은행권, 스마트OTP 보안안전성 미흡 판정‥당분간 공인인증서 대체 수단 없어
비대면 계좌개설 때 본인 확인 공인인증서 이용해야 "위상 오히려 더 높아져"

은행들이 자체 테스트한 결과 스마트OTP 등 대체인증수단의 보안 능력이 낮은 수준인 것으로 나타났다. 이 때문에 연내 공인인증서 없는 전자금융거래(자금 이체)는 불가능할 전망이다. 오히려 다음달 중 대면 확인 없이 공인인증서, ARS(자동응답) 만으로 계좌개설이 가능해질 예정인 만큼 오히려 공인인증서의 위상이 높아졌다는 평가가 나온다.

21일 은행권에 따르면 신한 국민 우리 하나 농협 등 시중은행들은 스마트OTP를 공인인증서 대체 수단으로 활용하는 방안을 검토했으나 금융거래수단(스마트폰)과 본인인증수단(OTP)을 일원화한 스마트OTP의 보안안전성이 오히려 취약하다고 결론을 내렸다.

한 은행 관계자는 "스마트폰을 잃어버릴 경우 인증수단과 거래수단을 한꺼번에 분실한다는 점은 치명적 약점"이라며 "개인정보를 빼내기 위한 목적의 가짜 앱이 판을 칠 가능성도 배제할 수 없다"고 설명했다.

◆ '금융거래 장치와 보안장치가 한곳에?'…스마트OTP 보안안전성 미흡 평가

스마트OTP는 스마트폰의 NFC(근거리무선통신) 기능을 활성화하고 관련 애플리케이션을 실행시킨 뒤 교통카드 기능이 들어 있는 신용카드를 스마트폰에 갖다대면 스마트폰 화면에서 자동으로 비밀번호가 입력돼 본인 인증이 끝나는 방식이다. 모바일뱅킹 시에는 비밀번호가 자동 입력돼 곧바로 이체 등이 마무리되고, 인터넷뱅킹 때는 스마트폰 화면에 뜬 비밀번호를 PC화면에 넣으면 이체가 끝나는 구조다.

기존 OTP(One Time Password)는 비밀번호를 매번 생성하기 위해 별도의 외부 장치를 이용해야 했는데, 스마트OTP는 스마트폰 내에서 자체적으로 비밀번호를 생성한다는 게 장점이다.

그러나 은행들이 스마트폰OTP의 보안안전성을 미흡하다고 판단하면서 스마트폰OTP는 기존의 OTP를 대체하는 정도로만 활용될 예정이다. 스마트폰을 기존 OTP 장치로 이용하려면 스마트OTP 서비스를 위한 신용카드를 새로 발급받아야 하고, 관련 앱도 깔아놔야 한다. 이후 앱을 사용할 때는 공인인증서 비밀번호를 넣어 모바일뱅킹 앱에 로그인한 후 신용카드를 통해 비밀번호를 자동 입력하고, 이후 공인인증서 비밀번호를 다시 입력해야 한다.

◆ 공인인증서, 비대면 계좌개설 때 본인확인으로 활용 예정

금융위는 지난달 18일 전자금융감독규정 개정 때 스마트OTP 도입을 허용하는 동시에 전자금융거래 때 공인인증서 사용 의무를 폐지했다. 다양한 본인인증 수단이 나올 수 있도록 문을 열었다.

스마트OTP는 전자금융감독규정 개정에 따라 도입이 가능해졌다. 기존 감독규정에는 전자금융거래 수단(컴퓨터·스마트폰)과 본인 인증수단(보안카드·OTP)을 분리·보관해야한다고 명시돼 있었으나 개정 과정에서 빠졌다. 스마트OTP 등 대체인증수단을 염두에 두고 규제를 완화했다는 게 금융권 관계자들의 분석이다.

하지만 금융권이나 보안업계 전문가들은 스마트OTP의 보안안정성이 미흡한 것으로 판정됨에 따라 공인인증서를 대체하는 전자금융거래 인증수단은 당분간 나오기 힘들 것으로 보고 있다.

한 보안회사 관계자는 "기본적으로 공인인증서는 사고율이 비교적 낮은 대체인증수단"이라며 "공인인증서 대체 수단이 나오게 된 배경이 보안능력 미흡이 아니라 '불편하다'는 점이었던 만큼 금융회사들이 총대를 매고 대체수단을 발굴하기가 쉽지 않다"고 지적했다. 은행 관계자들 또한 "대체인증수단이면 보안안전성이 공인인증서보다 더 높아야 하는데 모두 미흡한 것으로 나타나고 있다"고 말했다.

지문 등 생체인식 인증수단 또한 아직 비용 등의 측면에서 활성화되기 어렵다는 평가가 나오고 있다. 한 은행 관계자는 "지문인증 장치는 비교적 신형 스마트폰에만 탑재돼 있는데, 이 폰들로 모두 '물갈이'가 돼야만 본격적으로 도입을 검토할 수 있을 것 같다"고 설명했다.

반면 공인인증서는 당장 다음달부터 비대면 계좌개설 과정에서 본인인증 수단으로 사용될 예정인 만큼 위상은 올라갈 전망이다. 금융위는 공인인증서와 자동응답(ARS), 문자메시지, 화상통화 등을 활용해 얼굴 확인 없이 계좌 개설이 가능한 방안을 다음달 중에 마련키로 했다.