본문 바로가기
스티븐 디지털伺

보안상 취약한 스마트OTP

by 하승범 위드아띠 2016. 1. 7.

핀테크 산업의 발전에 따라 전자금융거래에 다양한 인증수단이 제안되고 있다. 카드형 스마트OTP는 보안성이 취약한 보안카드와 두껍고 항상 소지하고 다니는 불편한 토큰형 OTP를 대체하기 위해 등장했다. 이렇게 스마트OTP가 주목을 받으며 각 은행마다 서로 다른 핀테크 기술을 활용한 스마트OTP를 선보이고 있다.

 

2015년 6월 근거리무선통신(NFC) 기술을 적용한 국민은행 스마트OTP 출시를 시작으로 각 은행이 도입을 서두르고 있다. 금융결제원도 스마트OTP 보급을 위해 기존 토큰형 OTP와 같이 스마트OTP를 모든 금융사에서 하나로 통합 사용할 수 있도록 개발하여 2016년 3월까지 보급한다는 계획이다. 


그러나 스마트OTP는 기존 토큰형 OTP의 불편함과 번거로움을 크게 줄였지만, 편의성을 지나치게 강조하여 자칫 보안에 구멍이 뚫릴 수 있다는 지적이 있었다.  결국 그런 지적이 현실화되고 있는 것이 아닌지 우려된다. 취약한 보안을 보강하지 못하면 사업확 추진된 기술이 사장될 수도 있기 때문이다.


김승남 의원, "스마트 일회용비밀번호, 보안위험에 취약"머니위크 2015-12-15


우선 스마트OTP의 보안상 취약점으로 OTP가 채택하고 있는 시간동기화 방식에 따른 구조적 결함이 지적된다. OTP는 서버와 기기간 동기화된 시간정보를 기준을 1분마다 다른 번호를 생성하는데 기존 토큰형 OTP는 시간기능이 내장되어 이를 조작할 수 없었다. 그러나 스마트OPT는 모바일앱(App)을 통해 번호를 받는 식이라 스마트폰의 시간을 미래로 설정해 놓으면 해당 시간에 발생할 OTP번호를 미리 받을 수 있다.


또한 모바일앱(App) 자체가 해킹될 경우 스마트OTP IC칩 보안과 별도로 실제로 OTP 번호를 보여줄 때 스마트폰에 악성코드가 설치되어 있거나 모바일앱(App)이 위변조 될 경우 OTP 번호 전달과정에서 정보가 유출될 수 있다.



실제 스마트OTP는 기존 토큰식 OTP, 카드형 OTP가 사용되는 환경에서 반드시 도입이 필요했을까! 사용측면에서도 스마트폰에 카드형 스마트OTP를 갖다대어 비밀번호를 생성하고 있어 기존 카드형 OTP보다 편의성에서 차이가 없다. 보안측면에서 보안성이 취약한 보안카드를 대체한다고 하지만 스마트OTP는 기존 OTP보다 보안등급이 한 단계 낮다()

반응형
사업자 정보 표시
위드아띠 주식회사 | 하승범 | 서울시 서초구 방배천로2길 21 4층 비즈온 위드아띠 | 사업자 등록번호 : 445-86-00793 | TEL : 070-4497-5066 | Mail : stevenh@withatti.co.kr | 통신판매신고번호 : 2018-서울송파-1750호 | 사이버몰의 이용약관 바로가기

댓글