금융권 OTP(일회용비밀번호생성기) 도입 의무화 등 준비 작업이 다음달부터 본격화될 전망이다. 금융감독원은 이번주 내 통합OTP인증센터 설립 신청을 오는 25일 열릴 금감원 본회의에 신청할 계획이다. 본회의에서 안건이 통과돼 설립 인가가 나게 되면 행정처리 절차를 거쳐 인증센터가 설립되게 된다.
인증센터에서는 통합인증을 위한 시스템 구축과 함께 의무화 적용 시기 등에 대한 논의가 진행된다. 이로써 그동안 진행됐던 OPT관련 논의가 확정안으로 가기까지의 과정이 급진전될 것으로 예상된다.
23일 금융권에 따르면 OTP를 통한 전자금융거래 인증은 은행을 중심으로 도입돼 이미 사용되고 있다. 은행의 경우 일부 은행은 기업고객, 고액 거래를 하는 개인 고객에 한해 의무 적용을 하고 있다. 은행권은 금감원 OTP 적용 의무 한도에 따라 OTP 보안 강화 전략 수립이 달라지게 돼 한도 금액 결정에 촉각을 세우고 있다.
◇금감원 1억원 선에서 의무 적용액 정할 듯 = 통합OTP인증센터는 지난해 말 금융감독원, 정보통신부, 산업자원부 등이 함께 발표한 전자금융보안종합대책의 일환으로 설립 준비가 진행돼왔다. 기존 전자금융거래 인증에 사용되던 보안카드의 보안 기능이 미흡하다고 판단, OTP 적용 의무 확대, 단일 OTP를 이용한 여러 금융기관과의 거래를 가능하게 한다는 내용 등이 포함돼 있다.
현재 OTP 적용과 관련 금융권이 가장 민감하게 받아들이고 있는 사안은 적용 의무 한도가 어느 정도 규모에서 결정될 것인가이다. 금감원은 이에 대해 1억원 이상 거래에 대해서는 OTP 적용을 의무화할 예정이라고 밝혔다.
금감원 IT업무팀 김인석 팀장은 “은행간 협의에 따라 1억원 이상에 대한 의무 적용에 대해서는 큰 부담이 없다는 쪽으로 의견을 모았다”며 “고액 거래에 대해서만 적용할 예정”이라고 말했다. 금감원에 따르면 은행 1억원 이상 거래는 전체 거래의 20%선인 것으로 추정된다.
그러나 은행 담당자들은 금액 조정을 기대하며 은행간 협의를 거치는 등 금감원과의 협의도 아직 끝난 것은 아니라는 의견이다. A은행 관계자는 “OTP 의무 적용에 따른 사용자들의 불편 등에 대해서 금감원에 의견을 전달하긴 했지만 보안 강화를 위해서는 적용 금액이 낮아져야 한다”며 “금감원 방안은 아직 확정된 것이 아니기 때문에 조정될 여지가 있다”고 말했다.
의무 적용 시기에 대해서는 늦어도 내년 초가 될 것으로 예상되고 있다. 통합OTP인증센터가 설립된 뒤 시스템 구축, 의무 적용 방한 등도 다시 논의될 것으로 보인다. 다음달부터 본격적인 기구 설립 이후 의무 적용 시기도 확정될 것으로 전망되고 있다.
◇ 전자금융거래법에 대응해 보안 강화 = 은행 보안 담당자들은 OTP를 통한 보안 강화 효과를 기대하고 있어 의무 적용 한도가 너무 높지는 않기를 바라고 있다. 그러나 금액이 너무 낮은 경우 의무화 대상 전자금융 이용자가 늘어나 반발 등도 예상되고 있어 부담으로 작용할 것으로 보인다. 이 때문에 적용 한도에 대한 입장도 쉽게 결정 내리지 못하고 있다.
이용자의 불편을 감안해 의무 한도가 낮아지게 될 경우 최근 강화되고 있는 전자금융 보안에 대한 대응책의 실효성 부문이 미흡하게 된다는 우려가 함께 존재하고 있는 것. 특히 내년 1월 시행 예정인 전자금융거래법에 따라 금융기관의 보안에 대한 책임이 더 무거워지게 된다. 이에 대응해 OTP 적용 강화 필요성도 대두되고 있다.
B은행 관계자는 “전자금융거래법으로 보안을 강화할 필요성이 있는 가운데 감독당국의 얼마 이상 의무 적용을 하라는 차원이 아닌 은행이 자체적으로 적극적인 의무화를 해야 하는 상황”이라며 “전자금융이 보안에 노출될 가능성이 커 의무 적용 이체 한도를 낮춰야 한다”고 말했다.
인터넷뱅킹에 현재 이용되고 있는 보안카드의 경우 이용자 중 자신의 카드번호, 비밀번호 등을 타인에게 알려주는 등 보안에 대한 개념이 정립돼 있지 못한 경우도 있어 상대적으로 안전한 OTP 이용의 확대를 기대하고 있는 것이다.
반면 OTP 도입이 확대될 경우 기존 전자금융 이용자들은 OTP 구입비용에 대한 부담 등 부정적인 영향이 전망된다. OTP는 대당 1만원이 넘는 고가의 단말기로 거래를 위해 전 전자금융 이용자에게 이를 의무화할 경우 반발이 예상된다.
또 창구 이용 시간도 길어지게 돼 은행 수익 측면이나 이용자 불편도 전망되고 있다. OTP는 보안카드와는 달리 사용방법이 복잡해 창구에서 신규 발급을 위해 걸리는 기간이 수분 이상 길어지게 될 것이란 예상이다.
은행권은 전자금융거래법에 대응해 자체적으로 OTP 의무화 적용 전자금융이용자를 늘리려는 움직임도 있다. 하지만 사용자 반발이 예상되는 만큼 타 은행과의 공동보조를 맞춰야 하는 상황이다. B은행 담당자는 “너무 민감한 문제라 보안을 강화하고 싶어도 할 수 없는 복잡한 문제로 남아있다”고 설명했다.
이에 대해 감독당국이 의무화 적용 대상 거래 금액을 낮춰주면 담당자로서는 그만큼 부담을 덜 수 있게 된다.
◇ 일부 은행 OTP 의무 적용 시행 = 현재 은행권에서 이용자 일부에 대한 OTP 의무 적용을 시행하고 있는 곳은 신한은행, 농협 등이다. 이외 이용자에 대해서는 선택적으로 원하는 이용자에 한해 OTP 단말기를 발급하고 있다.
신한은행의 경우는 기업 거래 이용자에 한해서만 OTP 의무 적용을 하고 있다. 신한은행은 구 신한이 2000년 10월, 구 조흥은행이 지난해 10월부터 기업 이용자에 대한 의무화를 전면적으로 시행했다. 그러나 아직은 가입자가 미미한 상황으로 다음달부터 기업고객에 대한 의무 적용을 강화할 계획이다.
농협의 경우 지난해 7월부터 개인 고액 거래 텔레뱅킹 이용자에 한해 OTP를 의무 적용하고 있다. 농협은 텔레뱅킹 거래시 1회 1000만원, 1일 5000만원 사용자는 OTP를 사용하도록 하고 있다.
농협 관계자는 “농협 이용자의 경우 인터넷뱅킹 이용자가 많지 않고 오히려 텔레뱅킹을 통한 거래가 활성화 돼 있어 텔레뱅킹 부문에 한해서만 적용을 의무화하고 있다”고 설명했다.
그러나 OTP 이용자 수는 많지 않아 대형은행의 경우도 은행당 수천명 정도만이 이를 이용하고 있는 것으로 전해지고 있다.
From 한국금융