은행 어플이나 폰뱅킹을 이용할 때 필수로 사용되는 OTP(일회용 패스워드, One Time Password)는 무작위로 생성되는 무작위로 생성되는 일회용 패스워드를 이용하는 인증방식입니다. 금융권에서 보안을 강화하기 위해 만든 시스템으로 기본적으로 입력하는 패스워드 외 추가로 일회성으로 생성되는 패스워드를 생성하여 동일한 패스워드가 사용됨에 생기는 보안의 취약점을 극복하기 위해 도입되었습니다.
OTP 생성기는 크게 2가지 형태로 되어 있는데, 위의 사진과 같은 소형 단말기 모양의 토큰형과 신용카드 모양의 카드형이 사용되고 있습니다. 최근에는 유심(USIM)을 기반으로 하는 모바일 OTP의 도입도 고려되고 있습니다.
OTP 작동원리
OTP는 통신 모듈이 있어 각각의 은행과 통신을 하는 통신기계가 아닌 전자계산기와 시계가 결합된 연산장치라고 생각을 하면 됩니다. 시계처럼 정해진 시간에 전자계산기처럼 계산을 해서 6자리 숫자를 보여주는 것이 OTP의 원리입니다. 그래서 매 1분마다 자동으로 서로 다른 6자리의 숫자를 우리가 확인할 수 있는 것입니다.
그럼 이러한 숫자를 은행 서버는 어떻게 확인을 하는 것일까요? 바로 우리가 은행에서 OTP를 받아오기 전 우리가 받은 OTP와 은행 서버와 정해진 시간에 정해진 숫자를 나타내기로 인증이 되어있습니다. 따라서 매 1분마다 OTP가 만들어 내는 6자리의 숫자를 은행 서버는 미리 알고 있다는 뜻입니다. 간혹 OTP에 내장되어 시계가 오차가 발생할 수 있는데, 은행 서버는 그 오차까지도 감안하여 인식하고 있기 때문에 문제없이 승인이 가능합니다.