Photo Image

“OTP 카드가 집에 있다.” 영화 '인질'에서 황정민은 납치범에게 돈을 송금할 수 있는 은행 OTP 카드가 집에 있다는 말로 납치범을 집으로 보낸다. 그리고 탈출을 시도할 수 있는 시간을 번다.

일정 한도 이상의 금융거래를 위해서는 OTP가 필수다. 외출하며 OTP카드를 챙기지 않아 난감했던 순간을 한번쯤은 겪어봤을 것이다. OTP는 원 타임 패스워드(One time password)의 약자로, 말 그대로 일회용 비밀번호다. 기존 보안카드 등에서 동일한 비밀번호가 반복해 사용돼 발생하는 보안상 취약점을 극복하기 위해 도입했다.

OTP는 컴퓨터 알고리즘을 통해 생성된 의사난수를 비밀번호로 이용하는 사용자 인증 방식이다. 의사난수란 무작위해 보여 난수로 취급하지만 정해진 알고리즘으로 만들기 때문에 진짜 난수는 아니다. 그래서 '난수를 흉내낸 것' 또는 '가짜 난수'라는 의미를 가지고 있다. 즉, OTP 비밀번호가 만들어지는 데는 OTP 고유 번호, 해당 시간 등 다양한 요소가 작용한다.

OTP 생성기는 매 1분마다 자동으로 서로 다른 6자리 패스워드가 나오는 방식, 버튼을 누르면 6자리의 패스워드가 나오는 방식, 키패드에 4자리 비밀번호를 입력하면 6자리 패스워드를 보여주는 방식 등 다양한 종류가 있다.

보편적으로 사용하는 금융기관 OTP는 시간동기화 방식을 활용한다. OTP에는 고유 인증번호를 만들어내는 생성기와 시계가 내장돼 있다. 이용자가 OTP를 활용해 인증번호를 생성할 때 같은 시간대에 금융기관 서버에서도 인증번호가 만들어진다. 동일 시간대에 두 번호가 일치하면 인증에 성공한다.

이때 OTP 내 시계가 빠르거나 늦어 오차가 생기더라도 은행 서버는 이 경우의 수까지 감안하고 승인을 진행한다. OTP 시간은 처음부터 금융기관 서버 시간과 동일하게 맞춰 발급된다. 이에 OTP와 금융기관 서버가 인터넷으로 연결돼 있을 필요는 없다.

OTP는 과거 소형 단말기 모양의 토큰형이 주로 사용됐다. 이후 휴대를 간편화하기 위해 신용카드 모양의 카드형이 보편화됐다. 최근에는 스마트폰의 범용가입자식별모듈(USIM)을 기반으로 하는 모바일 OTP(MOTP) 또한 대중화됐다.

금융권 이외의 기업 또한 OTP를 다양하게 이용하고 있다. 회사 밖에서 내부 정보망에 접속할 때 OTP를 사용하며, 클라우드 접속 때에도 활용된다. 온라인 게임 계정 접속에도 OTP를 흔히 활용한다.

그만큼 OTP는 철저한 보안성을 자랑한다. 하지만 휴대용 OTP를 분실하거나 OTP 유효 시간 내 인증값 해킹을 통해 이를 탈취하는 일이 없을 것이라고 완벽하게 보장할 수는 없다.


이에 블록체인, 양자암호 등 다양한 차세대 보안 방법을 OTP에 적용하거나 OTP와 이를 결합한 보안 기술 개발 등이 고려돼야 할 것이다.


정예린기자 yeslin@etnews.com