서브이미지
column
News&Notice > 전문가 칼럼
제목 OTP에 대한 오해와 진실 날짜 2016.10.25
작성자 김국영 컨설턴트 조회 1278

사용자가 온라인서비스를 이용하기 위해 거치게 되는 과정 중에 하나가 인증이다. 전자서명법에서 설명하는 인증의 정의는 "전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위" 이다. 쉬운 표현으로 풀어 쓰면 "내가 참임을 증명하는 행위"라는 의미 정도로 의역할 수 있다. 

 익히 알고 있듯이 인증수단의 대표적인 유형은 다음과 같다.

■ 인증수단 유형
  - 지식기반 인증: 내가 알고 있는 것 기반의 인증 (예: 비밀번호)

  - 소유기반 인증: 내가 가지고 있는 것 기반의 인증 (예: 공인인증서)
  - 생체기반 인증: 나 자신 그 자체를 기반하는 인증 (예: 지문인증)

 각 유형별로 존재하는 평면이 다르기 때문에 상대적인 우열을 나눌 수는 없다. 다만, 단일 요소를 이용하는 인증보다 복수요소를 이용하는 복합인증이 보다 안전하다는 것은 자명하다. 가장 범용적인 비밀번호 인증에 소유기반 인증 혹은 생체기반 인증을 추가하여 사용하는 것을 흔히 투팩터 인증이라고 한다. 전자서명법으로 인해 가장 먼저 보급된 투팩터 인증 수단은 공인인증서였다. 다만, 개인 PC에 보관하는 사설키에 대한 안전관리 미흡으로 인한 위험이 발생하였고, 이에 따라 보완적인 대안으로 등장한 것이 OTP(One Time Password) 인증이다.  

 OTP 인증이란 난수 생성기에서 만들어진 6자리 숫자로 이뤄진 1회용 비밀번호를 사용하는 방식을 말한다. 난수 생성기라는 "내가 가진 것"을 이용하기 때문에 흔히 소유기반 인증으로 분류를 하고 이를 투팩터 인증이라고 한다. 하지만, 이는 표피적인 이해일 뿐이고 엄밀하게 OTP는 소유기반 인증이라고 할 수 없다. 소유기반 인증은 내가 가지고 있는 것 기반의 인증인데, 이 명제에서 추론할 수 있는 또 다른 명제는 "그 것을 가지고 있지 않다면 인증이 불가능해야 한다"는 것이다. 같은 맥락으로 지식기반의 인증은 그것을 모른다면 인증이 불가능해야 하며, 생체기반 인증은 내가 아니면 인증이 불가능해야 한다.  

 OTP에서 생성하는 6자리 숫자가 가지는 경우의 수는 10의 6승 개이다. 즉, OTP를 사용하지 않아도 해당 6자리 숫자 비밀번호를 맞출 수 있는 확률은 1/1,000,000이 된다. 매우 희박한 확률이기는 하지만, OTP가 없어도 인증에 성공할 수 있다는 의미가 되기 때문에 OTP를 소유기반의 인증으로 볼 수 없는 것이다.

 이해를 돕기 위해 공인인증서를 사용하는 경우를 비교하면, 인증서의 경우 "비밀번호"를 알아도 공인인증서를 가지고 있지 않다면 인증에 성공할 수 없다. 즉, OTP와 다르게 비밀번호를 알아도  "그것의 소유 여부"에 따라 성공/실패가 정해지기 때문에 공인인증서방식을 이용하는 것은 투팩터 인증이라고 할 수 있다.

 OTP를 추가적인 인증 수단으로 사용하는 것은 6자리 숫자로 이뤄진 비밀번호 인증을 한 번 더 받는 것에 지나지 않으며, 이는 존재의 평면이 상이한 복합계층의 조합이 아닌 단일계층 내에서의 비밀번호라는 단일 요소를 중복해서 사용한다는 의미가 된다. 인증에 대한 안전성을 높이는 효과가 있을뿐 엄밀한 의미의 투팩터 인증이라고 할 수 없다. 같은 맥락으로 최근에 많이 사용하는 4자리 혹은 5자리 숫자를 이용한 SMS 인증 또한 투팩터 인증이 아니다.  

 OTP나 SMS 인증의 도입에는 투자가 필요하다. 복합인증에 대한 정확한 이해가 선행된 상태에서 인증강화를 위한 효율적인 투자방안을 수립하는 것이 필요하다.

목록