Pain points

사용자의 스마트폰으로 손쉽게 본인 인증이 가능한 모바일 OTP(One-Time Password), 모바일 인증 앱, 휴대폰 본인 인증, 생체 인증 등의 간편 인증 방식이 인터넷 기반 금융 거래에 널리 사용되고 있지만, 인증 과정 도중 개인정보 탈취로 인해 발생하는 금융 사고를 완전히 차단하기에는 여전히 무리가 있습니다.

- 모바일 OTP의 스미싱 사고 위험

지난 2021년 싱가포르의 한 은행에서 발생한 해킹 사고는 모바일 OTP가 여전히 스미싱(smishing) 사고 위험에 노출되어 있음을 잘 보여줍니다. 계좌 이체를 위해 사용자 휴대폰에 문자로 발송된 OTP가 해커들에게 탈취되어 최소 469명 이상, 72억 원의 피해가 발생함에 따라 해당 은행은 디지털 인증 프로세스 전환 계획을 전면 보류한 바 있습니다. 최근 국내에서도 해커가 가족을 빙자한 문자 내 링크를 통해 휴대폰에 원격제어 악성코드를 설치한 뒤, 탈취한 개인정보를 이용해 모바일 OTP를 발급 받아 고액을 이체한 사고도 발생했습니다.

- 하드웨어 OTP 대비 상대적 보안 취약성

네트워크와 분리된 상태에서 OTP를 생성하는 물리적 OTP 기기와 달리, 기존 모바일 OTP의 경우 온라인 상태에서 OTP를 생성하고, 하나의 모바일 안에서 사용자 인증과 OTP생성이 이뤄지기 때문에 때문에 해킹에 상대적으로 취약할 수밖에 없으며 안전을 담보하긴 어렵습니다. 결국 휴대의 불편함과 주기적 교체의 필요성에도 불구하고 하드웨어 OTP만큼 강력한 2차 인증을 찾기 쉽지 않은 셈입니다.

- 스마트 OTP의 OS 지원 및 구동 지연 문제

스마트 OTP(카드형 OTP)는 기존 모바일 OTP와 비교하면 실물카드에서 OTP를 생성하여 보안성 문제는 없지만 아이폰에서는 사용할 수 없어 반쪽의 서비스로 분류됩니다. 게다가 OTP 생성을 위해 구동 시 딜레이가 길게 발생하는 등 여전히 풀어야 할 숙제가 많습니다.

Solutions

센스톤의 카드 태깅형 모바일 OTP는 사이버 공격으로부터 자유로운 매체 분리를 통해 모바일 OTP의 보안 취약점을 악용한 외부 위협을 해결합니다. 금융결제 인증코드를 생성하는 OTAC 모듈이 결제카드의 IC칩에 applet 형태와 모바일 앱에 SDK 형태로 함께 탑재되어 복수 매체를 통한 높은 보안성과 신속한 인증 코드 생성을 통한 높은 사용성을 제공할 뿐 아니라, 모바일 기기의 운영체제(OS)와 상관없이 사용 가능합니다.

 

스니핑 리스크 원천 봉쇄

OTAC applet이 탑재된 카드는 스마트폰 NFC(Near Field Communication) 통신을 통해 1차 OTAC를 생성합니다. 카드에서 생성된 1차 코드는 앱과의 연계를 통해 2차 OTAC를 생성하기 때문에, 메모리 상의 시드값 탈취를 통한 해킹은 물론, NFC 구간 내 발생할 수 있는 일말의 스니핑 리스크마저 전혀 없습니다.

솔루션_카드태깅형mOTP_1

사용자 도용 사전 방지

센스톤의 카드 태깅형 모바일 OTP는 사용자가 OTAC applet이 탑재된 카드를 모바일 기기에 태깅하는 동작으로 본인 인증이 이뤄지기 때문에, 해커가 악성코드로 감염 시킨 스마트폰을 원격 제어로 모바일 OTP를 신규 또는 재발급 받거나 고액 송금 등과 같은 금융 서비스를 시도하려 해도 사용할 수 없습니다. 무엇보다 타 사용자와의 코드 중복 가능성조차 없이 완전히 무결한 사용자 식별 및 인증이 가능합니다.

솔루션_카드태깅형mOTP_2-1

사용자 친화형 UX

OTAC 기반의 카드 태깅형 모바일 OTP는 현금 인출 및 결제를 위한 결제카드에 연계되어, 단순히 본인의 스마트폰 뒷면에 체크 카드를 태깅하는 것만으로 고액 송금 서비스와 같이 2차 인증이 필요한 금융 서비스를 안전하면서도 손쉽게 이용할 수 있습니다. 즉, '2차 인증'만을 위한 별도의 실물 OTP 기기를 소지하지 않아도 되기 때문에 매우 편리합니다.

