기능과 사용자의 관리적 주의사항 제대로 전달하는 것 중요

금보연, “유출과 도용문제 거론하면 어떤 것도 안전할 수 없어”

지난 3월 5일 보안뉴스에 OTP와 관련된 제보 한 건이 접수됐다. 내용은 모 은행에서 발급받은 OTP(일회용비밀번호)기기에 사용상 문제점이 있다는 것이었다. 이에 해당 은행과 금융보안연구원측은 OTP 자체의 보안결함 이라기보다는 OTP기기에 대한 오해에서 비롯된 문제고 사용자 관리상의 문제에 대한 지적이라고 설명했다. 

A씨의 제보내용을 요약하면 “지난달 29일 거래은행에서 OTP를 발급받았다. 그런데 우연히 OTP를 생성시켜 수첩에 5개를 적어 둔 후 다음날 이 OTP를 인터넷뱅킹시에 사용해보니 적용이 됐다. 토큰형 OTP는 주로 휴대폰에 걸고 다니는 경우가 많은데 누군가 사용자 몰래 번호를 적어놓고 악의적으로 사용한다면 심각한 금융거래 이용자들의 피해가 발생할 수 있다고 생각했다. 보안성이 높을 것이라고 생각해 발급받은 OTP가 더 불안한 감이 있어 제보를 하게 됐다”고 말했다.

이에 금융보안연구원 관계자는 “이 문제는 OTP 시스템의 보안취약점이 아니라 도용시 문제가 될 수 있다는 것에 대한 지적”이라며 “현재 시중에 배포되고 있는 OTP들은 보안성이 검증된 제품들이며 국제적으로 통용되는 보안알고리즘을 사용하고 있어 안전하다”고 강조했다. 

이 관계자는 “제보자의 의견처럼 도용 가능성을 이야기하면 어떤 기기도 안전할 수 없다”며 “그렇다면 일부 사람들은 보안카드를 복사해서 지갑에 넣고 다니거나 휴대폰 카메라로 찍어서 사용하는 경우도 있는데 이러한 것들도 도난이나 도용을 거론한다면 모두 문제가 될 수밖에 없을 것”이라고 설명했다.

또 “OTP도 보안카드나 공인인증서 그리고 계좌비밀번호와 같은 하나의 인증시스템 중 하나로 봐줘야 한다. 어떤 방식이든 100% 완전한 보안이 될 수 없기 때문에 금융권에서도 복수의 인증체계를 둬 더 안전한 인터넷뱅킹이 될 수 있도록 하고 있다”고 덧붙였다.

해당 은행 관계자는 “보안뉴스에 제보한 고객이 5일 오후 고객센터에 의견을 보내와 6일 전화통화를 통해 OTP의 보안취약점이 아니라 사용상 부주의에서 발생할 수 있는 문제라고 설명했으며 3월중 배포될 카드형 이벤트·타임 복합형 OTP로 교체해주겠다고 제안한 상태”라고 말했다. 

이 관계자는 “이벤트 방식의 OTP는 보안성뿐만 아니라 사용자 편의성을 강조한 제품이다. 일부 사용자들은 OTP기기 분실을 우려해 몇 개의 번호를 수첩에 적어두고 OTP기기는 금고에 넣어두고 사용할 수 있어 편리하다는 의견도 많다”며 “제보한 고객의 지적은 OTP기기를 부주의하게 관리했을 경우 발생할 수 있는 문제로 OTP시스템 자체의 보안결함이라고 보면 안된다”고 설명했다.

그럼 OTP에 사용자만 알 수 있는 비밀번호 키를 한번 더 추가하면 도용문제가 해결되지 않을까란 기자의 질문에 “OTP에 다시 패스워드 시스템을 도입한다면 또 하나의 보안시스템을 추가하는 것 뿐”이라며 “그렇지 않아도 여러 인증시스템이 있는데 이 또한 이번과 같이 유출문제를 거론하게 되면 무용지물이 된다. 고객만 더 번거로워질 수 있다”며 “사용자 관리 부주의에 의해 발생할 수 있는 문제들을 거론한다면 보안카드든 공인인증서든 어떤 보안인증 시스템도 소용없을 것”이라고 덧붙였다.

하지만 제보자 입장에서 본다면 충분히 이러한 의견은 은행측에 문제제기를 할 수 있는 부분으로 여겨진다. 또한 이벤트 방식과 타임방식 OTP기기에 대한 기능적인 차이를 고객들에게 충분히 전달했다면 이러한 오해는 발생하지 않았을 것으로 보인다.

물론 은행 창구에서 OTP 발급시 기본적인 사용설명과 설명서가 첨부되겠지만 OTP가 본격 배포, 사용되고 있는 시점에서 사용상 이용자 주의에 대해 더욱 홍보가 필요한 상황이다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>