목요일, 3월 20, 2008

[일상다반사] OTP 발급기



4월 1일부터 OTP 발급기를 사용하지 않으면 인터넷 뱅킹 계좌 이체 한도가 줄어든다고 은행 홈페이지만 들어가면 난리 발광 부르스를 춰서 황금같은 시간을 쪼개서 은행을 방문했다. 애독자 여러분을 위해 우리, 아니 B급 프로그래머가 몰랐던 사실 몇가지를 정리해보겠다. 혹시 OTP 발급기를 염두에 두고 계신 애독자 분이 계시면 일단 은행에 전화를 걸어서 확실하게 확인부터 하고 작전(?)에 나서기 바란다.



가장 먼저 OTP 발급기는 공짜가 아니다. 물론 은행 VIP 고객이나 전자 상품을 가입한 사람에게 무료로 주는 경우도 있지만, 은행에서 발급 받으면 5천원, 증권사 등에서 발급 받으면 2천원이 필요하다. 증권사는 은행보다 상대적으로 OTP 발급 받는 사람 숫자가 적고 고객 사은(?) 개념으로 저렴하게 뿌리는 듯이 보인다.



4월 1일부터 OTP 발급기를 사용하지 않으면 이체 한도가 한번에 1천만원, 하루 5천만원으로 줄어든다. OTP 발급기를 사용할 경우 1회 이체한도가 1억으로 늘어난다고 한다. 여기서 하루 5천만원이 적은 돈은 아니지만 인터넷 뱅킹을 하면서 타행 계좌로 보낼 경우 수수료를 떼므로 5천만원을 1천만원씩 다섯번 나눠 보낼 경우 수수료를 다섯번이나 중복해서 물게 된다. 그러니 OTP 발급기 신청에 들어가는 비용과 계좌 이체에 들어가는 비용을 잘 따져보자.



그리고 OTP 발급기에는 유효기간이 있다. 하나은행에서 제공하는 OTP 발급기의 경우에는 유효기간이 5년이라고 한다. 따라서 유감스럽게도 5년 후에 다시 재발급받아야 한다는 사실. 여기서 정말 궁금한 점이 하나 있는데 OTP 발급기에 들어있는 건전지가 5년을 버텨줄지 모르겠다. OTP 동작원리를 살펴보니 시각 동기화 기법으로 1회용 암호를 생성하므로 만일 건전지가 떨어져버리면 내부 클럭이 멈출텐데 이럴 때는 어떻게 OTP 발급기와 서버 시각을 재동기화하는지 궁금하기 짝이 없다.



범용 OTP는 은행이나 증권사랑 호환이 되므로 한 곳에서 발급받은 OTP 생성기를 다른 곳에 등록해서 사용이 가능하다. 단, 여기서 왕 짜증 나는 문제점이 하나 있는데, 타행 OTP 생성기 등록을 위해서는 반드시 신분증을 지참해서 물리적으로 은행 창구를 방문해서 등록해야 한다(인터넷 뱅킹 화면에서 공인인증서로 어떻게 등록하는 폼을 만들면 될 듯이 보이기도 하지만 전산 시스템 수정이 더 어려운 모양이다). 더 웃긴 사실은 아직 100% 타행 OTP 생성기 등록 서비스가 이뤄지지 않고 있다는 사실이다. 하나은행이랑 국민은행은 상호 연동이 되었는데, 우리은행에 가니까 타행 OTP 생성기 등록이 불가능하다는 대답을 들었다(창구직원이 잘 모르는지 정말 안 되는지 아니면 아직 서비스 준비 중인지는 아직도 의문이긴 하지만... 일단 시간이 없어서 안 따져봤지만 조만간 짬밥이 풍부한 다른 직원에게 전화로 물어볼 생각이다).



