거래연동 OTP, 보안성 의구심

금융보안연구원(이하 금보연)이 최근 공인인증서를 대체하기 위해 개발한 `거래연동 일회용비밀번호(OTP)`의 보안성에 대한 의문이 제기됐다. 구조적 결함 등을 안고 있어 금융권이 인터넷뱅킹 수단으로 도입하기엔 부적합하다는 지적이다.

8일 업계 및 학계에 따르면 금보연이 금융거래시 공인인증서의 부인방지 기능과 동등한 수준의 인증기술이라면서 최근 발표한 `거래연동 OTP`는 `사용자 본인 이외에 다른 사람이 비밀번호를 알아서는 안 된다`는 기밀성 원칙에 벗어났다.

보안전문가 한 관계자는 “`거래연동 OTP`에서 사용하는 대칭 키 방식의 비밀번호(PIN) 구조상 사용자와 금융보안연구원에 각각 한 개씩 저장이 되기 때문에 비밀번호를 본인 이외에 다른 기관에서 알고 있다는 것은 보안적인 측면에서는 문제”라고 지적했다.

공인인증서의 경우 생성되는 비밀번호는 본인 PC나 이동식저장장치 등 사용자본인에게만 저장이 되기 때문에 사용자 본인만 알고 있다. 하지만 본인과 다른 기관이 동시에 비밀번호를 가지고 있다는 것은 사용자 이외의 다른 누군가와 비밀번호를 공유하는 것이기 때문에 `거래연동 OTP`의 보안등급이 공인인증서보다 낮다.

또 `거래연동 OTP`의 비밀번호를 보관하는 제3자 검증기관의 역할을 금보연이 수행할 예정인데 사설기관인 금보연에 대한 신뢰성을 보장할 수 없기 때문에 근본적으로 결함이 있다는 지적이다.

모 교수는 “어디에도 100% 완전히 신뢰할 수 있는 기관이란 없기 때문에 비밀번호를 본인 이외의 다른 기관이 알고 있다면 금융사고 발생시 법적으로 사용자 책임인지 비밀번호를 보유한 다른 기관의 책임인지 책임 소재를 법정에서 명확히 가릴 수 없다”고 말했다.

그는 “금보연이 신뢰할 수 있는 제3자 검증기관의 역할을 완벽히 수행할 수 있다는 것을 입증하기 전까지는 `거래연동 OTP`를 서둘러 시행하기엔 무리가 있다”고 설명했다.

따라서 금보연이 무리하게 OTP에 부인방지 기능을 넣어 `거래연동 OTP`를 사용토록 만들 것이 아니라 기존 공인인증서와 OTP를 적절히 혼합해서 사용하는 방법 등 다양한 방안을 고려해야 할 것으로 지적됐다.

금보연 관계자는 “연구원이 법적인 부분에서 제3자 검증기관의 역할을 완벽히 해내기 어렵다는 점엔 동의한다”며 “과거 은행들도 사설인증서에서 공인인증서로 이행한 것처럼 `거래연동 OTP`도 사용자의 편의와 보안성을 추구하는 방향으로 점진적으로 발전할 것”이라고 말했다.

장윤정기자 linda@etnews.co.kr