회사원 우모씨는 스마트폰에 보안카드 사진을 찍어서 저장해 다닌다. 보안적으로 위험하다는 지적에 이렇게 말한다. “사실 찜찜하긴 한데, 요즘 지갑도 안 들고 다니는데, 굳이 카드니 OTP 같은 거 들고 다니기 너무 귀찮아요. 제가 이상한 링크 안 누르고, 정상적인 환경에서 사용하면 아무 문제 없지 않나요?”
 
한편 중소기업 IT담당자인 남모씨의 생각은 다르다. “스마트폰은 위험하다고 하잖아요. 스마트폰 운영체제도 소프트웨어인데 구조적 취약점이 분명 존재하고, 해커들은 그걸 노릴 겁니다. 그래서 OTP를 이용합니다. 사실 불편하긴 한데, 하드웨어적으로 분리된 게 안전하니까요”
 
위 사례에서 보듯 금융보안 혹은 핀테크에는 간편성과 보안성이라는 가치가 늘 충돌했다. 하지만 하드웨어 기술을 활용했음에도, 오히려 간편성을 더 강화된 핀테크 제품이 나와 눈길을 끌고 있다.

 
인터페이의 TZ OTP는 스마트폰에서 구동되어 겉으로는 일반 애플리케이션처럼 보인다. 하지만 TZ OTP가 설치되고 구동되는 곳은 일반 앱들과 다르다. 스마트폰 CPU의 ‘보안영역’으로 금융보안연구원에서는 이런 보안실행환경(TEE)을 하드웨어 기술로 분류하고 있다. 보안영역(트러스트존, TZ)은 루팅(탈옥)된 스마트폰에서도 접근할 수 없는 하드웨어 보안 영역으로 통신사도 단말 제조사도 아닌 제 3자에 의해 관리되고 있다.
 
이러한 특징 때문에 국내 보안 전문가들도 TZ OTP가 ‘매체 수준의 보안성’을 제공한다란 평가를 내리고 있다. TZ OTP가 설치되는 TZ기술은 전세계 3억대의 폰에 이미 배포되어 있다.
 
◇간편한 OTP로 전자금융거래 사고 예방
TZ OTP가 도입될 경우 금융권과 소비자 모두 큰 혜택을 입을 것으로 기대된다. 우선 OTP 동글이나 NFC 카드 등 실물 매체를 들고 다니지 않아도 된다. OTP 확산의 큰 장벽이 사라진 것이다. 금융 당국에서도 해당 제품이 쉽게 적용될 수 있도록 ‘매체 분리’ 규정 폐지, 특정 기술 강제관행 철폐를 외치며 핀테크 혁신을 지원하고 있다.
 
실제 사용은 기존 OTP와 동일하게 OTP 값을 입력하지만, 거래연동 OTP 방식을 이용해 OTP 값을 생성하여, 메모리해킹 공격(인증이 끝난 후 계좌번호나 금액을 변조하는 기법)도 막을 수 있다. 금융회사가 원할 경우, OTP 값 입력과정마저도 자동화할 수 있어 결제 뿐 아니라 은행 거래 부분에서도 ‘원클릭’이 가능해진다.
 
은행마저도 원클릭이 가능해지면 소비자들이 굳이 OTP 사용을 꺼려할 이유가 더더욱 없다. 간편하고 안전한 TZ OTP가 보급되면 매년 수천억 규모에 달하는 전자금융거래 사고금액도 대폭 줄일 수 있다.
 
◇핀테크 성장 지원하는 보안인증 기술로 활용
TZ OTP는 1차적으로 이체, 결제, 증권주문 나아가 대체 인증서(인증평가 ‘가’군)까지 확장할 수 있다. 별도의 매체가 필요 없는 인터넷전문은행들과도 궁합이 맞아 당장 핀테크 활성화를 지원하는 기술로도 손꼽힌다. 은행 수준의 보안을 갖추기 힘든 초기 핀테크 기업들도 TZ OTP를 통해 하드웨어 수준의 보안을 구비할 수 있다.
 
단적인 예로, 현재 대다수 앱들이 화면 녹화/좌표값 탈취를 통해 비밀번호가 유출될 수 있는데, TZ OTP는 보안영역에서 화면을 구동시켜 이런 시도를 무력화 시킨다. TZ OTP가 구동되는 보안영역이 활성화되면 화면을 포함한 스마트폰의 모든 권한을 보안영역이 제어하기 때문이다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com