OTP
덤프버전 :
One-Trick Pony에 대한 내용은 원챔충 문서, 해당 IATA 코드를 사용하는 국제공항이 있는 도시에 대한 내용은 부쿠레슈티 문서
, OTP를 이용한 1회용 인증 방식에 대한 내용은 2단계 인증 문서
참고하십시오.
1. 개요[편집]
일회용 비밀번호 / One-Time Password (OTP)[1]
무작위 번호약속 알고리즘에 따라 매 시간마다 변경되는 추정 할 수 없는 비밀번호 생성을 이용하는 보안 시스템.
아이디어 자체는 100년도 넘은, 그리고 그만큼 검증된 기술이다. Multi-Factor authentication(다요소 인증, 다중 인증) 체계의 인증 요소중 하나로 즐겨 사용된다. 인증 요소 분류중 소유물 인증 요소에 해당한다.
다이렉트 뱅킹은 OTP가 필수다. 웬만한 은행들의 오픈뱅킹은 OTP를 강제하고 있으며, 보안카드는 오픈뱅킹에서 계좌 조회만 가능하다.
나무위키 등의 the seed에서는 사용자가 로그인할 경우 이메일 방식이나 Google Authenticator의 시간 동기화 방식의 OTP를 반드시 사용해서 인증해야 한다. 물론 평소 사용하는 브라우저와 기기에서 로그인하는 경우에는 이 과정이 필요없다.
2. 특징[편집]
접속시마다 그때그때 필요한 비밀번호를 생성하여 그 번호를 통해 사용자 본인 확인을 하는 방식이다.[2] 대개는 주로 난수 발생기에 현재 시간을 넣어 비밀번호를 생성한다. 서버와 사용자의 생성기는 서로 교류하지 않지만, 시간을 seed로 하여 같은 알고리즘으로 생성 매칭을 하므로 서로 시간이 동기화되는 것이 중요하다. seed 시간은 초단위가 아닌 특정 time window 유닛으로 작동하므로 적정 수준의 톨러런스가 있다. (서로 몇초 차이가 나도 맞춰 동작된다.)[3] 사용자 단말기 쪽 시계가 많이 달라져서 차이가 나게 되어도 서버쪽에서 해당 단말기에 대한 seed 차이 offset 보정 기능을 갖추면 여전히 동작한다.[4] 타임스탬프에서 나머지 연산을 하게되면 원하는 시간단위로 분할하여 처리하게 할 수 있다. 예를들면 DB에서 흔하게 쓰이는 UNIX_TIMESTAMP modify 300 의 경우 5분 단위로 나머지를 구하게된다. 여기서 UNIX_TIMESTAMP 에 다시 빼주면 현재 시간이 속한 시작시각을 나타내준다. 여기서 예의 300으로 몇번 더 더하게 되면 더 나중에 시간이되고 빼게되면 이전의 시간을 구할 수 있게된다.
비밀번호가 1회용이라 노출되어도 재사용이 불가능하며, 비밀번호를 숨겨진 알고리즘을 이용하여 생성해내므로 서버와의 접속 없이도 생성이 가능하여 중간 과정에서 패킷이 유출되거나 하는 위험이 없다. 보안의 주안점을 방어력에서 기동성(?)으로 바꿔버린 체계로, 기존 보안방식이 암호를 푸는 데 시간이 걸리게 보안체계를 만든다면, OTP는 입에 단내가 날 정도로 고생해서 암호를 푼다 해도 이미 그 암호는 쓸모없게 된 후이다. 보통 시간 동기나 해시 체인을 사용한다. 참고로 금융기관에서 흔히 사용하는 시간 동기(Time OTP) 방식을 사용하는 OTP 토큰이 아닌, 비밀번호 생성 횟수(서버쪽은 사용 횟수)에 기반하는 Event OTP 방식 토큰을 사용하는 경우 비밀번호 생성 버튼을 신나게 누르다가 어느 순간부터 해당 OTP 토큰을 못쓰게 될 수도 있으니 주의해야 한다.
OTP 하나를 여러 금융기관에다가 등록해 놓았다면, OTP를 분실했다가 회수하였을 때 일일이 등록한 금융기관에 가서 정지를 풀어야 한다. 그리고 금융기관마다 다를 수 있겠지만 타행 OTP를 연결해서 쓰는데 그 OTP 유효기간이 다 되어서 갱신하게 될 일 등이 생기면 갱신 전에 OTP 등록을 해지하고 새 OTP를 다시 등록해야 하는 경우가 생길 수 있다.
특히 타행 OTP를 사용할 때, OTP와 공동인증서의 만료가 겹치게 되면 골때리는 교착 상황이 발생하는 경우도 있다. 운좋게 수명이 다한 OTP 외에 여분의 OTP를 갖고 있었던 경우, 원래는 타행 OTP 등록을 해서 사용하면 되는데, 공동인증서까지 만료된 상황이라면 1. 공동인증서를 다시 받으려고 하면 OTP 번호를 요구한다 2. 여분의 타행 OTP를 등록하려고 하니 공동인증서 인증을 요구한다. 이렇게 공동인증서를 해결하려면 OTP가, OTP를 해결하려면 공동인증서가 필요한 무한루프에 빠지게 되는 것. 결국 신분증과 OTP를 들고 영업점에 방문하여 OTP를 직접 등록해야 한다. 포탈 사이트에 'OTP 무한루프'로 검색해보면 이 무한루프를 당해서 어쩔 수 없이 금융기관을 방문한 사례들이 수두룩하다.
당행에서 발급받고 등록한 OTP를 해지하거나 다른 OTP로 교체하면 그 당행 OTP는 배터리가 남아있어도 타행등록이 불가능해진다. 단, 해지하기 전에 미리 타행등록이 되어있다면 계속 쓸 수는 있고 해지한 당행 OTP를 재등록하면 다시 타행등록이 가능해진다.
기본적으로 하나의 금융기관 당 1개의 보안매체만 보유할 수 있다. 그러므로 하나의 금융기관에서 2개의 OTP를 사용하거나 OTP와 보안카드를 병행해 사용할 수 없다. 만약 OTP를 등록하게 되면 기존의 보안카드는 사용이 해지되어 등록이 불가능해진다.[5] 다시 보안카드를 사용하려면 영업점을 방문해 OTP 사용을 해지하고 보안카드를 새로 받아야 하며, 기존에 해지된 보안카드는 폐기처리되니 주의. 특히 보안카드 발급비를 별도로 징수하는 대구은행.
접속시마다 새로 생성된 번호를 입력해야 하므로 번거로우며(그래도 보안카드보다는 훨씬 덜 번거롭다), 흔히 사용되는 시간 기반 하드웨어 OTP 토큰의 경우 내장된 시계의 품질이 좋지 않으면 내부 시계에 오차가 생길 수 있어서, 서버와 시간을 자주 동기화해 줘야 한다는 점이 단점이다. 게임에 한정된 이야기일 수 있지만, 막 점검이 끝난 게임 등 사람들이 몰려 서버의 상태가 좋지 않을 때 OTP를 이용해서 접속을 하려고 하면 비이용자의 두 배 이상의 시간이 걸리게 된다.
하지만 보안이라는 것은 귀찮음을 대가로 안전을 보장받는 것이라서, 귀찮지 않은 보안이란 이 세상에 존재하지 않는다.
컴퓨터를 이용하여 OTP 토큰이 만들어낸 비밀번호를 입력하는 일을 할 경우에는 자신이 쓰는 컴퓨터의 관리를 잘 하는 것도 중요하다. PC·휴대폰용 소프트웨어 OTP를 안 쓰는 금융 거래에선 이런 일이 없지만, PC·휴대폰용 소프트웨어 OTP를 활용하는 온라인 게임의 해킹에 다음의 기법이 실제로 사용된 적도 있다.
