# Home   >   사용신청   >   OTP안내
OTP란

One Time Password의 약자로 한번 사용하고 폐기되는 일회용 비밀번호를 의미합니다.

일정시간(60초)이 지나면 사용한 비밀번호는 더이상 유효하지 않아 노출되더라도 비밀번호 해킹의 위험으로부터 안전합니다.

사용자 접속환경(PC, 서버 등)과 분리된 휴대폰 혹은 물리적인 토큰 사용으로 보다 안전하게 접속 정보를 관리 할수 있습니다.

도입 배경

최근 피싱, 악성 코드 등 해킹 기술의 발달로 서버 해킹 피해의 위험성이 증대되고 있으며, 특히, 슈퍼컴퓨터 주요 사용자인 대학내 연구실/실험실 등의 보안 사고가 증가하고 있습니다. (하단 아이뉴스 24 기사 참조)

최근 5년간 대학 관련 침해사고 현황

출처 : 아이뉴스 24, 2017.04.18

사고유형 2013년 2014년 2015년 2016년 2017년 3월기준
건수 2건 7건 12건 7건 33건
※학교 2곳은 중복 피해
주요 사고 유형 SMS 서버 악성코드 감염 및 계정유출 대학연구소 웹사이트 악성코드 유포지 악용 악성코드 C&C 서버 악용 악성코드 C&C 서버 악용 서버 해킹 피해(해킹 경유지)
DDoS 공격 관련 좀비 PC DDoS 공격 관련 좀비 PC DDoS 공격 관련 좀비 PC DDoS 공격 관련 좀비 PC 서버해킹 피해(홈페이지 서비스 장애-스트럿츠2 취약점)

ID/PW 기반의 인증은 비밀번호의 추측이 용이하며, 유출시 이를 이용하여 정상적인 슈퍼컴퓨터 접속후 2차 피해를 발생시킬수 있습니다.

원격 접속을 통해서 슈퍼컴퓨터를 활용하는 서비스의 특성상 정상 로그인 사용자와 비정상 로그인 사용자를 구분하는 것이 어려우며 이들의 불법적인 행위 감시 및 제한의 한계성이 존재 합니다.

이러한 문제를 해결하기 위해서 사용자의 휴대가 용이한 매체를 통한 2차 인증 방식으로 국가슈퍼컴퓨팅센터에서는 OTP(OneTime Password)를 채용하였습니다.

* 2차 인증 방식이란 - 2차 인증이란 다중 인증(Multi Factor Authentication:MFA)이라고도 하며 ID/PW기반 인증외에 추가적인 인증 절차를 거치는 것을 의미 합니다. - 사용자 아이디와 비밀번호외에 보안을 한층 더 강화할 수 있는 쉽고 간단한 방법입니다.
  2차 인증 방식을 적용하면 사용자가 슈퍼컴퓨터에 접속할때 사용자의 아이디+비밀번호(사용자가 알고 있는 정보) 뿐만 아니라 2차 인증 정보(사용자가 가지고 있는 정보)를 입력해야 합니다.
  이러한 2차 인증 요소를 통해서 보다 안전한 슈퍼컴퓨터의 데이터에 대한 보안을 높일수 있습니다.
- 2차 인증은 휴대폰 인증 문자 발송 / OTP / 생체 인증 / 앱 푸시(DUO) / 터치 인증(Yubikey) 등의 다양한 방식이 존재합니다. - 최근에는 은행, 포털사이트 , 온라인게임, 클라우드 서비스 등에서 보다 안전한 접속 인증을 위해서 2차 인증 방식을 적용 중에 있습니다.
OTP 인증 적용 전/후 비교

OTP 적용 전 : ID/PW 유출시 사용자 권한으로 슈퍼컴퓨터 접속 가능

OTP 적용 후 : ID/PW + OTP 유출시에도 일회성 비밀번호의 특성(재사용 불가, 예측 불가)상 로그인 불가능

OTP 적용 사례

한국 : 은행 ,증권사 등 금융기관, 전자 정부 서비스(민원24, 홈텍스 등), 온라인 게임 서비스 등

미국

- NERSC : google authenticator (OTP)
- Xsede 연계 기관(sdsc, tacc 등 다수) : Duo authentication (앱 푸시 방식)
- 아마존 클라우드 서비스 : OTP, Yubikey, SMS, 전자키 등