청시, 사용자가 기억하고 있는 S/W PIN값과 OTP값을 조합하여 인증에 사용한다. 즉, 분실되더라도 OTP값만으로는 인증할 수 없게 되므로 H/W PIN 방식과 마찬가지로 분실시 오용을 방지 할 수 있다.
2. 인터넷뱅킹의 개선방안 전게서 김연주
(1) OTP
인터넷뱅킹 해킹사고 및 각종 금전 취득을 노린 금융보안 사고들이 발생되면서 정부에서는 “전자금융거래 안정성 강화 종합 대책”을 마련하였다. 개인정보 유출로 인한 전자금융사고 피해를 최소화하고, 안전한 전자금융거래를 위한 대책을 해킹방지 프로그램 분야, 전자 금융거래시스템 운영 관리 분야, 공인인증서 관리체계 개선 분야로 나우어 제시하고 있다. 특히, 전자거래시스템 운영관리 분야의 경우, 35개의 비밀번호가 반복되어 사용되고 있는 보안카드의 취약성을 개선하기 위해 보안성이 향상된 OTP(One Time Password)기기를 금융권에서 도입하도록 하였고, 다음 그림과 같이 OTP 통합인증센터를 설립하여 공동의 OTP 인증을 수행할 수 있도록 하였다. 개별 금융기관이 OTP인증 시스템을 자체 도입하여 구축하고 운영하는 데에 따른 부담을 최소하화고 금융기관간 OTP사용의 호환성을 높여 사용자 편의성을 증진시키기 위해 운영되고 있다.
< 통합인증센터 인증시스템 >
인터넷뱅킹의 보안카드의 취약성을 보안하기 위해 OTP가 등장 하였으며 OTP는 사용자가 인증을 받고자 할 때 매번 새로운 패스워드를 생성해주는 일회용 패스워드 방식이다. 현재의 보안카드는 각 금융기관별로 별도의 보안카드를 소지하여야 하므로 관리적 측면에서 볼 때 분실 위험성도 높으며, 상대적으로 노출 위험도 많아지게 된다. 그러나 OTP는
각 금융기관별로 인증하던 체계를 OTP 통합인증센터에서 통합인증하게 되므로 하나의 OTP로 전체 금융기관을 이용할 수 있다. OTP는 발급 금융기관에서 1개만 발급받으면 타 금융기관에 이용등록하여 사용할 수 있으므로 각 금융기관별로 소지하였던 보안카드 보다 관리부주위로 인한 분실위험 또한 작아지게 된다. OTP는 일회성으로 패스워드를 탈취 당하더라도 시간동기화 방식의 경우 시간제약 조건(1분)안에 사용하지 못하면 다시는 사용할 수 없으므로 보안카드가 가지는 취약점을 보완 할 수 있는 훨씬 강화된 인증체계라고 볼 수 있다.
(2) 전화승인 서비스
온라인인 인터넷뱅킹과 오프라인인 전화매체를 이용한 전화승인 서비스가 결합된다면 거래의 최종 승인시 사용자가 실수로 입력한 거래나 피싱 등에 의해 불법적으로 일어난 거래에 대해 사용자가 최종 승인하므로 기존의 거래 후 통보되는 SMS 방식보다 안전하다고 볼 수 있다. 또한 이벤트 동기화 방식의 OTP값을 피싱사이트를 통해 수집하였다 하더라도 인터넷망이 아닌 별도의 CDMA(Code Division Multiple Access) 또는 PSTN(Public Switched Telephone Network) 망을 사용하여 최종거래를 위한 전화 승인이 이루어지므로 사실상 해킹은 불가능하다.
Two-Channel 인증을 위해서 인터넷뱅킹 거래시 OTP1 값으로 1차 인증 후 전화매체를 통해 OTP2 값으로 재 승인하는 방식이다. 사용자가 인터넷뱅킹을 통한 자금 이체를 수행할 때 OTP 통합인증센터는 다음 그림과 같이 사전 등록된 전화번호에 자동화 방식으로 전화를 걸어 이체 내역을 통지하고, 사용자가 거래내역을 확인하여 승인 및 취소를 할 수 있게 한다.
< OTP값을 HEN 탈취하여 계좌이체를 시도하는 경우 >
사용자가 공인인증서 등 주요정보를 해킹당하고 이벤트동기화 방식의 OTP값이 수집되었다 하더라도 다음 그림과 같이 사전 금융기관에 등록된 전화번호로만 전화승인을 위한 ARS(Auto Response System)가 걸려오므로 악의적인 계좌이체를 방지할 수 있다.
<전화승인서비스 네트워크 구성 및 서비스 절차>
위 그림의 전화승인서비스를 위한 네트워크 구성도는 인증을 위한 별도의 채널로 구성되어있다. 즉, 기존의 인터넷망에서만 이루어졌던 전자금융거래를 인터넷망이 아닌 별도의 CDMA/PSTN 망으로 분리하였다.
인터넷망에서 메모리해킹, 피싱 등 각종 해킹공격에 의해 금융거래용 주요정보가 노출되었다 하더라도 전화승인서비스는 CDMA/PSTN 망으로 최종승인이 이루어지므로 보다 안전하게 금융거래를 할 수 있다.
그러나 휴대전화나 유선전화를 매체로 사용하므로 모바일 뱅킹과 해외 사용자 및 전화서비스가 불가능한 지역에서는 전자금융거래가 불가능하고 사용자 편의성 측면에서는 다소 불편한 단점도 존재한다.
Ⅵ. 결 론
현대사회의 급속한 발달과 정보의 보급으로 인하여 누구나 인터넷을 통하여 해킹프로그램을 손쉽게 접할 수 있게 되어 전자금융거래를 해킹할 수 있게 되었다. 특히, 전자금융거래용 보안카드는 더 이상 보안성을 기대 할 수 없게 되었다. 보안카드 사용에 따른 피해가 발생함으로서 정부 당국과 금융기관은 그 심각성을 깨닫고 기존 보안카드 대신 OTP를 도입하여 그 취약점을 보완토록 하였다. 하지만 정부와 금융기관의 대책은 더 빠르고 신속한 해커들에 의해 그 취약점이 발견되었고 또 다시 인터넷뱅킹은 피해를 당하게 되었다.
따라서 더욱 강하고 안전한 인증체계가 필요하게 되었다. 정부당국과 금융기관은 OTP를 더욱 강화하여 OTP통합인증센터에서 인증하는 OTP 인증시스템을 활용하여 해킹에 대응하는 방안을 강구하였고 전화승인서비스를 통하여 OTP 보안성 및 안정성을 강화하였다.
국민이 인터넷 뱅킹을 신뢰하고 사용할 수 있도록 정부와 금융당국은 인터넷뱅킹을 더욱 안전하고 신속하게 사용할 수 있도록 하여야 하고 향후 발생할 취약점에 대하여 연구하고 보안대책을 수립하고 이행하여야 할 것 이다.
< 참 고 문 헌 >
■ <인터넷뱅킹 서비스품질이 고객만족에 미치는 영향에 관한 연구> 강원대학교 전혜경, 2005
■ <인터넷뱅킹 서비스와 모바일뱅킹 서비스 상호 비교분석>
성균관대학교 강대현, 2008
■ <안전한 전자금융거래를 위한 OTP활용 메모리해킹 대응방안>
숭실대학교 김연수 2008
■ <인터넷뱅킹과 모바일뱅킹의 서비스 품질이 고객만족에 미치는
영향에 관한 연구>
숙명여자대학교 권둘희 2008