내가 쓰는 비밀번호, 그때그때 달라요! – OTP
내 개인정보가 나도 모르는 사이에 유출되지 않을까 걱정이라고? 인터넷은 개방된 공간이다 보니 공격자에 의한 해킹이나 도청 등의 공격에 취약하다. 인터넷이 점점 보급되면서 개인 정보 노출 위험도 커져만 간다. OTP(One Time Password)는 이러한 약점을 보완하기 위해 개발된 사용자 인증 암호/시스템이다.
OTP 사용자, 해마다 증가
OTP는 비밀번호나 공인인증보안카드 기능을 대신하는 '일회용 비밀번호'라고 할 수 있다. 그때그때 생성되는 비밀번호를 사용해 인증하는 방식이다. 일반적으로 비밀번호는 고정되어 있기 때문에, 한번 유출되면 불법적으로 사용될 위험이 많다. 하지만, OTP는 매번 비밀번호가 바뀌기 때문에 유출돼도 불법적으로 사용될 위험이 적다. 국내에는 지난 2007년 금융보안연구원(Financial Security Agency)에서 운영하는 OTP통합인증센터가 설립돼, 해당 서비스를 시행하고 있다.
OTP는 주로 온라인 뱅킹, 온라인 게임 등 사용자 인증 수단의 보안을 한 단계 더 높일 때 사용한다. 이외에도 최근 포털 사이트나 기업 네트워크 등도 도입하는 추세다. 일례로 포털 사이트 네이버는 지난해부터 '네이버OTP’ 서비스를 제공하기 시작했다.
OTP 사용자도 해마다 증가하는 추세다. 현재 OTP 사용자는 총 695만 명이며, 거래 건수는 6억 1,200만 건이다(2012년 12월 말 기준). 전년 대비 각각 22%, 12.6% 증가한 수치다. 금융보안연구원(원장 김광식)은 올해부터 전 금융권역에서 OTP 인증방식을 의무적으로 도입해야 하기 때문에 이용자와 거래 건수는 계속해서 증가할 것으로 전망했다.
OTP, 어떻게 사용하나
OTP를 사용하려면 서버와 사용자 사이에 통신이나 전달을 할 수 있는 매개체가 필요한데, 이는 크게 4가지로 나눌 수 있다. OTP토큰과 카드형 OTP토큰, 스마트폰 앱, SMS 등이다.
OTP토큰은 OTP를 자체 생성할 수 있는 연산 기능과 암호 알고리즘 등을 내장한 별도의 단말기다. 외형은 USB메모리와 흡사하며, 크기는 손가락 두 마디 정도다. 토큰은 별도로 추가비용을 지급하고 구매해야 한다.
토큰을 카드 모형으로 바꾼 것이 카드형 OTP토큰이다. 휴대성을 개선하기 위해 두께를 얇게 만든 것이다(지갑 속에 넣어 다닐 수 있다). 다만, 기존 토큰보다 OTP생성 속도가 느리고, 발급비용이 비싸다는 단점이 있다.
돈을 들이지 않고 OTP서비스를 이용할 수도 있다. 스마트폰 앱을 이용하거나 SMS를 활용한 방식이다. 방식은 같다. 서버가 OTP 정보를 스마트폰 앱 또는 SMS로 전송하고, 사용자는 이 정보를 이용하면 된다. 하지만 두 가지 방법 모두 모바일을 통해 사용하는 만큼 (토큰 방식 보다) 해킹 당할 위험이 크다.
OTP 생성 방식
OTP 생성 방식은 크게 비동기화 방식과 동기화 방식 두 가지로 나눌 수 있다. 두 가지로 나뉘는 이유는 토큰과 같은 단말기가 서버로부터 OTP를 받느냐(비동기식), 직접 OTP를 생성하느냐(동기식)의 차이다.
비동기화 방식은 인증 서버(기관)로부터 받은 질문에 대한 답변을 사용자가 직접 토큰, 스마트폰 앱 등에 입력해 OTP를 생성하는 방식이다. 예를 들어 보자. 사용자가 OTP를 받기 위해서는 먼저 인증 서버로부터 고유 번호(인증번호)를 받아야 한다. 그리고 그 번호를 다시 입력하면, 서버는 그 때서야 OTP를 사용자에게 보낸다. 이 OTP를 다시 사용자가 입력해야 인증 절차가 끝난다. 이 방식은 금융권에서 OTP 도입 초기 주로 사용했지만, 불안정한 시스템 때문에 점차 사용이 줄고 있다.
동기화 방식은 말 그대로 서버와 OTP단말기가 동기화돼 있어, 사용자가 인증을 요청할 때 바로(토큰이 스스로) OTP를 생성하는 방식이다. 사용자가 별도로 값을 입력하지 않아도 된다. 단말기 버튼 하나만 누르면 끝이다. 여러 과정을 거쳐야 하는 비동기화 방식의 단점을 개선한 것. 다만, 1분마다 OTP값이 매번 바뀌어 그 안에 입력하지 못하면 새로 바뀐 번호로 다시 입력해야 한다.
안심해도 될까?
OTP가 기존 비밀번호나 공인인증서의 취약점을 보완해 개발된 것은 맞다. 하지만 OTP라면 무조건 안심할 수 있을까. 정답은 '아니다'. 아무리 베테랑이라도 실수는 있는 법. 지난 몇 년간 OTP도 해킹당하는 사건이 있었다.
지난 2011년 3월, 미국 RSA의 OTP '시큐어ID' 정보가 해킹당하는 일이 발생했다. 이 해킹 사건 당시 OTP생성에 쓰이는 계산 수칙 등 주요 정보가 유출됐고, 이 때문에 RSA의 고객사 록히드 마틴(Lockheed Martin)과 L-3 커뮤니케이션즈(L-3 Communications)의 전산망이 해킹 공격을 받았다. 록히드 마틴의 전산망에는 군사 기술과 개발 중인 무기에 대한 정보가, L-3 커뮤니케이션즈의 전산망에는 미 국방성에 공급하는 각종 통신 및 정찰 기술 등에 관한 정보가 담겨 있었다. 이 밖에도 온라인 게임 디아블로3를 서비스하는 블리자드의 OTP 시스템이 해킹당했다.
이렇듯 무조건 OTP가 안전하다는 생각은 버려야 한다. 무엇보다 온라인에서 개인정보 유출을 막기 위해서는 꼼꼼한 관리만이 정답이다. PC자동 보안 업데이트 프로그램을 활용하거나 주민등록번호 클린센터 서비스 이용하기, 주민등록번호 대신 아이핀(I-PIN)을 사용하는 등 여러 방법을 실천하는 것이 최선이다.
글 / IT동아 양호연(yhy420@itdonga.com)