1. 개요
신한은행의 보안카드 |
4자리 숫자 25~35개가 적혀있는 보안 매체. 보안카드, 안전카드, 자물쇠카드, 씨크리트 카드라고 쓰여 있는 그것. 은행과 증권사에서 무료 내지는 500원 정도의 수수료를 내고 받을 수 있으며[1] 인터넷뱅킹이나 모바일뱅킹, 텔레뱅킹을 할 때 사용한다.
2. 상세
간단하게 말해서 코드북 암호 방식이다. 보안카드의 일련번호(시드)와 보안카드 생성 알고리즘을 알면 보안카드에 적혀 있는 숫자를 모두 복구해낼 수 있다. 하지만 사용자들이 보안의 중요성을 무시하는 터라 보안카드를 복사해 준다거나, 스캔해서 이메일이나 웹하드에 보관한다거나 하고 있으니… 제발 하지 말라는 건 하지 마라. 당연히 앱스토어에 보안카드어플이랍시고 나오는 앱들 따위도 믿지 말고 쓰지 마라. 안드로이드는 윈도우만큼이나 사용자가 원클릭으로 보안수준을 개판으로 낮출 수 있는 운영체제다.정 보안카드 사본을 만들 필요가 있다면 A4용지에 복사해서 휴대전화 뒤에 붙여놓던지, 혹은 지갑에 들고 다니는 방법도 한 방법이 될 수 있다. 이럴 경우 분실시 분실했다는 사실을 쉽게 인지할 수 있기 때문.(어? 보안카드 복사한 종이가 어디갔지? 없네? → 분실신고&재발급.) 하지만 보안카드를 jpg와 같은 파일로 만들어놓거나 보안카드 어플 등에 입력해놓은 경우 누가 해킹을 하더라도 사용자는 전혀 이를 알 수 없다. 해커가 당신의 자료를 당신에게 미리 말 하고 빼 갈 것 같은가? 보안과 편리성은 항상 반비례한다는 사실을 잊어서는 안 된다.
저렇게 보안카드 막 굴리다가 여기저기서 사고가 뻥뻥 터지는 바람에 요새 은행에서는 OTP를 쓰라고 말하고 있다. 하지만 좀 비싸다. 보안카드 사용자는 OTP사용자에 비해서 이체한도를 낮게 적용 받는등 다소의 불이익이 있다. 특히 다이렉트 뱅킹은 무조건 OTP를 써야 한다. 간혹 보증기간이 다 된 OTP 재고가 다량 남을 경우 무료 행사를 하기도 하니까 그 때를 노리자. 보증기간이 지났다고 바로 배터리가 맛이 가는 게 아니라서 자주 쓰지 않는다면 보증기간 이후로도 2~3년은 충분히 쓸 수 있다. 참고로 창구에서 OTP를 구입하여 사용 신청을 하거나, 다른 은행의 OTP 사용을 등록했다면 기존의 보안카드는 자동 폐기된다.[3]
보안등급 승급이 필요하다며 보안카드 번호 입력을 요구하는 피싱 수법도 등장하여 관계 당국이 주의를 요하기까지 했다. 상식적으로 생각해도, 결제 등 정상적인 경우에는 보안번호 일부만을 요구하지 보안번호 전체를 요구할 필요도 없다. 보안번호 30 또는 35자리를 모두 입력하도록 요구하거나 3개 이상 요구하면 100% 사기다. 두개 이하로 요구해도 일단 다시 생각해보고 확인해볼 것. 개인정보는 털리면 돈 빠져나가는거 한순간이다.
보안성이 낮다고 생각할 수 있으나, 1회용으로만 쓴다면 사실 이만한 게 없다. (사실 애초에 OTP의 뜻도 ‘1회용 비밀번호(One-Time Password)’다) 보안카드의 보안성이 떨어지는 주요 원인은 같은 번호를 여러번 사용하면서 번호가 유출될 가능성이 높아지는 것이기에 그냥 코드를 단 한번만 사용한다면 그럴 염려가 없다. 가격도 싸기 때문에 쉽게 변경이 가능하다. 애초에 코드북 암호이기에 유출되지만 않는다면 절대로 깨는 것이 불가능하다. 핵가방에 들어가는 암호코드도 보안카드이다. 어차피 핵가방도 결국 1회용이기에..
3. OTP와의 비교
3.1. 공통된 장단점
- OTP와 유사한 약점을 가지고 있다. 보안 카드와 OTP 모두 발급자와 서버가 시드 정보를 공유하고 있고 발급자는 시드 정보를 토대로 보안매체를 생성하여 고객에게 발급하여 주고, 서버는 해당 시드 정보를 토대로 고객이 입력한 비밀번호가 맞는지 확인하여 인증이 진행된다. 여기에서 서버나 발급자가 가지고 있는 시드 정보가 유출되면 보안 기능을 할 수 없음으로 시드 정보를 교체하거나 새로운 시드가 들어있는 보안 매체로 재발급하여야 한다. 실제로 외국의 OTP제조사가 보유한 시드 정보가 유출된 사례가 있다. 당시 해당 OTP생성기를 전부 교체하여야 했다.
- 분실할 때는 수상한 거래가 일어나지 않는 이상 분실 신고를 하지 말자. 대부분의 은행은 분실 신고를 한 번 누르면 취소가 불가능하거나 영업점에서 해지 신청을 해야 한다.
3.2. 보안카드의 장점
- 배터리 문제나 기기고장 문제로 몇 년마다 재발급 비용을 내고 은행 영업점을 방문해야 하는 OTP와는 달리 보안 매체 수명이 사실상 반영구적이다.
