[인터뷰]스마트OTP로 핀테크의 혁신을 만들다

인터페이 마케팅실 강용호 상무

스마트폰 앱 방식 OTP로 간편성과 보안성 모두 확보

<대한금융신문=문혜정 기자> 보안 때문에 OTP를 사용하는 사람들의 가장 큰 불편함은 따로 OTP카드나 동글을 가지고 다녀야 하는 점일 것이다. 전자금융회사인 인터페이가 최근 스마트폰뱅킹 이용자들의 이러한 불편함과 우려를 한번에 해결해주는 TZ OTP 기술을 들고 나와 주목을 받고 있다.

편리함과 보안성이라는 가치가 늘 충돌하는 핀테크 시장에서 인터페이의 TZ OTP가 금융권에 어떤 혁신을 가져다 줄 수 있을까. 본지는 인터페이 마케팅실 강용호 상무를 만나 자세한 얘기를 들어봤다(※TZ OTP는 내달 바로셀로나에서 열리는 모바일월드콩그레스(MWC)에서 전세계인들에게 최초 공개될 예정이다).

Q. 사용자들이 은행 거래 시 TZ OTP를 이용하기 위해서는 어떤 과정을 거쳐야 하나.
A. TZ OTP는 스마트폰에서 앱을 다운로드 받아 실행하는 앱 방식 OTP다. 은행에 가서 사용 신청을 한 후 구글플레이에서 다운받은 앱을 등록하고 사용할 때는 OTP 앱 비밀번호만 입력하면 된다.

향후 은행에 가서 신청하지 않아도 사용이 가능하도록 규제가 완화된다면 앱을 다운받은 후 본인확인 절차만 거치면 바로 사용할 수 있다.

Q. 스마트폰 앱 방식이라면 분리된 OTP와 비교해 상대적으로 보안이 약한 것 아닌가.
A. TZ OTP는 스마트폰 앱 방식이면서도 카드형 OTP나 동글 등 분리된 OTP 수준의 보안성을 확보하고 있다. 눈으로 보기에는 하나의 앱이 설치되는 것과 같지만 시스템적으로 ‘보안영역’에 OTP 앱이 설치되기 때문이다.

이 보안영역은 일반영역과 분리된 하드웨어 영역이며 국제적으로도 TZ와 같은 보안실행환경 기술은 하드웨어로 분류된다. 하드웨어 기술을 사용하기 때문에 소프트웨어의 취약점을 악용한 공격으로부터 방어가 가능하다.

Q. 하드웨어 기술을 사용하면 왜 안전한가.
A. OTP 앱의 핵심정보는 OTP 값을 생성하는 키(Key)나 시리얼 정보에 있다. 이런 정보가 일반 앱과 같은 곳에 저장되면 손쉽게 탈취가 가능하다.

현재 대다수 앱들이 화면 녹화 및 좌표값 탈취를 통해 비밀번호가 유출될 가능성이 커 그동안 소프트웨어 방식의 OTP가 사용되지 못했다.

하지만 TZ OTP는 핵심정보를 안전한 하드웨어 영역에 저장하기 때문에 스마트폰에 설치되면서도 분리된 OTP를 사용하는 것처럼 안전하게 사용할 수 있다.

Q. TZ OTP에 보안이 강화된 거래연동 OTP 기술이 적용됐는데 그 방식이 안전하다면 왜 기존 OTP에서는 사용하고 있지 않나.
A. 거래연동 OTP 방식은 계좌번호나 이체금액을 변수로 OTP 값을 생성하는 방식이다. 해커가 중간에 계좌번호나 이체금액을 변조하면 OTP 서버는 변조된 정보로 OTP 값을 만든 후 인증을 시도한다. 이 경우 사용자와 서버의 OTP 값이 다르므로 인증이 실패되고 해킹 공격이 막히게 된다.

기존 OTP에서도 거래연동 방식을 사용할 수 있지만 이 경우 PC나 핸드폰에서 계좌번호나 이체금액을 입력한 후 다시 OTP에서 같은 정보를 재입력해야 한다. 들고 다니기도 불편한데 두 번이나 같은 정보를 입력하는 과정을 거쳐야 하는 것이다.

반면 TZ OTP는 사용자가 계좌번호나 이체금액을 한번만 입력하면 그 값을 안전하게 TZ OTP로 전송해 거래연동 OTP 값이 생성된다. 핸드폰에 저장돼 있으니 따로 가지고 다닐 필요가 없으며 가장 안전한 방식으로 OTP 값이 생성된다.

Q. 금융권에서 핀테크 열풍이 불고 있다. TZ OTP의 경우 편리함과 보안성 두가지를 갖춘 핀테크 기술로 주목을 받을 것 같다.
A. TZ OTP가 도입되면 금융권과 핀테크 벤처기업, 소비자 모두가 큰 혜택을 입을 것으로 기대된다.

TZ OTP는 이체, 결제, 증권주문, 대체 인증서(인증평가 ‘가’군) 분야까지 영역을 확장할 수 있으며 웨어러블 디바이스를 비롯해 기존 모바일 OTP가 적용된 로그인 보안, 사내 결재 영역에서도 적용 가능하다.

우선 소비자들은 OTP 확산의 큰 장벽이었던 소지의 불편함이 없어지기 때문에 편리하게 OTP를 이용할 수 있게 될 것이다. 금융권 입장에서는 별도의 매체가 필요 없는 인터넷전문은행과 궁합이 맞아 핀테크 활성화를 지원하는 기술이 될 수 있다. 은행 수준의 보안을 갖추기 힘든 초기 핀테크 기업들의 경우 TZ OTP를 통해 하드웨어 수준의 보안을 확보할 수 있다.

또 금융회사가 원할 경우 OTP 값 입력 과정도 자동화할 수 있어 결제뿐 아니라 은행거래 부분에서도 ‘원클릭’이 가능해진다. 원클릭이 가능해지면 소비자들이 OTP 사용을 꺼려할 이유가 없다. 간편하고 안전한 TZ OTP가 보급되면 매년 수천억원 규모에 달하는 전자금융거래 사고금액도 크게 줄어들 것으로 보인다.