이르면 10월부터 5000만원 이상을 온라인뱅킹으로 거래할 경우 보안카드 대신 '일회용 비밀번호'를 의무적으로 사용해야 한다.

이를 사용하지 않는 거래자는 외장 메모리인 USB처럼 생긴 '하드웨어 보안 모듈(HSM)'을 컴퓨터에 꽂고 거래해야 한다.

금융감독원 산하 금융보안연구원은 온라인뱅킹에 대한 해킹 위험을 획기적으로 낮추기 위해 '일회용 비밀번호 발생기(OTP)'와 HSM 사용을 의무화하는 방안을 마련해 7월부터 3개월간 시험 운영키로 했다.

금감원은 이 기간에 시스템을 안정화한 뒤 4분기부터 5000만원 이상 고액 거래자를 대상으로 사용을 의무화할 방침이다.

이를 위해 금융보안연구원은 일회용 비밀번호 생성 업무를 총괄하는 통합인증센터를 서울 상암동 디지털미디어센터(DMC) 안에 설치해 29일 가동에 들어간다.

연구원은 우리 신한 기업 전북 경남 국민 제일은행과 농협 우리투자증권 메리츠증권 미래에셋증권 한국투자증권 등 13개사가 29일부터 1차로 OTP 서비스를 도입한다고 밝혔다.

한 달 뒤인 7월30일에는 이들을 제외한 모든 금융권이 OTP 서비스 도입 절차를 마무리짓고 본격 서비스에 들어갈 예정이다.

일회용 비밀번호 생성기는 온라인뱅킹에서 발생할 수 있는 해킹 가능성을 차단하기 위한 수단이다.

온라인뱅킹 때는 '아이디→비밀번호→보안카드→공인인증서 패스워드 입력' 과정을 거치는데 보안카드 과정에서 해킹 가능성이 지적됐다.

연구원은 거래 안전성을 위해 보안카드 대신 일회용 비밀번호를 사용하기로 했다.

일회용 비밀번호는 온라인뱅킹 이용자가 통합인증센터에 등록하고 사용자 식별번호를 받으면 사용권한을 갖게 된다.

이후에 삐삐처럼 생긴 OTP 토큰이나 신용카드처럼 생긴 전자카드의 버튼을 눌러 액정화면으로 일회용 비밀번호를 받는다.

OTP는 매번 비밀번호가 바뀌기 때문에 해킹 가능성이 차단되는 것이 장점이다.

온라인뱅킹 때 입력하는 보안카드 번호는 정해져 있기 때문에 해킹당할 여지가 있었다.

토큰 형태는 휴대하기가 불편해 카드형보다 이용도가 떨어질 것으로 보인다.

OTP 수명은 2~3년 정도로 알려졌다.

HSM은 온라인뱅킹을 하기 위해 컴퓨터를 켤 때 외장장치에 USB처럼 꽂아 쓰는 것이다.

이 안에는 모든 거래 프로그램이 들어 있어 해킹이 원천적으로 불가능하다는 게 연구원 측 설명이다.

HSM을 사용하려면 컴퓨터에 HSM 외장장치를 꽂고 '아이디→비밀번호→보안카드→공인인증서 비밀번호' 순으로 입력하면 된다.

가격은 HSM과 OTP카드가 비슷하다.

개당 1만2000~2만원 선이 될 전망이다.

호환성에서는 OTP가 낫다.

OTP는 타 은행 및 증권사 간에 호환이 가능하지만 HSM은 정해진 곳에서만 쓸 수 있다.

안전한 거래를 위해서는 두 가지를 다 사용해도 된다.

HSM을 꽂은 다음 로그인을 하고 거래를 실행할 때 OTP를 쓰면 이중 방어막이 된다.

이해성 기자 ihs@hankyung.com