Embed Size (px)
Citation preview
2 l
전자금융 관련 규정과 금융기관의 책임
전자금융 감독규정 개정안 (2011. 10. 10.) 의 해석상 쟁점
3 l
전자금융 관련 규정과 금융기관의 책임PART 1
주요 전자금융 관련 법령요약
전자금융거래법 전자금융감독규정 및
시행세칙
정보통신망 이용촉진 및 정보 보호에 관한
법률
신용정보의 이용 및 보호에 관한 법률
• 전자금융거래 안전성확보와 이용자보호를 위한 각종 의무• 인력 /조직관리 , 외주관리 시설설비기준 , 정보기술시스템상 보호관리대책 (해킹방지 , 계정관리등 ), 내부통제에 관한 상세한 기준 준수의무
• 개인정보의 수집 /이용 /제공 / 파기에 관한 규제• 개인정보보호를 위한 기술적 , 관리적 조치의무 및 기준 준수의무 ( 방통위 고시)
- > 위반에 의한 정보유출 사고시 형사처벌• 개인신용정보의 수집 /이용 / 제공에 관한 규제• 신용정보전산시스템의 안전보호 - 기술적•물리적•관리적 보안대책 수립의
무• 손해배상 입증책임의 전환
주요법령
개인정보보호법• 개인정보의 수집 /이용 /제공 / 파기에 관한 규제• 개인정보의 안전한 관리 ( 유출시 통지의무 )
• 손해배상 입증책임의 전환 및 개인정보 단체소송 도입
금융실명거래 및 비밀 보장에 관한 법률
• 실명확인의무 및 실명거래정보의 비밀보호 / 누설금지 의무
자본시장과 금융투자 업에 관한 법률
• 금융투자회사의 내부통제기준 수립 및 운영 의무
NO TES
5 l
금융기관 의무와 책임전자금융거래법
보안시스템을 통한 접근통제 의무
금융 IT 침해사고 예방ㆍ대응체계 강화 의무 고객정보 유출방지 의무
• 금융정보 저장 및 전송시 암호화 및 홈페이지 등 공개용 서버관리 , 전산 자료 보호대책 , 해킹방지대책 등
• 외부에서의 접근통제 , 전 / 현직 직원 의
내부 서버에 대한 접근 통제 강화 , 홈 페이지 등 공개용 서버 관리대책 등
• IT 아웃소싱 업체에 대한 전문성 , 보안 수준 등 관리 검토 , 이용자 비밀 번호 관리 등
위반시 금융관련법령 위반에 기한 기관 및 관련 임직원 제재
대고객 손해배상책임의 근거인 금융기관의 과실책임 간주
6 l
금융기관 의무와 책임개인정보보호법 /정보통신망법
보안시스템을 통한 접근통제 의무 개인정보의 암호화 고객정보 유출방지 의무
• 고객정보 , 거래정보 , 신용정보 등 의
전송ㆍ저장시 암호화 기술 등 기술적 ㆍ관리적 보호조치
• 내부관리계획의 수립 및 시행 , 접근 통제 , 접속기록의 위 / 변조 방지 등• 임직원 및 아웃소싱 상주직원에 대
한 자료 유출 경로 차단
•방화벽 , 침입차단시스템 등 설치 /운영• 고객정보 , 금융정보 , 거래정보 등 안전 한 암호알고리즘으로 암호화하여 저장
기술적․관리적 안전성 확보 조치 미이행으로 인한 누출 등 의무소홀의 경우 2 년이하 징역 또는 1 천만원 이하 벌금 및 과징금 / 과태료 처분
7 l
신용정보법
신용 정보제공ㆍ이용자
( 고객 및 직원의 ) 신용정보
민감정보 수집금지 개인식별정보 이용 · 제공 동의
X
X
X
원칙적 동의 필요
신용정보관리ㆍ보호인
정보통신망법
정보통신서비스제공자 및 준용사업자
고객정보
민감정보 수집 동의
X
침해사고의 신고
사전고지 및 동의 , 보호조치
원칙적 동의 필요
개인정보 관리책임자
개인정보보호법
개인정보처리자( 업무상 개인정보 취급자 )
고객정보 + 직원정보
민감정보 및 고유식별정보 처리 동의
C C TV 설치ㆍ운영상의 제한
정보주체 통지 및 정부 신고의무
사전고지 및 동의
동의 불요(단 , 공개의무 및 고지의무 있음 )
개인정보 보호책임자
수범자
대상정보
민감정보 및고유식별정보
C C TV운영
처리 등의 위탁
국외이전
개인정보보호책임자
정보유출 통지 및 신고
금융기관 의무와 책임 개인정보 관련 법령 비교
