홈트레이딩시스템(HTS), 모바일트레이딩시스템(MTS) 등 온라인 증권거래서비스에서도 공인인증서를 대체할 수 있는 솔루션이 등장했다. 증권사들은 자사 사정에 따라 도입여부를 검토 중이다.
9일 코스콤, 인터페이 관계자들은 인터페이가 개발한 'TZ사인(TZ SIGN)'을 활용해 증권거래서비스 프로그램과 증권사 간에 인증정보를 주고 받고, 이를 코스콤이 공증하는 방식으로 공인인증서처럼 부인방지기능을 구현하는 대체인증서비스에 대한 시스템 구축 작업을 마쳤다고 설명했다.
TZ사인은 영국 반도체 설계 전문회사 ARM이 제공하는 '트러스트존(TrustZone, TZ)'을 활용한다. 안드로이드폰 내 CPU 역할을 하는 애플리케이션프로세서(AP) 내부의 안전한 영역에서 증권계좌를 통한 계좌이체나 증권매매주문을 내는데 필요한 계좌번호, 이체금액 등 정보를 조합한 일회용 비밀번호(OTP)를 만든다. 증권사 서버에서도 같은 방식으로 OTP값을 만들어 서로 거래 당사자들이 맞는지를 비교한다.
공인인증서가 공개키와 개인키를 활용해 실제 본인이 거래했다는 사실을 확인할 수 있도록 했다면 TZ사인은 코스콤이 중간에서 증권거래서비스 사용자와 증권사 간 거래 내역을 암호화한 해시값 형태로 코스콤 TZ사인센터에 별도로 저장해 놓는다. 이러한 방법으로 나중에 거래 당사자들 간에 실제 거래가 이뤄졌다는 사실을 증명할 수 있다.
그동안 공인인증서는 보안성이 높다는 점에도 불구하고, 열쇠 역할을 하는 개인키를 PC, 노트북이나 스마트폰 내 공개된 폴더에 저장되는 방식을 활용됐던 탓에 공격자에게 유출되는 사고가 많았다.
TZ사인은 이 같은 문제를 해결하기 위한 방안으로 안드로이드폰 내 안전한 저장소인 트러스트존을 활용하고, 코스콤이 증권거래서비스 프로그램과 증권사 사이에 제3자로서 이들 간 실제 거래가 이뤄졌다는 사실을 공증한다.
관련기사
- 생체인증, 공인인증서 대체하나2016.08.10
- 국산 핀테크 글로벌 진출 희망 보인다2016.08.10
- 써니뱅크, 안드로이드폰용 칩 기반 보안모듈 도입2016.08.10
- 게임, AI에 반하다…캐릭터 생성·시스템 개발 '전방위 활용'2024.05.03
사용자는 HTS, MTS 등에서 이러한 서비스를 활용하기 위해 6자리 숫자 비밀번호(PIN)나 지문인증 등을 거치면 된다.
코스콤 관계자는 "기존 공인인증서와 동등한 수준의 안전한 인증수단을 제공하면서 증권사 주문업무 등 신속성이 요구되는 업무에 편리하게 쓸 수 있도록 지원할 계획"이라고 밝혔다.
