|

스마트폰에 스치듯 인증, 토스뱅크 카드 핵심 기술 만든 곳

지난 달 출범한 인터넷전문은행 토스뱅크는 사용자에게 신기한 기술을 제공한다. 토스뱅크가 만든 체크카드를 스마트폰 뒷면에 대기만 하면 자동으로 일회용비밀번호(OTP) 인증이 이뤄지게 했다. 비밀번호 인증을 위해서 OTP 카드를 갖고 다녀야 하거나, 비밀번호를 매번 입력해야 하는 번거로움을 없앴다는 점에서 사용자 편의를 키웠다.

편리함 뒤에는 기술이 있다. 여기에 적용된 것은 ‘일회성 인증코드(OTAC)’다. 통신 연결 없이 일회성 인증코드(코드 값)를 생성해 사용자를 확인한다. 기존 OTP 기술은 코드값을 스마트폰에서 생성해 카드로 전송하는 양방향 방식이었다. OTAC는 코드 값을 카드에서 생성해 스마트폰으로 전송하는 단방향 방식이다. 이 방식이 흥미로운 것은, 안드로이드 스마트폰 뿐만 아니라, 다른 결제방식이 안 통할 것 같은 아이폰에도 적용할 수 있다는 것이다.

이 기술을 만든 곳은 센스톤이라는 기업이다. 다양한 인증기술을 개발하고 있는데 그 중에서도 OTAC를 대표 상품으로 삼았다. 토스뱅크를 비롯해 미국 대형 금융사들과 기술 도입을 위한 논의를 하는 등 기술력을 인정 받았다. 센스톤의 정태균 지식재산최고책임자(CIPO)를 지난달 28일 이 회사 사옥에서 토스뱅크에 어떤 기술을 공급했는지, 어떤 미래를 그리는지 등을 들어봤다.

정태균 센스톤 지식재산최고책임자(CIPO)

센스톤은 어떤 회사인가?

인증기술을 개발하고 있다. 회사의 핵심 인증기술은 ‘일회성 인증코드(OTAC)’다. 특정 분야에만 공급을 하는 것이 아니라 다양한 분야에 OTAC 기술와 부가기술을 적용하고 있다. 토스뱅크의 체크카드나 커넥티드카, 디지털 키, 드론 등 여러 분야에 OTAC 기술을 적용할 수 있다.

OTAC, 이름만 들어도 생소한데 어떤 기술인가?

자사에서는 ‘단방향 다이내믹 인증 기술’이라고도 부른다. 통신 연결없이 실시간으로 일회성 코드 값을 생성해 이를 검증하는 기술이다. 쉽게 설명하기 위해 OTP와 비교를 하자면, OTP를 사용하기 위해서는 스마트폰이나 OTP 카드를 가지고 다녀야 하며, 숫자를 직접 입력해야 한다. 스마트 OTP의 경우 아이폰에서는 지원이 안 된다는 불편함이 있다.

반면, OTAC는 OTP카드를 들고다니거나, 숫자를 직접 입력하지 않아도 된다. 아이폰에서도 사용할 수 있다. 늘 소지하는 체크카드를 스마트폰 뒷면에 대기만 하면 인증이 이뤄진다.

이러한 기술이 구현되는 원리는 무엇인가?

OTAC는 통신 연결없이 실시간으로 생성되는 일회성 인증방식으로 사용자를 인증하는 기술이다. 토스뱅크의 사례로 설명을 하자면, OTAC 기술은 체크카드와 스마트폰 앱에 모두 적용했다. 인증을 위해 필요한 코드인 ‘다이내믹 가상 카드번호’를 만들기 위해 필요한 값이 체크카드와 스마트폰에 있다는 이야기다. 따라서, 접촉을 통해 스마트폰이 카드의 고유 값을 받아 다이내믹 가상 카드번호를 생성한다. 이때 카드번호가 토스뱅크의 서버로 가는데 이 시점에서 만들어진 번호가 맞는지, 사용자 본인이 맞는지 등을 확인을 하게 된다. 이것이 카드에서 스마트폰으로 가는 단방향성 인증방식이다.

다이내믹 가상 카드번호는 매번 다른 값이 만들어지는 것인가?

그렇다. 일회성 코드로, 만약 해커가 중간에서 이 값을 탈취하더라도 일회성 숫자이기 때문에 악용할 수 없다. 다이내믹 가상 카드번호를 만들기 위해, 고유값을 카드에 넣은 것도 보안을 위해서다. 모든 값을 스마트폰에 넣지 않아서 탈취가 되더라도 해커가 악용할 수 없으며, 통신이 되지 않아 탈취될 염려가 없다.

이 과정에서 사용자 인증까지 이뤄진다는게 신기하다. 어떻게 가능한가?

