Pain points

별도의 기기가 아닌 사용자의 스마트폰으로 손쉽게 본인 인증이 가능한 모바일 OTP(One-Time Password), 모바일 인증 앱, 휴대폰 본인 인증, 생체 인증 등의 간편 인증 방식이 인터넷 기반 금융 거래에 널리 사용되고 있지만, 인증 과정 도중 개인정보 탈취로 인해 발생하는 금융 사고를 차단하기에는 여전히 무리가 있습니다.

- 모바일 OTP의 스미싱 사고 위험

지난 2021년 싱가포르의 한 은행에서 발생한 해킹 사고는 모바일 OTP가 여전히 스미싱(smishing) 사고 위험에 노출되어 있음을 잘 보여줍니다. 계좌 이체를 위해 사용자 휴대폰에 문자로 발송된 OTP가 해커들에게 탈취되어 최소 469명 이상, 약 72억 원의 피해가 발생함에 따라 해당 은행은 디지털 인증 프로세스 전환 계획을 전면 보류한 바 있습니다. 최근 국내에서도 해커가 가족을 빙자한 문자 내 링크를 통해 휴대폰에 원격 제어 악성 코드를 설치한 뒤, 탈취한 개인정보를 이용해 모바일 OTP를 발급 받아 고액을 이체한 사례도 발생했습니다.

- 하드웨어 OTP 대비 상대적 보안 취약성

네트워크와 분리된 상태에서 OTP를 생성하는 물리적 OTP 기기와 달리, 기존 모바일 OTP의 경우 온라인 상태에서 OTP를 생성하기 때문에 하이재킹과 같은 외부 사이버 공격에 상대적으로 취약할 수 밖에 없습니다. OTP 코드 생성을 위해 사용되는 암호키 보호를 위해 TEE(Trusted Execution Environment)를 사용하는 모바일 인증 앱 또한 악성 코드에 의해 조작될 가능성이 존재하기 때문에 완벽한 대안으로 보기 어렵습니다. 결국 휴대의 불편함과 주기적 교체의 필요성에도 불구하고 하드웨어 OTP만큼 강력한 2차 인증을 찾기 쉽지 않은 셈입니다.

- 스마트 OTP의 OS 지원 및 구동 지연 문제

스마트 OTP(카드형 OTP)는 기존 모바일 OTP와 달리 타 은행과 호환이 가능하다는 장점에도 불구하고, 아이폰에서는 사용할 수 없어 반쪽의 서비스로 분류됩니다. 게다가 OTP 생성을 위해 구동 시 딜레이가 길게 발생하는 등 여전히 풀어야 할 숙제가 많습니다.

Solutions

센스톤은 실물 카드 기반의 금융 결제가 여전히 활발하게 이뤄지는 국내외에서 손쉽게 적용 가능한 결제 카드 연계형 모바일 OTP를 제공합니다. 사용자의 결제 카드를 모바일 기기에 태깅하는 것만으로 즉각 본인 인증이 가능하기 때문에 하드웨어 OTP와 모바일 OTP의 장점을 동시에 누릴 수 있습니다. 결제 카드에 OTAC Applet을 적용하여, 스마트폰에 카드 태깅 시마다 카드에서 생성되는 OTAC를 이용해 스마트폰에서 금융 거래 인증 코드를 생성하므로, 사용자는 카드 태깅만 하면 인증이 완료되어 편리하면서도 기존 모바일 OTP보다 높은 보안을 제공합니다.

또한, 카드의 IC칩에서 NFC(Near Field Communication)를 통한 통신이 가능하기 때문에, 스마트폰, 디지털 도어락 등과 같은 기기와 연계하여 결제 기능 뿐 아니라, 출입·금융거래, 시스템 로그인 등으로 확대 적용이 가능합니다.

 

  • 카드에서 생성된 1차 OTAC를 활용하여 스마트폰에서 금융거래 인증용 코드를 생성하므로, 해커의 메모리 상의 시드값 탈취를 통한 해킹 원천 봉쇄
  • 악성코드에 의해 감염된 스마트폰 원격 제어를 통해 고액 송금 등과 같은 금융 서비스 도용 위협 사전 방지
  • 안드로이드, iOS와 무관하게 별도의 PIN 입력 없이 OTAC 생성 기능이 탑재된 카드의 태깅만으로 카드 등록 및 금융 거래 인증 가능

  •  
솔루션_카드태깅형mOTP_ (1)-2

OTAC 기반 카드 태깅형 모바일 OTP 

센스톤의 카드 태깅형 모바일 OTP는 '결제 카드'에 OTP 생성 연계 기능을 더해 별도의 기기를 들고 다녀야 하는 번거로움을 줄이고, 사이버 공격으로부터 자유로운 하드웨어 OTP와 같은 매체 분리를 통한 높은 보안성은 그대로 제공합니다. OTAC Applet이 탑재된 카드는 스마트폰 NFC 통신 시에 1차 OTAC를 생성합니다. 카드에서 생성된 1차 코드는 앱과의 연계를 통해 2차 OTAC를 생성하기 때문에, NFC 구간 내 발생할 수 있는 일말의 스니핑 리스크마저 전혀 없습니다. 

