아무도 모르는 나만의 비밀번호 OTP - 펌 - 펌

아무도 모르는 나만의 비밀번호OTP

금융감독원은 지난 4월부터 일정액 이상 거래시 OTP 사용을 의무화하도록 하는 ‘전자거래 안정성 강화 종합 대책’을 발표했다. 기업을 대상으로 해 오던 보안사업을 일반인에게까지 확대적용한 것이다. 이에 따라 앞으로는 OTP를 사용하지 않는 개인이나 기업들에게는 이체한도에 제한을 두는 등의 조치가 취해진다. 정부의 이같은 결정은 최근 크게 늘어난 금융사고에서 기인한 것이라고 할 수 있다. 그러나 아직까지 일반인들이나 실무자 사이에서 OTP(One Time Password)는 낯선 개념이기만 하다. 이번호에는 OTP 원리, 종류 등에 대해서 알아보고, 공급되고 있는 OTP 제품들의 특징들을 살펴보려고 한다. 

김정상 기자 amorfati8@naver.com




A씨는 B씨에게 돈을 이체하기 위해 기존 공인인증서를 통해서 인터넷 뱅킹에 접속한다. 
이체계좌번호를 넣고, 통장비밀번호를 입력한다. 
그리고 핸드폰에 걸려 있는 OTP에서 생성된 여섯자리의 비밀번호를 입력한다. 
그러면 잠시 후 금액이 이체되었다는 메시지가 뜨고, 이체는 완료된다. 

C씨는 요즘 컴퓨터 게임을 즐기고 있다. 요즘 인기있는 유료게임이다. 
프로그램을 실행시키면 화면에 아이디와 비밀번호를 넣는 창이 뜬다. 
C씨는 아이디를 입력하고, 휴대폰 OTP생성기를 통해서 비밀번호를 입력한다. 
C 씨는 자신이 오랫동안 모아놓은 아이템들과 경험치들을 확인하고 플레이를 진행한다. 

위의 모습들은 현재 OTP가 실생활에 사용되고 있는 모습들이다. 기존에 비해서 암호키를 입력하는 방식만 달라졌을 뿐 크게 달라진 것은 없다. 과거 일반적인 비밀번호를 사용하거나, 인증서 또는 보안카드를 통해서 접속하는 것보다 그리 어렵지도 않다. 
비밀번호에 추가적으로 OTP번호를 입력하거나, 아니면 비밀번호 대신에 OTP에서 생성된 패스워드를 넣으면 되는 것이다. 

이런 의문이 들기도 한다. 어떻게 이렇게 간편한 OTP가 보안상으로 기존 방식보다 훨씬 뛰어난 것일까. OTP를 이해하기 위해서는 일반적인 로그인 방식인 아이디-패스워드에 대해서 살펴볼 필요가 있다.



자신임을 인증하는 도구, 아이디 - 패스워드
인터넷이 보편화되면서, 사람들은 많은 업무를 ‘웹’이라는 가상공간에서 처리하게 되었다. ‘웹’을 이용하기 위해서는 본인임을 인증하는 절차가 필요한데, 이때 필요한 것이 아이디와 패스워드이다. 
아이디는 다른 사람과 나를 구분하며, 패스워드는 아이디의 주인인 나를 확인한다. 아이디와 비밀번호는 영문과 숫자의 임의의 조합으로 이루어진다. 아이디는 사람들에게 공개되는 부분이고, 비밀번호는 인증을 받기 위한 암호키이다. 
그러나 이런 단일인증방식은 보안상의 많은 문제점을 안고 있다. 아이디와 패스워드를 알면 누구든지 ‘웹’공간 안에서 다른 사람처럼 행동할 수 있기 때문이다. 이런 아이디 도용은 실제로도 많은 범죄를 일으키고도 있고, 인터넷의 영향력이 커진 만큼 사회적으로 큰 문제로 대두되고 있다.



