오늘 동양증권에서 날라온 메일 하나를 받았습니다.

올 10월 1일부터 전자금융거래에 있어

기존의 보안카드를 대신해 사용할 수 있는

OTP(One Time Password)를 도입한다는 안내문입니다.

OTP에 대해서 간단히 들어보았으나

자세한 것은 몰라 검색해보았습니다.

'How to use OTP(one time password)?'

'One-time password'

내용이 조금 복잡하여 맞는 말인지 모르겠지만,

OTP란 기존의 고정된 패스워드가 아닌

사용할때마다 패스워드가 계속해서 바뀌는

그런 방식의 사용자 인증 방법인 듯싶습니다.

구현 방법으로 세 가지가 있다는군요.

1. 이전 패스워드를 바탕으로 수학 알고리즘을 이용

2. 인증 서버와 클라이언트(PC)의 시간 동기화로 패스워드 제공

3. 이전 패스워드가 아닌 다른 것을 바탕으로 수학 알고리즘을 이용

구현 방법은 이런 것같습니다.

MD4나 MD5와 같은 Hash 함수를 이용하면

결과물을 이용해 함수 전에 것을 알지 못합니다.

즉, f()를 Hash 함수이고, y = F(x)일 때

x를 통해 y를 구할 수 있지만,

y를 통해 x를 구하기는 힘듭니다.

그럼 이 함수를 계속 실행시켜 필요한만큼의 패스워드를 만듭니다.

f(x), f(f(x)), f(f(f(x))), ......

이것을 간단히 f(x) = y_1, f(f(x)) = y_2, f(f(f(x))) = y_3라고 하겠습니다.

만약 n개가 필요하다면 y_n까지 만들어집니다.

(함수를 n번 실행하겠지요.)

이제 사용자에게 y_n의 패스워드부터 제공합니다.

처음에는 y_n, 그 다음에는 y_(n-1)

계속해서 y_(n-2), .... y_3, y_2, y_1까지 제공되겠지요.

왜 이것이 효과적인가를 살펴보겠습니다.

해커(해커의 첫 번째 사전적 의미)가 사용자 PC에 침투해서

y_5 패스워드를 획득합니다.

그럼 그것으로 한 번 로그인이 가능합니다.

하지만 다시 로그인을 시도하려고 할 때는

y_4 패스워드가 필요합니다.

하지만 y_5를 가지고 y_4를 알 수 없습니다.

왜냐하면 y_5 = f(y_4)이니까요.

따라서 기존의 패스워드를 한 번 얻었을 때

패스워드를 바꾸지 않는한

해커가 계속해서 로그인하여 쓸 수 있었던것과 다릅니다.

아마 이 방법은 위에서 말한 첫 번째 방법인 듯싶습니다.^^

검색해보니 기사로도 나와있네요.

'금융권 OTP 도입 의무화「OTP 토큰 VS OTP 카드」'

OTP에 대해서 좀 더 쉽게 이해할 수 있을 것입니다.

(이 기사는 2006년 11월 20일에 나왔는데,

금감원에서 내년 4월부터 OTP를 사용 의무화했다는 글이 있네요.

그럼 2007년 4월부터인데 지금이 9월입니다만...;;;)

뉴스 기사를 검색하니 하나은행에서는 OTP를 사용하는가보네요.

'하나은행 , 온라인 전용상품 4종 출시'

하나은행 홈페이지를 살펴보니 관련 내용이 있습니다.

'OTP (일회용 비밀번호 생성기) 발급 및 통합인증서비스 시행 안내'

전 우리은행을 쓰는데,

검색해보니 약관에 적혀져 있을 뿐이네요.

그 외에는 찾을 수 없었습니다.

아마 우리은행은 준비중인지도 모르겠네요.;;;

OTP라...

확실히 괜찮은 방법인 듯싶습니다.

솔직히 패스워드 외우기 너무 귀찮아요.;;;

한 번 쓰고 버리는 패스워드.

좋군요.^^

(설마 일회용 규제 전략이 영향을 미치지는 않겠죠?-_-)

참조

http://sparcs.kaist.ac.kr/~vici/lec/com/secure/otp.html

http://en.wikipedia.org/wiki/One-time_password

http://www.naver.com

http://www.hanabank.com

http://www.wooribank.com

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.