2015 금융 보안 컴프라이언스 동향과 대응- 금융전산 사고시 홈페이지 공시방안검토 6개월 업무정지 등 제재기준 마련 (검사 및 제재규정

고려대학교 정보보호대학원

2015 금융 보안 컴프라이언스 동향과 대응

2015.03


김인석 교수

고려대학교 정보보호대학원 고려대학교 정보보호대학원

CONTENTS

정보보호 개요 Ⅰ

주요 정책 Ⅱ

대응 현황 Ⅲ

고려대학교 정보보호대학원 고려대학교 정보보호대학원 3

금전적 목적

정보유출

접근 매체 절취

공인인증서, 보안카드, 비밀번호 등

사 기

보이스 피싱, 피싱, 스미싱, 대출사기 등

카드복제

CD기 복제장치 설치, 개인 복제기 등

결제 수단

안전결제, 안심클릭 번호 절취 등

인터넷/스마트 폰 뱅킹

키보드 해킹, 메모리해킹 등

시스템 마비 위협

DDOS, 데이터 파괴, 프로그램 파괴, 설비 파괴 등

개인정보, 거래정보, 신용정보 등

사회 혼란 목적

DDOS

인터넷 뱅킹, 스마트 폰 뱅킹 마비 등

시스템 파괴

APT, BACK DOOR, 전자파 공격 등

설비 파괴

전력, Network, 수도 등

데이터 파괴

Data Base 삭제/변경/암호화 등

프로그램 파괴

프로그램 삭제/변조 등

정보 유출

개인정보, 거래정보, 신용정보 등

시스템 마비 위협

DDOS, 데이터 파괴, 프로그램 파괴, 설비 파괴 등

Ⅰ. 정보보호 개요- 금융 IT 위협요소


1997년 프로그램 조작

(고객 예금 절취) 내부 직원 행위자 형사 입건

2014년 카드사 고객정보

유출 외부 직원

(개발 업체 직원) 행위자 형사 입건 CEO, 임원 사임

2003년 인터넷 뱅킹 마비

(1.25 대란) 외부 행위자 파악 못함

2008년 인터넷 뱅킹 해킹 (고객 예금 절취)

외부(중국인) 행위자 형사 입건 중국 현지 체포

2005년 인터넷 뱅킹 해킹 외부(한국인) 행위자 형사 입건

2003년 카드복제사고

(고객 예금 인출) 외부 행위자 형사 입건

2009년 DDOS 공격 (7. 7. 대란)

외부 행위자 파악 안됨 (적대 세력 추정)

2011년 DDOS 공격 (3.4 대란)

외부 행위자 파악 안됨 (적대 세력 추정)

2011년 서버 마비

(4.12 공격) 외부 북한 소행

2011년 고객정보 유출

( H 사) 외부 행위자 파악 안됨

2013년 서버, 단말기 마비

(3.20 공격) 외부 북한 소행

2013년 메모리 해킹

(이체금액 가로채기) 외부 행위자 파악 안됨

2006년 보이스 피싱 외부(중국인 등) 행위자 일부 입건

Ⅰ. 정보보호 개요- 금융 IT 사고 HISTORY


정책방향

보안 영역

관리체계

보호대상

참여자

신뢰 시스템

사후관리 및 점검 강화 사전규제

규제중심 자율과 책임 중심

Danger 관리 : 비용

Prevention => Detection, Recovery

전사적 비지니스

조직 전체

시장(소비자 선택)

IT : 정보 & 시스템

IT &보안부서

정부정책(공인인증서)

Prevention = Detection = Recovery

Risk 관리 : 투자

Ⅰ. 정보보호 개요- 정보보호 패러다임의 변화


Ⅱ. 주요 정책 - 정보보호 정책 방향

사전규제 최소화

보안성 심의 및 인증방법 평가위원회 폐지 건별 규제 => 원칙 중심 보안체계로 개선(필요시 가이드 라인)

사후 점검 강화

사전규제 최소화

개인정보 수집 최소화 & 금융거래 종료시 즉시 삭제 카드정보 저장 PG에 대한 IT 경영실태 평가

특정기술 사용 의무 폐지 (공인인증서, CC 인증 등) 은행• 증권등의 전자금융거래에 탑제된 Active – X 제거


책임 부담

명확화

비 금융사 법적 책임 인정(법적 공동책임자가 되도록 법 개정) 전자금융사고 이행보험제도 개선(최저한도 차등적용) 가이드 라인)

