'OTP' 이용 상승세 대중화시대로
보안성 보강 'HSM' 시장서 주목 은행 '안티피싱'솔루션 도입 러시


정보보호업계에서는 금융권이 전자금융거래 안정성 확보에 대한 움직임이 가시화되면서 관련분야 업체들의 행보가 빨라지고 있다.

지금까지 가장 금융권에서 빠르게 움직여 왔던 분야는 일회용비밀번호(OTP). 지난 2005년 발표한 전자금융거래 안정성 종합대책에서 새로운 금융보안 솔루션으로 제시된 OTP는 이후 지난해 금융보안연구원 설립과 OTP통합인증센터 출범 등을 계기로 금융권 공급이 활발해졌다. 현재 센터에 참여하고 있는 55개 회원사 대부분이 OTP도입을 완료한 상태며 은행권에서는 거의 모든 곳에서 서비스에 들어간 상태다.

금융권의 도입과 함께 OTP를 이용한 전자금융거래도 꾸준히 증가하고 있다. 지난 6월 OTP통합인증센터 1차 출범 때까지만 해도 미미했던 전자금융거래 건수는 7월 말 2차 오픈을 계기로 8월 중순부터 거래 건수가 급증하면서 9월 중순 1000만 건을 돌파하는 등 무서운 성장세를 보이고 있다. OTP 서비스가 시중 은행들 뿐만 아니라 지방은행, 증권사 및 저축은행들로 확대되고 있는 상황이라 OTP를 이용한 전자금융거래 건수는 지속적인 상승세를 탈 것으로 보여 본격적인 OTP 대중화 시대를 맞을 것으로 전망된다.

OTP에 비해 한 발 늦었던 하드웨어보안모듈(HSM) 분야의 움직임도 점점 가시화되고 있다. 전자금융거래 안정성 종합대책에서 일회용비밀번호(OTP)와 함께 인터넷뱅킹 이체거래 1등급(1회 이체한도 1억원)을 받았지만 호환성이 떨어진다는 이유로 OTP에 비해 덜 주목을 받았지만 보안성면에서는 전문가들로부터 OTP보다 더 우수하다는 평가를 받고 있어 시장 활성화에 많은 주목을 받고 있다.

한국정보보호진흥원(KISA)은 HSM 업체들과 표준화를 진행, 4월 초 HSM 기술규격 `보안토큰 기반 공인인증서 이용기술 규격`을 개발한데 이어 HSM 업체들과 공개키기반구조(PKI) 솔루션 업체들이 전자금융거래 서비스에 적용할 수 있는 추가 기술 개발을 완료한 상태다. 이어 지난 9월부터 HSM의 구현적합성에 대한 평가를 시작, 위노블이 공급하는 이스라엘 알라딘의 `e토큰(eToken)` 에 대해 테스트가 진행 중이다. HSM의 기술 규격과 상호 연동 등 표준 준수 및 구현적합성에 대해 평가하는 이 테스트를 통과하면 해당 솔루션을 모든 금융기관에서 자유롭게 사용할 수 있게 된다.

은행들도 HSM 도입에 조금씩 관심을 보이고 있다. OTP통합인증센터 출범에 맞춰 OTP도입에 집중하다 보니 그동안 HSM에 신경 쓸 겨를이 없었을 뿐 HSM의 보안성은 충분히 인식하고 있는 분위기다. 지난 5월 농협이 금융권 최초로 도입한 후 아직 많은 은행들에서 검토하는 단계이기는 하지만 호환성이 담보하는 솔루션이 나오면 적극적으로 도입을 고려하게 될 것으로 업계는 보고 있다.

올해 초 대량의 피싱 사건이 터지면서 골머리를 앓았던 은행들은 최근 안티피싱 솔루션 도입 논의도 불이 붙을 것으로 보인다. 지금까지 이슈화된 것에 비해서 그동안 금융권의 호응이 다소 소극적이었지만 신한은행ㆍ경남은행ㆍ광주은행 등에 이어 최근 최대 은행 중 하나인 농협중앙회가 도입하면서 다시 도입 논의가 활기를 띠고 있다. 또 올 초 소프트런에 이어 4월 소프트포럼, 최근 잉카인터넷 등이 안티 피싱 솔루션을 출시하고 경쟁구도를 마련한 것도 안티 피싱 솔루션 시장 확산에 일조할 것으로 보고 있다.

업계에서는 농협의 선택을 주시하면서 도입을 내부적으로 검토해 온 은행이 많았기 때문에 행보가 보다 가시화될 것으로 보고 있다. 또 대부분의 은행들에서는 안티피싱솔루션을 보안 솔루션 도입 검토 최우선 순위에 올려놓고 준비하고 있어 연말과 내년 초를 전후에 도입 움직임을 더욱 가속 페달을 밟게 될 것이라는 게 업계의 전망이다.

