• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

OTP, 배포처인 은행과 사용자간 시각차 발생 2008.03.06

 OTP, 공인인증서·보안카드와 마찬가지로 도난 및 노출 주의해야


5일 보안뉴스에 제보를 해온 박모씨는 "지난 2월 29일 자신의 주거래은행에서 지금까지 사용하던 보안카드 대신에 토큰형 OTP 단말기를 구입해 사용하던 중 이상한 점을 발견해 제보를 하게 됐다"고 전했다.  


박씨의 말에 따르면 “보안카드 보다는 OTP가 요즘 많이 뜨고 있고 보안도 더 확실할 것이라고 생각했다. 또 해당 은행에서 우수고객이라며 OTP 사용을 권장했다”는 말로 기자와의 전화인터뷰를 시작했다. 

 
그는 지난 3월 4일 우연히 OTP 생성기에서 5개의 비밀번호를 생성해 수첩에 적어두었다고 한다. 그리고 나서 다음날 5일 오전에 인터넷뱅킹을 사용하기 위해 해당 은행 홈페이지에 접속후 OTP 번호 입력란에 그 전날 생성해서 수첩에 적어두었던 OTP값을 혹시나 하는 마음에 입력해 보았다고 한다. 


박씨 생각에는 그 전날 생성했던 번호를 입력하면 당연히 적용이 안될 것이라고 생각했던 것이다. 그러나 예상은 빗나갔다. 그 전날 수첩에 적어두었던 OTP값을 그대로 사용했음에도 불구하고 OTP값이 적용됐다는 것이다.   


그는 또 6일 기자의 요청으로 4일 수첩에 적어두었던 번호 중 하나를 실험삼아 다시 해당 은행 인터넷뱅킹 창에 입력을 해봤다. 그 번호 또한 입력이 가능했고 비밀번호로 적용이 된 것으로 밝혀졌다.


박씨는 “토큰형 OTP는 휴대폰에 달고 다니는 경우가 대부분이다. 그래서 누군가 내가 없는 사이에 휴대폰에 걸려있던 OTP번호를 눌러 발생된 번호를 외운 뒤에 나중에 충분히 악용할 수 있겠다는 생각이 들었다”며 “이것이 혹시 OTP 자체의 시스템 결함때문인지 불안해 제보를 하게됐다"고 밝혔다.

 

이러한 지적에 대해 금융보안연구원 관계자는 "이번 문제제기는 OTP 자체의 보안성에 문제가 있어서가 아니라 유출 혹은 도용시 문제를 걱정하는 가운데 불거진 것"이라며 "도용과 유출을 문제삼는 다면 OTP 뿐만 아니라 모든 보안기기들이 살아남지 못할 것"이라고 말했다.

 

또 그는 "OTP 기기 타입에는 타임식과 이벤트식이 있다. 해당 은행에서 보급한 OTP는 이벤트 타입 기기"라며 "이벤트 타입은 OTP를 누를 때마다 다른 OTP값을 생성하는 방식으로 마지막에 생성된 번호가 사용되면 이전에 생성됐던 OTP값들은 사용할 수 없게 된다"고 설명했다. 

 

한편 해당은행 관계자는 "제보자의 걱정과는 달리 국내 보급되고 있는모든 OTP기기는 금융보안연구원의 보안심의를 통과한 제품들이며 국제통용 알고리즘을 사용하고 있기 때문에 보안결함이 있는 것은 아니다"라며 "도용과 유출 문제를 거론하면 보안카드나 공인인증서 등 어떤 보안기기도 자유로울 수 없다"고 덧붙였다. 

 

또 그는 "OTP도 공인인증서, 보안카드와 마찬가지로 본인을 확인시켜주는 여러 인증시스템중 하나"라며 "각각의 인증시스템이 100% 완전한 보안을 담보할 수 없기 때문에 복수의 인증시스템을 도입한 것이다. 도용이나 유출 문제는 사용자의 관리적 문제다. 다른 인증시스템과 마찬가지로 OTP도 도용이나 유출 문제는 사용자의 각별한 관리가 중요하다"고 말했다. 

 

그리고 "이벤트 타입을 도입한 이유는 OTP기기 전체가 보안성은 일정수준 확보하고 있기 때문에 편리성을 고려한 결정이었다"며 "이벤트식은 누를 때마다 즉시 새로운 OTP값이 생성되기 때문에 사용자가 바로바로 사용할 수 있다는 편리함이 있고 빠른 시간안에 재인증 등에 대처할 수 있다는 장점이 있다. 그리고 고객의 선택권을 확보하기 위해 3월중으로 타임과 이벤트식이 결합된 조합형 카드식 OTP를 배포할 예정"이라고 말했다.

 

이 문제는 제보자가 이벤트 타입의 OTP의 특성을 몰랐기 때문에 발생한 오해일 수도 있다. 또 한편으로 생각하면 이용자 입장에서는 충분히 문제 제기를 할 만한 내용으로 보여진다. 배포처인 은행에서는 편리한 기능이라고 생각한 것이 이용자 입장에서는 보안에 문제가 있는 것이 않는가라고 생각할 수 있는 문제이기 때문이다. 

 

금융보안연구원 관계자는 "OTP 이용시 사용자 주의사항을 반드시 숙지한 다음 사용해야 하고 도난이나 분실시 즉시 은행에 알려야 한다. 또 도용이나 유출 문제가 발생하지 않도록 사용자들의 관리상 주의를 당부한다"고 밝혔다. 

 

또 "유출이 됐다 하더라도 공인인증서와 계좌비밀번호 등 여러 인증절차를 거쳐야 하기 때문에 실제 피해사례로 이어지기는 거의 불가능하다"며 "OTP값의 도용이 의심되면 즉시 새로운 OTP값을 생성해 사용해버리면 유출된 OTP값을 사용할 수 없기 때문에 안전하다"고 덧붙였다.

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>