사용자가 올바른 OTP를 입력하긴 했는데 여러가지 방법을 써서[6] 정상적인 로그인 과정을 방해한 뒤 해커의 컴퓨터로 올바르게 입력한 OTP를 보낸 후 해커의 컴퓨터에서 사용자의 OTP를 자동으로 대신 입력해서 해커가 로그인한다.
위의 방법 이외에도 미처 OTP와 연결해놓지 못한 채 잊고있는 부분에서 넥슨의 캐쉬 털이 사건같은 색다른 해킹이 발생할 수 있으므로 자기 PC의 보안을 잘 지키는 것이 최우선이며, PC방 등지의 불안한 장소에서 쓸 보안수단으로 OTP를 사용하는 것이 바람직하다. 결국 OTP 하나만 걸었다고 안심하지 말고 추가적인 보안 수단을 사용할 수 있다면 그것도 같이 사용하는 것이 좋다.
OTP 토큰을 만든 곳이 해킹 당해서 한방에 모든 사용자의 정보가 노출되는 경우도 있다. OTP 토큰을 만들던 미국의 RSA Security사가 해킹을 당해서 시드값과 알고리즘이 털린 적이 있었는데 나중에 해킹 당한 RSA의 OTP 토큰을 사용했던 록히드 마틴이 해킹당한 적이 있었다. 이에 따라 금융 당국에서 RSA社의 알고리즘을 사용한 OTP 토큰를 무상으로 급히 교체했던 적이 있다.[7]
3. OTP 종류[편집]
3.1. 하드웨어 OTP[편집]
3.1.1. OTP 토큰형[편집]
원래의 OTP는 일회용 비밀번호를 생성할 수 있도록 제작된 OTP 토큰이란 이름의 특수 하드웨어 장치나 카드를 사용하는 형태이다. 금융기관용 OTP 토큰이 가장 많이 쓰이며, 이 외에도 블리자드 로그인용이나 정부기관용 OTP 토큰 등도 있다. 여기선 금융기관용 OTP 토큰을 중점으로 설명하기로 한다.
흔히 볼 수 있고 흔히 사용하는 금융기관용 OTP 토큰은 은행이나 증권사에서 2000~5000원[8]에 구입할 수 있다. 당연하지만 일단 한 번 OTP 토큰을 구입해 두면 금융기관별로 OTP 토큰을 다시 구매할 필요 없이 해당 금융기관에 방문하여 자신이 구입한 OTP 토큰을 등록할 수 있다. 심지어 금융 공동망으로 OTP 발급내역이 조회되어서 텔러가 "XX은행에서 받으신 OTP로 등록해 드릴까요?"라고 물어본다. 보통 금융기관이나 기타 OTP를 지급하는 곳에서는 미래테크놀러지와 바스코 OTP를 많이 주는데, 미래 OTP는 유리몸 수준의 품질과 바스코에 비해 짧은 배터리 수명으로 악명 높다.
배틀넷 2.0(월드 오브 워크래프트, 스타크래프트, 스타크래프트 2, 디아블로 3, 하스스톤, 오버워치 등) 로그인 전용 하드웨어 OTP 토큰인 'Battle.net 인증기'는 블리자드 홈페이지에서 7000원에 구입할 수 있다. 소프트웨어 OTP 토큰도 있으며, OTP를 사용하면 월드 오브 워크래프트에서 사용할 수 있는 '새끼 심장부 사냥개'를 선물로 준다. 단, 말 그대로 배틀넷 2.0 로그인 전용 OTP 토큰이라서 금융기관에선 사용할 수 없다. 2019년 7월에 공식적으로 판매 중단되었다.
보통 금융거래용으로 많이 쓰는 금융기관용 OTP 토큰을 잃어버리거나 배터리가 방전된 경우, OTP 토큰을 새로 구입하는 것으로 끝나는 것이 아니다. 보안상 배터리를 바꾸는 순간 OTP 토큰의 생성값(시드)이 바뀌어 버리게 설계되어 있어서 배터리 교체는 불가능하다. 보통 구입 후 2~3년 정도 이용할 수 있고, 거의 안쓰면 4년 이상 사용할 수도 있다. 그러나 OTP 토큰이 신기하거나 심심하다고 매일 시도때도 없이 OTP 토큰의 전원 버튼을 누르면 배터리가 빨리 방전된다.
금융기관용 OTP 토큰을 배터리 방전 등의 이유로 재발급하려는 경우, 은행마다 다르지만 우량 고객 등 지극히 한정적인 조건을 갖추지 않은 이상 재발급 비용이 필요하다. 인터넷으로도 타기관 OTP 등록이 가능한 은행이 있지만, 없거나 연동이 불안한 곳도 많아 은행 지점을 방문해야 하는 경우가 많다. 다른 용도의 OTP 토큰인 경우는 다를 수도 있기 때문에 해당 OTP 토큰을 사용하는 해당 기관의 설명을 참조하자.(범용이 아닌 한정용으로 발급한 경우 타 은행에 등록을 못할 수 있다.) 다만, OTP는 몇 개를 받건 상관없지만 반드시 1기관 1OTP. 이를테면 보안카드와 같이 쓴다거나 여러 개를 걸어놓고 쓰는 것은 안 된다.
하드웨어 OTP를 사용할 경우 소액의 장치 구입 비용과 유지 비용이 발생하기 때문에 OTP 토큰 구입 비용을 들이면서까지 돈과 크게 관련없는 서비스에 로그인할 필요가 없다고 생각하지만 그래도 OTP는 필요한 업체/사람을 위한 소프트웨어 OTP란 것이 있다.
가장 일반적인 형태의 OTP지만 어느정도의 크기가 있기 때문에 지갑에 넣고 다닌다는 건 사실상 불가능하며 휴대하려면 파우치나 가방에 넣고 다녀야 한다는 불편함이 있다. 고리를 걸 수 있는 구멍이 있기는 하지만 보안매체라는 점에서 대놓고 보이게 갖고 다닐 수는 없는 노릇. 이러한 점을 개선해서 나온 것이 바로 카드형 OTP이다.
3.1.2. 카드형 OTP 토큰[편집]
둥글넙적한 기존 OTP 토큰의 불편한 휴대성을 개선하여 나온 OTP 토큰으로, 신용카드처럼 생겨서 카드형 OTP라고 불린다. 후술할 스마트 카드형과 달리 전자잉크나 LCD가 달려있고 여기에 비밀번호가 표시된다.
금융기관용은 은행이나 증권사에서 6,150원~20,000원[9] 정도에 구입할 수 있다.
초기 카드형 OTP는 흑백 패시브 LCD 액정이 달려 있었는데, 카드가 휘어지면 액정이 손상된다는 큰 문제가 있었다. 그리고, 교통카드·IC현금카드처럼 CPU와 RAM이 내장되어 있는 건 같지만, 외부 요인과 완전히 독립적인 장치라서 외부로부터 전원을 공급받는 교통카드와는 달리 자체 배터리가 장착되어 있고, 그리고 폭과 너비만 신용카드 크기였지 꽤 두꺼웠다. 이런 이유로 초기의 카드형 OTP는 거의 사장되었다.
