- 국내 출시된 스마트 OTP, 금융결제원 인증시험은 통과했으나 실제로는 칩 규격서를 전혀 따르지 않는 제품을 만들어 고객에게 공급 - NH농협은행, 국제표준(ISO)도 무시하고, 명령어에 대한 보안 검증도 안한 제품 공급(KB은행도 동일) - 개발업체만 알 수 있는 명령어를 포함하고 있어 보안문제 심각 우려
□ 김승남의원(새정치민주연합, 전남 고흥·보성)은 금융거래의 안정성을 위해 도입된 스마트OTP(일회용비밀번호)가 실제로는 국제 공통 카드규격(ISO)과 금융결제원의 칩 규격조차 따르지 않은, 보안위험이 매우 높은 제품이 사용되고 있음을 밝혀냈다고 주장했다.
□ 김의원은 일관되게 국정감사 이후부터 스마트OTP의 문제점을 지적해왔으나, NH농협은행은 스마트OTP 공급업체로 선정한 A업체가 금융결제원의 인증시험을 통과했기 때문에 아무런 문제가 되지 않는다고 주장해 왔다. 이에 김승남의원은 농협은행이 주장하듯이 스마트OTP가 보안상 문제가 없는지 전문가를 통해 확인하였다.
□ 그 결과 스마트 OTP공급자로 지정한 A사의 제품이 실제로는 금융결제원의 칩 규격서를 전혀 따르지 않고 있음이 밝혀졌다. 금융결제원의 규격서 뿐만 아니라 스마트카드와 단말기 또는 시스템 간의 통신을 위한 기본 명령어에 대한 국제 표준인 ISO7816-4도 무시하고 있다. 스마트 OTP에 내장되는 카드 프로그램은 개발자만이 알고 있는 고유한 것이기 때문에 프로그램의 투명성을 보장하기 위해서 규격서에서 지정하는 이외의 동작을 하면 절대 안 된다. 즉 카드프로그램 테스트는 규격서에서 지정하는 이외의 명령어는 다른 용도로 악용 될 가능성이 있기 때문에 엄격히 규제를 하고 있다.
□ 그러나 A사의 스마트 OTP카드는 특정 명령어가 규격서에서 요구하는 이외의 동작을 하고 있어서 스마트 OTP카드가 실제로 어떤 위법 행동을 하는지는 개발자 이외에는 아무도 알 수 없게 되어 있다. 금융결제원과 은행들은 이러한 사실을 알면서도 스마트OTP 서비스를 강행하고 있어, 향후 심각한 문제가 발생할 수 있다.
□ 금융결제원 칩 규격 명령어의 경우, A업체의 스마트OTP는 표에 정리한 것처럼 모든 칩 명령어에 대해 동작되지 않고 있고, 유일하게 규격을 따른 상호인증(Mutual Authentication) 명령어의 경우도 오직 84 82 00 00 18만 응답해야 하지만, 다른 입력 값에서도 작동하고 있어 실제로 어떤 명령어를 첨부했는지 아무도 알 수 없다. 그 밖에도 칩 규격서에 없는 알 수 없는 명령어가 8~9가지가 들어있어 보안상 치명적일 수 있다.
□ 또 다른 문제점은 지금처럼 금융결제원으로부터 인증 받은 모든 스마트 OTP 개발사(현재 5개사)가 각기 다른 규격을 쓰고 있으면, 이를 사용하는 은행은 상호 연동을 위해 모든 스마트 OTP 개발사의 인터페이스 모듈을 가지고 있어야하며, 스마트 OTP 개발사가 늘어날 때마다 새로운 프로그램을 수용하기 위해 모든 은행이 관련 프로그램을 수정해야 하는 일이 발생하므로 이에 따라 추가되는 인력 및 소요 비용의 낭비를 되풀이 하게 될 것이다.
□ 김승남의원은 최근 금융위원회가 금융개혁의 핵심이 핀테크 분야이며, 금융회사의 자율과 책임을 확대했다고 자화자찬하고 있지만, 정작 기본적인 금융거래 시에 보안성이 취약한 OTP를 의무사용토록 하고 있고, 금융결제원과 은행들은 자율적인 기술 확보보다는 책임 회피성으로 보안성 검증조차 하지 않은 시스템을 무조건 추진하고 있다면서, 금융분야의 경쟁력을 확보하기 위해서는 다양한 핀테크 기술들이 시장에서 활용될 수 있도록 하면서, 동시에 그러한 기술들이 보안상 문제가 없도록 공통규격과 공통규격에 맞는지 여부를 테스트 할 수 있는 인증시험 기반을 구축해야 한다고 주장했다.