OTP, 강력한 보안을 자랑하는 1회용 비밀번호 체계

해킹 기술이 발전함에 따라 크래커들이 만들어내는 악성코드의 점진적 진화, 백도어 및 스파이웨어의 무분별한 난입으로 기밀 정보와 개인 정보 보안에 커다란 구멍이 생기고 있습니다.

실제로 각종 은행사의 인터넷뱅킹 해킹, 통합 포털 및 금융사의 개인정보 유출로 인해 큰 피해가 발생하고 있는 상황이죠.

이러한 가운데 각종 포털 사이트와 금융사이트 등에서는 개인 정보의 보호와 크래킹에 대비하여 비밀번호의 변경을 유도하고 있을 것입니다.

이러할 경우 매번 변경해야하는 번거로움이 있을 것이고 또한 바꾼다고 해도 매번 해커의 침투 위험에 처해져 있을 것입니다.

이를 대비하여 계정 보안을 위해 한번만 사용할 수 있는 비밀번호를 생성하여 그것으로 로그인을 하는 형태로 바뀌어 가고 있습니다.

한번 로그인한 비밀번호는 OTP 시스템 서버에서 더이상 사용할 수 없게 되며 다시 로그인하려고 할 경우에는 새로운 비밀번호를 생성하여 입력하는 단계를 거쳐야 합니다.

아주 강력한 계정 보안 기술인 것이죠!

OTP라고 함은 One Time Password 의 약자로 고정된 패스워드 대신 무작위 난수로 생성된 일회용 패스워드를 이용하는 사용자 인증 방식을 말합니다.

.

동일한 패스워드를 반복해서 입력할 경우 보안에 취약함을 극복하기 위해 도입된 것으로 주로 금융권 인터넷 뱅킹에 사용되며, 최근에는 기업 내부에서도 자체 도입 후 사내 보안을 강화하고 있는 실정입니다.

OTP의 동작 원리는 OTP 생성기를 이용하여 매번 OTP 토큰(Token)을 이용하여 생성된 일회용 비밀번호를 사용자의 휴대용 스마트폰이나 개인 e-mail로 전송함으로써 그것을 입력함으로 로그인이 인증되는 방식입니다.

휴대용 스마트 기기의 보급이 확산되고 보편화 됨에 따라 스마트폰의 어플(앱)을 이용하는 방식이 더욱 활성화 되고 있습니다.

아래 화면은 OTP 인증을 받기 위해 스마트폰에 설치된 어플로서 60초마다 바뀌는 비밀번호(토큰)를 확인할 수 있겠습니다.

OTP 스마트폰 전용 어플

실제로 저희 회사에서 사내 전산 시스템으로 로그인 시 사용하고 있습니다.

OTP 생성기 서버에서 생성된 토큰을 개인 스마트폰에서 확인하여 아래와 같은 회사 전산시스템으로 접근할 경우 사용하고 있습니다.

로그인 시 비밀번호 대신 OTP 입력

물론 이 OTP 토큰의 유효기간도 있게 되는데요, OTP 생성기 서버에서 설정한 시간으로 되며 보통은 60초 이내 또는 3분 이내로 제한하고 있습니다.

이 OTP는 2008년 개정된 전자금융감독 규정에 의해 인터넷뱅킹, 모바일뱅킹, 텔레뱅킹 등 전자 금융 거래 시 보안카드를 대체하는 1등급 보안매체로 지정된 바 있습니다.

실제로 각종 금융 사이트의 인터넷 뱅킹 시 보안카드를 사용할 경우 최고 5천만원의 이체 한도로 제한하지만 바로 이 1등급 보안 매체인 OTP를 이용할 경우 최대 1억원의 한도로 이체를 할 수 있도록 하고 있습니다.

이렇듯 강력한 보안 체계를 유지할 수 있는 도구로서 사용되지만, 본인이 실제로 사용해본 결과 매번 동일한 비밀번호를 입력하는 과정에 비해 조금은 번거롭고 까다로운 것이 사실입니다.

하지만 인터넷뱅킹 등의 측면에서 생각할 경우 보안카드와 비교했을 때 크게 다른 것은 없다고 봅니다.

단지 생소하거나 두려울(?) 뿐인 것입니다.

가장 강력한 보안 체계를 유지할 수 있는 것만으로 이러한 번거로움은 눈에 거슬릴만한 것도 아닙니다.

모든 것이 자신의 개인정보 보호와 기업의 기밀 유지를 위해 반드시 필요한 일련의 과정으로 생각하셔야 할 것입니다.

다양한 OTP의 종류에 대해서는 다음에 다시 포스팅 하도록 하겠습니다.

-----

방문 감사합니다 (__)