Binary HACKs

[쇼핑저널 버즈] 인터넷 시대다. 처음 인터넷이 등장했을 때만 하더라도 단순히 컴퓨터와 컴퓨터를 연결하는 네트워크에 불과했지만 지금은 상황이 크게 달라졌다. 필요한 정보는 키보드와 마우스 클릭 몇 번만으로 손쉽게 찾을 수 있고 은행 업무는 물론 관공서 서류 접수나 세금, 심지어 일일이 시장에 나가지 않아도 옷이나 음식을 구입할 수 있으니 말이다.

4월부터는 OTP를 사용해야 금융거래시 이체한도를 높일 수 있다.

하지만 그만큼 보안에 대한 문제도 함께 불거졌다. 단순히 개인정보를 빼내는 것 외에도 이를 이용한 금융범죄도 나날이 늘어가는 추세다. 그래서인지 금융권에서는 은행통장 원본확인이 불가능하면 자금관리서비스나 CMS 온라인 이체한도를 100만원으로 제한하고 전자금융 보안등급별 이체한도 차등화를 적용해 보안장치에 따라 등급을 부여하는 등 다양한 해결책을 내놓고 있다.

특히 4월부터 시작되는 전자금융 보안등급별 이체한도 차등화는 현재 사용하고 있는 보안카드와 공인인증서 외에도 OTP를 사용해야 자신이 원하는 만큼 이체한도를 늘릴 수 있다. OTP는 'One Time Password' 약어로 쉽게 말해 기존에 사용하던 보안카드 대신 일회용으로 비밀번호를 만들어내는 장치를 말한다.

■ 사용 간편하고 보안성 우수
OTP가 등장한 이유는 단순하다. 아무리 비밀번호를 복잡하게 조합하고 암호화했다 하더라도 수시로 바꾸지 않는 한 매번 같은 디지털 데이터가 전송될 수 밖에 없다. 해킹은 바로 이런 약점을 파고든다. 암호 자체를 깨는 것이 아니라 사용자가 입력하는 특정 문자나 숫자를 가로채는 방식을 이용한다. 바로 키보드 해킹이다. 그러나 OTP는 버튼을 누를 때마다 암호가 수시로 바뀌므로 해킹에 대한 부담을 덜 수 있다. 쉽게 말해 한번 쓰고 버리는 암호라는 뜻이다.



OTP는 인증 방식에 따라 챌린지 레스폰스, S/KEY, 타임식, 이벤트식 등으로 나뉜다. 챌린지 레스폰스 인증은 HHA(Hand Held Authenticator)라 부르는 소형 암호 기기를 사용한다. 흔히 토큰이라 불리는 HHA를 사용하려면 이름이나 ID 번호, 암호 등을 입력한 후 인증 서버가 데이터와 시간, 난수 등을 조합해 코드를 되돌려준다. HHA는 챌린지 코드를 기본으로 일회용 암호를 만들어 화면에 표시하는데 이를 다시 입력해야 인터넷 뱅킹을 사용할 수 있다.
 

OTP는 인증 방식에 따라 챌린지 레스폰스, S/KEY, 타임식, 이벤트식 등으로 나뉜다.	휴대가 간편하도록 카드형으로 만들어진 OTP도 있다. (사진 : 테트라플러스)

HHA는 금융회사에 따라 모양이 조금씩 다르다. 예컨대 계산기처럼 여러 개의 버튼이 나열되어 있는 HHA가 있는 반면 일회용 비밀번호만 만들어내도록 버튼이 하나만 장착된 것도 있다. 사용하는 방법도 마찬가지. 기기 자체에 걸린 암호를 입력하고 챌린지 코드를 넣어야 하는 HHA가 있는 반면 화면에 나타난 코드를 일일이 눌러야 하는 HHA도 있다. 또한 특정 금융회사에서만 사용할 수 있는 것과 그렇지 않은 것도 있다.

■ 완벽한 보안은 불가능, HHA 분실시 곧바로 신고해야
S/KEY의 경우 HHA와 같은 소형 암호 기기가 필요 없다. 대신 사용자에게 패스 플레이즈라고 불리는 고유 데이터가 제공되며 이를 이용해 일회용 암호를 만들어낸다. 물론 일회용 암호를 만들기 위해서는 따로 프로그램을 설치한다. 또한 한번 사용한 암호는 더 이상 입력이 불가능하므로 필요한 수만큼 미리 만들어야 한다.

이제 보안카드와 공인인증서만으로는 원하는 만큼 이체 한도를 늘릴 수 없게 됐다.

타임식은 매번 챌린지 코드를 넣어야 하므로 조금 불편하지만 그만큼 보안이 우수해 HHA를 분실하더라도 해킹 우려가 적다. 또한 한번 표시된 암호는 시간이 지나면 사용할 수 없다. 반대로 이벤트식은 굳이 챌린지 코드를 넣지 않아도 버튼만 누르면 계속해서 일회용 암호가 만들어지므로 사용이 간편하고 재빨리 인증을 받을 수 있어 편의성이 높지만 대신 분실할 경우 해킹으로 이어질 수 있으니 주의해야 한다.

참고로 최근에는 챌린지 레스폰스 방식보다는 타임식과 이벤트식을 혼합한 OTP가 널리 사용되는 추세다. 또한 HHA도 크기를 줄여 휴대가 간편하도록 카드 형태로 만든 제품도 있으니 고려해 볼만하다.


금융보안연구원의 강우진 팀장은 "OTP도 공인인증서나 보안카드와 마찬가지로 본인 확인을 위한 인증시스템의 일종"이라며 "다른 인증시스템도 마찬가지지만 조금이라도 개인정보가 새어나가면 대처하기 어려울 수 있으므로 무엇보다 HHA 관리에 많은 신경을 기울여야 한다"고 전했다.

보안등급	거래이용수단	1회 이체한도	1일 이체한도
1등급	OTP+공인인증서	1억원	5억원
2등급	보안카드+공인인증서+보안SMS	5,000만원	2억 5,000만원
3등급	보안카드+공인인증서	1,000만원	5,000만원

또한 그는 "설사 HHA가 분실되더라도 ID 번호, 공인인증서, 암호 등 여러 인증절차를 거쳐야한다"면서 "새로운 OTP 일회용 암호가 만들어지면 기존 일회용 암호는 효력이 사라지므로 HHA가 없어지면 곧바로 관련 금융기관에 신고하는 것이 좋다"고 덧붙였다.

이수환 기자(shulee@ebuzz.co.kr)

'IT 제품의 모든것'
-Copyright ⓒ ebuzz.co.kr, 무단전재 및 재배포 금지