김승남 의원(새정치민주연합, 전남 고흥.보성)은 금융거래를 위한 스마트OTP(일회용비밀번호) 서비스가 11월 27일(금) 개시되었지만, 금융결제원은 보안취약성을 전혀 고려하지 않은 상황에서 서비스 추진을 강행하고 있어, 향후 금융사고의 위험성을 배제할 수 없다고 지적하였다.

 

현재 금융결제원에서 진행하고 있는 스마트 OTP인증(시간동기화방식)을 보면 카드 프로그램에 대한 인증 절차는 없이 은행 간 연동에 대해서만 테스트를 하고 있다. 그동안 금융결제원에서 인증한 스마트카드들은 모두 지정한 규격에 맞추어 카드 프로그램 검증을 했다.

 

즉 금융결제원의 금융IC표준을 보면, 현금IC카드, 직불카드, 공인인증서, 보안토큰, 전자화폐(K-cash) 등의 규격이 명시되어 있다. 이유는 카드 프로그램은 인증신청사가 개발하는 것으로 이를 어떻게 개발하였는지 검증해야 하는데, 이러한 검증을 하지 않는 것은 매우 위험하기 때문이다.

 

하지만 이번에 추진하는 스마트 OTP의 경우,「스마트OTP 칩카드 규격서 v3.0」이라는 규격서가 있었지만, 실제 스마트OTP 인증은 이 규격서가 개발에 정상적으로 사용되었는지를 확인하지 않고 카드 프로그램도 검증도 하지 않은 채, 단지 은행간 연동과 OTP번호의 생성 유무에 관한 것들만 테스트하고 인증을 완료했다. 그 후에 배포된 「OTP통합인증 센터기반의 스마트OTP 연동 규격서 v4.0」에도 카드 프로그램에 대한 규격은 없다. 즉 OTP번호가 어떻게 생성되는지에 대해서는 인증을 하지 않았다.

 

카드프로그램 테스트는 규격서에서 지정하는 이외의 명령어는 다른 용도로 악용 될 가능성이 있기 때문에 엄격히 규제를 하고 있다. 예를 들자면 카드내의 비밀 키를 보내주는 명령어를 개발자가 넣어놓으면 언제든지 키를 추출해 사용 할 수가 있다.

 

이 명령어는 개발자가 납품한 모든 카드에 들어 있기 때문에 심각한 보안 위협이 되며 키의 유출 경로도 밝히기 힘들다. 특히 국내외에서 보안성 문제가 되고 있는 SHA-1 함수를 사용했는지 여부도 가려낼 수가 없다.

 

그러므로 카드프로그램 규격과 이를 검증하는 절차가 반드시 필요 한 것이다. 금융결제원은 이러한 절차를 무시하고 스마트OTP 서비스를 강행하고 있고, 은행들도 이러한 사실을 알면서도 도입하고 있어 향후 심각한 문제를 발생시킬 수 있다.

 

보안상 문제가 있음에도 불구하고, 금융결제원과 은행들이 스마트OTP를 추진하는 이유는 금융결제원의 조직 확대와 관련되어 있다.

 

전자금융거래법 일부 개정으로 공인인증서의무 사용은 폐지되었지만, 금융거래 시 보안카드나 OTP를 사용해야 하는 감독규정은 아직 바뀌지 않은 상태이다.

 

따라서 감독규정이 바뀌기 전에 금융보안연구원으로부터 이관 받은 OTP서비스를 은행간 연동을 통해 독점화해야 한다.

 

하지만 새로운 표준규격의 OTP방식을 만드는데 시간이 걸린다. 따라서 현재 OTP(시간동기화방식)의 보안성문제를 검증 할 수 있는 칩규격 인증을 하지 않고, 단지 생성된 OTP번호의 은행간 연동만 테스트함으로써, 사고발생 시 모든 책임을 은행들에게 전가할 수 있다.

 

내년에 새로운 OTP표준규격이 만들어지면 각 은행들은 다시 스마트OTP 카드를 재발급해야할 것이다. 은행들도 이번 스마트OTP 카드를 최소물량만을 공급할 계획을 하고 있지만, 예산낭비와 고객들의 불편은 그대로 남게 되고, 정부가 추진하는 핀테크 산업 활성화를 가로막아 스타트업들의 시장진출을 어렵게 하고 있다. 더구나 새로운 OTP표준규격 또한 특정방식만을 고수해서는 안 되며, 스타트업들의 시장진출이 가능하도록 다양한 방식이 포함되어야 한다.

 

김승남의원은 “금융산업 경쟁력확보를 위해 핀테크 산업을 육성하려는 국가정책을 일부 조직의 안위를 위해 예산낭비, 고객 불편, 기술발전 저해를 초래하는 행태는 사라져야한다”면서 “금융당국도 각종 금융사고가 발생할 때마다 보안 불감증을 지적하기 전에, 보안의 최 일선에 있는 은행들이 스스로 경쟁력을 갖출 수 있도록 규제를 조속히 완화해야한다”고 주장하였다.