스마트이노베이션, 다기능 OTP카드 개발

국내 IT기업들이 첨단 보안기술을 선보이며 핀테크 활성화에 나섰다. 보안에 중심을 두고 편의성까지 가미한 서비스로 시장 확보에 주력할 전망이다.

■ 스마트이노베이션, 다기능 OTP카드 개발

OTP카드 전문 개발기업인 스마트이노베이션은 최근 다기능 OTP 카드를 제작했다.

▲ 스마트이노베이션이 개발한 업무인증 OTP 카드. 스마트이노베이션 제공

OTP(OneTimePassword·일회용 패스워드)는 무작위로 생성되는 일회용 패스워드로 이용하는 사용자 인증 방식이다. 동일한 패스워드가 반복 사용되면서 발생하는 보안 취약점을 극복하기 위해 도입됐다. 시중에는 소형 단말기 모양의 '토큰형'과 신용카드 모양의 '카드형'이 주로 사용되고 있다.

스마트이베이션의 OTP카드는 보안 1등급의 OTP 모듈과 금융IC 칩을 동시에 제어할 수 있는 점이 특징이다. 카드 한 장으로 OTP를 통한 금융거래를 진행할 수 있으며, 금융IC 칩이 내장돼 일반 신용·체크카드 기능도 함께 쓸 수 있다. 또 블루투스, NFC(근거리무선네트워크) 등 다양한 모듈을 추가해 핀테크(FinTech) 서비스에도 이용할 수 있다.

현재 스마트이노베이션은 IBK기업은행에서 공고한 '업무인증 OTP 카드' 공급업체로 선정되는 등 자사의 제품 보급에 열을 올리고 있다. 더불어 국내 금융사 및 증권사들로부터 이미 75만장 규모의 공급계약을 체결했다고 사측은 설명했다. 지난 5월에는 클라우드컴퓨팅 전문기업 이노그리드에 업계 최초 클라우드의 안전한 계정보안을 위한 OTP카드를 공급한 바 있다.

■ SKT, 3자 협력으로 스마트 보안영역 구축

SK텔레콤은 스마트폰 전용 보안영역 구축에 나선다. 보안 솔루션 업체인 에이티솔루션즈, 영국의 트러스토닉(Trustonic)과 업무협약(MOU)을 체결했다. 이번 협약을 통해 3사는 보안 서비스 플랫폼을 활용한 생태계 조성을 추진하게 된다.

▲ SK텔레콤은 트러스토닉, 에이티솔루션즈와 보안 서비스 생태계 구축 관련 업무협약(MOU)을 체결했다. 왼쪽부터 크리스토프 콜라스 트러스토닉 상품마케팅 부사장, 위의석 SK텔레콤 상품기획부문장, 김종서 에이티솔루션즈 대표. SK텔레콤 제공

앞서 지난 2012년부터 SK텔레콤은 트러스토닉과 협력해 보안 플랫폼을 구축한바 있다. 트러스트존이란 스마트폰의 AP칩 안에 안드로이드 OS와 분리된 안전영역을 만들고 별도의 보안 운영체제를 구동하는 기술이다.

이 기술을 이용하면 핀테크나 보안 관련 앱을 개발할 경우, 핵심 정보가 트러스트존에서 처리돼 해커나 악성 앱의 접근을 원천 차단한다고 SK텔레콤은 설명했다. 에이티솔루션즈는 이번 제휴를 통해 트러스트존 플랫폼을 기반으로 한 핀테크 및 보안 관련 서비스를 개발할 계획이다.

이를 통해 3사는 OTP기기를 대체하는 트러스트존 OTP 앱 개발이나 공인인증서 보안성 개선이 가능할 것으로 전망했다. 또 FIDO(Fast IDentity online·온라인 환경 하에 '생체인식기술 활용 인증' 관련 국제표준)와 결합해 보안 관련 시너지도 기대할 수 있다고 덧붙였다.

■ 코리아엑스퍼트, 아이디도 일회용으로

코리아엑스퍼트는 비밀번호를 포함해 아이디까지 랜덤으로 생성하는 일회용 사용자 인증 솔루션 '아이루키(IRUKEY)'를 출시했다.

▲ 코리아엑스퍼트가 개발한 사용자 ID인증 솔루션 '아이루키(IRUKEY)' 앱 구동 방법. 코리아엑스퍼트 제공

OTP를 포함한 기존 인증방식의 경우 고정된 아이디 사용으로 비밀번호가 해킹 당하는 등의 보안 취약점이 발견됐다. 아이루키는 시간 동기화 방식으로 자동 생성되는 일회용 랜덤코드를 통해 이러한 문제점을 보완한다는 계획이다. 코드 생성과정에서 서버와 통신하지 않아 유출 위험이 적고, 전송구간에서 코드를 가로채는 공격으로부터 안전하다는 것이다.

단, 아이루키를 사용하려면 기업과 시스템이 연동돼 있어야 한다. 이용자도 최초 사용자 등록을 거쳐야 한다. 앱에서 아이디와 비밀번호로 로그인 후 접속 사이트 등을 선택하면 사용자 정보 확인을 거쳐 고유의 QR코드가 웹사이트에 나온다.

QR코드 스캔을 완료하면 등록 사이트가 생성되고 일회용 아이디와 비밀번호 코드가 등장하는 원리다. 이후에는 해당사이트에서 일회용 ID와 비밀번호만 입력하면 로그인 할 수 있다. 현재 '아이루키'는 7~8곳에서 개념검증(POC)을 진행 중이며 코리아엑스퍼트는 전자민원·포털, 온라인게임 서비스 등으로 범위를 확대할 계획이다.

업계의 관계자는 "최근 일련의 사건 등을 통해 보안에 대한 경각심이 높아지고 있다"며 "IT기업들이 강화된 보안 기술로 사용자들의 안전을 확보하는데 주력해야 할 것"이라고 말했다.

채성오기자 cs86@sporbiz.co.kr