Pain points

최근 모바일 금융 환경이 보편화되고 비대면 금융거래가 늘어나면서 금융사 앱 사용 빈도가 높아지고 있습니다. 하지만, 그만큼 각종 해킹의 대상이 돼 금융 피해 사건 또한 급속히 증가하고 있는 것이 현실입니다. 금융사들은 소비자 보호를 위해 다양한 보안 및 인증 방안을 도입하고 있으나 사용하는 과정에 있어서 여러 가지 이슈들이 발생하고 있습니다. 실제로 네트워크를 기반으로 하는 결제 토큰은 통신이 제한되는 환경에서는 사용이 어렵다는 문제와 금융사 앱을 사용할 경우, 단계별 사용자 인증 구조로 되어 있어 소비자의 편의성이 떨어지기도 합니다.

도입효과

- 검증 시간 단축 통한 운영 비용 절감

OTAC Dynamic PAN은 오프라인 결제 시 사용자의 모바일 기기에서 생성되는 다이내믹 결제 토큰을 제공하여 상점에서 금융사 서버까지 구축된 기존 인프라만으로도 결제 수행이 가능합니다. 이는 통신을 기반으로 한 토큰 서버 대비 검증 시간을 단축시켜 운영 비용을 줄일 수 있을 뿐 아니라, 사용자로 하여금 오프라인 상태에서도 불편함 없이 결제할 수 있는 환경을 지원합니다. 또한, 인터넷 본인인증(3D Secure) 미도입 상점의 경우, 사용자의 카드번호 유출에 의한 결제 사고를 방지하여, 결제 사고 보상에 발생하는 비용을 절감 효과도 기대할 수 있습니다.

- 다이내믹 코드 활용한 편의성 및 보안성 강화

OTAC Dynamic PAN은 단말기 자체의 인증(지문, 홍채, PIN 등)을 거친 사용자의 기기에서 생성된 다이내믹 코드이며, 현시점에서만 유효하게 사용할 수 있기 때문에, 추가적인 인증절차 없이도 기존의 카드 결제 방식과 동일하게 사용할 수 있어 보다 간편합니다. 또한, 온라인 결제 시 인터넷 본인 인증(3D Secure) 과정을 적용하지 않은 상점에서도 카드 번호 형식으로 제공되는 다이내믹 결제 토큰만으로 지불이 가능하기에 카드 번호 탈취 및 오남용 사고를 방지하고 보안을 강화할 수 있습니다.

OTAC Device Authentication Token

센스톤의 OTAC Device Authentication Token은 네트워크가 없는 환경에서도 사용자의 기기에서 매번 새로운 OTAC 코드를 생성하여, 결제 인증에 사용되는 ‘아이디+비밀번호+OTP’ 등의 역할을 할 수 있는 다이내믹 코드로 제공하고, 사용자의 기기 내에 안전하게 고유값을 저장하는 기능을 가지고 있습니다. 또한 사용자 기기에서 금융사 서버로 주기적으로 현시점에만 유효한 다이내믹 코드를 전송하여, 정상적인 고객 기기에서 접근하는지 여부를 단방향으로 수신된 다이내믹 코드의 검증만으로도 확인이 가능합니다.

도입효과

- 기기 인증을 통한 이상거래 탐지 지원

금융 관련 해킹 사건 중 상당수의 범죄가 타 기기에서 해커가 사용자를 사칭해 접근하는 경우이기에 많은 금융사에서 전자 금융 거래를 노린 해커의 공격을 방어하기 위해 이상금융거래탐지시스템(FDS: Fraud Detection System)을 활용하고 있습니다. 하지만 결제자의 다양한 정보들을 수집하고 분석해야 하는 FDS 방식은 기기 정보뿐만 아니라, 대량의 거래 정보 수집이 필요하며 거래별 기기 인증이 필수입니다. OTAC Device Authentication Token은 FDS과 함께 사용하여 보안성을 강화할 수 있는 것은 물론이며, FDS의 기능을 대체하여 활용도 가능합니다.

- 간소화된 사용자 인증 통한 편리성 제공

금융 서비스 앱은 보안의 중요성 때문에 로그인 외에도 결제나 자금 이체 등을 진행할 때 최소 2번 이상의 인증 단계를 거치게 됩니다. 이 경우 이용자들이 불편함을 느끼는 것 외에도 인증을 위해 소요되는 리소스 또한 늘어나게 되어 앱의 속도가 느려지는 등의 문제도 발생합니다. OTAC Device Authentication Token은 다이내믹 코드를 이용한 기기 인증을 통해 불필요한 사용자 인증 단계를 줄이고 금융 서비스 앱과 서버 간의 세션을 OTAC 검증을 통해 연장하여 플랫폼 이용 시 빈번한 로그아웃 혹은 재로그인의 불편함을 해소할 수 있습니다.

Why OTAC

센스톤이 자체 개발한 OTAC는 다음과 같은 기능을 모두 동시에 제공합니다.

OTAC는 매번 변경되는 다이내믹 코드입니다. 따라서 누군가 습득한 코드를 사용하려고 해도 이미 노출된 코드는 변경된 상태이므로 카드 세부 정보와 같은 정보 유출에 대해 전혀 걱정할 필요가 없습니다.
통신 네트워크 연결 없이도 OTAC 생성이 가능합니다. 네트워크 연결을 필요로 하는 인증 단계가 축소되면 해커가 개인 정보에 접근할 수 있는 게이트웨이 또한 줄어듭니다. 그리고 항공기, 지하, 시골 등과 같이 통신 네트워크와 연결하기 어려운 환경에서도 인증이 가능하기 때문에 그 활용도는 훨씬 높아집니다.
OTAC로 생성된 코드는 어떠한 상황이라하더라도 절대 그 누구 와도 중복되지 않습니다. 따라서 본인과 동일한 코드를 가진 사람이 존재할 가능성은 0%입니다.
OTAC로 생성된 코드만으로 사용자 또는 기기 식별이 가능합니다. 생성된 OTAC 코드는 절대 중복되지 않는 고유값을 갖기 때문에 OTAC만으로도 충분히 사용자나 기기를 식별할 수 있습니다. 즉, ID와 비밀번호와 같은 고정값을 가진 정보들은 이제 잊어버려도 좋습니다.