"스마트OTP와 기존 OTP는 무슨 차이가 있나요"
"스마트OTP는 비밀번호를 입력할 필요가 없어 사용하기 편해졌어요"
"앱을 따로 설치해야 하는데 보안에 문제는 없나요"
"그런 문제는 없어요"
11월 20일 국민은행과 신한은행 영업점 10곳에 방문해 스마트 일회용비밀번호생성기(OTP·One Time Password) 발급을 문의해 본 결과 단 한 곳도 기존 OTP와의 차이점을 제대로 설명한 곳은 없었다. 스마트OTP는 금융당국이 공인인증서를 없애겠다는 취지로 올해 초 은행권에 주문한 새 보안 인증 수단이다. 인터넷뱅킹을 할 때 사용하는 스마트OTP는 기존 OTP를 카드 모양으로 만들어 스마트폰 뒤에 갖다 대면 비밀번호가 자동으로 입력되는 최신형 보안 매체라는 개념에서 출발했다.
하지만 결과는 용두사미가 되고 있다. 시중은행들은 스마트OTP가 공인인증서를 대체하기에는 보안성 등 기술적으로 한계가 있다고 보고 스마트OTP를 기존 OTP와 보안카드를 대체하는 용도로 출시하고 있다. 금융당국이 스마트OTP 도입 목적을 ‘보안 카드 대체’로 바꿔 은행들에 올해 말까지 출시하라고 밀어붙였기 때문이다.
스마트OTP는 비밀번호를 직접 입력해야하는 불편함이 없어져 사용하기에는 편해졌지만 보안성은 기존 OTP보다 떨어졌다는 지적이 많다. 기존 OTP는 6자리의 비밀번호를 생성할 때 인터넷과 단절돼 있어 해커들이 침투할 틈이 없다.
그러나 스마트OTP는 스마트폰 애플리케이션(앱)을 통해 비밀번호를 입력하기 때문에 해커들이 이 틈새를 파고들 여지가 있다. 금융결제원도 시중은행들에 “기존 OTP와 스마트OTP의 보안성에 다소 차이가 있다”는 입장을 전달했다. 각종 보안앱을 장착해 당장 안전성에 큰 문제가 없을 지 몰라도 해커들의 침투를 원천 봉쇄하지는 못한다는 것이다.
문제는 은행들이 기존 OTP와 스마트OTP의 보안 수준에 차이가 있다는 것을 고객들에게 전혀 알리지 않고 있다는 점이다. 금융당국이 밀어붙이는 서비스라 은행들은 실적 내기에 급급한 나머지 스마트OTP의 휴대가 간편하고 사용하기 편리하다는 점만 강조하고 있다. 물론 은행들이 뿌린 보도자료나 고객 안내문에도 이러한 내용은 빠져 있다. 금융당국이 주도하는 사업에 은행들이 ‘제 목소리’를 내기 어려운 관행 탓이다.
국민은행과 신한은행이 이미 스마트OTP를 내놓았으며 우리은행, KEB하나은행 등 다른 시중은행도 스마트OTP 출시를 준비 중이다. 국민은행은 반년 새 7만개를 배포했고, 신한은행도 2만개를 무료로 배포 중이다.
금융소비자 입장에서 보면 스마트OTP는 큰 의미 없는 또 하나의 관제(官製) 상품에 불과하다. 금융당국과 은행이 뒤늦게나마 공인인증서를 대체할 새 보안 인증수단 개발에 관심을 두기 시작한 것은 다행이지만 결과적으로 ‘핀테크 실적’ 올리기에 급급한 모습을 보니 안타깝다.