날로 발전하는 해킹기술
해커들의 해킹도 과거와는 크게 변화하고 있다. 과거 아이디와 패스워드를 알아내는 것이 전부였지만, 요즘에는 ‘피싱사이트’라는 가짜 사이트를 만들어 유인하기도 하며, 사이트 접속 도메인을 갈취해 고객의 금융정보를 빼내기도 한다. 이밖에도 사용자 컴퓨터의 메모리에 기생하면서 사용자도 모르게 정보를 변형시키는 방식을 사용하기도 한다. 
‘피싱사이트’는 ‘인터넷 뱅킹’을 위해 연결되는 사이에 해킹 프로그램을 심어 다른 사이트로 연결되게 만들고, 이를 오인한 고객들이 로그인을 하게 만들어 아이디와 비밀번호 등의 정보를 빼내는 방식이다.
‘도메인 갈취’는 위의 방식보다 한단계 앞선 방식인데, 인터넷 주소창에 정확한 주소를 입력해도 도메인 자체가 다른 사이트와 연결되어 있는 것이다. 자신이 거래하는 사이트와 비슷하고 내부구조까지 닮아 있어 계좌번호, 비밀번호, 인증서, 보안번호까지 모두 빼낼 수 있는 방식이다.
이밖에 ‘메모리 해킹’이라는 해킹 방식이 있다. 사용자의 컴퓨터 내부에 설치된 해킹프로그램을 통해서 사용자를 완전히 속이는 방식이다. 모든 정보는 메모리에 저장되었다가 암호화되어 전송되는데, 메모리에서 이를 조작하는 것이다. 고객은 계좌번호, 금액, 암호, 보안키 입력 등 모든 정보를 정확하게 입력하고 금융기관으로부터 인증을 받았지만, 해커는 계좌번호와 금액을 전송 직전에 바꿔버리는 것이다. 사용자로서는 확인할 수 있는 방법이 전혀 없고, 시간이 한참 지난 뒤에야 해킹을 당했는 것을 알게 된다.



금융보안은 금융계의 가장 큰 화두 
은행이나 증권사의 경우에는 적게는 수 십만 원에서 많게는 수 억 원에 이르기까지 큰 돈이 오가는데, 보안상의 허점이 발견된다면 이는 간단히 넘어갈 문제가 아니다. 그래서 금융업체들은 다양한 보안매체를 만들어 이러한 악의적인 접근을 차단하기 위해서 애쓰고 있다. 
그러나 그런 노력 만큼이나 전문 해커들 또한 새로 고안한 다양한 방법으로 공격을 해오고 있고, 금융업체들은 이를 방어하기 위해서 고민을 하고 있다. 또한 여기에 들어가는 비용과 노력만 해도 상당할 정도다. 이제 금융보안은 금융업계에 가장 큰 화두가 되었다.



사용자 편의냐, 보안이냐 
그러나 금융업체로서는 이런 부분이 딜레마이기도 하다. 해커로부터 고객의 정보를 안전하게 지키기 위해서 보안성을 높이다보면 결국에는 사용자 편의성을 무시할 수 밖에 없고, 사용자의 편의성만 생각하다보면 보안상의 헛점이 너무 많을 수 밖에 없다.
금융업은 하나의 서비스업이기 때문에 많은 사람들이 이용해야 수수료와 이자를 비롯한 수익이 느는데, 그를 위해서는 접근성을 용이하게 할 필요가 있다. 접근성은 복잡한 절차를 간소화함으로써 실현이 가능한데, 이러다보면 보안상에 문제가 생기기 마련이다.
특히 ‘인터넷 뱅킹’이 문제가 된다. 은행측으로서도 은행업무의 대부분을 처리하면서 비용절감과 사용자의 편의성을 극대화했지만, 본인임을 인증하는 것은 어렵기만 하다. 공인인증서와 보안카드가 있다고 하지만, 이건 누구나 복사해서 가지고 갈 수 있는 것이기도 하다. 그렇다고 이런 보안매체를 한없이 늘릴 수 있는 것도 아니다. 그렇게 되면 한번 거래할 때마다 몇 개의 절차를 거쳐야 하고, 차라리 은행에서 업무를 처리하는 것이 간편하게 생각될 수도 있다. 금융업체의 입장에서는 더욱 서비스가 복잡해 질 수 밖에 없다.
이런 면에서 금융업계는 ‘사용자 편리성’과 ‘보안성’ 사이에서 고민을 하고 있다. 이런 고민을 더욱 깊게 만드는 것이 바로 연일 터져나오는 금융보안사고이다. 



