OTP 사용의무 폐지, 인증보안 시장 새 국면 접어들까
2016.02.22 18:14:30
[미디어잇 노동균] 전자금융거래에서 공인인증서에 이어 일회용 비밀번호(OTP, One Time Password) 사용 의무까지 폐지될 것으로 알려지면서 인증 보안 시장이 새로운 국면에 접어들고 있다. 이에 금융권에서도 새로운 기술 도입에 따른 충격을 최소화하면서 핀테크 트렌드에 부합하는 경쟁력 확보에 속도를 낼 전망이다.
최근 금융위원회에 따르면 계좌이체 등의 전자금융거래 시 일회용 비밀번호를 반드시 사용해야 하는 의무를 폐지하는 내용의 전자금융감독규정 개정이 상반기 중으로 진행될 예정이다. 금융보안 규제가 핀테크 발전을 저해한다는 일련의 지적에 따른 조치로 풀이된다. 금융위는 비슷한 맥락에서 지난해 3월 전자금융거래 시 공인인증서 사용 의무를 폐지한 바 있다.
인터넷 뱅킹에 필수적으로 사용돼 온 일회용 비밀번호는 임의의 숫자가 인쇄돼 있는 보안카드에서부터 별도의 단말기 형태로 휴대하는 토큰형 OTP, IC 칩을 내장한 스마트카드에 스마트폰을 접촉시키면 일회용 비밀번호가 생성되는 스마트 OTP로 진화를 거듭해왔다. 형태는 각기 다르지만, OTP는 공인인증서와 함께 금융감독규정에서 명시하고 있는 다중 인증(multi-factor authentication)을 위한 수단으로 자리매김해왔다.
때문에 상반기 중 일회용 비밀번호 사용 의무가 폐지되더라도 보안성이 최우선인 금융권에서 단기간에 OTP를 대체하는 인증 수단을 도입하기는 쉽지 않을 전망이다. 그러나 공인인증서 사용 의무 폐지 이후 지문인식 등 생체 정보 기반의 보안인증 기술이 급속도로 확산된 것을 고려하면, 일회용 비밀번호 사용 의무 폐지도 인증 보안 시장에 큰 활력소가 될 것으로 업계는 내다보고 있다.
이에따라 현재 사용되고 있는 스마트카드를 기반으로 편의성을 보완한 인증 보안 기술이 대두될 가능성이 크다. 소비자들이 그동안 친숙하게 사용해온 실물 카드 형태의 매체를 선호할 것이라는 전망에서다. 근거리 무선통신(NFC) 기술을 탑재한 스마트카드와 스마트폰을 태깅하면 자동으로 인증이 이뤄지는 방식이 대표적이다.
현재는 이 과정에서 발생하는 일회용 비밀번호를 사용자가 직접 입력하거나, 자동으로 인증창에 비밀번호가 전송되는 방식에 머물러 있지만, 향후 일회용 비밀번호 사용 의무가 폐지되면 두 매체를 접촉시키는 것만으로 인증이 완료되는 사용자 경험이 구현될 수 있다. 이러한 방식은 현재도 일부 은행의 인터넷뱅킹 서비스에 적용돼 있어 비교적 신속하게 기존의 OTP를 대체할 수 있을 것으로 기대된다.
일회용 비밀번호 없이 QR 코드 스캔과 지문인식 두 가지만으로 인증이 가능한 서비스도 이미 구현돼 있다. 이 경우 이용되는 실물 매체는 스마트폰 한 가지뿐이지만, 서비스 제공자의 QR 코드와 등록된 사용자의 지문 정보를 기반으로 웹사이트 로그인, 쇼핑몰 결제, 인터넷 뱅킹 등에서 손쉽고 안전하게 인증이 가능한 점이 특징이다.
다만, 관건은 사전 규제를 최소화하는 대신 얼마나 책임 부담을 명확히 제시하는가에 있다. 특히 최근 금융사뿐 아니라 비금융회사의 관련 시장 진출이 잇따르고 있지만, 이에 따른 책임 소재 및 소비자 보호 기준이 미흡하다는 지적도 제기되고 있다. 업계는 이러한 위험 요인을 적절하게 관리하되, 아직은 초기 단계인 관련 산업의 발전이 저해되지 않도록 규제 정비 추진과 함께 서비스 제공자에 대한 감사를 강화할 필요가 있다고 강조한다.
업계 관계자는 “이미 지난해부터 금융당국이 일회용 비밀번호 사용 의무 폐지를 언급해온 만큼 관련 금융권에서 받아들이는 충격이 그리 크지는 않을 것으로 본다”며 “기술적으로는 OTP를 대체할 만한 인증 수단이 충분히 개발돼 있다고 판단되는 만큼 금융권의 의지에 따라 새로운 핀테크 서비스의 등장을 기대해볼 수 있을 것”이라고 말했다.
노동균 기자 saferoh@chosunbiz.com