금융감독원이 자신있게 추진한 1등급 보안제품 OTP(일회용 비밀번호)가 전혀 안전하지 못한 것으로 확인됐다.
금융감독원은 기존의 5000만원 이상 전자금융거래에서만 1등급 보안제품사용 기준을 적용하던 것을 1000만원 이상 금융거래로 적용했고 기업은 모든 전자금융거래에 의무적으로 사용하도록 규정했다.
하지만 국민은행 인터넷뱅킹에서 3건 모두 6200만원의 해킹사고가 발생한 이후 OTP의 취약성이 대중에 부각돼 비판의 목소리가 높아지고 있다.
일부 언론에서는 이에 대안으로 HSM(하드웨어 암호화 키 관리장비)과 E2E(종단간 암호화 적용)라는 1등급 금융보안제품을 내놓고 있지만 이전의 유사한 해킹에는 마찬가지로 구멍이 날 가능성이 많다는게 전문가들의 의견이다.
금융보안연구원 전문가는 “기존의 OPT와 HSM은 작동원리가 크게 다르지 않으며 기술적으로 일부구간 에서만 암호화를 제공하는 수준이다”라며 “일부 언론에서 보도하는 것처럼 HSM과 E2E가 현재까지 완벽하다고 할 순 없다.”라고 밝혔다.
또한 “국민은행 해킹사건 범인 당사자 1명을 대상으로 오랫동안 해킹수법을 추적해 복합적인 보안시스템으로 대책을 마련 중이다”라고 말했다.