솔루션_카드태깅형mOTP_ (2)-3

OTAC 기반의 카드 태깅형 모바일 OTP는 현금 인출 및 결제를 위한 체크 카드에 연계되어, 단순히 본인의 스마트폰 뒷면에 체크 카드를 태깅하는 것만으로 고액 송금 서비스와 같이 2차 인증이 필요한 금융 서비스를 안전하면서도 손쉽게 이용할 수 있습니다. 즉, '2차 인증'만을 위한 별도의 실물 OTP 기기를 발급 받을 필요가 없어진 셈입니다. 무엇보다 악성 코드에 의해 스마트폰이 원격 제어되어 고액 송금 인증으로 이어지는 모바일 OTP 금융 사고를 사전에 방지함으로써 보다 안전한 금융 서비스 환경을 제공합니다.

토스뱅크 사례 보기

 

 

모바일 OTP 겸용 통합적 기능 카드 (All-in-One Card)

OTAC가 탑재된 카드는 금융 거래 시 고액 송금을 위한 인증은 물론, 인터넷뱅킹과 같이 강력한 보안을 필요로 하는 웹사이트 로그인 시에도 휴대폰 뒷면에 태깅하는 동작만으로 일회용 QR코드를 생성하여 본인 인증을 할 수 있습니다. 또한, 출입제한구역 입장 시에도 디지털 도어락에 카드를 태깅하여 출입문 개폐가 가능합니다. 기업 입장에서는 법인카드, 출입통제, 신분증 기능을 하나의 카드로 통합하는 형태로도 사용할 수 있습니다. 이처럼 통합적 기능 카드로 이용 범위가 확장될 경우, Contactless Payment용 콤비카드 도입으로 인한 카드 단가 상승 문제 또한 자연스럽게 해결될 것입니다.

솔루션_카드태깅형mOTP_ (3)-2

Why OTAC

센스톤이 자체 개발한 OTAC는 다음과 같은 기능을 모두 동시에 제공합니다.

Main Image

    OTAC는 매번 변경되는 다이내믹 코드입니다. 따라서 누군가 습득한 코드를 사용하려고 해도 이미 노출된 코드는 변경된 상태이므로 카드 세부 정보와 같은 정보 유출에 대해 전혀 걱정할 필요가 없습니다.

    통신 네트워크 연결 없이도 OTAC 생성이 가능합니다. 네트워크 연결을 필요로 하는 인증 단계가 축소되면 해커가 개인 정보에 접근할 수 있는 게이트웨이 또한 줄어듭니다. 그리고 항공기, 지하, 시골 등과 같이 통신 네트워크와 연결하기 어려운 환경에서도 인증이 가능하기 때문에 그 활용도는 훨씬 높아집니다.

    OTAC로 생성된 코드는 어떠한 상황이라하더라도 절대 그 누구 와도 중복되지 않습니다. 따라서 본인과 동일한 코드를 가진 사람이 존재할 가능성은 0%입니다.

    OTAC로 생성된 코드만으로 사용자 또는 기기 식별이 가능합니다. 생성된 OTAC 코드는 절대 중복되지 않는 고유값을 갖기 때문에 OTAC만으로도 충분히 사용자나 기기를 식별할 수 있습니다. 즉, ID와 비밀번호와 같은 고정값을 가진 정보들은 이제 잊어버려도 좋습니다.

University of surrey

글로벌 사이버 보안 분야에서 손꼽히는 영국의 써리대학교(University of Surrey)는 센스톤의 OTAC 알고리즘 분석 및 학술적 검증을 진행했습니다. 논문 전문은 써리대학교 홈페이지보고서 다운로드 에서 확인 바랍니다.

Contact Us

센스톤과 함께 인증 환경을 개선하고
보안 걱정없이 신뢰 할 수 있는 서비스를 구현하세요!

지금 바로 문의하세요. 빠른 답변 드리겠습니다.

서울특별시 동대문구 천호대로 329, 5층 (우02622)

급한 업무는 아래로 연락주시면 빠르게 대응하겠습니다.

Korea Office (SSenStone)

서울특별시 동대문구 천호대로 329, 5층 (우02622)

Tel : 02-569-9668  |  Fax : 02-6455-9668

im@ssenstone.com
mkt@ssenstone.com (마케팅 홍보 문의)

UK Office (swIDch)

swIDch Ltd Office 176, 1st Floor, 3 More London Riverside, London SE1 2RE

Tel : +44-20-3283-4081

info@swidch.com