금융결제원이 일회용 비밀번호 생성기인 스마트 OTP 인증의 보안성 심사 기준을 강화키로 했다. 이는 최근 일고 있는 스마트OTP 보안성 취약 지적에 따른 조치로 풀이된다.
이 카드는 일회용 비밀번호를 생성해 기존보다 보안성이 높아 금융당국이 발빠르게 상용화를 추진했지만 일각에서 오류가 난다는 지적을 받아왔다.
16일 금융권에 따르면 금융결제원은 스마트OTP의 수용적합성 시험 절차를 개선한다. 먼저 금융결제원은 핀테크업체가 개발한 스마트OTP의 오류와 불필요한 명령어 유무여부 등을 시험에 포함시킬 계획이다.
현재 수용적합성 시험에서는 OTP통합인증센터 연동규격 등에 명시된 항목을 중심으로 인증 시험을 진행하고 있다. 이 인증 시험을 통과하지 못한 스마트OTP 기술은 시중에 적용될 수 없다.
이는 최근 스마트OTP의 보안성이 취약하다는 지적에 따른 조치다.
김승남 새정치민주연합 의원은 지난 15일 보도자료를 통해 스마트OTP 중 보안위험이 매우 높은 제품이 사용되고 있다고 주장했다.
김의원이 관련 전문가와 A업체의 스마트OTP를 검사한 결과 이 스마트OTP는 금융결제원의 칩 규격서를 전혀 따르지 않았다. 또한 알 수 없는 명령어가 발견돼 개발자를 통해 비밀번호가 유출될 우려가 있다고 지적했다.
해당 업체의 스마트OTP를 사용하고 있는 은행은 농협·국민·신한·KEB하나·산업·부산은행 등 총 6곳이다.
반면 금융결제원은 김 의원의 지적에 대해 억울하다는 입장이다.
금융결제원 관계자는 "수용적합성 시험 항목에 칩 규격서는 지난 3월에 폐기돼 김 의원의 지적대로 규격에 맞지 않는다는 말은 사실과 다르다"며" "규격서를 폐지한 이유는 규격을 정하게 되면 명령어 처분과 규격에 대한 단하나의 기술만 존재하게 돼 해당 기술을 개발하는 핀테크기업 간에 기술 중립성을 지킬 수 없다고 판단했기 때문"이라고 설명했다.
이어 "금융결제원이 최근 시중에서 사용되는 스마트OTP를 재조사 한 결과 알 수 없는 명령어는 모두 스마트OTP 기능을 위한 명령어로 김 의원의 주장과 다르다"면서도 "보안성 강화를 위해 스마트OTP의 인증 시험을 강화할 것"이라고 말했다.
◇최근 스마트OTP의 보안성에 대한 지적에 제기되자 금융결제원이 스마트 OTP 인증의 보안성 심사 기준을 강화할 계획이다. 금융결제원 본부. 사진/금융결제원
김형석 기자 khs84041@etomato.com
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지