[쿠키뉴스=조민규 기자] NH농협은행이 스마트 OTP 보안검증 없는 제품을 사용했다는 주장이 제기됐다.
새정치민주연합 김승남 의원(새정치민주연합, 전남 고흥·보성)은 금융거래의 안정성을 위해 도입된 스마트OTP(일회용비밀번호)가 실제로는 국제 공통 카드규격(ISO)과 금융결제원의 칩 규격조차 따르지 않은 보안위험이 매우 높은 제품이 사용되고 있음을 밝혀냈다고 주장했다.
김 의원은 국정감사 이후부터 스마트OTP의 문제점을 지적해왔으나 NH농협은행은 스마트OTP 공급업체로 선정한 A업체가 금융결제원의 인증시험을 통과했기 때문에 아무런 문제가 되지 않는다고 주장해 왔다.
이에 농협은행이 주장하듯이 스마트OTP가 보안상 문제가 없는지 전문가를 통해 확인한 결과, 스마트 OTP공급자로 지정한 A사의 제품이 실제로는 금융결제원의 칩 규격서를 전혀 따르지 않은 것으로 확인됐다고 밝혔다.
김 의원은 금융결제원의 규격서 뿐만 아니라 스마트카드와 단말기 또는 시스템 간의 통신을 위한 기본 명령어에 대한 국제 표준인 ISO7816-4도 무시하고 있다고 지적했는데 스마트 OTP에 내장되는 카드 프로그램은 개발자만이 알고 있는 고유한 것이기 때문에 프로그램의 투명성을 보장하기 위해서 규격서에서 지정하는 이외의 동작을 하면 절대 안 된다다는 것이다. 카드프로그램 테스트는 규격서에서 지정하는 이외의 명령어는 다른 용도로 악용 될 가능성이 있기 때문에 엄격히 규제를 하고 있다.
문제는 A사의 스마트 OTP카드가 특정 명령어가 규격서에서 요구하는 이외의 동작을 하고 있어서 스마트 OTP카드가 실제로 어떤 위법 행동을 하는지는 개발자 이외에는 아무도 알 수 없게 되어 있다는 것이다. 특히 금융결제원과 은행들은 이러한 사실을 알면서도 스마트OTP 서비스를 강행하고 있어 향후 심각한 문제가 발생할 수 있다고 우려했다.
금융결제원 칩 규격 명령어의 경우, A업체의 스마트OTP는 표에 정리한 것처럼 모든 칩 명령어에 대해 동작되지 않고 있고, 유일하게 규격을 따른 상호인증(Mutual Authentication) 명령어의 경우도 오직 84 82 00 00 18만 응답해야 하지만 다른 입력 값에서도 작동하고 있어 실제로 어떤 명령어를 첨부했는지 아무도 알 수 없다고 설명했다. 그 밖에도 칩 규격서에 없는 알 수 없는 명령어가 8~9가지가 들어있어 보안상 치명적일 수 있다고 덧붙였다.
또 다른 문제점은 지금처럼 금융결제원으로부터 인증 받은 모든 스마트 OTP 개발사(현재 5개사)가 각기 다른 규격을 쓰고 있으면 이를 사용하는 은행은 상호 연동을 위해 모든 스마트 OTP 개발사의 인터페이스 모듈을 가지고 있어야하며, 스마트 OTP 개발사가 늘어날 때마다 새로운 프로그램을 수용하기 위해 모든 은행이 관련 프로그램을 수정해야 하는 일이 발생하므로 이에 따라 추가되는 인력 및 소요 비용의 낭비를 되풀이 하게 될 것이라고 지적했다.
김 의원은 최근 금융위원회가 금융개혁의 핵심이 핀테크 분야이며, 금융회사의 자율과 책임을 확대했다고 자화자찬하고 있지만 정작 기본적인 금융거래 시에 보안성이 취약한 OTP를 의무사용토록 하고 있고, 금융결제원과 은행들은 자율적인 기술 확보보다는 책임 회피성으로 보안성 검증조차 하지 않은 시스템을 무조건 추진하고 있다며, 금융분야의 경쟁력을 확보하기 위해서는 다양한 핀테크 기술들이 시장에서 활용될 수 있도록 하면서 동시에 그러한 기술들이 보안상 문제가 없도록 공통규격과 공통규격에 맞는지 여부를 테스트 할 수 있는 인증시험 기반을 구축해야 한다고 주장했다. kioo@kukimedia.co.kr
간담 서늘해지는 '후덜덜' 사진들...고소공포증이 있다면 주의!