8 l
관련 규정 위반시 기관 및 C EO 등 임직원 엄중 문책 예고I
금융 IT 보안기준 및 사고 후 책임에 관한 감독법규 규제를 상향 예정III
강도 높은 검사와 주요 지적사항 관련 내규 및 매뉴얼 관리소홀 , 보안전담조직 운영 부적정 , 해킹방지대책 불철저
고객정보관리 및 처리 부적정 , 보안관제 등 아웃소싱업체 계약 / 관리 부적정
서버 내부 사용자계정 관리 부적정 , 고객정보 비암호화 , 네트워크 보안 부적정 등
II
관련 법령 및 감독규정에 위반되는지 여부에 대해 많은 논란 예상IV
금융감독당국의 대응
9 l
2008 년 정보통신망법
기술적 , 물리적 , 관리적 보호대책 ( 방통위 고시 ) 불이행으로 인한 정보유출의 경우
2 년 이하 징역 또는 1 천만원 이하 벌금 /양벌규정
I
금융기관의 경우 , 입건 후 처벌사례 없으나 최근 환경 크게 변화III
주요 관리소홀점
고객정보 비암호화 , 접근통제 불철저 , 알려진 취약점 미대응 등II
경찰 사이버수사대 / 검찰 첨단범죄수사부 관심 증대
피해 금융기관의 과실점에 대해 정보통신망법위반죄로 입건 여부 적극 검토 중IV
사법당국의 대응
10 l
금융감독법령위반 임직원 및 기관제재
고객 이탈로 인한 경영 악화
정보유출에 대한형사 책임(개인정보보호법 , 정통망법 위반 )
정보유출로 인한 손해배상
고객정보 유출시 금융기관의 리스크
경영상 위 험
01 02
04 03
11 l
개인정보보호법 , 정보통신망법과 해석상 조화PART 3
12 l
금융기관은 개인정보를 다수 보유하고 있는 대표적 기관으로서 개인
정보보호법의 적용 대상
전자금융거래는 정보통신망을 이용한 정보통신서비스로서 정보통신
망법의 적용 대상
금융기관이 금융감독당국의 감독을 받는다고 해서 위 법령의 적용이
배제된다고 볼 근거를 찾기 어려움
전자금융거래법 제 3 조 ( 적용범위 ) 에 따라 적용될 다른 법률에 개인정
보보호법 , 정보통신망법이 포함된다고 해석
위 법령상 개인정보의 암호화 의무 , 수집 / 이용 / 위탁 / 제 3 자 제공시
엄격하게 고지사항을 고지하고 각 동의사항을 구분하여 동의를 받을 의
무 , 기술적 / 관리적 조치에 관한 고시 등을 준수할 의무
13 l
1. 5 – 년 이하 징역 동의 없는 민감정보 , 주민번호 수집 , 제 3 자 제공 , 목적
외 이용
2. 2 년 이하 징역 또는 1 – 천만원 이하 벌금 안전성 확보조치 미비로 인한 유
출
3. – 과태료 비밀번호 / 고유식별번호 암호화 , 접근통제시스템 설치 운영 등
1. 금융정보 유출 사고시 사법기관의 수사 진행
2. 수사중 개인정보보호법 , 정보통신망법 위반 여부 검토
3. 수사 결과에 대해 행정안전부 , 방송통신위가 제재 시행 가능성
개인정보보호법에서 규정하고 있는 제재의 심각성에 따라 우선 순위 선정
개인정보보호법과 관련한 투자 우선 순위 기준
착안사항
관련기관동향
우선순위기준
14 l
전자금융 감독규정 개정안의 해석상 쟁점PART 3
15 l
비밀번호 생성 규칙
전자금융은 정통망법이 함께 적용되며 , 고시 위반으로 인한 개인정보 유출시
형사처벌규정이 적용되므로 , 보호 수준이 방통위 고시와 일치하도록 명확히 규
정할 필요
2 종류 이상 , 8 자리 이상이라는 의미라면 방통위 고시와 불일치• 방통위 고시 - 다음 각 목의 문자 종류 중 2 종류 이상을 조합하여 최소 1 0자
리 이상 또는 3 종류 이상을 조합하여 최소 8 자리 이상의 길이로 구성 (가 . 영
문 대문자 (26개 ), 나 . 영문 소문자 (26개 ), 다 . 숫자 (1 0개 ), 라 . 특수문
자 (32 개 )
• – 행안부 고시 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀
