우리은행 디지털 otp
디지털OTP란?
디지털OTP는 전자금융거래 시 스마트폰 어플리케이션(금융결제원 제공)을 통하여
매번 다른 번호를 생성한 후 이미지 형태로 전송하여
전자금융거래에 입력하는 OTP 입니다.
디지털OTP 신청방법
디지털OTP를 발급 받으시려면 아래의 서류와 스마트폰을 지참하시고 가까운 영업점에 방문하시거나 스마트뱅킹에서 신청하시면 됩니다.
필요서류
개인 신분증, 거래인감 또는 서명(본인만 신청 가능)
법인고객은 일반 OTP발생기를 발급 받으셔야 합니다.
발급비 : 무료
| 우리은행 디지털 otp : https://spot.wooribank.com/pot/Dream?withyou=CQSCT0123 |
일회용 비밀번호 / One-Time Password (OTP)
무작위 번호약속 알고리즘에 따라 매 시간마다 변경되는 추정 할 수 없는 비밀번호 생성을 이용하는 보안 시스템.
아이디어 자체는 100년도 넘은, 그리고 그만큼 검증된 기술이다. Multi-Factor authentication(다요소 인증, 다중 인증) 체계의 인증 요소중 하나로 즐겨 사용된다. 인증 요소 분류중 소유물 인증 요소에 해당한다.
다이렉트 뱅킹은 OTP가 필수다. 웬만한 은행들의 오픈뱅킹은 OTP를 강제하고 있으며, 보안카드는 오픈뱅킹에서 계좌 조회만 가능하다.
나무위키 등의 the seed에서는 사용자가 로그인할 경우 이메일 방식이나 Google Authenticator의 시간 동기화 방식의 OTP를 반드시 사용해서 인증해야 한다. 물론 평소 사용하는 브라우저와 기기에서 로그인하는 경우에는 이 과정이 필요없다.
접속시마다 그때그때 필요한 비밀번호를 생성하여 그 번호를 통해 사용자 본인 확인을 하는 방식이다. 대개는 주로 난수 발생기에 현재 시간을 넣어 비밀번호를 생성한다. 서버와 사용자의 생성기는 서로 교류하지 않지만, 시간을 seed로 하여 같은 알고리즘으로 생성 매칭을 하므로 서로 시간이 동기화되는 것이 중요하다. seed 시간은 초단위가 아닌 특정 time window 유닛으로 작동하므로 적정 수준의 톨러런스가 있다 (서로 몇초 차이가 나도 맞춰 동작된다.). 사용자 단말기 쪽 시계가 많이 달라져서 차이가 나게 되어도 서버쪽에서 해당 단말기에 대한 seed 차이 offset 보정 기능을 갖추면 여전히 동작한다. 타임스탬프에서 나머지 연산을 하게되면 원하는 시간단위로 분할하여 처리하게 할 수 있다. 예를들면 DB에서 흔하게 쓰이는 UNIX_TIMESTAMP modify 300 의 경우 5분 단위로 나머지를 구하게된다. 여기서 UNIX_TIMESTAMP 에 다시 빼주면 현재 시간이 속한 시작시각을 나타내준다. 여기서 예의 300으로 몇번 더 더하게 되면 더 나중에 시간이되고 빼게되면 이전의 시간을 구할 수 있게된다.
비밀번호가 1회용이라 노출되어도 재사용이 불가능하며, 비밀번호를 숨겨진 알고리즘을 이용하여 생성해내므로 서버와의 접속 없이도 생성이 가능하여 중간 과정에서 패킷이 유출되거나 하는 위험이 없다. 보안의 주안점을 방어력에서 기동성(?)으로 바꿔버린 체계로, 기존 보안방식이 암호를 푸는 데 시간이 걸리게 보안체계를 만든다면, OTP는 입에 단내가 날 정도로 고생해서 암호를 푼다 해도 이미 그 암호는 쓸모없게 된 후이다. 보통 시간 동기나 해시 체인을 사용한다. 참고로 금융기관에서 흔히 사용하는 시간 동기(Time OTP) 방식을 사용하는 OTP 토큰이 아닌, 비밀번호 생성 횟수(서버쪽은 사용 횟수)에 기반하는 Event OTP 방식 토큰을 사용하는 경우 비밀번호 생성 버튼을 신나게 누르다가 어느 순간부터 해당 OTP 토큰을 못쓰게 될 수도 있으니 주의해야 한다.