이홍석기자 redstone@

O 용어

# 일회용비밀번호(OTP)=OTP는 패스워드 이중보안을 위해 매번 시스템에 접근할 때마다 새로운 패스워드를 부여, 해킹이나 사용자의 관리소홀 등으로 패스워드가 노출되는 것을 방지하는 솔루션이다. 기기를 통해 주기적으로 비밀번호를 변경할 수 있어 기억하는 번거로움 없이 시스템의 보안성을 높일 수 있으며 스니핑 등에 의해 사용자 패스워드가 노출돼도 매번 새롭게 생성되는 패스워드를 사용해야 하므로 강력한 보안을 제공하는 것이 장점이다.

# 하드웨어보안모듈(HSM)=HSM은 자체적으로 CPU와 메모리 등이 포함된 스마트카드 칩을 탑재, 외부 보안 위협으로부터 안전한 토큰 내에 공인인증서를 안전하게 보관할 수 있는 저장 장치다. 주로 스마트카드나 USB토큰 형태를 가지며 카드나 토큰을 슬롯에 삽입하면 고유의 암호화 모듈을 통해 내부 접속이 가능해 외부의 물리적 압박이나 논리적 공격에 안전하다는 평가를 받고 있다.

# 피싱(Phishing)= 금융기관 등을 사칭해 개인 정보를 불법적으로 알아내는 인터넷 사기수법을 말한다. 개인정보(private date)와 낚시(fishing)의 합성어인 피싱은 불특정 다수에게 신용 카드나 은행 계좌 정보에 문제가 발생해 수정이 필요하다는 내용의 이메일을 발송한 후 가짜 웹사이트로 피해자를 유인하는 방법을 주로 이용하며 최근에는 인터넷전화(VoIP)나 휴대전화를 이용하는 신종 수법도 등장하고 있다.

<이홍석기자 redstone@>

'IT정보기술자료' 카테고리의 다른 글

[블로그를 알려보자 1] 메타블로그에 등록하기...  (2) 2007.11.15
OTP(일회용 비밀번호) 내년 대중화  (0) 2007.11.12
디자인 패턴 ( Design Pattern )의 구분  (0) 2007.09.10

금융권 대부분 서비스… 표준화 추진등 과제       

OTP서비스 향후 전망

연말까지 모든 시중은행서 이용 가능해
손쉽고 편리 전자금융거래 활성화 기대
보안토큰과 경쟁ㆍDR센터 구축 등 숙제
 

연말까지 대부분의 금융기관에서 OTP서비스를 실시하면서 일회용비밀번호(OTP) 시대가 본격적으로 막이 오를 전망이다.

금융보안연구원에 따르면 현재 OTP통합인증센터에 참여하고 있는 55개 회원사 중 45개가 이미 서비스를 하고 있으며 8개 사가 조만간 서비스에 들어갈 예정이다. 도입 계획이 미뤄진 2곳을 제외하면 모든 회원사가 서비스를 시작하는 것이다. 이에 따라 연말에는 OTP통합인증센터가 정상 궤도에 오르고 본격적인 OTP시대의 막이 오를 전망이다.

이로써 일반인들은 자신이 이용하는 금융기관에서 보다 손쉽고 편리하게 OTP를 접할 수 있어 OTP을 통한 전자금융거래가 활성화 될 것으로 보인다. 그러나 최근 부각되고 있는 보안토큰과의 경쟁, 재해복구(DR)센터 구축, 표준화 등은 OTP의 새로운 숙제로 떠오르고 있다.

◇OTP시대 본격 개막, 연말까지 53개=지난 6월 OTP통합인증센터가 출범할 때만 해도 국민은행ㆍ기업은행ㆍ신한은행ㆍ우리은행ㆍ농협ㆍ대우증권ㆍ메리츠증권ㆍ한국투자증권 등 8곳만 OTP인증서비스를 개시, 전자금융거래에서의 OTP활용도는 낮았다. 그러나 7월말 2차 오픈 때 우체국금융과 지방은행, 증권사들이 본격 참여, 20곳 안팎으로 증가하면서 가속도가 붙기 시작했으며 이제는 모든 국내 시중은행에서는 이용할 수 있을 정도가 됐다.

현재 삼성증권ㆍ신흥증권ㆍNH투자증권ㆍ브릿지증권ㆍ리딩투자증권ㆍ이트레이드증권 등 6곳의 증권사와 금호종합금융ㆍ한맥선물 등 8곳이 준비중이며 이르면 이 달, 늦어도 다음달에는 서비스를 시작한다. 내년으로 OTP솔루션 도입을 연기한 HSBC은행과 아직 일정을 잡지 못한 도이치은행 등 두 외국계 은행을 제외하고는 센터에 참여하고 있는 모든 금융기관이 서비스에 들어가게 된다.