번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용
제 1 2 조 ( 단말기 보호대책 ) 제 3 호 " 비밀번호는 생년월일 , 주민등록번호 ,
전화번호를 포함하지 않는 숫자와 영문자 및 특수문자 등을 혼합하여 8 자리 이
상으로 설정하고 분기별 1 회 이상 변경할 것 "
개정안
이 슈
의 견
16 l
접근허가 대상을 ‘ ’ 인가된 보조기억매체 로 바꾸고 , 인가된 보조기억매체라 할
지라도 업무와 무관한 정보를 저장하는 행위를 통제하는 것으로 내용을 수정
• ‘ ’ 업무와 무관한 정보가 저장된 의 의미 : 수록된 내용에 따라 접근을 통제
할지 여부가 결정되는 것은 정책으로서 명확한 기준이라고 보기 어려움
제 1 2 조 ( 단말기 보호대책 ) 제 6 “ 호 금융기관 또는 전자금융업자는 사용자가
단말기에서 업무와 무관한 정보가 저장된 보조기억매체에 접근하는 것을 통제
”할 것
보조기억매체의 통제
개정안
이 슈
의 견
17 l
단말기에 이용자 정보 저장시 통제
행안부 / 방통위 고시와 일치되도록 규정할 필요
기술적 보호조치에 관한 방통위 고시 , 안전성 확보에 관한 행안부 고시는 단말
기에 개인정보를 저장할 경우에 암호화 하도록 되어 있으나 , 전자금융감독 규
정에는 동등한 규정이 없이 책임자의 승인만을 요구하고 있음
제 1 3조 ( 전산자료 보호대책 ) 제 1 항 제 1 3 “ 호 단말기에 이용자 정보 등 주요
정보를 보관하지 아니하고 , 단말기를 공유하지 아니할 것 (다만 , 불가피하게
단말기에 보관할 필요가 있는 경우 보관사유 , 보관기간 및 관리 비밀번호 등을
”정하여 책임자의 승인을 받아야 한다
개정안
이 슈
의 견
18 l
가동 기록의 저장 내용
‘ ’ 자료의 내용 은 사용한 자료의 데이터베이스 필드값으로 제한하여 해석
‘ ’ 가동 기록에 기록할 내용에 자료의 내용 이 포함되어 있어 이 규정대로 가동 기
록을 이행할 경우에 가동 기록 자체에 방대한 이용자 정보 ( 전자금융 거래 자료
) 가 기록될 우려
c f. WAS 서버에 기록된 전문 기록이 해커에 의해 유출된 사례
제 1 3조 ( 전산자료 보호대책 ) 제 4 항 정보처리시스템 가동 기록의 자동 기록 ,
“유지 2. 전산자료를 사용한 일시 , 사용자 및 자료의 내용을 확인할 수 있는
”접근 기록
개정안
이 슈
의 견
19 l
정보처리시스템의 모니터링 시스템
모니터링 시스템이 처리할 시스템 자원 상태에 대해 구체적으로 규정할 필요
‘ ’ 모니터링 시스템이 감시할 시스템 자원 의 내용이 특정되어 있지 않아 혼선을
빚을 가능성
제 1 4조 ( 정보처리시스템 보호대책 ) 제 4 “ 호 정보처리시스템의 정상작동 여부
확인할 위하여 시스템 자원상태의 감시 , 경고 및 제어가 가능한 모니터링 시스
”템을 갖출 것
개정안
이 슈
의 견
20 l
정보처리시스템 접속 단말기의 외부 인터넷망 접근 통제
정보처리시스템에 접속하는 단말기는 인터넷에 연결을 금지하고 폐쇄망을 구성
하여 정보처리시스템 관리 전용으로만 사용하도록 규정할 필요
최근 해킹은 악성프로그램을 이용하여 인터넷에 연결된 단말기를 장악한 후 정
보처리시스템에 접속하는 기법을 이용하므로 정보처리시스템에 접속하는 단말
기는 인터넷 접속이 차단될 필요가 있음
c f. 인터넷 쇼핑몰 해킹 사건 , 은행 해킹 사건 , 인터넷 포털사 해킹 사건 등
제 1 3조 ( 단말기 보호대책 ), 제 1 4조 ( 정보처리시스템 보호대책 ) 등에 정보
처리시스템에 접속하는 단말기의 외부 인터넷 접속 허용 여부에 대한 규정이 없
음
C f. 제 1 7 조 제 5 “ 항 단말기에서 음란 , 도박 등 업무와 무관한 프로그램
” 또는 인터넷 사이트에 접근하는 것에 대한 통제대책 마련 규정
개정안
이 슈
의 견
21 l
정보보호 제품에 대한 인증