자율보안체계 구축

기존 대책

충실 이행

금융권 FDS 구축 및 고도화 지속 독려 및 적극 지원 보안 인증획득(PCI-DSS) 유도 및 매체분리 원칙 폐지

금융전산 보안강화 종합대책(‘13.7. 망분리, CISO 독립성 강화 등) 개인정보 유출재발 종합대책(‘14. 3. 외주업체 관리 강화 등)

Ⅱ. 주요 정책 - 정보보호 정책 방향


• 자산 2조원 이상 금융회사의 신용정보관리·보호인을 임원으로 선임

• 일정규모(예시 : 총자산 10조원, 상시종업원수 1500명) 이상 금융회사의 CISO 겸직 제한

1. 임원 책임 확대 신용정보법 및 전자금융거래법 개정

• 감독당국이 금융협회와 공동으로 “금융전산 보안 표준지침(Best Practice)”을 마련(‘14.6월)

- 보안관련 법규정, 업무별 · 직급별 정보접근 범위 등을 구체적으로 반영

• CISO 책임 하에 매월 보안점검 실시(“보안점검의 날” 지정) 감독규정 개정

- 금융회사의 점검결과를 제출받아 검사에 활용하고, 보안점검 미이행시 엄중 제재

2. 금융회사 내부통제체제 강화

• 외주용역의 입찰계약 수행 완료 등 전 단계에 걸쳐 세부적인 절차와 기준 마련

• 외주용역 일일 체크리스트를 마련하여 핵심 보안점검 사항은 일일 점검 실시

• 외주 개발업무는 장소적으로 분리하고, 개발시스템은 운영시스템과 분리하는 등 물리적 통제

명확화

3. 외주업체 통제 강화 감독규정 개정

Ⅱ. 주요 정책 -개인정보 유출 재발방지 대책(IT부문. 2014. 3. 24. 발표)


• 기동점검반을 구성하여 정보보안 이행상황의 “불시점검”을 수시로 실시(’14.상반기)

• 월별 보안점검의 분석결과를 토대로 기획 · 테마검사 실시(‘14.상반기)

• 일정 검사 주기 내에 IT부분 점검을 할 수 있도록 검사 계획 수립(연중)

• 검사시 법규정의 모든 안전성 기준을 검사 항목에 반영(매뉴얼 개정, ‘14.9월)

5. 보안 이행실태 점검 강화

• 내부망의 고객정보DB에 저장된 고유식별정보의 암호화 법령 개정

• 망분리 추진계획의 정기점검 즉시 시행

• 금융전산 보안관제 범위를 전 금융권, 교육 · 홍보용 홈페이지 등까지 확대 규정 개정

• 전자적 침해사고 접수 창구 일원화 규정 개정

• 금융전산 보안인증제 도입 및 인증평가 여부 공개 규정 개정

• 보안성심의 대상 확대 규정 개정

• 모바일 앱을 보안취약점 점검 대상에 포함 및 가이드라인 마련 (‘14.9월)

4. 해킹방지대책 강화



• 금융전산 보안 전담기구 설치(2015년 출범 목표)

- 금융보안연구원과 금융ISAC 기능 조정

6. 금융전산 보안전담기구 설치

• 대학원의 정보보호 관련 교육 과정 개설을 확대(연중)

• 금융연수원 및 금융보안연구원에 정보보호 과목을 개설하고 국내 대학(원) 보안관련학과

등에 대한 위탁교육 확대 유도(연중)

7. IT인력의 전문성 제고 및 보안인력 양성



▣ ’13.3.20일 농협•신한은행 등 금융전산 사고를 계기로 금융전산 보안 전반에 대한 실태점검 및 TF 운영을 통하여 종합적인 개선대책 마련(’13.7.11.)

