min-y

OTP란, One Time Password의 약자다. 즉 일회용 비밀번호.
지금 우리가 인터넷뱅킹/텔레뱅킹에서 사용하는 보안카드는 고정된 비밀번호를 가지고 있다.
쓰고 또 쓰고 누가 몰래 보고가서 적어두고. 카피해두면 보안위협이 될 수 있다.

물론 보안을 위해 공인인증서도 필요하고, 공인인증서 비밀번호에 보안카드 비밀번호 계좌 비밀번호 등등 여러가지 정보가 필요하다.
하지만, 이들 비밀번호는 빠져나갈 위험이 있다.
보안을 공부하면서 알게되었지만 가장 위험한 해킹 그리고 가장 쉬운 해킹은 "사회공학적 공격"에 의한 것이라고 한다.

쉽게 기업에서 꽤 높은 자리에 있는 사람인 척 하면서 전화를 걸어
"어. 모대리~ 나 누군데 내가 그걸 깜빡했네. 좀 불러봐" 라고 하면 우물쭈물하면서도 말하게 되는게 현실이다. 물론 본인의 보안카드 비밀번호를 불러주지는 않겠지만.

여하튼, 이러한 배경속에 등장한 것이 OTP이다.
일단 OTP는 일회용 비밀번호를 생성시킨다. 그리고 소유자의 경험/지식 기반이 아닌 random 숫자가 나타난다. 일반적으로 6, 8자리지만 우리나라에서는 6자리를 사용한다.
OTP 의 일반적인 장점이라고 한다면 통합해서 사용이 가능하다는 것이다.
기존 보안카드는 은행마다 달라서 여러개가 필요했지만, OTP 는 금융보안연구원에 통합되어 있어 그냥 하나를 만든 후 통합해서 사용하면 된다.


* OTP 값 생성에는 다양한 알고리즘이 사용된다. (ex. 3DES, SHA, AES-1, RSA 등등등)
알고리즘은 나중에 내가 공부했던 범위내에서 설명하는 시간을 가져야 겠다.


* OTP 값 생성 방식은 크게 3가지로 나눈다.
- EVENT
- Time
- Event+Time
(참고로 요즘은 Challenge response 방식은 OTP 생성에 사용하지 않는다.)

EVENT : 순차적으로 버튼을 누를때마다 OTP 값이 생성되지만, 사용에 시간적 제약이 없다.
             이런이유로 사람들은 OTP 값을 몇개 적어놓고 이후에 사용하기도 한다.
             아주 큰 문제다. 적어놓고 사용한다고 하면, 누구든 몰래 빼내가기는 아주 쉬울것이다.
Time : 현재 보편적으로 쓰고 있는 방식이다. OTP 값 생성후, 일정 시간내에 사용하면 된다.
         Event 방식에 비해서는 안전하다,
Event+Time : 표현 그대로 시간과 이벤트 방식이 조합되어 있다.
         Event 에 의해 순차사용 관리가 되고, Time에 의해 제한된 시간내에 사용해야만 한다.
         미리 적어뒀다가 사용한다는건 허용되지 않는다.

물론, 시간/이벤트의 처리방식은 사용자가 느끼지는 못한다.
모두다 한번 누르고 사용하면 된다. 카드든 토큰이든 어떤 방식이든 상관없다.
하지만 위에서 설명한 것처럼, 현재 배포되어 있는 OTP 중에는 event+time 방식이 가장 안전하다.


* OTP 타입으로는 토큰 타입과 카드 타입이 있다.
OTP 에 조금만 관심이 있다면 알겠지만 토큰 타입은 예전의 삐삐를 생각하면된다.
요즘은 USB 처럼 작게도 나와서 (그래도 USB보다는 훨씬 크다.) 휴대폰에 많이들 매달고 다닌다.
난감이다. Event 방식의 경우, 휴대폰에 매단것을 옆에 동료가 휴대폰 본다면서 눌러본다면..
고의든 고의가 아니든..
그리고 요즘은 워낙 많이들 매달고 다녀서.. OTP 까지 매달아 버리면 주렁주렁.
실제로 나 아는 분은 금융거래 용 OTP 토큰, USB, 회사 보안출입토큰 까지 주렁주렁 달고 다니신다.

OTP 카드는 그냥 신용카드라고 생각하면 쉽다.
하지만 아무리 신용카드라고 해도 이것은 기계를 카드형태로 만든 것임을 기억하는 것이 좋겠다.
신용카드 형태다 보니 지갑에 쏙쏙 넣고 다니면 되고, 가볍다. 사람들 눈에 보일 필요도 없다.
편리하다.

이건 우리회사의 OTP 카드이다.
"Press"를 누르면 번호가 나타나고 일정시간이 지나면 자동으로 사라진다. 즉, soulder surfing 에도 안전하다.
직접 써봤는데도 좋다. 카드다 보니 가지고 다니는 데 불편하지도 않고 현재 보안이 가장 뛰어난 Time+event 방식을 사용하고 있으니 안심도 된다.

OTP에 대한 기본 지식 및 경험을 끄적여봤다.
뭐 이후에 맘내키면 더 올리겠지만, 이젠 보안쪽 정리를 좀 해봐야겠다.

며칠전 우리회사 테트라플러스의 OTP카드 자료 작성을 위해 찍은 사진 몇장을 소개한다.

우리회사의 OTP카드는 카드랑 사이즈가 똑같기 때문에 지갑에도 편하게 쏘~옥~~~

(참고로 지갑은 내꺼라는...)

지갑뿐만 아니라 명함지갑에도 쏘~옥~~~

(역시나 명함지갑도 내꺼라는...)

 

LED도 두종류 ... 파란색이랑

 

오렌지 색 (이름하여 amber 색상)이 있는데 둘다 놀라운 선명도를 제공한다.

 

내구성 테스트를 위해서...

 

물속에 넣었는데두 전혀 문제가 없고...

휘어보아도 문제가 없이 밝게 잘만 들어온다.

(이렇게 휘어져야 지갑에서도 안전하게 오래 오래 잘 보관된다)

내친김에 냉장고에 넣었는데도 잘된다.

 

자료작성을 위해 찍어본 사진인데,

다양한 내구성 테스트에도 전혀 문제가 없었다.

이제 어여 어여 보급되어 많은 분들이 편하게 쓰실날만 남은거 같다.

출처 : http://blog.naver.com/waitx/80048217170

까망창원의 이야기 있는 사진 이야기... | 까망창원
http://blog.naver.com/waitx/80044739350