이런 단점을 개선하고자 디스플레이에 전자잉크를 쓴 제품이 나왔다. 두께도 신용카드와 거의 비슷할 정도로 얇아지고, 휘어지기도 잘 휘어진다. 전자잉크는 LCD에 비해서 휨에 훨씬 더 강할 뿐만 아니라 배터리 소모도 적어서 수명도 길고(사용자에 따라 다르나 약 2년에서 4년정도 지속된다. 거의 안쓰는편이면 7년정도도 사용 가능하다고.) 흑백 LCD보다 훨씬 더 잘 보인다는 장점도 가지고 있다.
모든 은행에서 카드형 OTP를 취급하는 것은 아니며, 일반적인 동글형보다 비싸다.[10] 게다가 지점에 따라서는 카드형 OTP가 없을 수도 있으므로, 방문하려는 지점에 전화로 재고를 확인하고 찾아가야된다.
전자잉크를 기반으로 OTP 기능을 넣은 신용카드가 중소기업은행와 SC제일은행, 우리은행에서 출시되었다. 하나금융투자, NH투자증권, 케이뱅크에서는 체크카드로 발행된다. 이후 스마트 OTP 기반으로 OTP 기능을 넣은 신용카드도 국민카드, 신한카드에서 출시되었다. 심지어 카카오뱅크에서는 라이언 캐릭터가 그려진 OTP도 발급해준다. 발급시 라이언 스티커(안전제일 스티커)도 덤. 특히 카카오뱅크 OTP 카드는 등기 우편으로 배송되기 때문에 은행 방문 없이도 OTP를 받을 수 있다는 게 최대 장점.
BNK 부산은행 카드형의 경우 2018년 1월 30일 기준으로 미니OTP를 발급하기 시작하였고 일반 카드형OTP보다 사이즈가 작아진 형태로 발급비용은 기존발급비용보다 저렴한 7,000원으로 발급을 받을수 있다.
3.1.3. 거래연동 OTP[편집]
코드 생성에 시간만 사용하지 않고 거래 정보(상대방 계좌번호나 금액 등)를 추가로 사용하는 OTP이다. OTP 토큰에 숫자 입력이 가능한 키패드가 달린 것이 특징이다.
인터넷 뱅킹이 실행되는 웹 브라우저를 해킹해 입력된 계좌번호와 금액을 해커의 계좌번호로 변조하여 해커에게 돈이 송금되도록 하는 전기통신금융사기를 막을 수 있다. 브라우저에 보안 플러그인을 설치하는 것보다 더 확실하고 간편한 방법이기 때문에 많은 금융기관에서 도입하고 있다.
일본에서는 미즈호은행등이 일반적인 OTP와 더불어서 사용하고 있다.
특히 처음 송금하는 계좌는, 키패드로 수취계좌번호를 입력하면 나타나는 8자리 숫자를 입력해야 송금이 가능하다.
3.2. 소프트웨어 OTP[편집]
3.2.1. OTP 프로그램, 모바일 OTP (스마트폰)[편집]
[11]
외부와 완전히 독립적인 장치인 OTP 토큰과는 달리 소프트웨어 OTP는 보통 휴대폰이나 PC에 OTP 프로그램을 설치하여 번호를 생성하는 방식을 이용한다. 처음 사용할 때 최대 5000원의 비용이 발생하는 OTP 토큰과 달리 별도의 비용이 요구되지 않는 것이 보통이며 보통은 스마트폰을 이용해 발급받아 사용하기 때문에 모바일 OTP라고도 부른다.
대한민국에서 소프트웨어 OTP 토큰이 보안계의 무적 치트와 비슷한 위력을 가져온다는 것을 깨달아 본격적으로 도입된 이후로부터 대부분의 온라인 프로그램(대표적으로 게임)들의 로그인 메뉴를 살펴보면 OTP 로그인 서비스를 찾아볼 수 있고 금융사에도 도입되어 대부분의 금융기관에서도 지원되고 있다.
하지만 OTP만 걸어놓으면 보안 문제가 해결될 것 같은 희망과는 다르게, 소프트웨어적인 OTP는 독립된 하드웨어 토큰에 비해 시드가 외부로 유출되기 대단히 쉽기 때문에 보안상 매우 취약하다. 따라서 금융거래에서는 PC·휴대폰용 소프트웨어 OTP 프로그램은 사용하지 않으며 사이트 로그인 시 2단계 인증으로 주로 사용된다.
스마트폰 OTP 프로그램의 경우에는 운영체제 업데이트만 잘 해주면 시드가 해킹 당할 위험이 상대적으로 적다. 안드로이드 계열이라면 iOS에 비해 약간 더 신경을 써줘야 하지만, 관리만 잘해주면 대체로 안전한 편. PC 운영체제의 경우 스마트폰의 운영체제보다 권한 관리 등이 느슨하므로 OTP 프로그램의 시드를 읽어내어 해킹한다든가 하는 위험성이 존재한다. 그러니까 PC OTP 프로그램을 쓴다면 자신의 컴퓨터를 잘 관리하자. 다른 단점으로는 비밀번호를 맞게 쳤는데도 접속이 안 되는 말도 안 되는 상황도 존재한다. OTP의 불안전성에 대한 구체적인 원리를 설명하는 글@
보통 금융기관에서 소프트웨어 OTP를 발급받으면 기존의 보안카드나 하드웨어형 OTP의 사용이 중지되는 경우가 대부분이므로 잘 생각해보고 사용하도록 하자.
하나은행과 새마을금고[12]는 모바일OTP라는 이름으로 소프트웨어 OTP를 사용하고 있다. 하지만, 이체 한도가 1회 1000만원/1일 5000만원 까지가 한계라서 보안코드를 기입하는 과정이 생략된 보안카드라고 봐도 무방하다.
KDB산업은행은 TZ-OTP라는 이름으로 소프트웨어 OTP를 2018년부터 2019년 12월 말 까지 사용했다. TZ는 ARM칩의 TEE[13]기능인 Trust Zone의 약자. 따라서 이런 보안 기능을 이용할 수 있는 일정 버전 이상의 모바일 OS가 설치된 스마트폰에서만 사용 가능하다. 그럼에도, 이 조건을 만족하는 스마트폰을 보유하고 있음에도 불구하고 여전히 TZ-OTP를 지원하지 않는 스마트폰 들이 2019년 8월까지도 차고 넘쳐난다. 왜 이리도 지원을 안하는 단말기들이 넘쳐나나 했더니, 산은 인터넷뱅킹 홈페이지 공지사항에는 6월 27일자와 7월 25일자에 올라온 공지문을 살펴보면 기술 라이선스 비용 급등에 따른 제조사의 사업포기 등으로 인하여[14] 2019년 7월 1일 부터는 신규 발급을 중단하고, 이미 발급된 OTP는 2019년 9월 18일 부터 TZ-OTP 재발급 중단 + 금융결제원 TZ-OTP 공동앱 설치중단, 2020년 1월 1일 부터는 모든 금융기관에서 TZ-OTP 인증중단 + 타기관 OTP 등록중단, 2020년 1월 2일에는 TZ-OTP 일괄폐기 순으로 사용 자체가 중단될 수밖에 없는 사유로 지원중인 단말기들이 별로 없었을 것이다.
KB국민은행의 경우 KB모바일인증서가 모바일OTP의 기능을 한다. 다른 기관들이 모바일OTP로 보안매체를 완전히 대체하는 반면 국민은행은 모바일인증서와 기존 인증서+보안매체의 투트랙으로 사용할 수 있다.
신용카드 국제브랜드에서도 이용한다. 현재 JCB가 일본에서만 서비스를 제공하고 있으며 전용 앱을 인스톨해야한다.