▣ 7.11 종합대책의 특징

- (최근 동향) 최근 사이버공격은 APT 공격 등 여러 금융회사에 동시 다발적·반복적으로 발생하고, 날로 대형화·지능화되는 추세

- (중점 방향) 이러한 상황을 감안하여 금번 대책에서는 금융보안 패러다임 전환(타율자율, 비용투자) 에 중점

< 금융전산 보안강화 종합대책 주요 특징>

①금융회사의 자율적 내부통제 강화를 위하여 CISO 전임제 도입, 보안조직 권한 강화, 취약점 점검제도 도입 등

제도적인 장치를 마련

②금융회사의 자율적 보안노력을 유도하기 위하여 IT 신기술 보안가이드 제공, 보안수준 자체평가 지원 등의 지

원방안 마련

③금융회사의 적극적 전산보안 투자를 유도하기 위하여 업무망과 인터넷망 분리를 의무화하고 이상금융거래를

탐지하는 시스템 구축대상을 확대

1. 종합대책의 개요 및 특징

Ⅱ. 주요 정책 –금융전산 보안강화 종합대책. 2013. 7. 11. 발표)


금융전산보안전담기구 설치 추진(2015년 출범 목표)

보안관제 대상 및 정보공유 확대(전금법 개정)

금융전산보안협의회 설치(’13.10.11)

침해사고 대응 전담반 운영(전금법 시행령 §11조의6 신설, ’13.11.23 시행)

은행 공동 백업전용센터 구축 추진

APT 공격 등 신종 사이버위협 대응능력 강화 (위기대응매뉴얼 마련)

재해복구센터 운영 등 복구체계 강화 (위기대응매뉴얼 마련)

2. 종합대책 추진 현황

금융권 공동 백업전용센터 구축

금융전산 보안 컨트롤타워 역할 강화

침해사고 전담반 운영 위기대응 능력 강화

보안관제 및 정보공유 전 금융권 확대



망분리 가이드라인 배포

(13.9.16)

일정 규모 이상 금융회사

인증 의무화

전산센터 물리적 망분리

의무화(2014년말까지)

본점, 영업점의 단계적

망분리 추진

- 은행 : 2015년말까지

- 기타 : 2016년말까지

(감독규정 §15조 개정

13.12.3 시행)

정보보안 및 전자금융거래

업무특성 반영

예산절감

非금융 전산시스템도

취약점 점검 및 보안관제

(모범규준 반영 예정)

CEO 책임하에 취약점

점검 및 보완조치 이행철저

(감독규정 §37조의2 및

§37조의3 신설)

전산시스템 접근 시 별도의

추가인증 적용 의무화

(감독규정 §14조 개정)

보안규정 위반시 내부

제재근거 마련

(감독규정 §8조 개정)

인증 금융회사에

인센티브 부여

(전자금융거래법 반영 예정)



조직 및

인력 강화

CISO 역할∙독립성

강화

전산보안 인력

사기진작

금융보안 전문인력양성 및 교육강화

금융보안 전문교육과정 확대

(금융보안연구원, 14년중)

금융정보보호 교육센터 운영

(금융보안연구원, 14년중)

임직원 정보보호계획 수립·시행

(감독규정 §19조의2 신설)

CEO 책임하 보안인력 사기진작 방

안 마련 시행

정보보호 관련 훈∙포상 추천

정보보안 담당자 면책근거 마련

(검사 및 제재규정 시행세칙 개정,

14년중)



금융전산부문 감독 및 검사 강화

이상금융거래 탐지시스템 구축 확대

(모범규준 반영 예정)

- 카드사 위주 → 은행, 증권 등으로 확대

- 이상금융거래 정보 공유체계 구축 권고

금융회사 사칭 불법사이트 접속 차단

- 인터넷사업자(ISP)를 통해 불법사이트

접속 차단(Black List 등록)

보안사고 예방교육 및 홍보 강화

- 전자금융서비스 이용신청 시 교육∙홍보자료

배포

- 전자금융보안사고 예방법 설명 화면노출

금융 이용자 보호 강화

금융지주회사 및 IT자회사 감독 강화

- 지주사∙자회사 검사시 소속 IT자회사 연계검사

- 위∙수탁 계약시 전산사고 책임 명확화

전산사고 빈번한 금융회사 집중관리

- 사고원인 분석 및 조치 완료시까지 이행 계획 집중 점검∙관리

- 금융전산 사고시 홈페이지 공시방안검토

6개월 업무정지 등 제재기준 마련

(검사 및 제재규정 반영 예정, 14년 중)

