국민·우리은행, HSM 도입 추진

　국내 선두 은행인 국민은행과 우리은행이 일회용비밀번호생성기(OTP)와 함께 보안토큰(HSM) 채택을 적극 추진 중인 것으로 확인됐다. 옥션에 이어 청와대까지 해킹에 뚫린 가운데 OTP 역시 해킹에 노출될 수 있다는 우려가 나오는 상황이어서 이들 은행이 채택 시 HSM 도입이 범금융권으로 확산될 전망이다.

　27일 관련 금융기관에 따르면 우리은행이 최근 HSM 채택을 위한 인프라 구축을 마쳤으며, 국민은행 역시 계획을 수립한 것으로 파악됐다. 양사 모두 인프라는 구축하지만 HSM을 보급할지는 확정하지 않았다.

　김국현 우리은행 e비즈니스사업단 과장은 “인터넷뱅킹에서 HSM을 이용할 수 있는 인프라 구축이 완료 시점에 있다”며 “하지만 당장 HSM 도입(판매) 계획은 없다”고 말했다. 김용원 국민은행 IT기획부장도 “보안 측면에서 HSM이 괜찮은데 이것을 어떻게 활용해야 할지 고민 중”이라면서 “고객 시각에서 선택의 폭을 넓히기 위해 검토하고 있다”고 밝혔다.

　양 은행의 이 같은 움직임은 HSM이 OTP에 비해 보안성이 뛰어난데다가 농협에서 발급받은 HSM 이용 고객들이 이들 은행에서도 사용할 수 있도록 하기 위한 것으로 파악된다. 현재 금융기관 중에는 농협만이 OTP와 HSM을 모두 발급하고 있다. 작년 말 HSM 보급에 나섰으며, 이달 22일까지 6500개가량이 보급됐다.

　금융사들이 그동안 HSM 채택에 소극적이었던 것은 규정상 OTP와 HSM을 모두 도입할 의무가 없었던데다가 HSM이 상대적으로 비싸고 편리성도 떨어지기 때문이다. HSM 도입 검토단계에 있는 신한은행 관계자는 “(HSM 도입과 관련) 시장 상황을 보고 있다”면서 “고객에게 이점이 있다면 도입하겠지만, HSM은 텔레뱅킹에서 사용을 못하는 등 단점이 있다”고 설명했다.

　HSM은 공인인증서의 복사방지를 위해 보안성이 강화된 스마트카드 기반의 USB 저장장치로 금융감독원이 ‘전자금융거래 이용수단 보안등급별 이용한도 차등화’ 조치에서 OTP와 함께 1등급 거래이용수단으로 지정했다. OTP가 해킹에 노출될 수 있다는 우려가 있는 반면에 HSM은 복사·이동 등이 불가능해 보안성이 높다는 것이 일반적인 업계의 분석이다. 특히 최근 OTP번호 발생 후 25초∼1분간 MITM(Man in the middle·중간자형)이라는 해킹 공격을 받을 수 있다는 지적이 나오면서, HSM을 도입해야 한다는 목소리가 나오고 있다.

김준배기자 joon@