현재 대부분의 금융사에서는 자체적인 모바일 OTP를 도입하여 서비스하고 있지만 기존 OTP와는 다르게 서로 호환되지 않는다. 이러한 단점을 개선하여 나온 것이 바로 위 이미지의 금융결제원에서 운영하는 디지털 OTP이다.
디지털 OTP는 모바일OTP를 공동으로 사용할 수 있게 한 모바일 어플로 현재 신한은행, 우리은행, 수협은행, 중소기업은행, 한국씨티은행, KDB산업은행, DGB대구은행, 경남은행, 전북은행, 신협에서 디지털 OTP 이용이 가능하며 향후 금융사들이 추가될 예정이다. 단 신한은행의 경우 디지털OTP를 보안카드로 취급해서 이체한도가 1회 500만원/1일 1,000만원밖에 안 된다는 치명적인 단점이 있다. 대신 신한은행(SOL)앱을 통한 자체 모바일OTP 사용시 이체한도가 1회 1억원/1일 5억원이다.
모바일 OTP의 장단점을 보면
- 장점: 물리적 매체가 필요없어 매우 편리하고 이는 모바일 금융 시대에 매우 적합하다.[15] 발급비용이 거의 무료이고 사용기간이 사실상 반영구적이다. 모바일로도 발급이 가능하여 영업점을 방문할 필요가 없다.
- 단점: 물리적 매체에 비해 보안성이 다소 취약하여 해킹 등의 위험이 있다. 각 금융사마다 자사의 모바일 OTP를 가지고 있어 서로 호환되지 않거나, 공용 모바일 OTP의 경우 아직까지는 일부 금융사들만 지원하고 있어 호환성 문제가 아직 해결되지 않았다. 휴대전화가 고장나거나 초기화될 경우 OTP 정보가 지워질 수도 있다.
3.2.1.1. RFC 6238[편집]
RFC 6238이라는 모바일 TOTP 공개 표준이 있으며, 많은 해외 사이트에서 이를 지원한다. 국내 사이트 중에는 나무위키, 디시인사이드 등에서 지원하고 있다. 사이트마다 토큰을 문자열 혹은 QR코드로 등록해 두면 대개 6자리의 숫자가 생성되는 방식.
이 표준을 지원하는 앱으로 Google Authenticator가 상당히 유명하다. 다만 구글 OTP는 자체백업 기능이 없기때문에 OTP를 등록하고 나서 실수로 지워버리면 해당 아이디는 로그인 자체가 힘들어질 수 있다. 그래서 구글 OTP를 지울 때에는 반드시 해당 사이트에 먼저 방문해서 OTP 인증을 해제한 후에 지워야 한다.
Microsoft Authenticator나 Twilio Authy는 계정 연동 백업 기능이 있다.
Apple 기기에서는 iCloud Keychain에서 비밀번호 저장과 함께 2FA를 지원하며, iCloud를 통해 백업 및 기기 간 연동도 된다. OTP 자동 완성을 지원하여 굳이 OTP 앱을 확인하지 않아도 되며, 직접 입력해야 할 경우 설정 > 비밀번호 로 들어가면 확인할 수 있다.
대부분의 TOTP 앱들은 설치된 휴대폰에 물리적으로 접근하거나 휴대폰을 해킹해서 원격접속을 하지 않는 이상 OTP 복제가 불가능하게끔 되어 있어 안전하다.
하지만 이러한 앱을 쓸 경우 조심해야 하는데, 신뢰성 있는 앱이 아닌이상 절대 깔아서 쓰면 안 된다.
3.2.2. SMS/이메일형 OTP[편집]
인터넷뱅킹에서 특정 거래를 하려고 할때 사전에 등록한 이메일로 1회용 비밀번호가 보내지는 방식이다. 일본의 금융기관에서 주로 쓰인다. メール通知パスワード(메일 통지 패스워드)라고도 한다.
이메일형 OTP를 쓸 수 있는 일본의 주요 금융기관 리스트
- 유쵸은행 - 1일 누계 금액 5만엔 이상을 자주 송금하는 계좌에 등록을 하지 않은 계좌로 즉시 송금하려면 휴대전화 이메일이거나 자주 송금하는 계좌 등록을 해야 된다. 일반적인 웹메일은 5만엔까지만 송금이 가능하고 5만엔 이상은 창구나 ATM에서 하거나 당일 즉시 송금이 아닌 송금 예약(X일 뒤)을 하거나 하드웨어형 OTP를 이용하면 제한이 없어진다. 아무래도 보이스피싱 대책인 거 같다. ゆうちょダイレクトのセキュリティを強化します
- 미츠비시UFJ은행
- 미즈호 은행
- 이온은행
등 이메일형 OTP를 쓸 수 있는 금융기관이 상당히 많다.
은행 홈페이지의 설명 페이지를 참조
미츠비시UFJ은행의 설명페이지
미즈호 은행의 설명페이지
스팀,나무위키,트위치 등에서도 로그인시에 이 방법을 사용한다. 스팀 가드(Steam Guard)라고 불리며, 새로 다른 곳에서 로그인하거나 이전 로그인시 해당 컴퓨터 등록을 하지 않았다면, 사용자가 가입시 등록한 이메일로 영문/숫자 조합의 5글자로 된 코드를 보내준다. 소프트웨어 OTP를 이용한 스팀 가드를 사용 안하면 거래가 72시간동안 지연된다.
신용카드 국제브랜드인 아멕스도 SafeKey라는 명칭으로 일부국가에서만 사전에 등록한 이메일 주소로 1회용 비밀번호가 보내지는 OTP 서비스를 제공하고 있다.
다만 이메일과 SMS는 별도의 보안토큰(폐쇄 컴퓨터)를 사용하는 방식이 아니기에 비밀번호가 유출될 위험만 조금 줄여 줄 뿐 작정하고 해킹하는 경우 보안 효과를 얻기 힘들다. 이메일은 계정 비밀번호가 유출될 위험이 높으며, 문자메시지의 경우는 제3 자 애플리케이션이 문자 보관함에 접근하는 것이 가능하기 때문에 이 경로를 통해 인증번호를 알아낼 수 있다.
3.3. 스마트폰 리더기와 NFC 카드[편집]
은행이 고객에게 비밀번호 발생에 필요한 정보가 담긴 NFC 카드를 발급하고, 고객이 비밀번호가 필요할 때마다 스마트폰에 내장된 NFC 리더기로 카드를 읽혀서 비밀번호를 생성하는 방식이다.
3.3.1. 하이브리드 OTP 카드[편집]
국민은행의 스마트 OTP 카드[16]
NFC 인증 전용 카드다. 기존 하드웨어 토큰과 달리 배터리의 교체가 필요없어 고장나거나 파손되지만 않으면 반영구적으로 사용이 가능하며, 기존 카드형 OTP보다 튼튼하고 저렴하다.[17]
다만 타행은행에서 사용하려면 별도의 코드와 앱이 필요한 경우가 있으며, 사용법 또한 기존 OTP에 비하여 비교적 직관적이지 못하다는 단점이 있다. 일반 OTP는 그저 버튼을 누르고 번호를 입력하면 끝이지만, 스마트 OTP는 NFC를 활성화한 다음 카드를 휴대폰에 태그해야 하며 타행은행에서 사용 시 별도의 앱에서 진행해야 하는 경우도 있다.
또한 스마트 OTP를 발급받으면 기존의 보안카드나 하드웨어형 OTP의 사용이 중지되는 경우가 있어 발급할 때 잘 생각해보고 결정하자. 이는 타기관으로 스마트 OTP를 등록해도 마찬가지이다. 보안카드는 폐기되고, 하드웨어형 OTP나 모바일 OTP도 등록이 해지된다. 즉, 2가지 보안매체를 동시에 사용할 수 없다.