OTP 생성기 크기가 안습이라서 과거 보안카드처럼 지갑에 넣기가 어렵다. 초소형 삐삐라고 생각하면 틀림없는데, 일단 눈에 잘 띄는 열쇠고리에 매달아 놓고 다니고 있다. 카드형 OTP 생성기를 제공하는 은행이나 증권사도 있다고 하는데, 이런 타입은 가격이 좀더 비쌀 것 같다. 공인인증서를 담은 USB 메모리까지 들고다녀야 하니 은행 업무를 보려면 준비해야 할 물건이 주렁주렁이다.



마지막으로 OTP 생성기를 신청하는 순간... (은행이나 증권사마다 다르겠지만) 기존 보안카드는 무용지물이 될 가능성이 아주 높다. 그러니 비용, 휴대성, 편의성, 보안성이라는 측면에서 이해득실을 잘 따져서 OPT 생성기를 신청하기 바란다.



뱀다리: OTP 생성기를 사용하면 확실하게 보안이 강화될까? 이게 B급 프로그래머를 궁금하게 만든다.



EOB

댓글 7개:

  1. 국민은행의 경우에는, OTP 발급 등록을 하면, 기존 보안카드는 못쓰게됩니다.
    아마 다른 은행도 마찬가지일겁니다.^^
    OTP는 항상 휴대해야된다는 단점이 있죠.
    주머니에 넣고 다니기도 애매하고...
    기능에 비해서, 너무 크다는 생각이 듭니다.

    답글삭제
  2. 작성자가 댓글을 삭제했습니다.

    답글삭제
  3. 1. http://www.boannews.com/media/view.asp?idx=9011&kind=0

    2. 씨티뱅크 OTP 해킹 사고 사례
    http://swbae.egloos.com/1412431

    답글삭제
  4. - 보안카드와 OTP는 둘 중 하나만 선택해서 사용합니다. OTP를 발급받더라도 모든 금융기관에 일괄 적용되는건 아니고 각각의 금융기관에 등록신청해야 합니다.

    - 내장 건전지가 방전되었을 경우 발급 은행에 가서 재발급 받습니다.

    - 내부 시계가 맞지 않을 경우 OTP 보정메뉴에서 보정합니다. (온라인으로도 가능) 서버에서는 서버시각 앞뒤로 몇개의 값을 생성해서 비교한 후 일치하는 값이 있을 경우 해당 시간차를 인증시 사용하는 것으로 보입니다. (기계의 시간은 바뀌지 않음) 보정범위 이상으로 시간이 틀릴 경우에는 재발급 받습니다.

    - 금융보안연구원에 가입한 금융기관은 타기관의 OTP를 사용할 수 있습니다. 우리은행은 미가입이거나 개발중일지도 모르겠네요.

    - 타기관 OTP 등록은 은행권은 창구에서만 가능하고 일부 증권사와 상호저축은행, 조합 등은 온라인에서도 가능합니다.

    - 사용자는 여러개의 OTP를 소유할 수 있지만 한 금융기관에는 등록한 한개의 OTP만 사용할 수 있습니다.

    - OTP는 보안카드보다는 난수값이 더 많으므로 크래커가 난수값을 아무리 많이 수집하더라도 의미가 없어집니다. (현재의 OTP 보급은 보안카드를 대체하기 위함입니다.) 물론 완벽한 보안이란 없습니다. PC가 전문가에 의해 제대로 해킹당해 있으면 해당 PC를 사용하지 않는것 이외에는 방법이 없습니다.
    만약 OTP의 난수 알고리즘이 유출된다면 좀 끔찍해지겠죠.

    답글삭제
  5. 애독자 여러분의 친절한 설명 감사드립니다. N모사에서 운영하는 지식* 서비스가 울고갈 좋은 데이터가 쌓이는 모습을 보니 뿌듯합니다. :)

    - jrogue 올림

    답글삭제
  6. 엉엉 ^^ 벌써 눈물이 납니다 ^^

    어쨌든.. 좋은 정보 감사드립니다. 으씨..
    큰 돈 보낼 땐 그냥 은행가야 겠네요 ^^

    답글삭제
  7. 5000원이라던데....
    바가지썼다..
    8000원...

    답글삭제