[쿠키영상] 침팬지에게 총을 주면 안되는 이유
[쿠키영상] 'Shake It & 위아래' 치명적인 몸짓에 심쿵
새정치민주연합 김승남 의원(새정치민주연합, 전남 고흥·보성)은 금융거래의 안정성을 위해 도입된 스마트OTP(일회용비밀번호)가 실제로는 국제 공통 카드규격(ISO)과 금융결제원의 칩 규격조차 따르지 않은 보안위험이 매우 높은 제품이 사용되고 있음을 밝혀냈다고 주장했다.
김 의원은 국정감사 이후부터 스마트OTP의 문제점을 지적해왔으나 NH농협은행은 스마트OTP 공급업체로 선정한 A업체가 금융결제원의 인증시험을 통과했기 때문에 아무런 문제가 되지 않는다고 주장해 왔다.
이에 농협은행이 주장하듯이 스마트OTP가 보안상 문제가 없는지 전문가를 통해 확인한 결과, 스마트 OTP공급자로 지정한 A사의 제품이 실제로는 금융결제원의 칩 규격서를 전혀 따르지 않은 것으로 확인됐다고 밝혔다.
김 의원은 금융결제원의 규격서 뿐만 아니라 스마트카드와 단말기 또는 시스템 간의 통신을 위한 기본 명령어에 대한 국제 표준인 ISO7816-4도 무시하고 있다고 지적했는데 스마트 OTP에 내장되는 카드 프로그램은 개발자만이 알고 있는 고유한 것이기 때문에 프로그램의 투명성을 보장하기 위해서 규격서에서 지정하는 이외의 동작을 하면 절대 안 된다다는 것이다. 카드프로그램 테스트는 규격서에서 지정하는 이외의 명령어는 다른 용도로 악용 될 가능성이 있기 때문에 엄격히 규제를 하고 있다.
문제는 A사의 스마트 OTP카드가 특정 명령어가 규격서에서 요구하는 이외의 동작을 하고 있어서 스마트 OTP카드가 실제로 어떤 위법 행동을 하는지는 개발자 이외에는 아무도 알 수 없게 되어 있다는 것이다. 특히 금융결제원과 은행들은 이러한 사실을 알면서도 스마트OTP 서비스를 강행하고 있어 향후 심각한 문제가 발생할 수 있다고 우려했다.
금융결제원 칩 규격 명령어의 경우, A업체의 스마트OTP는 표에 정리한 것처럼 모든 칩 명령어에 대해 동작되지 않고 있고, 유일하게 규격을 따른 상호인증(Mutual Authentication) 명령어의 경우도 오직 84 82 00 00 18만 응답해야 하지만 다른 입력 값에서도 작동하고 있어 실제로 어떤 명령어를 첨부했는지 아무도 알 수 없다고 설명했다. 그 밖에도 칩 규격서에 없는 알 수 없는 명령어가 8~9가지가 들어있어 보안상 치명적일 수 있다고 덧붙였다.
또 다른 문제점은 지금처럼 금융결제원으로부터 인증 받은 모든 스마트 OTP 개발사(현재 5개사)가 각기 다른 규격을 쓰고 있으면 이를 사용하는 은행은 상호 연동을 위해 모든 스마트 OTP 개발사의 인터페이스 모듈을 가지고 있어야하며, 스마트 OTP 개발사가 늘어날 때마다 새로운 프로그램을 수용하기 위해 모든 은행이 관련 프로그램을 수정해야 하는 일이 발생하므로 이에 따라 추가되는 인력 및 소요 비용의 낭비를 되풀이 하게 될 것이라고 지적했다.
김 의원은 최근 금융위원회가 금융개혁의 핵심이 핀테크 분야이며, 금융회사의 자율과 책임을 확대했다고 자화자찬하고 있지만 정작 기본적인 금융거래 시에 보안성이 취약한 OTP를 의무사용토록 하고 있고, 금융결제원과 은행들은 자율적인 기술 확보보다는 책임 회피성으로 보안성 검증조차 하지 않은 시스템을 무조건 추진하고 있다며, 금융분야의 경쟁력을 확보하기 위해서는 다양한 핀테크 기술들이 시장에서 활용될 수 있도록 하면서 동시에 그러한 기술들이 보안상 문제가 없도록 공통규격과 공통규격에 맞는지 여부를 테스트 할 수 있는 인증시험 기반을 구축해야 한다고 주장했다. kioo@kukimedia.co.kr
간담 서늘해지는 '후덜덜' 사진들...고소공포증이 있다면 주의!
[쿠키영상] 침팬지에게 총을 주면 안되는 이유
[쿠키영상] 'Shake It & 위아래' 치명적인 몸짓에 심쿵
