안전한 인터넷 뱅킹을 하려면 OTP를 사용하자.


인터넷 뱅킹이 일반화 되어 있는 가운데 금융거래시에 사용되는 2가지 중요한 것이 있었으니 그것은 바로 '공인인증서' 와 '보안카드' 이다.

이 두가지가 없으면 인터넷에서 금융거래를 하지 못한다. 또한 한가지만 있어도 할 수가 없다. 여기서 말하는 '보안카드' 라는 것은 은행에서 계좌를 개설할때 인터넷뱅킹을 신청을 하게 되면 일정한 네자리수가 있는 번호가 적힌 카드를 받게 된다.

인터넷뱅킹시에 그중에서 앞이나 뒤에 2자리씩 이 카드에 있는 번호를 요구 하게 되는데 인터넷 뱅킹시에는 반드시 필요한 카드이기도 하다. 그래서 우리는 이를 '보안카드' 라 지칭을 한다.

이러한 보안카드는 분실이 되거나 일부 사용자가 관리상 번거로움으로 인하여 스캔을하여 이미지 파일로 하드디스크에 저장 하는 일들이 있는데 이것이 곧 보안사고로  빈번하게 발생을 한다.

그것도 그렇것이 인터넷뱅킹시마다 일일이 열어보고 확인하고 해 주어야 한다. 이런것 마져도 번거롭다고 여기는 사용자들이 있다. 그런데 이것이 잘못 관리를 하였을 경우 보안에 취약하고 또한 자주 사용하는 숫자의 경우 '키로거' 프로그램을 이용하여 해당 보안카드 숫자를 추출해 낼 수 있어 늘 보완이 필요했다.

그래서 필자는 오늘 기존에 쓰던 보안카드 보다 더 안전한 OTP (OneTime Password)라는 것을 신청하였다. OTP는 일회성 패스워드 임으로 한번만 사용할 수 있는 것이 장점이다.

혹시 모를 키로거 프로그램등으로 인하여 숫자가 노출이 되었다 하더라도 더 이상 사용 할 수 없는 것이다. 즉, 한번쓰고 버리는 것이다. 

거래은행인 우리은행에 OTP를 살펴 보자.



 

우리 은행에서 발급하는 <카드형 OTP>를 신청을 하였다.  신용카드 두께와 동일 하였으며 지갑에 넣어 다녀도 손색이 없다. 아래 사진의 오른쪽에 카드 그림에 전원 버튼을 힘껏 누르고 있으면 위 카드 창에 6개의 숫자가 나타난다. 이것을 인터넷 뱅킹시에 <보안카드> 대신에 숫자를 넣으면 되는 것이다. 

오늘 그 첫 거래를 해 보았는데 제법 안전할꺼 같다는 느낌이 들었다.  혹시 주거래 은행에서 발급하고 있는 OTP 가 있으면 지금 당장 발급하여 사용하길 권장한다. 그것이 안전한 인터넷 뱅킹을 위한 보안습관이 되겠다.




그럼 비용은 얼마이고 어떻게 OTP를 발급받지?



우선 주 거래은행에 가는데 필자는 국민은행과 우리은행을 거래하고 있어 두 곳에 사정만 알고 있어 이야기 해 보고자한다.

    • 국민은행 - 우수회원을 대상으로 하여 메일을 보냈다고 하고 있으며 메일을 받은 고객은 무료로 지급하고 있다.  하지만 그렇지 않은 고객은 5000원의 발급 수수료를 지불해야 함. 모양은 이런 카드형이 아니라 두께가 있는 모양을 지급해 준다.
    • 우리은행 - 우리은행은 마찬가지로  3000원짜리 OTP가 있었는데  필자의 경우 카드 포인트가 있어 3000원짜리 보다는 카드형 OTP를 포인트로 계산하여 발급을 받았다. 그냥 발급 받으면 카드형은 10,000원이다. 
    • 거래은행 한곳에서 발급을 받아 타 은행에 등록을 하고 같이 사용할 수 있다,. 그것은 공인인증서와 사용방법이 같다고 보면 되겠다.


우리은행 홈페이지 메인에 올라온 공지사항



기존에 '보안카드'로 얼마든지 인터넷 뱅킹을 사용하는데 무리가 없었지만 보안을 연구 하는 사람으로서 일반 시중에 OTP가 어떻게 이루어지고 있으며 또한 이러한 OTP에는 또 다른 보안 위험성이나 취약성은 없는지 알아 보기 위하여 실제 체험해 보고 경험해 보아야 알 수 있는 것이다. 모든 것이 완벽한 것은 없다. 

하지만 지금까지 나온 대안중에서 가장 안전하다 할수 있으니 인터넷 뱅킹을 사용하는 이용자들은 시중 은행에 방문이나 전화로 잘 알아 보고 안전한 인터넷 뱅킹을 위한 OTP 사용을 많이 이용을 했으면 하는 바램이다.  @엔시스.



Posted by 엔시스

오늘 4월 1일부터는 '보안 등급별 이체한도 차등화' 정책이 시행이 된다. 최근들어 각 은행들로 부터 보안등급별 이체한도 차등때문에 전화를 받은 적이 있을 것이다. 그것은 자신이 하루에 또는 한건당 정해진 한도를 이체하려면 반드시 OPT(One Tinme Password:일회용패스워드)를 사용해야 한다는 사실이다.

사용자 삽입 이미지
                                   <자료출처:국가사이버안전센터>

아마도 기존 방식대로 한다면 3등급으로 이용을 하게 되는 것이다. 조금 더 자세한 방법을 알아 보자

사용자 삽입 이미지

                                <자료출처: 국가사이버 안전센터>

즉, 인터넷 뱅킹시에 위 그림과 같이 이체 한도가 제한 됨을 알수있다. 물론 일반 이용자의 경우 그렇게 하루에 또는 한껀당 많은 금액을 이체 시킬일이 별로 없겠지만 혹시 필요로 하는 일반 사용자나 법인에서는 담당자들은 미리 사전에 확인을 하고 준비를 해야 할 것이다.

아무런 신경을 쓰고 있지 않다가 갑자기 제한에 걸여 부랴부랴 그때 가서 급하게 하는것 보다 다음주 중에 사전에 조치를 취해 놓는 것이 좋을 것이다.

시사점

일회용 패스워드 정책은 조금 늦은감이 있지만 시기 적절한 것이며 인터넷 뱅킹시 있을지 모를 외부 공격으로 인하여 사고를 당하였다 하더라도 적절한 수준에서 커버가 될 것으로 생각이 된다. 무엇보다 금융보안에 있어서는 실시간으로 움직이는 금액과 직결되는 문제이기 때문에 늘 신경을 쓰고 관심을 가져야만 하겠다. 그런 적절한 대책을 금융정책 당국은 늘 고민하고 제시하여야 할것이다.


Posted by 엔시스