아직 안드로이드 단말기에서만 이용할 수 있다. iPhone에서는 HCE를 쓸 수 없어 사용이 불가능하다. 단순히 HCE만 지원하면 되므로 구글 넥서스에서도 문제 없이 쓸 수 있다.
본인 명의 USIM이 장착된 기기여야 한다. 스마트 OTP를 발급하면 사용할 휴대폰을 등록하게 되는데 만약에 휴대폰의 번호를 바꾸거나 휴대폰을 교체하였을 경우 스마트 OTP를 등록한 휴대폰(등록폰)을 다시 재등록해야 하는 상황이 생길 수도 있으니 잘 알아볼 것.
현재 KB국민은행, 신한은행[18], 하나은행, 우리은행, NH농협은행, KDB산업은행, IBK기업은행, 케이뱅크가 발급하고 있으며, 주로 아톤(구 에이티솔루션즈)(Vender No. 312)의 '통합인증 카드' 제품이 발급되고 있다. 이 카드의 경우 본연의 스마트 OTP 기능 외에도 공동인증서 저장(HSM), 지급결제, 본인인증 등의 기능이 탑재되어 있다.
타기관(타행)으로 스마트 OTP를 등록할 수 있는 곳은 KB국민은행, 신한은행, KDB산업은행, IBK기업은행, 우리은행, 하나은행, NH농협은행, 우체국, 수협은행, 산림조합, 새마을금고, 신협, 제주은행, 전북은행, 광주은행, DGB대구은행, 경남은행, SC제일은행, 한국씨티은행, 케이뱅크 등 대부분의 은행에서 등록이 가능하지만, 아직까지 BNK부산은행, 토스뱅크, 카카오뱅크는 등록이 불가능하다.
종금사인 우리종합금융과 증금사인 한국증권금융도 스마트 OTP 등록이 가능하다.
저축은행의 경우, 신한저축은행 등에서는 등록이 가능하나, 사이다뱅크(SBI저축은행), KB저축은행, NH저축은행 등에서는 스마트 OTP 등록이 불가능하다.
증권사의 경우, 미래에셋증권, 한국투자증권, 삼성증권, KB증권, NH투자증권, 대신증권, 메리츠증권, 키움증권, 교보증권 등 대부분의 증권사에서 타기관 등록이 가능하다. 단 카카오페이증권은 증권이 부가서비스라서 OTP의 등록이 불가하다.
장단점을 보면
- 장점: 배터리가 필요없어 사실상 반영구적, 보안카드와는 다르게 타행은행과 호환이 가능, 카드형이기 때문에 휴대성이 좋음, 하드웨어 형태라 보안성이 우수. 일반 OTP에 비해 가격이 다소 저렴.
- 단점: 일반 OTP에 비해 사용과정이 다소 복잡함[19], NFC 기능이 있는 휴대폰에서만 사용이 가능[20], 타기관 은행을 등록하고 사용 시 별도의 앱 설치를 요구받을 수도 있음, 아직 스마트 OTP를 지원하지 않는 금융기관이 있음. RFID스키밍에 취약할 수 있음.
이후 스마트OTP 공동앱[21]이 2024년 12월 30일에 서비스가 완전히 종료되어 해당 앱을 사용하는 서비스의 경우 이용이 불가능해진다. 은행에서 자체적으로도 제공하거나(ex.KB스마트원통합인증[22]) 다른 이용방법이 있는 경우 해당 은행이나 서비스 주체의 운영 정책에 따라 향방이 결정될 것으로 보인다.
3.3.2. OTP결합형[편집]
[23]
OTP 전용 카드를 발급하지 않고 기존에 발급된 신용카드나 체크카드, 교통카드를 OTP로 사용하는 방식이다. 이 기능을 지원하는 카드는 NFC 비접촉 방식 결제 카드뿐이다.
신용카드나 체크카드를 OTP로도 활용할 수 있는 만큼 사용자 입장에서는 보관해야 하는 카드의 수가 줄어드므로 관리 측면에서 더욱 편리해졌다.
최근 토스뱅크의 경우 국내의 인증기업인 센스톤에서 개발한 '스위치 OTP' 제품을 사용 중이고, 특징으로는 스마트 OTP와 동일하게 NFC 기능을 활용하나, 이쪽은 안드로이드뿐 아니라 iOS도 지원한다. 다만, '스위치 OTP'의 경우 토스뱅크 독자적으로 사용하고 있어서 타행에서 활용하기는 어려울 것으로 보인다. 우리은행의 TouchSign과 NH농협의 Touchro가 이것이다.
국민은행 · 국민카드, 신한은행 · 신한카드에서 발급하였으나 이용방법이 생소하다는 태생적 한계 때문인지 널리 보급되지 못하고 스마트 OTP 탑재형 옵션은 신규발급이 중단되었다.
스위치 OTP의 장단점을 보면
- 장점: 신용카드 또는 체크카드 일체형이라 따로 OTP를 소지하지 않아도 된다.
- 단점: 토스뱅크의 경우 타행 등록이 불가능하다. 카드가 들어간 지갑을 분실할 경우 OTP 사용이 불가능해진다.[24]
4. 인터넷뱅킹으로 OTP 등록하기[편집]
- SC제일은행: 서비스 및 설정 - 인터넷뱅킹관리 - OTP이용등록/해제
- BNK경남은행: My Banking - 인터넷뱅킹관리 - OTP이용등록
- 광주은행: 사용자관리 - 전자금용조회/변경 - 타기관 OTP 등록
- KB국민은행: 보안센터 - 안심보안서비스 - 일회용비밀번호생성기(OTP) - 타기관 OTP/ 스마트OTP 등록
- NH농협은행: 공인인증센터 - OTP이용등록
- DGB대구은행: 개인뱅킹 - 종합정보관리 - 보안매체관리 - OTP - 등록 해지
- BNK부산은행: 뱅킹관리 - 인터넷뱅킹관리 - OTP관리 - OTP이용등록/해지
- KDB산업은행: 개인뱅킹 - 뱅킹관리 - OTP관리 - OTP이용등록
- MG새마을금고: 개인인터넷뱅킹 - 뱅킹관리 - OTP서비스 - 타기관OTP등록
- Sh수협은행: 개인뱅킹 - My정보 - 고객정보관리 - 타기관OTP등록
- 신용협동조합: 개인뱅킹 - 부가서비스 - 온라인OTP타기관 등록
- 신한은행: 개인 - 사용자관리 - 인터넷뱅킹관리 - OTP이용등록
- 한국씨티은행: 유틸(톱니바퀴) - 환경설정 - OTP등록/관리
- 한국증권금융: 개인뱅킹 - 고객정보관리 - OTP 인증센터 - OTP(타기관) 이용등록
- 우리은행: 전체 서비스 - 보안센터 - OTP발생기 - 당행/타기관 OTP 등록 서비스
- 우리종합금융: 인터넷뱅킹 - 부가서비스 - OTP - OTP타기관등록/변경
- 우정사업본부: 보안센터 - 금융보안서비스 - 타기관OTP등록
- 전북은행: 뱅킹관리 - 사용자관리 - OTP이용등록
- 제주은행: 사용자관리 - 고객정보 - OTP타기관이용등록.