금융 보안매체와 함께 진화
이런 고객들의 요구를 받아들이기 위해서 금융업체들은 오래전부터 다양한 보안매체를 고안해서 제공하고 있다. ‘공인인증서’와 ‘보안카드’가 대표적이다. 
이런 보안매체는 어느 정도 보안성이 확보된 것이나, 시간이 지나면서 많은 문제점을 드러났다. 
개인이 관리할 수 있는 부분이 한계가 있다는 것, 개인과 금융기관 사이에 거래가 이루어지고 있는 동안의 헛점이 생길 수 있다는 점이 바로 그것이다. 
이를 보완하기 위해서 등장한 것이 바로 OTP라고 할 수 있다. OTP는 개인 사용자 자신도 어떤 번호가 나올 지 알 수 없기 때문에 이전부터 지적되어오던 개인관리부분이 크게 보완되었고, 금융거래 사이에 일어날 수 있는 비밀번호 노출의 위험도 크게 줄였다. 



한번 쓰고 버리는 패스워드, OTP
OTP(One-time Password)는 말 그대로 새로운 비밀번호를 생성하는 기기나 서비스를 말한다. OTP를 사용하면 사용자는 매번 비밀번호를 새롭게 생성하기 때문에 보다 안전한 인터넷 거래를 할 수 있게 된다. 
OTP는 현재 금융업체와 게임업체에서 가장 활발하게 사용하고 있으며, 그 외에도 개인자료에 대한 요구가 있는 곳을 중심으로 하나 둘 도입되고 있다. 
금융업체로는 전 은행과 증권사가 현재 OTP를 사용중이며, 게임업체로는 한게임, 리니지 등이 휴대전화를 이용한 OTP서비스를 제공하고 있다. 이외에도 싸이월드 등이 OTP를 통한 인증을 부분적으로 도입해 사용하고 있다. 



OTP 어떤 원리로 가능한가?
일회용비밀번호(OTP)는 1회에 한해 사용할 수 있는 비밀번호 시스템으로 매번 다른 비밀번호를 통해서 사용자를 인증한다.
그렇다면 이런 의문이 들 수 있다. 어떻게 무작위로 생성되는 패스워드를 인증할 수 있는 것일까? 답은 간단하다. 처음 OTP를 발급받을 때 OTP기기의 종류와 시리얼 번호를 등록하게 된다. 그리고 통합인증서버에도 OTP기기에 대한 정보가 입력되고, 이를 바탕으로 인터넷 공간에서 고객인증을 하게 되는 것이다. 물론 그 사이에는 서로 다른 알고리즘이 들어가게 되는 등 복잡한 과정이 있지만, 결국에는 ‘자신이 가지고 있는 OTP에서 생성한 비밀번호’와 ‘통합인증센터에서 생성한 비밀번호’가 일치하는 지 여부를 확인하게 되는 것이다. 
이렇게 되면 사용자가 인증을 요구할 때마다 개인이 가지고 있는 OTP기기를 통해 생성된 패스워드와 은행 내에서 생성된 패스워드를 비교해서 응답결과를 내놓게 된다. 이 둘은 모두 정해진 것이 아니기 때문에 해커들이 이를 알아내기도 불가능하고, 알아낸다 하더라도 사용할 수 없다.



