[보안뉴스 오병민]  금융보안연구원은 휴대폰 USIM에 탑재할 수 있는 OTP를 개발하고 LG U+와 MOU를 맺었다. 이에 따라 LG U+는 7월부터 상용화할 4세대(4G) 이동통신 롱텀에볼루션(LTE)용 휴대폰에 모바일OTP기능의 USIM칩을 장착할 방침이다.

즉 LG U+ 가입자들은 별도의 OTP 기기를 구매할 필요 없이 스마트폰의 응용프로그램(애플리케이션)으로 OTP를 활용해 모바일 뱅킹 등, 각종 인증 서비스를 이용할 수 있게 된다.

이른바 휴대폰 OTP시대의 첫 막이 올랐다고 볼 수 있다. 패스워드가 그때 그때마다 바뀌기 때문에 1회용 패스워드라 명명된  OTP(One Time Password)는 공인인증서에서 나타날 수 있는 보안문제를 보완하는 기술로 널리 알려져 있다. 특히 OTP를 이용하면 공인인증서에서 보안카드를 대처할 수 있으며 기업의 전자금융거래의 경우에는 필수로 이용하도록 권고하고 있다.

USIM에 탑재될 경우 기존의 모바일 OTP보다 보안성이 높다. 따라서 금융거래나 다양한 분야에서 이용이 가능할 것으로 보인다. 그러나 USIM은 이동통신의 고유 영역이기 때문에 이동통신사와의 조율은 활성화의 걸림돌로 지적되고 있다.

보안뉴스에서는 강우진 금융보안연구원 본부장을 만나 USIM OTP에 대한 좀 더 자세한 이야기를 들어봤다.

USIM OTP의 원리는?

그동안 OTP는 작은 하드웨어 단말기를 통해 패스워드를 생성했지만 USIM OTP를 이용하면 휴대폰에서 편리하게 패스워드를 생성받을 수 있다. USIM OTP의 원리는 보안성이 높은 USIM에 OTP에 필요한 코어모듈을 탑재시켜 휴대폰에서 안전하게 OTP를 구현할 수 있도록 했다. USIM은 IC카드와 동등한 보안기능을 가진 스마트칩이기 때문에 변조나 정보유출에 대한 우려를 해소할 수 있다.

USIM에 OTP를 탑재하려면 경량화가 필요한 것 같은데

USIM에는 코어 인증 모듈만 들어간다. 암호 알고리즘을 같이 탑재하게 된다면 USIM칩 시스템 영역에서 시스템 콜을 사용할 수 있어 용량을 더 줄일 수 있을 것으로 보인다. 사실 USIM에 UI(User Interface)는 탑재되지 않는다. 경량화에 대한 이유도 있지만 UI를 분리해 적용할 수 있어 USIM OTP의 다양한 응용이 가능할 것으로 보인다.

기존의 모바일 OTP와의 차이점은?

이전의 모바일 OTP와 비슷하게 보이지만 전혀 다른 기술이라고 볼 수 있다. 기존의 모바일 OTP는  소프트웨어기반으로 데이터변조의 가능성 등의 문제로 인해 정보유출 가능성이 있어 금융거래에는 이용할 수 없었다. 그러나 USIM OTP는 보안성이 높은 USIM에 탑재돼 변조의 가능성이 없어 금융거래에서도 이용할 수 있다.

SSL OTP 방법도 가능한가?

USIM OTP는 휴대폰이나 스마트폰의 모바일 키패드를 통해 거래연동 OTP의 확장이 가능하다. 거래연동 OTP는 수신자의 계좌번호, 이체금액과 연동해 OTP 번호를 생성·검증하는 방식이다. 따라서 공인인증서와 동등한 기술 요건인 부인방지 기능까지 확장할 수 있다는 이야기다. USIM OTP는 다양한 확장성을 가질 수 있기 때문에 새로운 패러다임에 적응하는데 유연할 수 있다. USIM OTP의 경우 거래연동 OTP를 기본적으로 지원하도록 돼 있다.

U플러스와의 서비스 어떤 부분이 이야기 되고 있나

일단 USIM에서 OTP를 삽입하기 위한 기술적인 이야기가 오가고 있다. USIM에서 보안 애플릿이 허용할 수 있도록 제약된 공간에 애플릿이 들어가려면 전용 도메인을 할당돼야 한다. 애플릿을 개발한다거나 표준기술을 한다거나 보안성을 강화하고 하는 부분에 대한 기술적인 부분을 조율하고 있다.

기존 OTP 업체들과 USIM OTP 기술을 공유할 것인가?

USIM OTP가 활성화되면 모바일이 가진 영향력 때문에 개인사용자 영역에서는 전통적인 하드웨어 OTP 시장이 흔들릴 수 있을 것으로 보인다. 따라서 원하는 업체들에게 기술을 공개하고 표준안을 바탕으로 자체적인 USIM OTP 제품을 개발할 수 있도록 할 것이다. 사실 현재도 하드웨어 OTP 업체들이 모바일 USIM OTP 개발에 참여하고 있다. 사실 하드웨어 OTP만의 장점도 있다. 기업이나 법인들은 휴대성이 높다고 중요한 보안수단을 휴대폰에 넣는 것을 원하지는 않을 것이다.

인터넷쇼핑몰 결제나 포털사이트 비밀번호로도 이용이 가능한가?

쇼핑몰 등 상업적인 부분에서도 요구가 있다면 지원이 가능하다. USIM칩 안에는 비밀키 정보가 들어가 있는데 비밀키를 사용 영역에 따라 분리할 수 있다. 예를 들면 금융거래용 OTP와 비금융거래용 OTP를 각자 용도에 맞게 생성할 수 있다는 이야기다. 사용자 입장에서는 편리하면서 보안적으로 우수한 효과가 있을 수 있을 것. 포털이나 웹서비스의 로그인 비밀번호로도 이용할 수 있다. 가령 포털사이트에 로그인할 때도 USIM OTP를 생성해서 들어갈 수 있다. 그 외에도 여러 분야에서 확장이 가능하다.

SKT와 KT를 놔두고 왜 하필 LG U+와 진행하고 있나

SKT와 KT 등 이통사들과 표준에 대한 회의는 계속 진행돼 왔다. 그러나 LG U+를 제외한 나머지 이통사 두 곳은 기술을 바라보는 시각이 달랐다. 금융보안연구원은 비영리 사단법인이고 영리목적이 아닌데 이통사쪽은 수익모델 부분에서 확신을 가지고 싶어 한다. 즉 수익에 대한 확약을 요구해왔다.

사실 USIM OTP를 이용하게 되면 이통사에서도 어느 정도 수익성이 동반할 것으로  확신된다. 그러나 비영리 사단법인에서 어느 정도 수익성이 날 것이라는 것을 미리 약속할 의무는 없는 것 아닌가? 사실 이통사들은 항상 자신들의 헤게모니를 바탕으로 새로운 기술에서 주도권을 가지려고 한다. 그것은 횡포라고 느껴질 정도다. 그러나 LG U+의 경우에는 받아들이는 관점이 달랐다. U+는 후발 주자이기 때문에 새로운 경쟁력 확보차원에서 프리로드하겠다고 밝혀, 원활하게 협약이 이뤄진 것 같다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>