- 안전조치 의무 위반시 위법∙부당행위의

경중에 따른 세부 제재부과 기준 마련



• 개요

– 사기범이 고객정보(계좌번호, 계좌비밀번호, 보안카드번호 등)를 획득한 후 고객명의의

공인인증서를 발급받아 금융자산을 편취해가는 사기수법을 예방하기 위한 시스템

• 다음의 경우 추가적인 본인확인 필요

① 공인인증서를 발급/재발급 받거나 타기관에서 발급한 공인인증서를 등록하고자 하는 경우

② 인터넷뱅킹을 이용하여 300만원 이상(1일 누적기준) 이체하는 경우

• 시행 시기 : ’13. 9. 26(목)

• 대상자 : 개인 인터넷뱅킹거래 고객

1. 전자금융사기 예방시스템 개요

Ⅱ. 주요 정책 –금전자금융사기 예방시스템 운영. 2011. 1 발표)


① 이용자가 대상 거래를 수행할 PC를 미리 지정하는 경우 이용자는 다음의 방법* 중 한 가지를 택해 본인의 PC를 거래이용 PC로 지정

② 이용자PC를 미리 지정하지 않는 경우 공인인증서 (재)발급 또는 타행 발급 공인인증서 등록시: 상기 ⓐ, ⓑ, ⓒ의 방법으로

본인인증 후 (재)발급 또는 등록 인터넷뱅킹을 통해 300만원 이상 이체시: 상기 ⓐ, ⓑ의 방법으로 추가적인 본인인증을

거친 후 이체 가능(본인이 희망하는 경우 SMS사후통지로 변경 가능)

2. 세부내용

ⓐ 휴대폰문자(SMS) 인증

ⓑ 2채널 인증(인터넷뱅킹 이용 중인 PC채널 외에 유선전화 등 다른 채널을 통해 인증)

ⓒ 영업점 방문(1회용 비밀번호를 발급받아 인증)



3. 적용대상 금액 확대

100만원 미만 100만원 이상

총합 100~200 200~300 300 이상 합계

80% 9% 4% 7% 20% 100%

• 카드정보 유출로 인한 불법 이체 피해를 방지하기 위하여 전자금융

사기 예방서비스의 적용 범위를 일시적으로 확대

– (현행) 300만원 이상 이체 시 추가 인증 → (’14.3월까지) 100만원 이상

이체금액별 건수 비중



□ IT․금융 융합 지원 업무계획의 목표와 과제

Ⅱ. 주요 정책 – 금IT. 금융 융합 지원방안.[2015. 2)


❶ (규제 패러다임 전환) 우선 규제의 틀을 과감히 혁신하여 자율‧창의‧혁신에 의한 IT‧금융 융합이 활발하게 일어날 수 있는 환경을 제공하고, ❷ (오프라인 위주 금융제도 개편) 그 위에 창출된 핀테크 기술이 금융에 접목될 수 있도록 금융제도를 온라인‧모바일 환경에 맞게 고치고, ❸ (핀테크 산업 육성) 혁신적 핀테크기업이 성장할 수 있도록 자금조달을 지원하고, 전자금융업 진입장벽을 대폭 완화 ❹ (금융보안 토대로 소비자 보호) 한편, 핀테크도 정보보안을 토대로 하지 않는다면 사상누각(砂上樓閣)임을 직시하되, 보안규제의 방식은 선진형 규제방식(사후점검 + 책임 명확화)으로 개선

Ⅱ. 주요 정책 – 금IT. 금융 융합 지원방안[ 2015. 2)


1. 전자금융 규제 패러다임 전환

㉮ 사전규제 최소화 : 보안성심의 제도 폐지, 과잉규제 개선 등 ㉯ 기술중립성 원칙 구현 : 특정기술 사용의무 폐지 등 ㉰ 책임부담 명확화 : 비금융회사의 책임 인정, 배상책임보험 현실화 등 ㉱ 규제의 예측가능성 제고 : 유권해석, 비조치의견서 적극 실시 등

2. 빅데이터를 활용한 금융산업 기반 지원

□ 개인정보보호를 전제로 빅데이터 분석을 통한 새로운 금융서비스 창출 기반 마련 ㅇ 필요시, 금융당국․금융권 공동으로 「금융권 빅데이터 개인정보 보호가이드라인」마련 * 방통위가 마련 중인「빅데이터 개인정보보호 가이드라인」의 금융권 적용 가능성에 대해 사전 검토 후 필요시 금융권 가이드라인 마련을 추진 - 금융권의 빅데이터 관련 영업의 가능범위 및 방식 등을 명확히 정리하여 관련 영업 추진시 불필요한 혼란을 해소