알고리즘을 통해 구현한 보안기술
일반적으로 OTP에서 생성해내는 비밀번호는 특수한 알고리즘을 이용해 생성한다. 기본적으로 해시 알고리즘을 이용하는데, 이것은 일방향 함수로 일정한 답을 바탕으로 그 원리를 파악할 수 없는 방식이다. 다시말해 해시함수를 이용해 생성한 키를 해킹하는 것 자체가 불가능하다는 뜻이다. 
해시함수 자체가 원래 입력값을 삭제하고 몇개의 값으로 나누어, 그 번호를 역순으로 출력해서 보여주는 것을 반복하게 된다. 다음 숫자가 만들어지면서 그 전의 자료가 계속 지워지기를 반복하기 때문에 이를 거꾸로 거슬러 문제를 푼다는 것은 불가능하다. 또한 이 함수는 비교한 후 값을 지워버리는 특징 때문에 어떤 흔적도 남지 않는다.



난수를 활용한 다양한 비밀키 생성 방식
금융권에서 사용하는 OTP는 방식에 따라 크게 4가지가 있다. 고전적인 OTP 방식인 ‘S/Key’, 임의의 난수를 암호 알고리즘에 입력하는 방식인 ‘챌린지 리스펀스’, 임의의 난수값을 시간값으로 하는 방식인 ‘시간동기화’, 횟수에 따라 다른 값을 입력 값으로 하는 ‘이벤트 방식’이 그것이다. 
각각의 방식마다 장단점을 가지고 있지만, 후자로 갈 수록 앞의 단점을 보완하기 위해서 고안된 방식이라고 할 수 있다. 
사용자로서는 ‘S/Key’방식이 가장 무난하나, 보안이 더욱 중요한 사람에게는 ‘이벤트 방식’이 효과적이다.



OTP통합인증센터 `시간동기화` 채택
국내에서는 통합인증센터가 ‘시간동기화’방식을 채택함으로써 대부분 ‘시간동기화’ 방식을 기본으로 하고, 여기에 각 은행별로 다른 추가적인 알고리즘을 더해 제공하고 있다. 
시간동기화 방식은 개인이 가지고 있는 OTP장비 안에서 시간이 흐르는 방식이다. 고유한 시간값에 OTP기계의 고유번호, 그밖에 여러가지 변수들을 종합해서 OTP를 생성하게 된다. 
통합인증센터에도 이런 정보들이 입력되어 있어, 같은 방식으로 OTP를 생성해 비교하게 된다. 
시간동기화방식을 사용하면 ‘시간값’을 난수로 사용하기 때문에 버튼 하나만 누르면 키값이 나타나기 편리하고, 사용시의 오류가 비교적 적다.



어디서든 OTP 하나만 있으면 O.K.
OTP의 초창기에는 은행별로 모두 다른 솔루션을 도입하여 고객들로서는 불편함이 많았다. 예를 들어 10개의 은행과 거래를 하게 되면, 10개의 OTP를 가지고 있어야 했던 것이다. 
이런 불편함을 해소하기 위해서 작년 6월부터 OTP통합인증센터가 구축돼 운영되고 있다. 이곳에는 현재 18개 은행, 30개 증권회사, 기타 6개가 모여서 서비스를 가동중이며, OTP 벤더사들이 각각 비용을 부담해 데이터센터 구축, 유지를 담당하고 있다. 
이제는 어느 은행이나, 증권사이던지 OTP 하나만 발급받으면 어디서든지 사용할 수 있다.



