Pain points

닐슨 보고서(Nilson Report)에 따르면 카드결제 사기로 인해 세계 경제는 매년 278억 5,000만 달러의 피해액이 발생하고 있으며, 오는 2027년에는 그 피해 규모가 약 406억 3,000만 달러에 이를 것으로 예상됩니다. 또한, 은행 계좌 이체 시 사용한 단문 문자형 OTP(One-Time Password)나 디지털 인증 프로세스 상의 정보 탈취 사고는 지속적으로 발생하고 있습니다. 

- 급증하는 무카드거래(CNP) 사기

고정 값을 기반으로 하는 ID/PW 계정 정보와 카드 번호로 인해 발생하는 무카드거래(CNP) 사기는 온라인과 오프라인 거래를 통해 전 세계적으로 빠르게 증가하고 있습니다. 이를 막기 위해 기업 내 직원 사용자 기준 평균 21개의 암호를 사용 중이며, 기업 지원 센터 업무 절반을 패스워드 리셋에 할애하는 중입니다.

Pain points

- 아직 해결되지 못한 문제들(카드복제, 스니핑공격)

고정 값의 카드 번호 문제를 해결하기 위해 다양한 기술들이 개발되었고, 코로나 19 이후로 위생 상의 안전과 편리함을 무기로 NFC 카드 등 비접촉식 결제 시스템(Tap to Pay)도 성장하고 있습니다. 하지만 카드 복제 및 NFC 통신 중 발생하는 스니핑 공격(Sniffing Attack)의 위험이 계속되는 등 온라인과 오프라인을 모두 처리할 수 있는 완벽한 솔루션은 아직까지 없습니다.

 

payment_ko_1

- 통합적 기능을 가진 카드 제품의 부재(결제/출입/증명)

최근까지도 1인당 결제, 신분 확인, 출입 목적 등 기본 3.5개 이상의 카드를 소지하는 불편함이 존재하지만 다목적 통합 카드는 아직 부재한 상태입니다. 모바일로 기능을 통합해 불편함을 해소하는 추세이지만, 스마트폰에 대한 지나친 의존도, 모바일 분실 및 배터리 소진 이슈, 폐쇄망 환경에서의 사용 한계 등 모바일로의 중앙화로 인해 발생하는 문제들도 존재합니다.

- 하드웨어 OTP의 불편함, 디지털 OTP의 보안 취약성

사용의 편리함을 앞세워 소프트웨어 OTP, SMS, 이메일, 생체 인식 등이 하드웨어 OTP 토큰을 대체해 가고 있습니다. 하지만 항상 휴대해야 한다는 태생적 한계에도 불구하고, 네트워크와 분리되어 외부 사이버 공격으로부터 자유로운 하드웨어 OTP를 완전히 대체하기에는 아직 무리가 있습니다.

 

Solutions

센스톤은 특허 받은 OTAC(One-Time Authentication Code) 알고리즘을 통해 어떠한 추가적인 인프라의 도움 없이 통신조차 없는 오프라인 환경에서도 고정 값을 기반으로 하는 ID/PW 계정 정보와 카드 번호를 중복 불가능한 다이내믹 코드로 생성합니다. 또한 카드에 OTAC Applet을 적용하여, 카드 IC칩에서 NFC를 통해 스마트폰, 출입 장치 등과 연계하여 카드 하나로 결제 기능 뿐 아니라, 출입·금융거래, 시스템 로그인과 신원 확인(KYC)에도 활용할 수 있습니다.

  • OTAC 카드 번호는 네트워크 연결조차 없는 환경에서도 지속적으로 변경됩니다.
  • 다이내믹 카드 번호만으로도 카드 소유자가 누구인지 식별할 수 있습니다.
  • 다이내믹 카드 번호는 중복될 가능성이 0%입니다. (반면, 양자 난수 발생기에서는 중복될 가능성이 있습니다.)
  • 위의 모든 기능들은 기존 결제 인프라 변경 없이 구현 가능합니다.
  • OTAC Applet 사이즈는 20KB로, 스마트카드칩(Smart Card Chip)이 적용되는 곳엔 어디든 탑재 가능합니다.