Ⅱ. 주요 정책 – 금IT. 금융 융합 지원방안.[ 2015. 2)


3. 결제분야 낡은 규제 정비

□ 카드번호 입력과 사전인증(SMS, ARS 등)을 거치지 않는 ‘간편결제’ 활성화 등 전자상거래 결제간편화 방안을 차질없이 시행 □ 실물카드(母카드) 없이도 모바일 카드가 발급 가능하도록 허용 •대면 본인확인 절차가 부재하므로 사고 발생 예방을 위한 보완방안을 마련할 계획

□ ‘매체분리 원칙(전자금융감독규정 §34) 폐지’ 등 온라인·모바일 및 융합형 결제를 제약하는 낡은 규제 발굴·개선

4. 핀테크 지원체계 구축

Ⅱ. 주요 정책 – 금IT. 금융 융합 지원방안. [2015. 2)


5. 민간 기술평가 시스템 구축

□ 금융보안원(가칭) 등 정부 외 제3의 기구가 신청기관에 한해 금융 관련 보안·인증방법을 평가할 수 있도록 함 ㅇ 평가된 기술은 일정한 요건에 부합하거나 해당기업이 원할 경우 ｢핀테크 지원센터｣를 통해 금융회사 등에 추천

6. 정보보호 및 금융보안 입법 노력 강화



7. 금융보안을 토대로 한 금융소비자 보호

□ 시장 자율적인 금융보안 인증체계 도입 추진 ㅇ 지급결제 관련 참여자간 제휴 활성화를 위해 금융회사 및 핀테크 업체들의 보안인증(PCI-DSS, ISMS 등) 획득 유도 ㅇ 중장기적으로는 국제수준에 부합하고 국내 금융환경에 적합한 보안인증체계를 시장 자율적으로 개발‧활용토록 적극 지원 *현재 금융보안연구원 등을 중심으로 기존 ISMS인증을 토대로 국내 전자금융거래 특성을 반영한 금융보안인증(F-ISMS) 개발 중 □ 금융권의 보안관리를 ‘전사적 위험관리 전략(Enterprise Risk Management)’ 차원에서 수행토록 유도 ◦ ‘보안’은 기업의 생존을 위협할 수 있다는 인식 하에 기술‧정책적 보안대책을 통합 수립하고 내부조직에도 자율적 반영 유도 ◦ 자사의 보안수준에 대해 서비스 제공자가 스스로 입증*하고, 문제 발생시 스스로 책임지는 ‘자율적 책임’ 정착 유도 *산업보안 인증규격 획득‧갱신 내역 및 보안 절차, 관리규정, 소비자보호방안, 취약점 개선방안 등을 온라인에 공개 □ 금융권역별 FDS 구축 및 고도화를 지속 독려하고, 관련 전문가 간담회를 개최하는 등 FDS 구축을 적극 지원 ㅇ 현재 운영중(‘14.12~’15.12)인 ｢금융권 FDS 추진 협의체*｣를 통해 FDS 구축 및 운영에 관한 정보 교류 및 우수사례 공유 * (구성) 금감원, 금융보안연구원, 주요 은행 및 증권사 FDS 담당자(운영 및 과제) 정기 또는 수시회의를 개최하여 FDS 구축 관련 시행착오 및 문제점 논의, 이상금융거래 대응 우수사례 공유 등을 수행


고려대학교 정보보호대학원 25


구분 조사

기업 수

전담자

선임 비율

금융지주 4 100.0%

은행 9 88.9%

카드사 8 75.0%

증권사 10 70.0%

손보사 9 44.4%

생보사 9 44.4%

계 49 67.3%

34%

66%

2015년 은행권 IT 투자 예산

변화 추이 (전년대비)

동결

증액



주요 추진 사업 사업내용 추진시기

노후 PC 교체 노후 PC 교체 연중

인터넷 망분리 인터넷 망분리 연중

보안 서비스 강화 정보보호 인프라 증설 상반기

시스템 증설 서버 및 스토리지 증설 연중

보안 인프라 구축 고객정보보호 시스템 구축 상반기

전자금융사기 예방 FDS시스템 고도화 상반기

66%

66%

33%

33%

33%

망분리

개인정보스캔

DB암호화

Ddos

웹방화벽

보안시스템 도입 우선 순위



온라인 카드 결제 FDS 경우 가맹점, PG, 카드사 결제 승인 과정에 작동하여 다양한 정보를 바탕으로 미리 설정된 Rule 에 따라 정상 거래 여부 판별