- 보안카드는 생산 및 관리에 들어가는 비용이 OTP에 비해 매우 저렴하다. 때문에 일부를 제외하고 발급/재발급 수수료가 없다. 또한 보안카드는 단순한 플라스틱 필름 조각이기 때문에 침수나 낙하 같은 극한 환경에 더 잘 견딜 수 있다. 반면 OTP는 전자회로를 내장하고 있어 침수와 충격에 취약하고 상대적으로 고가이다. 때문에 비싼 발급 및 재발급 수수료가 들어간다.[4]
- OTP를 당장 사용해야 하는 상황에서 갑자기 고장이 난다면 난감해진다. 또한 그런 상황에 영업점에 방문하여 재발급받아야 함으로 번거로운 상황이 발생할 수 있다.[5] 만약에 주말이나 공휴일, 연휴 때 OTP 배터리가 나간다면 영업점이 문을 닫아 교체할 수 없어서 난감한 상황이 올 수 있다.[6]
3.3. 보안카드의 단점
- 번호 자체가 고정되어 있어 보안성이 OTP보다 매우 취약하다. 은행권에서는 대구은행(500원)을 제외하면 수수료가 없으니 보안카드를 자주 사용하였다면 1~2년에 한 번 정도는 교체해 주는 것도 보안에 매우 큰 도움이 된다. 보안 매체(하드웨어)의 수명이 반영구적인 것이고, 사용하면 할수록 보안성이 낮아지기 때문에[7] 보안 능력은 반영구적이라고 할 수는 없다. 특히 신한은행은 보안카드를 바꾸라고 귀찮을 정도로 자주 문자를 보내며, 창구로 가면 추가 비용 없이 알아서 교체해 준다.
- 보안카드는 필요할 때 일일이 꺼내서 번호를 찾아가며 입력해야 하는 불편함이 있다. 반면 OTP는 버튼만 누르면 비밀번호가 생성된다.
- 보안카드는 타행과 호환이 애초에 불가능하기 때문에 타행 계좌가 많은 고객의 경우 각 은행의 보안카드를 일일이 갖고 있어야 하고 사용할 때 찾는 것도 상당한 귀찮음을 자랑한다. 타행 등록이 가능한 OTP가 각광을 받는 것도 바로 이런 이유 때문이다.
4. 여담
- 신한금융투자와 제주은행은 특이하게 세자리 보안카드 번호를 사용하고 있다. 보통은 보안카드 번호가 네자리로 "12 34"의 형식이지만, 신한금융투자와 제주은행은 "123"으로 앞 두자리와 뒤 두자리를 입력하도록 되어있다. 통합 이전의 구 신한은행도 세자리 보안카드를 사용했지만, 조흥은행 통합 이후에 조흥은행 방식의 네자리로 바꾼 것이다.
- 온라인 게임 던전앤파이터에서도 사용한다. 던전앤파이터/보안 시스템 문서 참고. 사실 패키지 게임 분야에서는 1980년대 후반~1990년대 초반에 보안카드와 비슷한 시스템을 사용했던 전력이 있다. 패키지 안에 들어있는 암호표에 있는 글자를 입력해야 게임이 시작되는 매뉴얼 프로텍트가 그것. 그러나 용도는 보안카드와는 판이하게 달랐는데, 복돌이 차단용이었다. 이 당시 PC게임은 플로피 디스크를 매체로 썼기 때문에 복제가 쉬웠고, 이를 막기 위해 암호표를 패키지 안에 넣어 암호를 입력해야 게임이 실행되는 그런 구조였다. 그러나 암호표가 같은 게임이면 모두 동일하다는 단점이 있어서 복돌이들은 절찬리에(...) 암호표까지 복제하여 게임을 즐겼다. 이런 시스템은 1990년대 중반 CD-ROM으로 매체가 옮겨가면서 복제가 힘들어지자 점차 사라지게 된다.
[1] 대구은행과 한국씨티은행을 제외한 다른 은행은 무료. 대구은행은 수수료 500원이 있다. 대구은행은 VIP 고객에게만 보안카드 재발급 수수료가 무료다. 씨티은행의 경우는 발급 후 2년이 지나지 않았을 경우 재발급시 2,000원을 징수한다.[2] 인감과 인감증명서를 다른 장소에 보관하라는 말을 상기하면 보안카드를 공인인증서와 동일한 곳에 보관하지 말아야 한다는 것을 알 수 있을 것이다.[3] 예외로 우리은행은 OTP를 등록해도 보안카드를 비상용으로 사용할 수 있다고 한다.[4] 최소 3,000원에서 2만 원까지 천차만별이지만 그래도 상당히 비싼 편이다.[5] 카카오뱅크는 OTP를 발급할 때 등기우편으로 받을 수 있다. 단 본인만이 받아야 한다고 하니 참고.[6] 이런 배터리 문제 때문에 일부러 OTP를 2개 이상 가지고 있는 경우도 있다. 하나는 평소에 사용, 다른 하나는 예비용으로 보유하는 식이다. 평소 사용하던 OTP가 배터리가 나가면 예비용 OTP를 등록하는 형식. 다른 경우는 모바일OTP를 등록해서 사용하는 방식으로(다만 신분증이나 운전면허증을 휴대폰 카메라로 스캔해서 등록해야 된다는 단점) 정말로 긴급할때 사용한다.[7] 물론 보안코드가 노출될 가능성이 극히 낮다면 그럴 필요가 없겠지만 그 정도의 높은 통신 보안이 유지되는 환경이라면 더 간단한 인증 방법을 선택할 수 있음으로 굳이 보안 카드를 쓸 이유도 없어진다. 보안성이 높은 스마트폰을 통한 간편결제는 보안 카드를 사용하지 않고도 간편하게 송금이 가능하다.