Home > 자료실 > 보도자료 PKI Forum 2007-11-09 ymshin@kisa.or.kr [U뱅킹 콘퍼런스] 전자금융거래 안정성 책임지는 보안솔루션 'OTP' 이용 상승세 대중화시대로 보안성 보강 'HSM' 시장서 주목 은행 '안티피싱'솔루션 도입 러시 정보보호업계에서는 금융권이 전자금융거래 안정성 확보에 대한 움직임이 가시화되면서 관련분야 업체들의 행보가 빨라지고 있다. 지금까지 가장 금융권에서 빠르게 움직여 왔던 분야는 일회용비밀번호(OTP). 지난 2005년 발표한 전자금융거래 안정성 종합대책에서 새로운 금융보안 솔루션으로 제시된 OTP는 이후 지난해 금융보안연구원 설립과 OTP통합인증센터 출범 등을 계기로 금융권 공급이 활발해졌다. 현재 센터에 참여하고 있는 55개 회원사 대부분이 OTP도입을 완료한 상태며 은행권에서는 거의 모든 곳에서 서비스에 들어간 상태다. 금융권의 도입과 함께 OTP를 이용한 전자금융거래도 꾸준히 증가하고 있다. 지난 6월 OTP통합인증센터 1차 출범 때까지만 해도 미미했던 전자금융거래 건수는 7월 말 2차 오픈을 계기로 8월 중순부터 거래 건수가 급증하면서 9월 중순 1000만 건을 돌파하는 등 무서운 성장세를 보이고 있다. OTP 서비스가 시중 은행들 뿐만 아니라 지방은행, 증권사 및 저축은행들로 확대되고 있는 상황이라 OTP를 이용한 전자금융거래 건수는 지속적인 상승세를 탈 것으로 보여 본격적인 OTP 대중화 시대를 맞을 것으로 전망된다. OTP에 비해 한 발 늦었던 하드웨어보안모듈(HSM) 분야의 움직임도 점점 가시화되고 있다. 전자금융거래 안정성 종합대책에서 일회용비밀번호(OTP)와 함께 인터넷뱅킹 이체거래 1등급(1회 이체한도 1억원)을 받았지만 호환성이 떨어진다는 이유로 OTP에 비해 덜 주목을 받았지만 보안성면에서는 전문가들로부터 OTP보다 더 우수하다는 평가를 받고 있어 시장 활성화에 많은 주목을 받고 있다. 한국정보보호진흥원(KISA)은 HSM 업체들과 표준화를 진행, 4월 초 HSM 기술규격 `보안토큰 기반 공인인증서 이용기술 규격`을 개발한데 이어 HSM 업체들과 공개키기반구조(PKI) 솔루션 업체들이 전자금융거래 서비스에 적용할 수 있는 추가 기술 개발을 완료한 상태다. 이어 지난 9월부터 HSM의 구현적합성에 대한 평가를 시작, 위노블이 공급하는 이스라엘 알라딘의 `e토큰(eToken)` 에 대해 테스트가 진행 중이다. HSM의 기술 규격과 상호 연동 등 표준 준수 및 구현적합성에 대해 평가하는 이 테스트를 통과하면 해당 솔루션을 모든 금융기관에서 자유롭게 사용할 수 있게 된다. 은행들도 HSM 도입에 조금씩 관심을 보이고 있다. OTP통합인증센터 출범에 맞춰 OTP도입에 집중하다 보니 그동안 HSM에 신경 쓸 겨를이 없었을 뿐 HSM의 보안성은 충분히 인식하고 있는 분위기다. 지난 5월 농협이 금융권 최초로 도입한 후 아직 많은 은행들에서 검토하는 단계이기는 하지만 호환성이 담보하는 솔루션이 나오면 적극적으로 도입을 고려하게 될 것으로 업계는 보고 있다. 올해 초 대량의 피싱 사건이 터지면서 골머리를 앓았던 은행들은 최근 안티피싱 솔루션 도입 논의도 불이 붙을 것으로 보인다. 지금까지 이슈화된 것에 비해서 그동안 금융권의 호응이 다소 소극적이었지만 신한은행ㆍ경남은행ㆍ광주은행 등에 이어 최근 최대 은행 중 하나인 농협중앙회가 도입하면서 다시 도입 논의가 활기를 띠고 있다. 또 올 초 소프트런에 이어 4월 소프트포럼, 최근 잉카인터넷 등이 안티 피싱 솔루션을 출시하고 경쟁구도를 마련한 것도 안티 피싱 솔루션 시장 확산에 일조할 것으로 보고 있다. 업계에서는 농협의 선택을 주시하면서 도입을 내부적으로 검토해 온 은행이 많았기 때문에 행보가 보다 가시화될 것으로 보고 있다. 또 대부분의 은행들에서는 안티피싱솔루션을 보안 솔루션 도입 검토 최우선 순위에 올려놓고 준비하고 있어 연말과 내년 초를 전후에 도입 움직임을 더욱 가속 페달을 밟게 될 것이라는 게 업계의 전망이다. 이홍석기자 redstone@ O 용어 # 일회용비밀번호(OTP)=OTP는 패스워드 이중보안을 위해 매번 시스템에 접근할 때마다 새로운 패스워드를 부여, 해킹이나 사용자의 관리소홀 등으로 패스워드가 노출되는 것을 방지하는 솔루션이다. 기기를 통해 주기적으로 비밀번호를 변경할 수 있어 기억하는 번거로움 없이 시스템의 보안성을 높일 수 있으며 스니핑 등에 의해 사용자 패스워드가 노출돼도 매번 새롭게 생성되는 패스워드를 사용해야 하므로 강력한 보안을 제공하는 것이 장점이다. # 하드웨어보안모듈(HSM)=HSM은 자체적으로 CPU와 메모리 등이 포함된 스마트카드 칩을 탑재, 외부 보안 위협으로부터 안전한 토큰 내에 공인인증서를 안전하게 보관할 수 있는 저장 장치다. 주로 스마트카드나 USB토큰 형태를 가지며 카드나 토큰을 슬롯에 삽입하면 고유의 암호화 모듈을 통해 내부 접속이 가능해 외부의 물리적 압박이나 논리적 공격에 안전하다는 평가를 받고 있다. # 피싱(Phishing)= 금융기관 등을 사칭해 개인 정보를 불법적으로 알아내는 인터넷 사기수법을 말한다. 개인정보(private date)와 낚시(fishing)의 합성어인 피싱은 불특정 다수에게 신용 카드나 은행 계좌 정보에 문제가 발생해 수정이 필요하다는 내용의 이메일을 발송한 후 가짜 웹사이트로 피해자를 유인하는 방법을 주로 이용하며 최근에는 인터넷전화(VoIP)나 휴대전화를 이용하는 신종 수법도 등장하고 있다. 2007년 11월 08일 디지털타임스 이홍석 기자<redstone@> http://www.dt.co.kr/contents.html?article_no=2007110802010460713002