솔루션_카드태깅형mOTP_3-1

Benefits

센스톤의 카드 태깅형 모바일 OTP는 유니크한 식별키를 이용한 강력한 사용자 인증 기능을 결제 카드에 탑재함으로써, 카드 소지자의 카드 사용 빈도를 높이는 것은 물론, 물리적 OTP 발급 비용 절감 효과를 제공합니다. 특히 NFC 기능을 활용해 결제 카드, 출입 통제, 신분증 기능을 모두 담은 통합적 기능 카드(All-in-One Card)로의 확장도 가능합니다.

솔루션_카드태깅형mOTP_5-1

고객 충성도 제고

2021년 기준 전 세계적으로 28억 장의 신용카드가 사용되고 있습니다. 미국인들은 평균 4장의 신용카드를 갖고 있으며,  EU 주민 1인당 휴대 카드 수도 0.8~3.9장에 이릅니다. 우리나라의 경우 1인당 신용카드 보유 장수는 1.79장으로 집계되었습니다. 센스톤의 카드 태깅형 모바일 OTP는 이러한 '결제 카드'에  OTP 기능을 더함으로써 해당 카드의 사용 빈도를 높여줍니다. 대부분의 소비자가 1~2개의 카드를 주로 사용한다는 점을 감안하면, 자연스럽게 고객 충성도를 높이는 효과로 이어질 것입니다. 

구축 비용 절감

센스톤의 카드 태깅형 모바일 OTP는 이미 전 세계적으로 널리 사용되는 Contactless Payment용 콤비 카드에 Applet 형태로 탑재가 되기 때문에 실물 OTP 기기 또는 고가의 스마트 OTP 전용 카드를 발급 받을 필요가 없을 뿐더러, 일반적인 모바일 OTP처럼 보안 취약점 해결을 위해 더 많은 보안 레이어를 더할 필요도 없습니다. 

다양한 부가 기능 확장

OTAC가 탑재된 카드는 금융 거래 시 고액 송금을 위한 인증은 물론, 인터넷 뱅킹과 같이 강력한 보안을 필요로 하는 웹사이트 로그인 시에도 휴대폰 뒷면에 태깅하는 동작만으로 일회용 QR코드를 생성하여 본인 인증을 할 수 있습니다. 또한, 출입제한구역 입장 시에도 디지털 도어락에 카드를 태깅하여 출입문 개폐가 가능합니다. 기업 입장에서는 법인카드, 출입통제, 신분증 기능을 하나의 카드로 통합하는 형태로도 사용할 수 있습니다.

솔루션_카드태깅형mOTP_6

Why OTAC

센스톤이 자체 개발한 OTAC는 다음과 같은 기능을 모두 동시에 제공합니다.

Main Image

    OTAC는 매번 변경되는 다이내믹 코드입니다. 따라서 누군가 습득한 코드를 사용하려고 해도 이미 노출된 코드는 변경된 상태이므로 카드 세부 정보와 같은 정보 유출에 대해 전혀 걱정할 필요가 없습니다.

    통신 네트워크 연결 없이도 OTAC 생성이 가능합니다. 네트워크 연결을 필요로 하는 인증 단계가 축소되면 해커가 개인 정보에 접근할 수 있는 게이트웨이 또한 줄어듭니다. 그리고 항공기, 지하, 시골 등과 같이 통신 네트워크와 연결하기 어려운 환경에서도 인증이 가능하기 때문에 그 활용도는 훨씬 높아집니다.

    OTAC로 생성된 코드는 어떠한 상황이라하더라도 절대 그 누구 와도 중복되지 않습니다. 따라서 본인과 동일한 코드를 가진 사람이 존재할 가능성은 0%입니다.

    OTAC로 생성된 코드만으로 사용자 또는 기기 식별이 가능합니다. 생성된 OTAC 코드는 절대 중복되지 않는 고유값을 갖기 때문에 OTAC만으로도 충분히 사용자나 기기를 식별할 수 있습니다. 즉, ID와 비밀번호와 같은 고정값을 가진 정보들은 이제 잊어버려도 좋습니다.

University of surrey

글로벌 사이버 보안 분야에서 손꼽히는 영국의 써리대학교(University of Surrey)는 센스톤의 OTAC 알고리즘 분석 및 학술적 검증을 진행했습니다. 논문 전문은 써리대학교 홈페이지보고서 다운로드 에서 확인 바랍니다.

Contact Us

센스톤과 함께 인증 환경을 개선하고
보안 걱정없이 신뢰 할 수 있는 서비스를 구현하세요!

지금 바로 문의하세요. 빠른 답변 드리겠습니다.

서울특별시 동대문구 천호대로 329, 5층 (우02622)

급한 업무는 아래로 연락주시면 빠르게 대응하겠습니다.

Korea Office (SSenStone)

서울특별시 동대문구 천호대로 329, 5층 (우02622)

Tel : 02-569-9668  |  Fax : 02-6455-9668

im@ssenstone.com
mkt@ssenstone.com (마케팅 홍보 문의)

UK Office (swIDch)

swIDch Ltd Office 176, 1st Floor, 3 More London Riverside, London SE1 2RE

Tel : +44-20-3283-4081

info@swidch.com