OTP카드 유형/사진=금융결제원 홈페이지

27일 금융거래를 위한 스마트OTP(일회용비밀번호) 서비스를 개시한 금융결제원이 보안취약성을 고려하지 않고 해당 서비스 추진을 강행하고 있어 금융사고의 위험성이 존재한단 주장이 제기됐다.

김승남 새정치민주연합 의원은 30일 "현재 금융결제원에서 진행하고 있는 스마트 OTP인증(시간동기화방식)을 보면 카드 프로그램에 대한 인증 절차 없이 은행 간 연동 여부에 대해서만 테스트를 하고 있다"고 지적했다.

김 의원에 따르면 그동안 금융결제원에서 인증한 스마트카드들은 모두 지정 규격에 맞춰 카드 프로그램을 검증했다. 금융결제원의 금융IC 표준은 현금IC카드, 직불카드, 공인인증서, 보안토큰, 전자화폐(K-cash) 등의 규격을 명시토록 하고 있다. 김 의원 측은 "인증신청사가 개발하는 카드 프로그램의 경우 어떻게 개발했는지 검증해야 하는데 이러한 검증을 하지 않는 것은 매우 위험하기 때문"이라고 설명했다.

그러나 이번에 추진하는 스마트OTP 서비스의 경우 '스마트OTP 칩카드 규격서(v3.0)'가 개발에 정상적으로 사용됐는지 확인하지 않고 카드프로그램 검증도 하지 않은 채 은행 간 연동 여부와 OTP번호 생성 유무에 관한 부분만 테스트하고 인증을 완료한 것으로 나타났다.

김 의원 측은 또 "이후 배포된 'OTP통합인증 센터기반의 스마트OTP 연동 규격서(v4.0)'에도 카드 프로그램에 대한 규격이 없고 OTP 번호가 어떻게 생성되는지에 대해서 인증을 하지 않았다"고 지적했다.

카드프로그램 검증은 규격서에서 지정하지 않은 명령어가 다른 용도로 악용 될 가능성이 있어 실시한다. 일례로 카드 내의 비밀 키를 보내주는 명령어를 개발자가 넣어놓으면 언제든지 해당 키를 추출해 사용할 수 있다는 것. 이 명령어는 해당 개발자가 납품한 모든 카드에 들어있는데다 키의 유출 경로도 밝히기 힘들어 심각한 보안위협이 된다는 설명이다.

김 의원 측은 "내년에 새로운 OTP표준규격이 만들어지면 각 은행들은 다시 스마트OTP 카드를 재발급해야 한다"며 "은행들도 이번 스마트OTP 카드를 최소물량만을 공급할 계획을 하고 있지만 예산낭비와 고객들의 불편은 그대로 남게 된다. 또 정부가 추진하는 핀테크 산업 활성화를 가로막아 스타트업들의 시장진출을 어렵게 하고 있다"고 지적했다.

이어 "금융산업 경쟁력확보를 위해 핀테크 산업을 육성하려는 국가정책을 일부 조직의 안위를 위해 예산낭비, 고객 불편, 기술발전 저해를 초래하는 행태는 사라져야한다"며 "금융당국도 각종 금융사고가 발생할 때마다 보안 불감증을 지적하기 전에 보안의 최일선에 있는 은행들이 스스로 경쟁력을 갖출 수 있도록 규제를 조속히 완화해야한다"고 주장했다.

김승남 새정치민주연합 의원/사진=머니투데이DB