OTP의 다양한 종류
OTP는 모양과 서비스의 종류에 따라서 몇 가지로 구분 된다. 대표적으로 토큰형, 카드형, 모바일형으로 구분해 볼 수 있다. 금융권에서는 투팩인증방식을 사용하고 있기 때문에 기존 보안매체와 나눠지는 `토큰형`과 `카드형`만이 사용되고 있다. 카드형은 보관상의 여러 편리성이 있으나 아직까지는 기술적인 문제들로 폭넓게 보급되지는 못하고 있다. 
- 토큰형
일반적인 OTP로 예전의 삐삐 형태를 가지고 있다. 이 안에 시간 흐름을 파악할 수 있는 수정과 알고리즘 칩이 들어가 비밀번호를 생성한다. 미래테크놀로지를 비롯해 인터넷시큐리티, EMC(RSA시큐리티), OTP멀티솔루션(바스코) 등 대부분의 업체에서 보급하고 있다. 국내업체로는 미래테크놀로지와 인터넷시큐리티가 있고, 수입업체로는 RSA제품을 수입하고 있는 EMC와 바스코 제품을 수입하고 있는 OTP멀티솔루션이 대표적이다.
토큰형 제품의 가장 큰 장점은 충격, 방수, 방습, 방열 기능이 강하다는 점이다. 그러나 내구성을 확보하기 위해서 비교적 크기가 크기 때문에 보관하기가 쉽지 않다는 단점이기도 하다. 
- 카드형
OTP카드는 기존 토큰형 OTP를 카드형으로 만든 제품이다. 대표적인 업체로는 ‘아이덴티타’를 보급하고 있는 ‘예스컴’이 있고, 국내에는 ‘미래테크놀로지’와 ‘인터넷시큐리티’가 있다. 
카드형 제품은 일반 카드와 비슷해 관리하기가 편하고, 앞면의 60~70%까지 마케팅과 광고로 활용될 수 있다는 장점이 있다. 그러나 상대적으로 내구성이 약하기 때문에 고장이 날 위험이 크다. 또한 수명도 3년 정도로 토큰형에 비해서 낮은 것, 가격이 아직 2배 이상 비싸다는 점도 단점으로 꼽힌다.
그러나 앞으로 기술개발과 함께 내구성과 가격경쟁력을 갖춰나갈 것으로 보고 있다. 
- 모바일
모바일OTP(MOTP)는 휴대전화에 탑재 가능한 일회용 비밀번호 생성 SW로 미래테크놀로지, 인터넷시큐리티에서 개발해 공급하고 있다. OTP SW는 매번 다른 비밀번호를 생성해 주기 때문에 강력한 보안성을 제공받을 수 있다. 이외에도 휴대전화에 OTP SW를 탑재함으로써 언제 어디서든 사용자 인증을 할 수 있다는 장점이 있다. 그러나 우리나라에서는 보안매체를 분리한다는 정책에 따라 현재는 게임업체를 비롯해 상대적으로 보안상의 문제가 적은 곳 위주로 사용되고 있다. 
주기적으로 교체해야 하는 HW 토큰(Token)과 달리 영구적인 사용이 가능한 SW 토큰 방식이기 때문에 운영비용을 절감할 수 있다.



OTP의 새로운 가능성 모색
OTP는 초기 1,000억원 대의 시장을 형성하면서 기술력을 가진 많은 업체들이 투자를 시작했다. 그러나 통합인증센터가 구축되면서 시장이 크게 줄어들었고, 초창기에 비해면 사업성도 많이 떨어진 상태다. 그에 비해 기술수준은 이제 수입업체나 국내업체나 크게 차이가 나지 않을 정도로 비슷해지다보니, 일부에서는 가격경쟁을 하기도 한다. 이런 출혈경쟁이 시작되면서 OTP시장은 처음의 매력을 많이 잃은 상태다.
그런 이유로 OTP업체들은 일반적인 금융보안툴에서 벗어나 개인인증의 차원으로 시장을 넓혀 나가고 있다. 간단한 예로 게임업체인 한게임, 리니지가 그렇고, 개인 정보를 보관하는 싸이월드 등이 그렇다. 이들은 금융정보만큼이나 중요한 개인정보를 포함하고 있기 때문인데, 이들도 핸드폰이나 모바일 기기를 통해서 OTP 서비스를 제공받을 수 있다.