- IBK기업은행: 개인뱅킹 - 뱅킹관리 - 보안관리 - OTP발생기 관련 거래 - OTP발생기 등록[25]
- 하나은행: 보안센터 - OTP(타기관)등록
5. OTP 취급 금융기관 및 배터리 확인법[편집]
- 업체코드 001 (제조사・공급사:한국정보인증(舊 미래테크놀로지))
별도의 확인 방법은 없으나 배터리 잔량이 얼마 남지 않았을 때엔 화면에 Lo_bat 표시가 나타난다.
토큰형(모델명 MRT~)의 경우 품질이 유리몸 수준이고 배터리 수명이 짧으므로 주의해야 한다. 보증기간은 3년이지만 그 안에 고장나는 경우가 많다. 사용빈도가 높다면 보증기간 안에 배터리가 다 닳아버리기 일쑤고 사용빈도가 낮아도 예고 없이 스스로 고장나버리기도 한다. 특히 신형인 MRT-700NP 모델은 설계 미스가 있는지 버튼을 세게 누르면 고장나기 쉽다고 한다. 무료로 뿌릴 때 받는 건 몰라도 타행 연결해서 쓰거나 작정하고 오래 쓰기에는 부적합하다.
다만 카드형(모델명 MRC~)의 경우 대만의 SmartDisplayer Technology Co., Ltd.의 생산품에 브랜드만 미래테크놀로지로 붙여 나오는 제품들이라 배터리 수명이 상당히 준수한 편이다.
취급 금융기관: 우리은행, 우체국금융[26], 하나은행, SC제일은행, 한국씨티은행, 한국산업은행, 수협은행, 새마을금고, 카카오뱅크, 전북은행, SBJ은행, 신한금융투자, KB국민은행, NH농협은행, 지역 농·축협
토큰형(모델명 MRT~)의 경우 품질이 유리몸 수준이고 배터리 수명이 짧으므로 주의해야 한다. 보증기간은 3년이지만 그 안에 고장나는 경우가 많다. 사용빈도가 높다면 보증기간 안에 배터리가 다 닳아버리기 일쑤고 사용빈도가 낮아도 예고 없이 스스로 고장나버리기도 한다. 특히 신형인 MRT-700NP 모델은 설계 미스가 있는지 버튼을 세게 누르면 고장나기 쉽다고 한다. 무료로 뿌릴 때 받는 건 몰라도 타행 연결해서 쓰거나 작정하고 오래 쓰기에는 부적합하다.
다만 카드형(모델명 MRC~)의 경우 대만의 SmartDisplayer Technology Co., Ltd.의 생산품에 브랜드만 미래테크놀로지로 붙여 나오는 제품들이라 배터리 수명이 상당히 준수한 편이다.
취급 금융기관: 우리은행, 우체국금융[26], 하나은행, SC제일은행, 한국씨티은행, 한국산업은행, 수협은행, 새마을금고, 카카오뱅크, 전북은행, SBJ은행, 신한금융투자, KB국민은행, NH농협은행, 지역 농·축협
- 업체코드 002 (제조사: 코마스(RSA코리아), 공급사: 인네트)
상시 전원이 켜져있는 제품이므로 별도의 조작은 필요하지 않다. 1회용 암호 우측 옆에 작게 3자가 나오고 화살표가 깜빡이면 배터리 수명이 얼마 남지 않았다는 의미이다. 참고로 OTP 후면에 보증기한이 mm/dd/yy의 형식으로 새겨져 있다.
취급 금융기관:
취급 금융기관:
- 업체코드 003 (제조사:인터넷시큐리티, 공급사: 인터넷시큐리티)
취급 금융기관:
- 업체코드 004 (제조사: OneSpan(舊 VASCO), 공급사: OTP멀티솔루션)
① OTP 버튼을 길게 누른다
② 화면에 battery라는 문자가 표시되면 버튼을 놓는다.
③ 화면 오른쪽에 표시된 숫자가 배터리 잔여량이다.
이 회사의 토큰형 OTP는 배터리가 매우 길다. 2013년 6월이 제조일이고 4년정도 지난 사용빈도 1개월 10번 미만인 토큰형 OTP의 배터리 잔량이 90% 이상이었다. 5년째 시점인 2018년 7월에도 배터리가 무려 84%나 남아있었다. 제조사 공식 홈페이지에는 아예 최소 7년 보장이라고 되어 있다. 기기 자체의 내구성이 좋아서 좀처럼 고장도 나지 않는다. 공급사 직원의 이야기로는 1개월에 1번정도 사용해주면 시간 보정이 어긋나는 것도 방지된다고 한다.몇십 년을 쓸 수 있을 기세 금융덕들 사이에서는 오파츠 내지는 금강불괴 취급받는다. 하나의 제품을 오래 쓰고 싶다면 이 회사의 OTP로 할 것 진정한 혜자 OTP
취급 금융기관: 신한은행, 중소기업은행, BNK부산은행, NH농협은행 및 농·축협(2020년부터), 대우증권, 유안타증권, NH투자증권 등. 최근 하나은행도 이걸 도입한 것으로 보인다.
② 화면에 battery라는 문자가 표시되면 버튼을 놓는다.
③ 화면 오른쪽에 표시된 숫자가 배터리 잔여량이다.
이 회사의 토큰형 OTP는 배터리가 매우 길다. 2013년 6월이 제조일이고 4년정도 지난 사용빈도 1개월 10번 미만인 토큰형 OTP의 배터리 잔량이 90% 이상이었다. 5년째 시점인 2018년 7월에도 배터리가 무려 84%나 남아있었다. 제조사 공식 홈페이지에는 아예 최소 7년 보장이라고 되어 있다. 기기 자체의 내구성이 좋아서 좀처럼 고장도 나지 않는다. 공급사 직원의 이야기로는 1개월에 1번정도 사용해주면 시간 보정이 어긋나는 것도 방지된다고 한다.
취급 금융기관: 신한은행, 중소기업은행, BNK부산은행, NH농협은행 및 농·축협(2020년부터), 대우증권, 유안타증권, NH투자증권 등. 최근 하나은행도 이걸 도입한 것으로 보인다.
- 업체코드 005 (제조사: Incard(인카드), 공급사: 인네트)
취급 금융기관:
- 업체코드 006 (제조사: 시큐어컴퓨팅, 공급사: ???)
취급 금융기관:
- 업체코드 007 (제조사: Activeidentity(액티브아이덴티티), 공급사: 인네트)
취급 금융기관:
- 업체코드 008 (제조사: Identita(아이덴티타), 공급사: 테트라플러스, 예스컴)
취급 금융기관:
- 업체코드 009 (제조사:토탐폼즈, 공급사: ?)
취급 금융기관:
- 업체코드 010 (제조사・공급사: 스마트크리에이티브)
- 업체코드 011 (제조사: 스마트이노베이션, 공급사:?)
취급 금융기관:
- 업체코드 012 (제조사: 아톤, 공급사:?)
취급 금융기관:
- 업체코드 016 (카드형 OTP) (제조사: 코나아이(코나씨), 공급사:?)
취급 금융기관: 카드형 OTP를 취급하는 은행 대부분.
- 업체코드 018 (제조사: 이트리즈시스템, 공급사:?)
취급 금융기관:
- 업체코드 019 (제조사: 엠파이브, 공급사:?)
취급 금융기관: 우체국 (카드형 OTP)
- 업체코드 301 (스마트 OTP) (미래테크놀로지)
취급 금융기관: 새마을금고(MG 올인원 카드)
- 업체코드 310 (스마트 OTP) (스마트크리에이티브)
- 업체코드 312 (스마트 OTP(smarto(ONE)) (제조사: 아톤, 공급사:?)