사용자

가맹점 PG 사 카드 발급사

1. 상품 주문 2. 결제 요청 3. 결제 요청

4., 결제 승인

7. 대금 정산

5. 결제 승인

8. 대금 정산

6. 상품 배송

수수료 3% 납부 수수료 0.5% 수취 수수료 2.5% 수취 Fraud Detection System

1차 판별

- Accept / Deny / Review / Flag

거래 정보 수집

- 주문 상세 정보

- 주문자 신원 정보

- 주문자 과거 거래 기록 등

사전에 각 요소별 Rule 셋팅

다음 필터, 정보들 기반 종합적 판별

셋팅된 Rule 에 따른 최종 결정

- 자동화된 판단

- 보고 통한 담당자의 판단

보고, 기록 통한

- 보고 및 1종· 2종 오류 기록

- 수집 데이터 통해 Rule 개선

1차 판별 및 거래 정보 수집

Rule 기반 판별 최종 결정 및 보고

주문 정보 결제

가맹점 배송 방식

배송지 주소

주문자 정보

카드 정보 카드 번호, CVC 매칭

카드 번호, CVC 매칭

카드등록 결제지 주소 해당 카드

거래 내역 기타 정보

활동, 습관 패턴

디바이스 정보

IP 주소, 국가 정보

블랙리스트, 사고 DB

해당 카드 거래 내역



10개 주요 은행들은 구축 완료, 6개 은행은 진행 중

8개 증권사 구축 완료, 24개 증권사 구축 진행 중

다만, 저축은행의 경우 구축 저조



전산센터는 2014. 12월, 기타 업무는 2015. 12월 까지 인터넷 망과 내부 업무용

통신망을 분리

망분리시 고려사항

-VM의 용량산정과 디스크 Size 검토. “가상환경에서 사용할 디스크의 크기를 너무 작게 잡을 경우 성능에 대한 문제가 발생할 수 있고, 반대로 디스크의 크기를 크게 잡거나 VM의 갯수를 너무 많이 잡을 경우 불필요한 예산을 소모할 수 있다. 이 때문에 기획 단계에서 VM 용량산정과 디스크 크기에 대한 고려가 필요하다. -업무망과 인터넷망간 연계 범위 -사용자 접속 정책은 어떻게 수립할 것인지, 인사DB와 연계를 시킬 것인지, 파일·프린터 등과 연계를 시킬 것인지에 대한 논의 필요

-업무 연속성을 보장하기 위해 사용자들의 요구사항을 적극적으로 반영

- 대내•외 정보 전달 방법

물리적 망분리 구성 사례



개인정보 유출 방지를 위하여 DB 암호화에 대한 의무사항 부과 - 2015년 말

까지 암호화 완료

구분 주요 내용 적용 대상

개인정보보

호법

(제24조 3항,

24조의2 2

항, 29조)

고유식별정보를 처리하는 경우에 그 주민등

록번호를 포함한 고유식별정보가 분실·도난·

유출·변조 또는 훼손되지 아니하도록 암호화

등 안전성 확보에 필요한 조치를 하도록 함

여권번호

운전면허번호

외국인등록번

호

주민등록번호

바이오정보

정보통신망

법

(제28조 1항)

개인정보의 보호조치로 기술적‧관리적 조치

를 하여야 하며, 그 기준으로 개인정보를 안

전하게 저장·전송할 수 있는 암호화 기술 등

을 이용한 보안조치를 하도록 함

주민등록번호

계좌번호

바이오정보

전자금융감

독규정

(제17조 1항,

제32조,

제33조 1항)

DMZ구간 내에 거래로그를 관리하기 위한

경우 암호화하여 저장·관리하고, 내부사용자

및 이용자 비밀번호 암호화하여 보관하도록

함

비밀번호

거래로그

신용정보업

감독규정

(제 20조)

