTP통합인증센터 설립을 기다리는 것보다 고객들에게 쉽게 안전한 전자거래 환경을 제공한다”고 강조했다.
김인순기자@전자신문, insoon@