취급 금융기관: 농협은행 및 농·축협, KDB산업은행, 국민은행
- 업체코드 401 (모바일 OTP(TRUST)) (미래테크놀로지)
- 업체코드 ??? (모바일 OTP(ATON mOTP)) (아톤)
취급 금융기관: 신한은행, 농협은행, KB증권, 신한금융투자, SBI저축은행, 한국포스증권 출처
- 카드형 OTP: 디스플레이가 초기에 구매했을때보다 흐려지면 배터리 수명이 다한 것으로 은행에 가서 교체하면 된다.
만약 OTP를 쓴다고 하면 튼튼하고 배터리가 오래가는 제품으로 쓰자. 고장 등의 사유로 교체하거나 재등록하는 것이 매우 귀찮다. 배터리 없이 반영구적으로 사용 가능한 스마트 OTP를 쓰는 것도 답이 될 수 있다.
5.1. OTP 무료로 받기[편집]
실물이 있는 OTP는 이하의 방법으로 무료로 받을 수 있다.
등
- 그 외 방법
등
모바일OTP는 실물이 없으므로 원칙적으로 무료다.
6. 여담[편집]
- 한국의 OTP는 금융기관 한정으로 타국의 것보다 엄청나게 편리한 거다. 1대의 OTP를 여러 금융기관에서 사용할 수 있는 국가는 절대 흔치 않다. 유일한 단점은 무료로 배포하는 행사는 가뭄에 콩나듯이 하는 기본적 유료인 것으로, 장점이 단점을 상쇄하고도 남으니 긍정적으로 생각하자.
물론 금융기관을 벗어나 IT 업계 전체로 보면 웬만한 사이트들이 전부 표준 OTP를 사용하여 구글, 마이크로소프트, 애플, Authy 등 여러 앱을 사용해 인증을 받을 수 있는 해외와 다르게 각 웹사이트들이 독자적인 OTP 플랫폼을 사용하거나 한국 휴대번호를 이용한 인증만을 지원하기 때문에 해외보다 압도적으로 불편하다.[28]
- 위의 예시로 일본은 하드웨어 OTP가 금융기관마다 따로따로이므로 한국과 같은 OTP 1대로 여러 금융기관을 이용하는 편리함은 생각할 수가 없다. 그리고 신규[29]발행과 OTP 고장 및 배터리 수명으로 인하는 교환시에만 무료이다. 도난, 분실로 인하는 재발행이면 수수료가 반드시 발생한다. 꽤나 비싸므로[30] 도난, 분실되지 않게 주의하자.
단 스마트폰 앱 형식인 소프트웨어 OTP는 여러 금융기관 동시 이용이 가능하다.
- 접속하는 시스템의 시간이 엄청나게 틀릴 경우 해킹 시도로 오인되어 OTP가 자동 폐기되는 수가 있다.# 다만 XP 이후로 윈도우는 대략 2주에 한 번씩 MS의 타임서버를 통해 자동으로 시간 정보를 동기화하기 때문에, 단순 PC의 관리 부실로 저런 문제가 생길 가능성은 거의 없으니 안심하자.[31]
- 2019년 1월, 충전해서 쓰는 OTP 카드를 개발했다고 했다. 현재 금융결제원의 OTP공동센터 수용 적합성 테스트를 통과했다고 밝혔다. 하지만 언제 상용화될지는 미지수이다. 사실, 은행을 비롯한 금융기관들 입장에선 OTP 발급으로 버는 수수료 금액이 상당하기 때문에 상용화하기가 굉장히 껄끄러울 것이다.
그래도, 나랏님이 운영하는 우체국이 총대를 매겠다고 마음을 먹는다면 가능합니다.(...)
- OTP 배터리만을 단순하게 건전지 교체하듯 교체할 수 없는 이유는 OTP의 프로그램 및 특히 시계 정보가 휘발성 메모리에 저장되기 때문이다. 즉 프로그램과 시계 정보는 제조 당시부터 지금 이 순간까지 배터리 전원만으로 유지되고 있기에, 전원이 존재한다면 프로그램 데이터 및 시계 정보가 계속 유지되겠지만 전원 공급이 중단되면 데이터가 모두 휘발된다. 그렇기 때문에 그냥 리모컨 건전지 교체하듯 기존 배터리를 꺼내는 순간 이미 OTP는 사망. 프로그램의 손실은 OTP 자체의 보안 무결성을 위한 것일 수도 있겠지만 그 외에도 시계 정보는 전원 공급이 중단되는 순간 어떻게 할 수가 없는 부분이다. 특히 구동 원리 상 시계 정보가 핵심인 OTP에서는 더더욱. 컴퓨터 메인보드에서도 AC 전원이 제거되었는데 백업 배터리(시계 전지)까지 제거될 경우 BIOS의 모든 옵션과 시계 정보가 초기화되는 것을 생각하면 이해하기 쉬울 것이다. (교체하기 위해 단순하게 기존 배터리를 제거하고 새로운 배터리를 삽입하는 경우 실패한 실제 사례: 미래테크놀러지 제품의 사례로 오류화면으로 ‘dnlLd’이라는 영문 코드가 표시되는 것을 확인할 수 있다. OTP 배터리 교체 - 실패: 네이버 블로그)
- 한편 OTP 배터리 교체에 성공한 실제 사례도 존재한다. (OTP 배터리 자가교체기: 클리앙, [OTP방전]OTP 배터리 교체 이렇게하면 성공합니다: 네이버 블로그) 위와 같은 원리로 배터리를 교체하는 도중에도 전원 공급이 중단되지 않도록 하였던 것이 핵심이다.
- 시드값이 노출되지 않는다는 전제하에 무작위 대입공격에 사실상 완전 면역이라고 봐도 무방하다. 은행 OTP의 경우 6자리 10진수를 사용하고 있기 때문에 각 공격시도가 허용될 확률은 0.0001%(1/1,000,000)에 해당하며 다른 보안 단계가 돌파당해 OTP만이 남은 취약한 표본이 약 1만개라 하더라도 무작위 코드를 집어넣었을때 단 하나의 표본이라도 해킹당할 확률은 1%(1-0.999999^10000)가 채 되지 않는다. 또한 금융 OTP는 인증 횟수가 제한되어 있어 일정 횟수를 연속으로 틀릴 경우 해당 OTP 자체가 무효화되고 이러한 사실이 사용자에게 고지되는 등의 안전장치를 마련해 두었기에 시드값 노출 및 그와 관련한 정보(시드값에 대한 힌트가 될수 있는 기기 시리얼 넘버 등)에만 신경쓴다면 안심하고 사용해도 괜찮다.
- OTP 고유번호 (시리얼넘버)는 절대로 유출되게 하지 말 것.
- 해외거주중 OTP 배터리 문제 등으로 이용이 불가능하게 되면, 국내의 대리인이 재발급 및 수령을 할 수 있다.
다만 위임을 위해서는 서류가 많이 필요하므로 주의할 것.
여러가지로 복잡한 업무이고, 금융기관마다 필요한 것이 다를 수 있으므로 사전에 필요서류 목록을 잘 확인하거나, 그래도 모르겠다면 은행 고객센터에 이메일 등으로 문의하자.
또한 서류나 OTP를 우편으로 보내야 하므로 시간이 걸리는데, 위임인이 준비하는 서류에 미비 등이 발생하면 더 시간걸린다.[32][33]
여러가지로 복잡한 업무이고, 금융기관마다 필요한 것이 다를 수 있으므로 사전에 필요서류 목록을 잘 확인하거나, 그래도 모르겠다면 은행 고객센터에 이메일 등으로 문의하자.