국내업체, 전반적인 시장 발전 이끌어
대표적인 국내기업으로는 미래테크놀로지와 인터넷시큐리티가 있다. 둘 다 자체 알고리즘 기술과 생산라인을 가지고 OTP를 보급하고 있다. 최근에 국내업체들은 편의성을 향상시킨 카드형 OTP개발에 전념하고 있어, 곧 카드형 OTP가 기존의 단점을 극복하고 시장에 나올 것으로 보인다. 이렇듯 국내기업들의 가장 큰 장점은 고객들의 요구를 발빠르게 반영한다는 것이다.
국내업체들은 초창기 수입업체들이 대부분을 선점했던 시장을 다시 찾고, 전반적으로 가격을 낮추는데 큰 역할을 했다. 초기 OTP 한 대가 7~8만원 하던 것을 지금 5,000원 정도의 수준으로 낮출 수 있었던 것도 국내기업들의 노력이 크다. 



은행권 OTP 보급, 허와 실
최근 은행들은 오는 5월부터의 OTP 의무사용으로 인해 분주하다. OTP 협력업체들을 선정하는 것도 그렇고, 어떤 OTP를 어떤 디자인으로 고객들에게 제공할 것인지도 고민이다. 
은행들은 다양한 OPT를 통해서 OTP들을 비교하고 있지만, 아무래도 가장 크게 관심이 가는 건 가격이다. 은행의 측면에서도 비용적인 부분을 무시할 수 없기 때문이다. 그러나 가격만으로 보안기기를 선택하는 것은 큰 위험이 따른다고 보안전문가들은 말한다. 정확성이 떨어질 수 있기 때문이다.
물론 정확성이 떨어진다고 보안성이 함께 떨어지는 것은 아니나, 그만큼 고객들에게 신뢰를 잃을 수 있다. 한 예로 OTP를 발급받은 고객이 자신의 금융거래 시에 OTP번호가 계속 맞지 않고 이로 인해 자동적으로 거래 정지까지 당했다면, 그 고객은 은행을 찾아서 이를 해지하고 다시 거래를 시작해야 한다. 이런 불편함이 한번도 아니고 몇 번이나 계속 된다면 이를 견뎌줄만큼 충직한 고객은 아마도 찾기 힘들 것이다.



수명 한계, 대체불능 
아직도 개선해야 할 점 많아
OTP는 아직도 기술개발이 이루어져야하는 부분이 많다. 그 중에 하나가 수명이다. 
외국에서도 시장 점유율이 꽤 큰 RSA시큐리티나 바스코의 경우에는 대부분 3년을 보중한다. 
워런티 기간이 3년이기 때문에 그 이상 사용이 가능하다. 3년이 지나면 다시금 거래은행을 다니면서 다시 OTP 인증을 받아야 한다는 불편한 점이 있다. 이에 비해 국내업체는 4~5년 정도로 조금 길기는 하지만 영구적이지는 않다. 
그리고 OTP는 단 하나이기 때문에, 이를 가지고 있지 않으면 본인이라도 절대 금융거래가 불가능하다. 대체할 수 있는 수단이 없기 때문이다. 그렇기 때문에 언제나 가지고 다녀야 한다는 불편함이 따른다.



색다른 디자인으로 승부한다
OTP시장 초기만 하더라도 국내제품과 수입제품의 품질 차이는 컸다. 거기다가 국내제품과 가격에서도 크게 차이가 나지 않아, 초기에는 수입제품이 가격을 경쟁력으로 시장을 넓혔다. 그러나 국내업체들도 기술력을 비롯한 가격경쟁력을 가지게 되면서 전반적으로 시장의 가격이 낮춰졌다. 국내업체의 경우에는 기술력과 생산라인을 가지고 있다는 것이 가장 큰 힘이었다.
생산라인을 갖춤으로서 적절한 때에 필요한 물량을 생산할 수 있게 됐고, 그와 함께 디자인의 다양한 변화가 가능해졌다. 고객의 취향에 맞는 제품을 제작해서 홍보도구로 사용할 수 있게 된 것이다. 



