금감원, 사고 관련 OTP 발생기 이용고객에 추가인증 강화

미교체 약 2만개...이용자 홍보 및 조기 교체 지시

[보안뉴스 김태형] 금융감독원은 2011년 RSA의 해킹으로 인한 교체대상 OTP 발생기 110만개 중 108만개(98.3%)가 교체 완료됐으며 아직 18,731개가 아직 교체되지 않았다고 밝혔다.

이 OTP(One Time Password) 발생기는 전자금융 이용고객의 본인 확인을 위해 거래마다 새로운 비밀번호가 생성되는 보안 수단으로 지난 2011년 3월 17일 미국 보안업체인 RSA가 홈페이지를 통해 자사 OTP발생기의 안정성에 영향을 줄 수 있는 핵심정보가 해킹사고로 인해 유출됐다고 발표한 바 있다.  

이에 따라 금융감독원은 전자금융사고 발생 가능성에 대비해 RSA OTP 발생기의 신규발급 중단 및 교체 등을 포함한 ‘금융권 공동 대응방안’을 마련해 추진했다.

현재 농협 등 6개 금융회사가 약 110만개의 RSA OTP 발생기를 고객에게 발급했으며 이는 국내 보급 OTP 발생기(681만개, 2011년 3월 기준)의 약 16.1%에 해당하는 것이다. 2012년 12월 31일 현재 교체대상 OTP 발생기 110만개 중 108만개(98.3%)가 교체 완료됐으며 나머지 18,731개가 아직 교체되지 않은 상황이라는 것.

금감원에 따르면 발급 금융회사별로는 농협은행이15,548개, 수협중앙회 466개, 우정사업본부 2,717개가 교체되지 않았다고 밝혔다.

이에 금감원은 RSA 해킹 사고와 관련된 OTP 발생기 교체를 지속적으로 추진하고 있으며, 미완료 금융회사에 대해서는 OTP 발생기 이용고객에 대한 홍보 및 조기 교체를 지도하고 교체상황에 대한 모니터링을 지시했다.

또한, RSA 해킹 사고 관련 OTP 발생기 이용고객에 대해 추가인증, 즉 휴대폰 SMS인증 등 안전조치를 적용하도록 했다.

금감원측은 “현재까지 RSA사 해킹과 관련된 OTP 발생기 사용에 따른 전자금융사고 발생 사례는 없었다”면서도 “RSA 사고 관련 OTP 발생기 사용 중단 조치를 검토하고 있다”고 밝혔다.

금감원측은 “하지만 지난해 12월말 현재 약 1만9천개의 RSA OTP 발생기가 사용 중에 있어 전면 중단시 고객 불편 및 민원 발생 우려가 있기 때문에 전면중단 시기는 향후 동 OTP 발생기 교체추이를 보고 결정할 예정”이라고 덧붙였다.

현재 교체대상 OTP 발생기 중 약 50%는 6개월 이상 장기 미사용중이어서 올해 6월 이후 교체추이를 살펴가며 결정한다는 계획이다. OTP는 1년 장기 미사용시 인터넷뱅킹 사용이 자동 중단된다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>