OTP(One Time Password, 일회용 패스워드 발생기)는 버튼을 누를 때마다 여섯 자리의 1회용 패스워드를 생성하는 보안시스템이다.
일반 패스워드와는 달리 단방향 암호 기반의 해시라는 패스워드를 사용하며, 그 세션이 끝나면 폐기되기 때문에 재사용이 불가능하다.
일반적으로 은행이나 증권 등 금융회사에서 정보보호를 위해 사용될 뿐 아니라 보안을 중시하는 회사에서 사용하기도 하며, 심지어는 월드오브워크래프트나, 던전앤파이터, 마비노기 등 온라인 게임에도 있다.
고정된 번호 30개만 있는 보안카드와는 달리 기기가 자체적으로 30초, 혹은 1분 단위로 새로운 비밀번호를 생성하는 OTP는 사용의 편리함과 높은 보안수준으로 인해 이용자가 날로 늘어나고 있다.
금융보안연구원에 따르면 지난 2007년 7월 OTP통합인증센터 개소 이래 OTP 누적 거래 건수는 16억4909만4202건이며 일 평균 173만건의 거래가 되고 있는 것으로 조사됐다. 2011년 12월말 기준으로 총 569만8390개의 OTP가 이용되고 있어 전년 동기(450만2771개) 대비 이용자수가 26.6% 증가한 것으로 나타났다.
금융기관에서 사용되는 OTP는 크게 두가지로 나뉜다. 토큰형과 카드형이다.
스마트폰에 설치하는 프로그램 형태가 아니라 일반적으로 금융회사에서 사용되는 OTP의 경우 '유효기간'이 있는 것을 모르는 사람이 적지 않다.
◆ 유효기간이 뭔가요
토큰형이나 카드형 같이 기기형태의 OTP는 기본적으로 건전지가 들어가 있는 구조다. 문제는 이러한 건전지의 교체수단이 없다는 것이다.
그래서 건전지가 방전되는 기간인 '유효기간'이 따로 존재한다. 소형이며, 전력을 많이 사용하지 않기 때문에 업계에 따르면 OTP의 유효기간은 2년에서 최대 5년이다.
유통기한과 비슷하다.
물론 얼마나 사용했느냐에 따라 다르며 실제 방전 기간이 끝났다고 해도 사용이 아예 불가능한 것은 아니지만, 긴급한 사태가 됐을때 못쓰는 경우도 있으니 유효기간이 되기 전에 미리 교체해야할 필요성이 있다.
다만 일반적으로 발급일 기준으로 1년까지는 무상교체를 해주나, 이 기간이 지나면 다시 구입을 해야한다.
금융보안연구원은 이와 관련해 "OTP의 기간이 지나더라도 사용은 가능하나 배터리 급소진 및 인증실패 등 이상징후가 나타나거나 일부 기기의 경우 사용이 중단되기도 하기 때문에 가급적 유효기간 내에 OTP를 교체(재발급)할 것을 권장한다"고 밝혔다.
◆ OTP 교체시 주의 할 점은
OTP 교체시 가장 주의해야할 점은 금융사를 방문해야한다는 것과, 새로 구입해야한다는 것이다.
OTP는 기본적으로 발급이 지점에서 대면한 상태에서만 가능하기 때문에 귀찮더라도 금융회사의 지점을 찾아가 교체해야 한다.
또한 가격은 금융사마다 제각각이며, 거래 등급에 따라 구입 금액이 만원가량이 드는 경우가 있는가 하면, 무료로 받을수도 있으니 잘 찾아볼 필요가 있다.
대신 여러번 해지하고 등록할 필요는 없다. 금융기관들은 타기관 OTP자동등록이 있어 새로 발급받으면 다시 등록이 된다.
물론 이는 금융권과 회사마다 약간씩 다르기 때문에 내방한 뒤 확인을 거칠 필요는 있다.
또한 A사에서 OTP를 발급받았더라도 갱신 등을 위해서는 반드시 그 회사를 갈 필요는 없었다.
삼성증권 관계자는 "타사발금 OTP의 경우도 내방시, 기존에 발급 유무에 따라 (즉, 최초냐 교체냐) 재 발급 또는 최초발급이 가능하다"고 설명했다.
다만 카드형을 원한다면 은행에 가는 수 밖에는 없을 것으로 보인다. 적잖은 증권사들은 카드형 OTP는 발급하지 않는다고 밝혔기 때문이다.
한 증권사 관계자는 "카드형 OTP는 오류가 많아 발급을 중단하고 현재는 토큰형만 발급하고 있다"고 설명했다.
유병철 세계파이낸스 기자 ybsteel@segyefn.com