지나친 가격경쟁으로 모는 분위기 개선해야
앞으로 인터넷 환경이 보편화되면, 자신을 인증해야 할 필요가 더욱 많아진다. 그렇기 때문에 OTP의 가능성은 무한하다고 할 수 있다. 그러나 최근에는 은행권에서 가격만을 중요하게 생각하는 경향이 크다. 그런 요구들이 자연스럽게 업체들간의 출혈경쟁을 일으키고, 크게 봐서 OTP제품의 품질을 저하시키는 결과를 낳는다. 조금 시각을 바꿔서 OTP의 내구성과 내부 알고리즘, 디자인, 그리고 유지보수를 위한 회사의 경쟁력 등에도 한번 관심을 가질 필요가 있다. 개개의 가격만을 지나치게 보다보면 더욱 큰 것을 놓칠 수 있음을 상기해야 한다. 



OTP를 관리하는 방법
1. OTP는 항상 휴대해야 한다. 
2. OTP기기를 타인에게 빌려주거나 일련번호 등의 관련 정보를 알려주지 않아야 한다.
3. OTP기기 분실, 고장, 사용 만료시에는 반드시 신고하고 재발급 후 사용한다.
4. OTP를 이용한 거래를 수행하더라도 정기적으로 자신의 계좌를 확인한다.
5. OTP번호를 10회 연속해서 틀릴 경우, 이용이 제한된다. 
오류해제를 위해서는 실명확인인증표를 지참하고 영업점을 방문해야 한다. 주의해서 입력하도록 한다.
9. 번호가 오류가 날 때는 OTP보정을 통해서 요청해야 한다.



보안등급 차별화 
보안등급을 올리지 않으면 이체한도가 자동으로 줄어든다. 이체 습관과 규모를 따져 결정해야 한다.





OTP 발급방법
OTP는 카드형과 토큰형(과거 삐삐 모양)으로 나뉘는데 둘 다 버튼만 누르면 자동으로 비밀번호를 생성해준다. 기존 보안카드가 1,500개 정도의 비밀번호를 생성하는 데 반해 OTP는 100만개 이상을 만들어낼 수 있기 때문에 해킹 자체가 불가능한 것으로 평가된다. OTP 발급비용은 5,000원선이며 가까운 은행 영업점을 방문해 신청하면 된다.
OTP를 이용하면 보안카드 번호를 입력하던 방식을 버튼 한번 누르는 것으로 표시할 수 있다. 보안카드가 여러개라서 불편한 사람들에게, 또는 좀더 높은 보안성을 원하는 사람들에게 유용하다. 



인터뷰 / 미래테크놀로지 임수익 부장 
끊임없는 기술개발로 시장을 리드한다
국내 OTP사업을 끌어왔다고 해도 과언이 아닌데요, 사업을 시작한 계기가 있으신가요?
미래테크놀로지 정균태 대표님이 금융관련 업체에서 오랫동안 일을 했습니다. 그쪽에서 일을 하다보니 금융보안이 취약하다는 것을 알고 시작한 것이 벌써 10년이 넘었습니다. 초창기에는 기반을 다지기 위해서 금융보안 뿐만 아니라 네트워크 구축 등의 사업도 진행을 했었는데요, 지금은 OTP만을 전문적으로 연구하고 개발하고 있습니다.

OTP개발을 위해서 투자는 어떻게 하고 계신가요?
우선 보안전문연구실을 마련해 연구를 하고 있습니다. 전문연구인력이 새로운 알고리즘을 개발하고, 이를 산업전반에 활용할 수 있는 방안을 모색하고 있습니다. 아마도 미래테크놀로지가 은행 및 증권업계에서 대부분의 시장을 차지할 수 있었던 것은 이런 노력이 바탕이 되지 않았나 합니다. 현재 미래테크놀로지는 특허와 디자인등록만도 10여개가 넘고, 또 계속해서 특허를 추가하고 있습니다. 또한 앞으로 OTP관련 사업이 확대될 것을 대비해 다양한 솔루션을 개발하고 있습니다. 특히 OTP제품만을 보면 자체에 e-paper를 이용한 디스플레이를 구현한 것은 물론, 다양한 보안 신기술이 총집합되어 이를 분석한다는 것 자체가 불가능하게 되어 있습니다.



