노출되어도 재사용 불가능, 무작위로 생성되는 일회용 패스워드 ‘OTP’ [지식용어]

[시선뉴스 조재휘 / 디자인 이윤아Pro] 우리는 손쉽게 인터넷이나 모바일뱅킹으로 계좌이체를 하는 시대에 살고 있다. 많은 돈이 오갈 수 있는 만큼 철저한 보안이 최우선이다. 현재도 보안을 위한 많은 시스템이 마련되어 있으며 많은 방식 중 기존 보안카드 등에서 동일한 비밀번호 반복 사용으로 발생하는 문제점을 극복하기 위해 도입한 ‘OTP’가 있다.

‘OTP(One Time Password)’는 일회용 패스워드로 무작위로 생성되는 난수의 일회용 패스워드를 이용하는 사용자 인증 방식이다. 로그인을 할 때마다 일회성 패스워드를 생성하여 동일한 패스워드가 반복해서 사용됨으로 발생하는 사고를 줄이기 위해 도입한 시스템이다.

비밀번호가 일회용이기 때문에 노출되더라도 재사용이 불가능하며 비밀번호가 숨겨진 알고리즘을 이용해 생성되기 때문에 서버와의 접속 없이도 생성이 가능하다. 그렇기 때문에 중간 과정에서 유출되는 위험성이 없다. 

OTP는 주로 금융권에서 온라인 뱅킹 등의 전자 금융 거래에서 사용되며 사용자는 일회용 비밀번호를 생성하는 하드웨어인 OTP 생성기(OTP token)를 이용한다. 안전을 보장받기는 하지만 별도의 OTP 생성기를 소지해야 하는 불편함 등이 있기 때문에 전자 금융 거래를 제외한 인터넷 등의 광범위한 네트워크에서는 일반적으로 사용되지 않는다.

OTP 생성기는 매 1분마다 자동으로 서로 다른 6자리의 패스워드가 나오는 시간 동기 방식과 버튼을 누르면 6자리의 패스워드가 나오는 방식, 키패드에 4자리 비밀번호를 입력하면 6자리 패스워드를 보여 주는 방식 등 다양한 종류가 있다. 형태로는 소형 단말기 형태 토큰형과 카드형이 사용되고 있으며 최근에는 휴대전화 범용 가입자 식별모듈(USIM)을 기반으로 하는 모바일 OTP의 도입이 늘고 있다.

원래의 OTP는 일회용 비밀번호를 생성할 수 있도록 제작된 OTP 토큰이란 이름의 특수 하드웨어 장치나 카드를 사용하는 형태이다. 금융기관용 OTP 토큰이 가장 많이 쓰이고 은행이나 증권사에서 구입할 수 있다. 어느 정도의 크기가 있기에 지갑에 넣고 다니는 것은 불가능하며 따로 들고 다녀야 한다는 불편함이 있다.

카드형 OTP는 OTP 토큰의 불편한 휴대성을 개선한 것으로 신용카드처럼 생겨서 카드형 OTP라고 불린다. 초기의 카드형 OTP 두께가 꽤 두꺼웠지만 이를 개선한 카드형 OTP는 신용카드와 비슷할 정도로 얇아져 지갑에 넣고 다니기에도 불편함이 없다.

배터리가 닳으면 사용이 불가능하고 까다롭다는 단점을 개선한 스마트 OTP도 있다. 배터리가 필요 없어 사실상 반영구적으로 사용 가능하고 보안카드와는 다르게 다른 은행과 호환이 가능하다. 하지만 일반 OTP에 비해 사용과정이 다소 복잡하고 아직 스마트 OTP를 지원하지 않는 금융기관도 있는 단점도 있다.

전자금융거래에서는 안전성 확보가 최우선으로 생각된다. 일회용 비밀번호 ‘OTP’ 역시 안전성 확보에 일조하고 있으며 계속해서 전자기기 등의 발달로 전자금융의 거래가 활발해지고 있는 가운데 인증 수단도 나날이 강화되어 이로 인한 피해가 생기지 않아야 할 것이다.