신용정보회사등은 패스워드. 생체정보 등 본

인임을 인증하는 정보에 대해서는 복호화 되

지 않도록 일방향 암호화하여 저장하여야 함

패스워드

생체정보



전자금융감독규정 조항을 삭제하는 방안 추진

선택적으로 보안 프로그램을


최근 온라인상 30만원 이상 결제 시 공인인증서 의무사용 조항이 폐지 되었으며, 보안성 심의 및 특정 기술 사용 제한도 폐지됨

30만원 이상 결제 시

공인인증서 의무 사용 폐지

2014년 5월, 30만원 이상 카드 전자상거래 시 공인인증서 사

용을 의무화했던 ‘전자금융감독규정 시행세칙’을 개정하여 의

무화 조항 폐지

‘제1차 규제개혁장관회의 겸 민관합동 규제 개혁점검회의’에

서 박근혜 대통령이 국내 쇼핑몰 결제에 있어 공인인증서 사용

으로 인해 중국 소비자가 쇼핑을 못하는 점을 강조하며 온라

인 결제 환경 변화 촉구

이에 따라 30만원 이상 의무 사용 조항이 폐지 되었으나, 카드

사들은 대체 기술이 없으며, 폐지 의무가 아니기에 아직까지

30만원 이상 결제 시 공인인증서를 요구하고 있는 상황



내부통제 강화

고객정보 접근통제 강화

보안품질 보증 프로세스 강화

테스트 데이터 변환 프로세스 강화 1

고객정보보호 기반 강화

통합 정보보호센터 구축

정보보호 문화 확산

PC 보안체계 강화

크라우드 PC 환경 구축

정보유출 방지 프로세스 개선

고객정보 관리 체계 개선

전산기기 반출•입 통제 강화

위탁사 자료제공 프로세스 개선

2

3

4

전자금융 보안강화

이상거래탐지 시스템(FDS)구축

메모리 해킹 사고 방지 강화 5

DATA 암호화

주민등록 번호 암호화

계열사, 외부업체 제공 정보 암호화 6

보안성겅 심의

도입

보안성 심의 기준 마련

보안성 심의 위원회 설치

보안성 심의 인력 양성 7

A 그룹 주요 추진 사례 (내부정보 유출 예방 체계 강화 부문)



B 그룹 주요 추진 사례 (내부정보 유출 예방 체계 강화 부문)

유출경로 영 역 주요내용

PC (단말기)

PC 보안통제(USB 등 매체) § PC 보안통제 체계 구축·운영 (내부통제 강화)

문서 보호(암호화) § PC(단말) 내 업무 데이터 암호화 저장

개인정보 출력 통제(프린터) § 출력물(프린트) 보안통제 강화

개인정보 검출/차단 § PC(단말)내 모든 개인정보 검출 및 관리 체계 구축

네트워크

개인정보 이메일 발송 통제 § 외부 메일 발송 통제 (개인정보 포함 시 내부 승인 체계)

인터넷 접속 통제 § 인터넷 통제 강화 및 업무망과 인터넷 망분리

시스템 (서버)

서버 보안(인증, 접근통제) § 계정통제, 접근통제 적용 § 시스템(서버) 추가인증(OTP) 체계 강화

DB 보안(접근통제,암호화 § DB 접근통제체계 구축·운영 § 주민번호 등 주요 정보 암호화

내부관리 내부통제 강화 및 그룹 보안 § 그룹사별 내부통제 프로세스 강화 교육실시 § 그룹 보안 세미나 실시(관계사 모범 사례 전파) § 그룹 보안 동영상 자체 제작 및 전 그룹 임직원 교육 실시

외주관리 수탁사 관리 및 점검 강화 § 그룹사별 수탁사 점검 계획수립 및 점검 실시

사용자

네트워크

시스템

관리적 부분



은행 고객정보보호 Framework

법규준수를 위한 가이드 마련 및 교육

모니터링 및

점검강화

조회 및 이용 통제를 위한 시스템적 체크 강화

고객정보 유출예방을 위한 통제 강화



ø 블랙리스트는 전자금융 로그인 시점에 판단하여 해당 시 보안수준에 따라“지급정지” 및 “이체정지”로 제한됨 ø 이상징후거래는 예비거래(수취조회)시 탐지하여 최대한 본거래(이체)전에 판단하여 불법이체사고를 최소화 함 (거래 시 실시간 처리)

은행 FDS 구축 Model



THANK YOU

Documents

2015 금융 보안 컴프라이언스 동향과 대응- 금융전산 사고시 홈페이지 공시방안검토 6개월 업무정지 등 제재기준 마련 (검사 및 제재규정