OTAC 값이 서버로 전송이 되면, 서버에서 검증 알고리즘을 활용해 사용자 본인이 생성한 것이 맞는지 확인한다. 또 다른 사용자들과 코드 중복이 되지 않는다. 업체나 사용자 수에 따라 생성할 수 있는 다이내믹 가상 카드번호 자릿수가 다른데, 알고리즘 특성상 사용자별로 다이내믹 가상 카드번호 값이 절대 겹치지 않는다.

토스뱅크 외에도 OTAC가 적용된 사례들이 있는지?

OTAC는 꼭 카드에 한정되는 기술이 아니다. 다양한 곳에 적용가능하다. 예를 들어, 드론은 컨트롤러의 명령에 따라 움직인다. 만약 이미 알려진 명령어일 경우 해커가 이를 탈취할 수 있다. 그러나 OTAC 기술이 적용되면, 컨트롤러에서 명령을 보낼때마다 일회성 다이내믹 가상 카드번호를 생성해 드론에게 보낸다. 이때 드론이 서버 역할을 해 가상 카드번호를 검증한다. 커넥티드카의 경우 차가 서버가 되는 등 환경에 따라 서버를 설정할 수 있다. 즉, OTAC는 스마트폰, 드론 등 디바이스에 제약이 없는 것이 장점이다.

기존 스마트OTP의 경우 아이폰에는 지원이 안 된다. OTAC는 아이폰 지원이 가능한 이유가 있나?

안드로이드 운영체제(OS)에서는 스마트폰에서 생성한 값을 밖으로 내보내는 것이 가능하지만, iOS는 제약이 있어 불가능하다. 스마트 OTP의 경우 겉보기에는 OTAC와 비슷하지만 코드 값을 전송하는 방식에 차이가 있다. 스마트OTP는 카드의 IC 칩에서 코드를 만들어 스마트폰에 보낸 뒤 또다시 스마트폰이 IC칩으로 코드를 보내는 등의 양방향 통신이기 때문에 iOS에서 구현할 수 없다. 반면, OTAC 기술은 카드에서 코드를 만든 뒤 스마트폰으로 보내는 단방향 방식이기 때문에 아이폰에 적용할 수 있다.

아이폰에서 OTAC 기술을 사용할 수 있다는 것은 무엇을 의미하는지?

이번에 기술을 제공한 토스뱅크 측면에서 설명을 하자면, 토스뱅크에서도 이 부분을 중요하게 봤다. 안드로이드, 아이폰 사용자가 동일한 경험을 해야 한다고 생각한 것으로 보인다.

저희 회사 측면에서 봤을 때는 OTAC 부가기술도 아이폰에 적용할 수 있기 때문에 얼마든지 사업을 확장할 수 있다. 예를 들어, 사용자 본인확인을 할 수 있다. 콜센터에서 본인확인을 위한 절차를 줄이기 위해 OTAC 값을 보내는 등의 부가 영역으로 확장할 수 있다.

삼성페이도 NFC 기술을 활용하고 있는데, OTAC와 어떻게 다른지?

사용자를 식별하는 코드 값을 전송하는 방식에 차이가 있다. 삼성페이는 신용카드 정보를 담은 값을 스마트폰에서 내보내는 방식이다. 즉, 결제할 때 핸드폰에서 생성된 값이 포스기로 전송이 된다. 반면, OTAC는 스마트폰이 카드로부터 가상 카드번호 값을 받아가는 방식이다. 간단하게 정리하자면 삼성페이는 스마트폰에서 포스기로, OTAC는 카드에서 스마트폰으로 코드 값이 전송되는 차이가 있다.

OTAC 매체로 카드를 주목한 이유가 있나?

금융사에서 앞으로 카드 사용은 계속 이뤄질 것이라고 전망하고 있다. 금융사에서 계속해서 카드를 발급한다면, 카드 외에 별도의 매체가 필요 없다고 봤다.

OTAC 기술, 글로벌 상용화도 계획하고 있다고 했는데

2018년 설립한 영국법인 스위치를 기반으로 글로벌 진출을 타진하고 있다. 영국 정부에서 기술기업들을 육성하던 당시 법인을 설립하게 됐는데, 영국이 지리적으로 유럽과 미국과 근접하고 비즈니스 환경도 미국과 비슷해서 적합하다고 봤다. OTAC 기술을 내세워 영국 고객사들을 만들어가고 있는 단계이며, 미국의 대형 금융사들과 꽤 오랜 시간 논의를 해오고 있다.

토스뱅크에 기술 납품 후, 국내 금융권에서의 반응은 어떤지?

토스뱅크 사례로 이 기술이 상용화되면서 금융사들의 관심이 높아졌다. OTAC 기술뿐만 아니라, 여기에 필요한 부가기술도 주목을 받고 있다. 비즈니스 모델이 구축되고 있고 좋은 사례가 나오고 있어 이를 연결하는 것이 회사의 방향성이다.

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다