또한 서류나 OTP를 우편으로 보내야 하므로 시간이 걸리는데, 위임인이 준비하는 서류에 미비 등이 발생하면 더 시간걸린다.[32][33]
7. 관련 문서[편집]
이 문서의 내용 중 전체 또는 일부는 2023-11-01 09:58:06에 나무위키 OTP 문서에서 가져왔습니다.[1] 일회용 비밀번호를 만들어 내는 기기에 대해서는 'OTP 기기'로 불러야 하겠지만, 여느 외국어 두문자어 표현이 그렇듯이, 기기에 대해서 OTP로만 불린다.[2] 기기마다 원리가 다를 수는 있지만 일반적인 하드웨어 OTP는 버튼을 눌렀을 때 비밀번호를 생성하기보다는 ‘보여준다’는 개념에 가깝다. 이미 기기는 사용하지 않는 그 순간에도 365일 24시간 백그라운드에서 계속하여 주기적으로 꾸준히 난수를 생성하다가 사용자가 버튼을 누르면 생성되어있던 난수를 화면에 보여주는 방식.[3] OTP를 빠르게 ON-OFF 를 반복해 보아도 일정 시간대 내에서는 번호가 같은 것을 볼 수 있다.[4] 보통 일반적인 이체 등에서도 난수 입력 후 바로 이체되는 것이 아닌 소정의 절차(이체 확인-인증 서명 등)가 더 남아있는 경우가 일반적이기 때문에 기기 자체의 오차에 더하여 소정의 절차 진행을 위한 약간의 시간 차이(바로 직전 시간대에 생성된 값 등) 정도는 유효한 값으로 본다. [5] 단, 우리은행은 예외적으로 OTP와 보안카드 병행사용이 가능하다.[6] 내부적으로 틀린 값을 더 넣어서 오류를 내거나 혹은 렉으로 위장한 지연 등[7] 농협, 수협, 우체국, 새마을금고, 중소기업은행, 삼성증권에서 2011년 3월 17일 이전에 OTP를 발급받은 사람이라면 교체 대상자인지 확인하고, 아직 교체를 받지 않았으면 반드시 교체를.....이라 말하기엔 이젠 배터리가 먼저 다 닳았을 것으로 보인다.[8] 간혹 계좌를 새로 열 경우 계좌 개설 기념(아니면 무료 증정 행사 등)으로 OTP 토큰을 무료로 주는 경우도 있다. 우체국 쪽은 OTP 무료 발급 행사를 많이 하는 편.[9] 무료이벤트나 할인을 다 무시한 것을 기준으로 하나은행이 6,150원으로 가장 저렴하고, 우체국이 20,000원으로 비싸다.[10] 국민은행 기준 토큰형이 5000원 카드형이 만원이다. 또한 배터리 방전시 교체비용은 5000원에서 우수고객이면 무료.[11] 해당 이미지는 금융결제원이 운영하는 디지털 OTP 앱이다.[12] 2022년 10월 26일부터 신규 발급자 및 재발급, 이체한도 변경시[13] Trusted Execution Environment. 매우 간단하게 설명하면 보안 토큰이나 IC카드를 폰 안에 내장시킨 것과 비슷한 기능이다.[14] # 기사내용에는 이미 금융결제원이 서비스 중인 디지털 OTP 라는 대체제가 존재한다는 것 또한 한몫한다고도 나와있다.[15] 모바일 OTP를 사용하는 가장 큰 이유이다. 기존의 하드웨어 OTP를 소지할 필요도, 관리할 필요도 없기 때문.[16] 포스트잇으로 가려진 부분은 OTP 일련번호와 업체의 벤더 코드번호가 적혀있다.[17] 보통 3000원 정도.[18] Vender Code 312, 일부 거점 지점에서만 발행함[19] 각 금융사별로 인증법이 다양한데, 단순히 태그만 해서 인증이 되는 경우도 있지만, 태그 후 나오는 핀번호를 입력해야 하거나, 임시 핀번호를 입력하고 태그한 뒤 나오는 핀번호를 또 입력해야 하는 복잡한 경우도 있다.[20] SIM SE를 요구하지는 않는다. 즉 구글 넥서스도 사용 가능.[21] 개발사인 ‘에이티솔루션즈’社에서 자체적으로 ‘스마트원 OTP(com.atsolutions.smartone.otp.nfc)’ 앱을 제공했으나 금융결제원 ‘OTP 통합인증센터 운영계약’ 체결# 후 금융결제원 명의로 스마트OTP 공동앱을 출시 및 이관하여 서비스 중에 있었음 (자체앱은 금융결제원 통합인증센터 요청에 따라 2018년 7월 31일 이후 운영 중단)[22] 물론 이 앱을 설치하지 않아도 기본 은행 앱에서 자행 거래 시 바로 인식만으로 거래를 처리할 수 있다.[23] 해당카드는 MasterCard® Just Tap & Go™도 지원한다.[24] OTP는 지갑에 보관하지 않는 경우가 많은만큼 타 OTP보다 분실률이 높을것으로 보인다.[25] 다만 디지털 OTP 공동앱은 영업점을 방문하여 등록하여야 한다.[26] 원래 스마트이노베이션에서 OTP를 공급 받았으나 OTP가 대량으로 불량이 발생하여 교체를 한 이후에는 여기서 공급 받는다.[27] 카드형[28] 보통은 휴대전화번호 인증이 보편화되어있는데, 이 때문에 휴대전화번호가 없는 한국인 및 대부분의 외국인들은 한국에서의 서비스에 대한 접근성이 엄청나게 떨어진다. 경제규모로만 보면 최근 개도국을 벗어나(사실 진작에 개도국 지위는 버릴수 있었으나, 개도국의 이점 때문에 일부러 지위를 유지한 것) 선진국 대열에 들어섰음에도, 주식시장 관련하여 신흥국 취급 받는 결정적인 이유가 한국 금융시장에 접근성이 엄청나게 폐쇄적이기 때문이고 그 중 한 역할을 휴대전화번호로만 모든 것을 인증할 수 있게 하는 시스템이 담당하고 있다. 무슨 말인지 이해가 안 된다면 어느 사이트던 회원 가입을 할 때 핸드폰 인증을 하지 않는 곳이 있는지 돌이켜 보자. 막말로 한국에선 휴대전화번호가 없으면 사람 취급 받지도 못하는 수준이다.[29] 몇몇 금융기관은 하드웨어 OTP는 신규라도 유료거나 조건을 만족시켜야만 무료가 된다.[30] 기본적으로 1000엔 + 세금[31] 그 외에도 TLS 인증서 만료 기간 등에 관한 오류로 https 사이트 정상 접속이 불가능해지기도 한다. 다만 강제 폐기당한 OTP를 제외하고는 시간 설정을 정정하면 바로 정상으로 되돌아온다.[32] 기본적인 필요 서류: ①금융기관 소정 양식의 위임장(해당 위임장 양식 파일은 은행 홈페이지에 있으며, 해외지점 혹은 영사관의 확인란이 있는 특별한 사양이다.), ②본인의 여권 정보면, ③출입국 사실 증명 / 있으면 좋은 서류: ④인터넷(스마트폰)뱅킹 혹은 종이통장의 계좌정보면, ⑤가족관계증명서 등.[33] 가족관계증명서와 출입국사실증명은 대사관(영사부)이나 인터넷으로도 발급가능하다.[34] 다만 타 금융기관에서는 호환이 안 될 수도 있으니 반드시 확인하자.[35] 모바일OTP여도 이체한도는 실물OTP와 동일하지만, 금융기관에 따라서는 다를 수도 있으니 주의.