금융보안연구원 강우진 인증관리팀장은 "일 평균 20만건 수준을 보이고 있는 OTP를 활용한 전자금융거래가 활성화되면서 내년이 OTP 상용화의 해가 될 것"이라고 기대감을 나타냈다.

◇보안토큰과의 경쟁, DR센터구축 과제=그러나 OTP에게도 과제는 있다. 가장 큰 과제로는 최근 금융권이 본격 도입을 검토하고 있는 보안토큰과의 경쟁이다. OTP와 보안토큰은 서로 다른 방식의 보안매체인 만큼 경쟁 대상이 아니라는 의견도 있지만 지난 2005년 전자금융거래 안정성 종합대책에서 함께 인터넷뱅킹 이체거래 1등급(1회 이체한도 1억원)을 부여받아 자주 비교되고 있다.

지난해 OTP를 적용한 미국 씨티은행 인터넷뱅킹 시스템에서 해킹 가능성이 존재하는 것으로 나타나면서 전문가들 사이에서는 제품의 다양성과 편리성을 감안하더라도 보안성 측면에는 보안토큰이 OTP보다 우수하다는 의견이 나오고 있기도 하다. 때문에 향후 전자금융거래에서의 사용자들의 선호도에 따라 OTP의 경쟁력이 좌우될 것으로 보인다.

천재지변이나 테러 시 OTP통합인증센터를 대신할 재해복구(DR)센터가 아직 구축되지 않은 것도 해결해야 할 과제다. DR센터는 자연재해나 비상사태가 발생, 원래의 주 센터가 제 역할을 하지 못할 때를 대비해 주 센터와 원거리에 위치한 곳에 메인 시스템의 정보를 그대로 백업해 놓는 시스템이다. 현재 OTP통합인증센터에서 자체 데이터 백업을 실시하고 있기는 하지만 말 그대로 백업일 뿐 재해시 대비할 수 있는 시스템은 아니다.

업계 한 관계자는 "금융감독원의 지침에는 각 금융회사들이 자체적으로 백업센터를 보유하도록 권고하고 있다" 면서 "OTP통합인증센터도 OTP를 통한 전자금융거래 데이터를 다루는 만큼 반드시 필요하다고 본다" 고 말했다.

이에 대해 강 팀장은 "내년 초부터 회원사들과 DR센터 구축에 관한 논의를 본격적으로 진행할 계획"이라면서 "OTP서비스에 참여한 지 얼마 되지 않은 금융회사들의 여건을 감안, 내후년쯤 DR센터를 구축할 계획" 이라고 말했다.

◇OTP표준화 추진해야=표준화에 대한 논의도 OTP 활성화의 중요 변수가 될 것으로 보인다. 현재 업체들간 OTP기기ㆍOTP서버ㆍ키 관리ㆍ통신 규격 등이 서로 달라 관련 기술 발전과 산업 육성에 장애물이 되고 있다. 또 재정 면에서 취약한 OTP업체들이 센터 운영을 위한 자원 투입에 어려움이 있는 것을 감안하면 운영방법의 표준화를 통한 비용 절감도 시급한 문제다. 특히 표준화 문제는 OTP가 금융권뿐만 아니라 타 산업 분야로 확산될 수 있는 계기가 될 수 있다는 점에서 중요하다고 할 수 있다.

현재 금보연은 학계와 협력해 연말까지 OTP표준화 아이템들을 선정, 중장기 표준화 로드맵을 발표할 예정이다. 또 금융 보안을 위한 표준에서 출발해 일반 표준으로 발전시키고 사내 표준에서 출발해 단체 표준→국가 표준→국제 표준 등에 기여한다는 전략 하에 국제 표준화 기구인 IETF(Internet Engineering Task Force)에 워킹그룹을 발의, 국제 표준화도 주도해 나간다는 계획이다.

한국정보보호학회 표준화 이사 겸 OTP연구회 위원장을 맡으며 표준화 작업을 이끌고 있는 숙명여대 이광수 교수(정보과학부)는 "전 세계적으로 유례가 없는 OTP통합인증센터 출범으로 해외 각 국에서는 운영모델, 사용규격, 알고리듬, 프로토콜 등 국내 표준화 움직임에 관심이 많다" 면서 "국내에서 국제 표준화 작업을 주도해 전 세계 기술 발전 및 산업 육성을 이끌어 나갈 수 있도록 할 계획" 이라고 말했다.

이홍석기자 redstone@

'IT정보기술자료' 카테고리의 다른 글

[U뱅킹 콘퍼런스] 전자금융거래 안정성 책임지는 보안솔루션 - OTP, HSM  (0) 2007.11.12
디자인 패턴 ( Design Pattern )의 구분  (0) 2007.09.10
BPO와 역외 아웃소싱(offshoring) 성공전략  (0) 2007.09.10

+ Recent posts

티스토리툴바