은행 지점에 직접 방문하지 않고서도 계좌를 개설하고, 카드를 발급받아 쓸 수 있는 인터넷전문은행 시대가 내년 출범을 예고하고 있는 가운데 공인인증서나 일회용비밀번호(OTP)발생기 등이 없이도 이체나 각종 결제 등에 활용할 수 있는 보안기술이 나왔다. 일부은행에는 이미 도입됐다.
에잇바이트가 개발한 '세이프터치'는 최신 암호화 기술을 사용해 근거리무선통신(NFC)을 지원하는 IC카드(신용카드, 체크카드 등)와 스마트폰만으로 쉽게 금융서비스를 활용할 수 있게 했다. 이 보안기술은 지난해 9월 JB전북은행에 처음 도입됐다. 이 은행은 오는 12월부터 아예 공인인증서나 OTP발생기가 없이도 쓸 수 있도록 실제 서비스를 선보일 계획이다.
5일 김덕상 에잇바이트 대표에 따르면 세이프터치는 PC나 노트북을 사용하는 인터넷뱅킹을 이용한 거래시 액티브X, NPAPI 기반 플러그인을 설치하지 않고서도 이체 등 서비스를 가능케 한다. 모바일뱅킹앱에서도 활용할 수 있는 점이 특징이다.
세이프터치는 기본적으로 인터넷뱅킹/모바일뱅킹시 어디로 얼마를 이체한다는 내용의 정보를 은행 웹서버로 보내면 해당 서버가 이러한 정보에 암호화 기술을 적용해 해시값 형태로 스마트폰에 전송한다. 해시값으로 된 정보는 NFC 기능을 가진 IC카드의 카드번호를 공개키로 사용해 암호화한 뒤 IC카드로 전송된다. 해당 카드 내에서는 공인인증서가 하는 것과 마찬가지로 카드 내부에 저장된 개인키를 활용해 전자서명을 수행해 실제 사용자의 카드가 맞는지를 확인한다. 그 뒤 전자서명값이 다시 은행 웹서버로 전송돼 실제 카드 사용자가 직접 이체를 수행했는지 여부를 최종확인한다. 공인인증서에 활용된 공개키기반구조(PKI)를 활용하면서도 추가적인 프로그램 설치 없이 쓸 수 있게 한 점이 특징이다.
이러한 방식은 은행이 직접 사설인증서를 발급하고, 관리해야하는 책임을 지는 대신 사용자들 입장에서는 키보드 보안을 포함한 수많은 보안프로그램을 설치하거나 복잡한 보안절차를 거치지 않더라도 금융서비스를 활용할 수 있게 돕는다.
인터넷뱅킹/모바일뱅킹에서 거치는 복잡한 이체 프로세스가 결국에는 합법적인 사용자가 카드 등과 같은 이체수단을 소지하고 있는지를 확인하고, 중간에서 해커가 메모리해킹 등 수법으로 계좌번호나 이체금액을 조작하지 않도록 하기 위한 것이라고 봤을 때, 세이프터치는 이러한 기능들을 사용자 눈에 보이지 않는 혹은 뭔가 설치하지 않아도 되도록 뒷단으로 뺀 것이 특징이다.
세이프터치는 IC카드 대신 스마트밴드와 같이 블루투스 기능을 사용하는 기기에서도 이러한 보안프로세스를 제공할 수 있게 한다는 계획이다.
관련기사
- 펜타시큐리티, 웹표준 기반 공인인증서 보안제품 출시2015.10.06
- 공인인증서 없는 금융 서비스 논의 활발2015.10.06
- 웹표준 인터넷뱅킹 보안 부실…개선 필요2015.10.06
- 인터넷은행 비대면실명확인, 신용카드로 해결2015.10.06
김 대표는 "NFC로 터치하는 방식 대신 블루투스4.0(BLE)을 지원하는 기기만 소지하고 있으면 이체 등을 이행할 수 있게 하는 할 계획"이라며 "내년에는 BLE가 탑재된 IC카드가 출시되면 IC카드를 스마트폰에 터치하지 않아도 이체/결제 등 서비스를 안전하면서 쉽게 쓸 수 있게 될 것"이라고 밝혔다.
이 회사는 국내 스마트밴드 스타트업인 직토(zikto)와 협력해 기존 인터넷/모바일뱅킹 서비스를 지원하는 스마트밴드를 개발 중이다.
