2020-03-31 09:50 (화)
[금융 잇 수다]“안전한 금융거래? 이제는 OTP로”
[금융 잇 수다]“안전한 금융거래? 이제는 OTP로”
  • 차진형 기자
  • 승인 2014.08.03 12:00
  • 댓글 1
이 기사를 공유합니다

우리은행 스마트채널전략부 정재욱 차장

보안카드 정보유출 사례 빈번해

새로운 OTP 기술도입 서둘러야

▲ 우리은행 스마트채널전략부 정재욱 차장
<대한금융신문=차진형 기자>전자금융범죄가 갈수록 진화하고 있다.

새로운 수법이 나올 때마다 감독당국은 예방책을 내놓고 있지만 결국 미봉책에 그치고 있다.

이에 근본적인 해결방안은 무엇인지 은행 보안전문가의 입을 통해 들어봤다. 

-오늘도 은행권에서 파밍으로 인한 금융범죄가 일어났다. 이같은 신종 전자금융 사기를 미연에 방지할 수 있는 방법은 무엇인가.

전자금융 사기는 고객의 은행 정보를 탈취해 돈을 인출하는 것이다. 이를 위해선 고객의 아이디, 비밀번호, 주민번호, 공인인증서 등 주요 정보를 알아야 하는데 대부분 PC를 해킹함으로써 정보를 얻을 수 있다.

하지만 PC를 해킹해도 얻을 수 없는 정보가 있다. 그게 바로 보안카드에 적힌 숫자다.

하지만 요즘 사기단은 가짜 은행 홈페이지를 만들어 고객들에게 보안카드 입력을 유도하고 있다. 은행은 절대 다수의 보안카드 숫자 기입을 유도하지 않으니 이 경우 파밍을 의심해 볼 필요가 있다.

-그렇다면 보안카드의 정보 유출만 되지 않으면 안전한 것인가.

보안카드는 절대적으로 안전한 보안수단이 아니다. 최근에는 스마트폰의 보급으로 인해 보안카드를 사진으로 찍어 사용하는 고객들이 많다.

이 경우 스마트폰의 분실 또는 해킹으로 인해 보안카드의 정보가 유출될 수 있다.

사실 보안카드보다 보안등급이 높은 것은 OTP를 꼽을 수 있다.

은행에서도 OTP 사용을 권장하고 있는데 실제로 사용하는 고객 수는 미미하다.

-OTP 사용빈도가 떨어지는 이유는.

원인은 두 가지를 꼽을 수 있다. 휴대성과 비용 때문이다. 은행에서 발급하고 있는 OTP는 토큰형과 카드형이 있다. 토큰형은 어느 정도 크기가 있어 휴대하기 불편하다는 단점이 있고 카드형은 지갑에 넣을 수 있는 크기지만 대부분 발급비용이 1만원이 넘는다.

또 두 가지 OTP는 배터리 수명으로 인해 교환 주기가 존재한다는 것도 활용도를 떨어뜨리는 요인이다.

-OTP 이외에 은행이 제공하고 있는 보안서비스에 대해 알려달라.

지난해부터 전 금융권에서 ‘전자금융사기 예방서비스’를 시행하고 있다.

이 서비스는 공인인증서를 통해 100만원 이상 이체할 경우 본인확인 절차를 추가적으로 실시하는 것이다.

기존에는 공인인증서와 보안카드 또는 OTP를 이용해 본인인증만 하면 가능했으나 이제는 단말기(PC/스마트폰) 지정이나 휴대폰 문자 또는 전화확인 등 2채널의 인증을 받아야 가능하다.

하지만 결국 보안등급에 따라 이체 규모도 다르기 때문에 고객들의 불만이 존재한다.

보안카드는 1회 최대 500만원, 1일 1000만원까지 이체할 수 있으며 OTP는 1회 1억원, 1일 5억원까지 이체 가능하다.

결국 전자금융을 통해 이체할 금액이 크면 보안카드보다 OTP를 사용하는 것을 권하는 바다.

-최근 업계에서는 보안카드를 대체할 수단을 찾기 위해 다양한 방안을 검토 중이다. 가장 유력한 것은.

현재 업계에서 거론되고 있는 것이 신용카드와 접목한 OTP와, 스마트폰을 이용한 OTP다.

OTP와 신용카드를 접목할 경우 IC칩 안에 결제기능과 보안기능을 담을 수 있어 휴대성이 높고 발급비용을 절감할 수 있다는 장점이 있다.

하지만 결국 신용카드 제조 과정에서 정보가 유출될 수 있고 아직 가맹점 대부분이 마그네틱 카드결제단말기를 쓰고 있어 상용화 단계까진 시간이 걸릴 것으로 예상된다.

개인적으론 스마트OTP 기술 도입을 추천하고 싶다. 3년 전 버스카드 결제방식과 비슷한 근거리접속(NFC) 스마트OTP 기술이 논의된 바 있다.

스마트OTP란 스마트폰에 보안카드를 갖다대면 1회용 비밀번호가 스마트폰 화면으로 나타나는 것이다.

발급 비용에서도, 휴대성에서도 모두 우수하다고 판단돼 은행권에서 도입을 적극 추진했지만 금융당국에서 보류해 아쉬움을 남겼다.

관련 법상 금융거래 기기와 보안수단이 분리돼야 하는데 스마트OTP는 매체분리가 되지 않는다는 게 금융당국의 반대 이유다.

하지만 최근 금융규제 개혁안 중장기 방안에 포함돼 있어 관련 법만 개정된다면 도입은 빠른 시일 내 이뤄질 것으로 보인다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 1
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
손기주 2014-08-09 14:46:21
보안 조치는 은행에서 비용을 부담해야지 왜 고객에게 비용을 전가시키는 건지 도저히 이해가 안감.