외국계 금융기관의 경우에 본사가 사용하는 정보보호제품의 사용을 허용
“ ” 국가기관 을 대한민국으로 한정하여 해석하는 경우 , 현재 인증 국가기관은
국정원 밖에 없고 , 해외 보안 업체들은 암호 소스를 국정원에 제공하고 있지 않
음
따라서 문언상으로는 해외 정보보호제품은 사용할 수 없게 되는 결과가 되고 ,
외국계 금융기관이 여러 국가에 통일적인 보안 시스템을 구축하거나 , 더 우수
한 외국산 제품을 사용하기 곤란해짐
제 1 5 조 ( 해킹 등 방지대책 ) 제 2 항 제 1 호 " 정보보호 시스템에 사용하는 정
보보호제품은 국가기관의 평가•인증을 받은 장비를 사용할 것 "
개정안
이 슈
의 견
22 l
D MZ 구간 내 이용자 정보의 저장시암호화
거래로그는 D MZ 구간이 아니라 내부 통신망에 저장하도록 하고 , 보관기간도
1 개월 이내의 단기간으로 규정할 필요
• 거래로그를 암호화하더라도 이를 복호화하는 기능이 반드시 탑재되어야 하
므로 해당 시스템의 접근권한이 장악된 경우에는 유출 방지 대책으로 부족
함• 거래로그의 보존기한이 규정되어 있지 않아 장기간 거래로그가 방치될 우려
( 거래로그에는 이용자의 식별정보 , 거래내용이 전문 형태로 기록되므로 장
기간 거래 로그가 방치될 경우에 사실상 방대한 D B 의 기능을 하게 됨 )
• c f. 00 캐피탈 사건
제 1 7조 ( 홈페이지 등 공개용 웹서버 관리 대책 ) 제 1 항 제 4 “호 D MZ 구간 내
에 이용자 정보 등 주요 정보를 저장 및 관리하지 아니할 것 (다만 , 거래로그를
관리하기 위한 경우에는 예외로 하되 이 경우 반드시 암호화하여 저장 , 관리하
여야 한다 )
개정안
이 슈
의 견
23 l
정보처리시스템의 IP 주소를 이용한 접근 통제
정보처리시스템에 접속하는 단말기는 IP 주소 , MAC Ad d re s s 를 이용한 접근
통제 도입 필요
• 행안부 / “ 방통위의 기술적 조치에 관한 고시에는 개인정보처리시스템에 대
한 접속 권한을 IP ” 주소 등으로 제안하여 인가받지 않은 접근을 제한 하도록
규정• 내부통신망에 접속된 단말기가 제한 없이 사용자 인증 만으로 정보처리시스
템에 접속할 수 있다면 위험 고조
정보처리시스템에 접근하는 단말기의 IP 주소 등을 이용한 접근 통제 규정이 없
음•C f. 공개용 웹서버에 대해서는 공인인증서 적용 의무화 (제 1 7 조 제 1 항 제 2
호 ) 및 업무특성별 네트워크 분리하여 IP 주소 사용 (제 1 8 조 제 4호 )
개정안
이 슈
의 견
24 l
보안프로그램의 해제
고객 본인이 동의할 경우에 보안프로그램을 아예 설치하지 않도록 문구를 명확
히 하거나 , 유권해석
• 단서의 해석과 관련하여 보안프로그램을 먼저 설치하고 해제해야만 하는 것인
지 고객 본인이 동의하는 경우에는 보안프로그램을 아예 설치하지 않을 수 있는
지
제 34조 ( 전자금융거래 시 준수사항 ) 제 2 항 제 3 호 " 해킹 등 침해행위로부터
전자금융거래를 보호하기 위해 이용자의 전자적 장치에 보안프로그램 설치 등
보안대책을 적용할 것 (다만 , 고객의 책임으로 본인이 동의하는 경우에는 보안
프로그램을 해제할 수 있다 )"
개정안
이 슈
의 견
25 l
감사합니다 .
26 l
Q & A
![[Tek] 바람직한 인터넷 산업 규제정책 20160706 구태언](https://img.pdfslide.tips/doc/110x75/5871d5f71a28ab423c8b6953/tek-20160706-.jpg)
![[20111103] E. Zeper - Plotino e l'India](https://img.pdfslide.tips/doc/110x75/5571ff9649795991699d9c9a/20111103-e-zeper-plotino-e-lindia.jpg)