 

카드 태깅형 모바일 OTP (모바일 OTP 겸용 카드)

 

Car tagging mOTP-1

센스톤이 제공하는 카드 태깅형 모바일 OTP는 '결제 카드'에 OTP 기능을 더해 별도의 디바이스를 들고 다녀야 하는 번거로움을 줄이고, 사이버 공격에 강한 하드웨어 OTP의 보안성은 그대로 유지할 수 있습니다. OTAC Applet이 탑재된 카드는 스마트폰 NFC와의 통신을 통해 1차 OTAC 인증 코드를 생성합니다. 카드에서 생성된 1차 코드는 앱과의 연계를 통해 2차 OTAC 인증 코드를 생성하기 때문에, NFC 구간 내 발생할 수 있는 일말의 스니핑 리스크마저 전혀 없습니다.

OTAC 기반의 카드 태깅형 모바일 OTP는 현금 인출 및 결제를 위한 체크카드에 연계되어 단순히 본인의 스마트폰 뒷면에 체크카드를 태깅하는 것 만으로 고액 송금 서비스를 이용할 수 있습니다. 이로 인해 '2차 인증'만을 위한 별도의 실물 OTP 카드를 발급 받을 필요가 없습니다. 무엇보다 기존 모바일 OTP 사용 중 발생할 수 있었던, 악성코드에 의해 스마트폰이 원격 제어되어, 고액 송금까지 진행되는 사고를 사전에 방지할 수 있어 보다 안전한 금융 보안 환경을 제공합니다.

토스뱅크 사례 보기


 

통합적 기능 카드(All-in-One Card)

All-in-one Card

센스톤은 OTAC Applet을 적용해 하나의 카드로 결제 및 금융 거래 인증, 출입 인증, 앱/웹 로그인 등을 모두 처리하는 All-in-One 간편 카드이자 통합 보안 인증 서비스를 제공합니다.

출입 카드, ID카드, 멤버십 카드 게다가 결제까지? 다양한 목적의 카드를 한 장의 카드로 사용할 수 있다면 어떨까요? 센스톤의 All-in-One 카드는 IC Chip Card를 기존 결제 목적 외에도 출입, 멤버십, 각종 증명 등의 기능을 통합해 여러 장의 카드를 소지하는 불편함을 최소화해줍니다. 그 뿐 아니라, 앱 연계 시 시스템 로그인과 Advanced-OTP, 신원 확인(KYC)으로까지 확장할 수 있어, 카드사가 기존에 제공하던 결제 외 수많은 기능들을 통합적으로 제공함으로써 편의성과 안전성을 모두 보장합니다. 

 

 

카드번호 없는 카드(Numberless Card)

Numberless Card

실물 결제 카드에는 앞면에 16자리 숫자, 뒷면에는 만료일과 3자리 카드 인증 코드와 같은 정보가 기재돼 있습니다. 문제는 이러한 정보가 모두 고정값이라는 점입니다. 이 정보들은 변하지 않습니다. 그러면 우리는 매주 새로운 정보가 포함된 새로운 신용카드를 발급 받아서 이러한 문제들을 해결하면 될까요? 물론 그럴 수 없다는 것 또한 명백한 사실입니다.

센스톤의 Numberless Card에는 원래 실물 결제 카드에 기록되는 세부 정보가 전혀 포함되어 있지 않습니다. 대신, 카드에 내장된 OTAC 알고리즘에 의해 매번 사용할 때마다 변경되는 비밀스러운 카드 정보가 사용됩니다. 물론 한번 사용된 번호는 재사용되지 않습니다.

오프라인 결제
센스톤의 Numberless Card는 현재 우리가 사용하는 칩과 PIN 또는 비접촉식 방식의 카드와 동일한 방식으로 작동됩니다.

온라인 결제
OTAC 통합뱅킹 앱을 통해 사용자는 일회성 다이내믹 카드번호, 만료일 그리고 CVV/CV를 생성할 수 있습니다. 이러한 다이내믹 카드 정보는 전 세계의 모든 전자 상거래 결제 페이지에서 사용 가능합니다.

생체인증 디스플레이 카드(Biometric Display Card)

Biometric Display Card

많은 소비자들은 신용 카드를 사용할 때 강력한 보안만큼이나 사용하기 쉬워야 한다고 주장합니다. 매번 쇼핑을 할 때마다 뱅킹 앱을 열어서 결제를 해야 한다면 불만이 끊이지 않을 것입니다. 센스톤은 생체인증 디스플레이 카드로 이러한 문제들을 해결합니다.

센스톤의 생체인증 디스플레이 카드는 사용자의 지문만으로 활성화됩니다. 사용자가 본인의 지문을 카드 표면의 인식기에 스캔하면 카드의 디스플레이에 일회성 다이내믹 카드 번호, 만료일, CVV 번호가 표시됩니다.

