전자금융 보안, OTP `웃고` HSM `울고`

　전자금융 보안 시장에서 하드웨어보안모듈(HSM)이 일회용비밀번호(OTP) 솔루션에 밀려 찬밥 신세를 면치 못하고 있다.

　금감원은 지난해 5월 발생한 인터넷 뱅킹 해킹 사건의 후속 대책으로 ‘전자금융거래 종합대책’을 내놓으면서 올해부터 시중 은행은 보안 수준 1등급을 맞추기 위해 OTP나 HSM을 도입하라고 지시했다.

　OTP는 비밀번호를 생성해주는 단말기로 거래시마다 새로운 비밀번호를 보내줘 비밀번호 도용으로 인한 피해를 막는다. HSM은 USB메모리 저장장치와 같은 형태로 PC에 장착해 사용하며 장치 내 자체 CPU와 메모리 등이 포함된 스마트카드 칩을 사용해 외부의 물리적 압박이나 논리적 공격에도 공인인증서를 안전하게 보관하는 솔루션이다.

　금감원은 두 솔루션 도입을 권고 사항으로 발표했는데 지난해 말부터 은행권의 대다수가 HSM보다 OTP를 우선 도입키로 하면서 HSM 업계가 울상이다.

　신한은행이 차세대 시스템 가동을 시작하면서 고객들에게 OTP를 무료로 보급했으며 농협과 제일은행, 우리은행 등이 OTP를 도입했다. 또, 국민은행과 하나은행도 조만간 OTP 도입을 검토하고 있어 사실상 OTP진영의 완승이 될 전망이다.

　은행들이 HSM 보다 OTP를 도입하게 된 것은 지난해 말 금융보안연구원이 설립되고 OTP통합인증센터를 가동한다는 소식이 때문이다. 통합인증센터가 설립되면 각 은행별로 OTP 인증시스템을 갖추지 않고 분담금만 내면 안전한 전자거래 환경을 갖출 수 있다.

　정균태 미래테크놀로지 사장은 “은행들의 다양한 요구에 맞추기 위해 카드형과 타임 방식, 키 버튼 방식, 보이스 OTP 등 신제품 개발에 몰두하고 있다”며 “OTP통합인증센터가 가동되면 OTP에 대한 수요는 더욱 늘어날 것”이라고 말했다.

　이에 대해 HSM 개발 업체 한 사장은 “HSM은 기존 전자거래 시스템을 건드리지 않고 사용자에게 단말기를 배포하는 것만으로 안전성을 높일 수 있는 강력한 보안 대책”이라며 “은행은 더욱 안전한 금융거래를 위해서 OTP와 HSM은 병행해 사용해야 한다”고 말했다.

　 김인순기자@전자신문, insoon@