(헐랭이님 블로그에 무심결에 단 덧글에 대한 다른 분의 우려를 보고 찾아서 쓰는..)

국민은행 해킹사건에 대해 관심을 별로 안가지고 있다가 이게 1분 내에 지나간 OTP 패스워드를 입력한 사건이라는 걸 기사에서 봤다. OTP 패스워드는 보통 20초 정도마다 바뀌는 것으로 알고 있는데, OTP와 서버간의 시간 오차라든지, 확인하고 키보드를 치는데 걸리는 시간이라든지를 감안해서 1분으로 정한 것으로 보인다.

"OTP시스템 해외서 해킹 가능성 있다" (2006.07.24 전자신문) 이때만 하더라도 1분이면 적절하겠지 한 모양인데, 이번 사건은 [기자수첩] “OTP 솔루션, 보안성을 확보하라!” (2008.02.29 eWeek) 에서 지적한 것처럼 1분 내에 이뤄졌다.

한편으로는 이런 생각도 든다. 인증서 유출되고 키로거 깔렸다면 이미 게임 오버 아닌가 하고. 그 잘난 nProtect니 하는 클라이언트 보안 유틸리티들, 백날 깔아봐야 결국 키로거 못잡아낸 것 아니냐고. 아니면 기업용 인터넷 뱅킹 이체 시스템은 일반 개인용 인터넷 뱅킹과 다르게 구성되나? ㅎ

OTP 생성 패스워드의 유효기간을 빡빡하게 세팅하면 사용이 힘들고, 여유있게 세팅하면 보안이 뚫리는 것이라면 '시간'에 집중해서 보안 대책을 세울 일이다. 접속 세션을 이용한 동시 접속 방지라든지, 로그아웃 후에도 OTP 패스워드 유효기간 만큼의 시간을 두고 재접속 금지 (5분쯤?) 라든지. 그리고 '키보드 입력'이 문제라면 마우스 클릭을 이용해서 번호 입력을 한다든지 하는 식의 보완책도 생각해볼 수 있고, '실물 카드는 본인에게만 발급한다'는 점을 생각하면 나중에는 스마트 카드와 리더를 이용한 암호화 및 전송도 생각해볼 수 있다. (※ 이러면 또 스마트 카드가 도난당하거나 복제되면 어떻게 하냐는 말이 나올 법도 한데, 그럼 훨씬 훔치거나 복제하기 쉬운 은행 현금카드와 IC카드는 어떻게 쓰는지? 패스워드도 숫자 4-6자니 더 간단하잖아)

OTP가 가진 헛점은 보완해야겠지만, 이를 빌미로 사용자 컴퓨터를 완전히 제어하려는 방향으로 법과 규정이 움직이는 것이 아닌가 하는 우려가 든다. 그런데 분명히 그렇게 움직일 것 같아서 걱정이다.