인터뷰 / 인터넷시큐리티 한만주 대리 
국내 업체의 자존심을 지켜갑니다
국내업체로서 힘드신 점은 없으신가요?
최근에는 국내업체에 대한 인식이 많이 좋아졌지만, 예전에는 그렇지 않았습니다. OTP제품이 보안제품이다보니까 한번쯤 걱정을 하셨던 거죠. 그러나 국내 보안기술이 세계 수준이라는 것을 말씀 드리고 싶습니다. 물론 알고리즘만 따진다면 원천 기술을 가지고 있는 외국 업



체보다 못한 것이 사실이지만, 그것만으로는 OTP제품이 최고다 아니다를 따질 수 없습니다. 초기에 국내업체로서 힘들었던 점이라고 한다면 기술력과 가격에서 경쟁력이 없었다는 거죠. 그러나 꾸준한 투자와 연구로 이제는 수입제품보다 질적으로나 가격적으로나 한단계 앞서고 있다고 자부합니다.

제품이 조금 색다른 것 같은데요?
네, 저희는 내부 알고리즘 뿐만 아니라 OTP를 악세사리 정도로 만들 수 있는 방법에 대해서 연구하고 있습니다. 국내에서는 세계에서 최고로 작고 가벼운 OTP를 만들게 되었습니다. 이 이상은 아마도 당분간 불가능하지 않을까 합니다.

인터뷰 / OTP멀티솔루션 허진하 이사
디자인으로 고객의 마음을 사로잡는다
제품 소개를 부탁드립니다.
바스코제품의 경우에는 이미 세계 시장에서 인정을 받은 제품입니다. 오랜 기간동안 사용되면서 그 내구성과 수명에 대해 인정을 받았습니다. 저희는 5년이 사용가능한 걸로 보고 있습니다만, 은행에 납품할 때는 보증기간을 3년으로 해서 내놓고 있습니다. 




앞으로의 사업 전략은 어떻게 되나요?
인터넷 공간에서 자신을 인증하는 분야는 굉장히 많습니다. 그에 따라 앞으로 OTP사업은 다양하게 변화해 갈 것입니다. 그러나 자사는 당분간은 금융권에 집중할 생각입니다. 저희의 고객인 은행, 증권사에 맞는 서비스를 하고, 또 은행, 증권사의 고객인 일반인들의 만족을 위해서 디자인을 비롯해 다양한 부가적인 서비스를 제공하기 위해서 노력할 것입니다. 

인터뷰 / 예스컴 조일상 차장 
차별화된 제품으로 금융 시장을 개척한다

예스컴은 어떤 회사인가요?
예스컴은 2004년 법인을 설립하고, 금융권 CRM 구축을 비롯해서 보안관련사업을 진행해 온 업체입니다. IBM, 마이크로소프트 등의 굴지의 기업들과 협력해서 금융권의 다양한 솔루션을 구축해 오고 있습니다. 이번에 OTP사업을 시작으로 앞으로는 금융보안을 아우르는 금융IT전문기업으로 발돋움할 계획에 있습니다. 

예스컴에서 소개하고 있는 `아이덴티타 OTP`는 무엇인가요?
아이덴티타 OTP는 카드형 OTP를 말합니다. 기존에 카드형 OTP의 경우에는 여러가지 기술적인 문제로 인해 ISO규격에 맞는 8mm를 맞추지 못하고 있습니다. 그러나 아이덴티타의 제품의 경우에는 이에 맞는 규격으로 일반 카드와 함께 지갑에 보관할 수 있습니다. 또한 상대적으로 수명도 길어서 OTP 등록을 위해 은행에 가야 하는 번거로움을 줄일 수 있습니다. 다양하게 디자인할 수 있다는 점도 매력입니다. 제품은 크게 ‘디스플레이용’과 ‘사운드용’이 제공되고 있습니다. 현재 ‘디스플레이용’의 경우에는 하나은행과 협의중에 있습니다.
[공동작업실 ⓒ www.coworkers.co.kr 저작자 표시 - 비영리 사용 - 변경 금지]