이 제품은 독보적입니다. 시중에 생체인증 기능이 있는 카드들은 있지만, 생체인증 기능과 다이내믹 번호 재생 알고리즘이 동시에 내장된 카드는 센스톤의 생체인증 디스플레이 카드가 유일합니다.

가상 카드 및 법인 카드(Virtual Card and Corporate Card)

Virtual Card and Corporate Card

매번 새로운 카드 정보를 생성하는 것은 누군가에게는 귀찮은 일일 수도 있습니다. 센스톤은 이러한 고민에 대해서도 해결책을 제시합니다.

센스톤은 가상 카드 솔루션(Virtual Card solution)을 통해 사용자가 직접 가상 카드를 생성하여 모바일 지갑이나 웹 브라우저에 저장할 수 있도록 지원합니다. 가상 카드 생성 시 판매처를 지정하거나, 예산 또는 만료일까지 지정 가능 합니다. 완벽한 제어와 개인화 설정을 보장합니다.

센스톤 가상 카드의 가장 큰 장점은 원하는 만큼 가상 카드를 생성할 수 있다는 것입니다. 그 결과 여러 사용자들에게 가장 안전한 방법으로 손쉽게 카드 공유가 가능합니다.

예를 들면 부모가 자녀들을 위한 가상 카드를 만든 다음 그들의 모바일 지갑에 저장합니다. 이렇게 하면 손쉽게 자녀들과 카드를 공유하면서도 사용처와 지출 규모를 관리할 수 있습니다.

이러한 기능은 법인 카드로 확장 가능합니다. 기업은 각 직원들의 요구사항에 맞는 가상 카드를 직접 생성하여 손쉽게 전달할 수 있습니다. 더 이상 은행들은 기업 고객들의 직원들에게 개별 법인 카드를 발급하기 위해 자원과 시간을 낭비할 필요가 없습니다.

Why OTAC

센스톤이 자체 개발한 OTAC는 다음과 같은 기능을 모두 동시에 제공합니다.

Main Image

    OTAC는 매번 변경되는 다이내믹 코드입니다. 따라서 누군가 습득한 코드를 사용하려고 해도 이미 노출된 코드는 변경된 상태이므로 카드 세부 정보와 같은 정보 유출에 대해 전혀 걱정할 필요가 없습니다.

    통신 네트워크 연결 없이도 OTAC 생성이 가능합니다. 네트워크 연결을 필요로 하는 인증 단계가 축소되면 해커가 개인 정보에 접근할 수 있는 게이트웨이 또한 줄어듭니다. 그리고 항공기, 지하, 시골 등과 같이 통신 네트워크와 연결하기 어려운 환경에서도 인증이 가능하기 때문에 그 활용도는 훨씬 높아집니다.

    OTAC로 생성된 코드는 어떠한 상황이라하더라도 절대 그 누구 와도 중복되지 않습니다. 따라서 본인과 동일한 코드를 가진 사람이 존재할 가능성은 0%입니다.

    OTAC로 생성된 코드만으로 사용자 또는 기기 식별이 가능합니다. 생성된 OTAC 코드는 절대 중복되지 않는 고유값을 갖기 때문에 OTAC만으로도 충분히 사용자나 기기를 식별할 수 있습니다. 즉, ID와 비밀번호와 같은 고정값을 가진 정보들은 이제 잊어버려도 좋습니다.

University of surrey

글로벌 사이버 보안 분야에서 손꼽히는 영국의 써리대학교(University of Surrey)는 센스톤의 OTAC 알고리즘 분석 및 학술적 검증을 진행했습니다. 논문 전문은 써리대학교 홈페이지보고서 다운로드 에서 확인 바랍니다.

Contact Us

센스톤과 함께 인증 환경을 개선하고
보안 걱정없이 신뢰 할 수 있는 서비스를 구현하세요!

지금 바로 문의하세요. 빠른 답변 드리겠습니다.

서울특별시 동대문구 천호대로 329, 5층 (우02622)

급한 업무는 아래로 연락주시면 빠르게 대응하겠습니다.

Korea Office (SSenStone)

서울특별시 동대문구 천호대로 329, 5층 (우02622)

Tel : 02-569-9668  |  Fax : 02-6455-9668

im@ssenstone.com

UK Office (swIDch)

swIDch Ltd Office 176, 1st Floor, 3 More London Riverside, London SE1 2RE

Tel : 020-3283-4081

info@swidch.com