‘보안성-지속적인 서비스’ 가능 업체로 선정

인증센터 가입해야만 금융권과 계약 가능해

<오티피 멀티솔루션, Digipass GO 3 모델> ⓒ보안뉴스

금융권 올해 최대 이슈는 얼마만큼 전자금융의 보안성을 확보하고, 보안 사고가 발생했을 때 책임유무 증명을 얼마나 신속하고 정확하게 해 낼 수 있느냐에 초점이 맞춰져 있다. 금융권 입장에서 보면, 우선은 보안 사고가 발생하지 않아야 하고 만약 발생했다 하더라도 그 발생원인에 대해 빠른 시간내에 밝혀내야 한다. 그래야만 피해에 대한 배상책임에서 벗어날 수 있는 것이다.

향후, 금융권 보안의 핵심을 이룰 사업이 바로 "OTP 통합인증센터" 구축이다. 하나의 OTP단말기로 여러 금융권을 사용할 수 있기 때문이다. 은행의 비용 효율적인 측면도 있다.

한편, OTP 밴더들은 통합인증센터에 들어가야만 금융권과의 계약이 이루어질 수 있기 때문에 센터에서 요구하는 조건들을 충족시키기 위해 안간힘을 쓰고 있다.   

OTP 통합인증센터에 관련 업체들이 들어가기 위해서는 몇 가지의 센터에서 제시하는 조건을 충족시켜야만 한다. 2월말까지 센터 입주 기업들이 결정될 전망이다. 센터 담당자가 말하는 가입 기준에 대해 알아보자. 

1. 보안성 검증

센터에서는 가입전, 업체에서 사용하는 OTP 알고리즘과 단말기 등이 실제로 인증을 받은 제품인지 검사를 하게 된다. 센터는 OTP 발생 알고리즘 등 대내외적인 안전 기준을 마련해놓고 이를 통과해야만 센터 입주가 가능하도록 하고 있다. 

2. 가입비

센터와 계약해 은행이나 기타 금융권에 OTP를 공급했지만, 회사 사정상 도산을 당하거나 파산을 당할 수도 있다. 이때 센터 자체 내에서 해당 업체 제품을 사용하는 금융사에 차질이 없도록 서비스하는데 사용할 수 있는 비용이 있어야 한다. 일종의 보험금이다. 업계에서는 부담이 될 수 있는 부분이지만, 센터 입장에서는 어쩔 수 없다는 입장이다. 업계에서는 가입비로 1억원이 넘을 것으로 추정하고 있다.

3. 365일 24시간 기술지원

OTP와 관련된 모든 문제는 센터를 통해 지원이 가능하도록 하고 있다. 그러기 위해서는 센터에 입주할 업체들은 상주 기술인력을 의무적으로 배치해야 한다. 24시간 배치라고 하면, 3교대로 최소한 3명 이상은 돼야 할 것으로 예상된다. 이 시스템을 유지할 수 있는 기업이라야만 입주가 가능하다. 물론, 상주인원의 인건비도 업체에서 부담해야 한다.

4. 소프트웨어 에스크로제

비상사태가 발생했을 때, 센터에서 대처할 수 있도록 업체에서 제공하는 제품의 소스코드를 프로그램심의위원회와 같은 제3기관에 맡겨야 한다. 업체 도산이나 업체의 서비스 체계에 구멍이 생겼을 경우, 센터에서는 이를 대비해 해당 업체 제품에 대한 소스코드를 확보해야 한다는 입장이다. 외산 밴더들이 곤혹스러워할 수 있는 부분이다. 입주할 OTP 업체는 문제발생시 소스코드를 센터 측에 넘겨줘야 한다는 규정에 동의해야 한다. 외산 밴더 입장에서는 곤혹스러운 부분일 것이다. 하지만 센터에 입주하기 위해서는 반드시 지켜야할 사항이다.

금융보안연구원 인증관리팀 강우진 팀장은 “가입 조건의 핵심은 금융권에서 OTP를 사용할 때 문제가 발생했을 경우 센터가 중심이 돼 모든 문제점들을 해결할 수 있도록 시스템을 갖추기 위해서다. 보안성이 검증된 제품과 지속적인 서비스가 가능한 업체가 센터에 들어와야 한다”고 밝혔다.  

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>