전자금융사고 발생유형 및 대응현황 - kif.re.kr¸ˆ결원 전자금융사고...
TRANSCRIPT
34 지급결제와 정보기술
전자금융사고 발생유형 및 대응현황
Ⅰ. 들어가며 ‥ ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 35
Ⅱ. 전자금융사고 유형 및 주요 기법‥ ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 37
1.‥클라이언트‥구간‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 38
2.‥네트워크‥구간‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 43
3.‥시스템‥구간‥‥ ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 46
Ⅲ. 전자금융사고 대응현황 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 47
1.‥사전적‥대응‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 47
2.‥사후적‥대응‥‥ ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 51
Ⅳ. 주요 이슈 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 54
1.‥금융기관‥및‥전자금융업자의‥무과실책임‥부담‥증가‥‥ ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 54
2.‥사용자‥인증체계‥개선‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 56
3.‥IT‥컴플라이언스‥요구‥확대‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 58
4.‥신규‥채널에서의‥전자금융사고‥대비‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 59
Ⅴ. 맺으며 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 61
참고문헌 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 62
연구원 김소이([email protected])
2009. 10 35
전자금융사고 발생유형 및 대응현황
Ⅰ. 들어가며
일평균‥인터넷뱅킹‥거래액‥ 28조원,‥인터넷뱅킹‥가입자‥ 5,557만명,‥모바일뱅킹‥가입
자‥996만명,‥세계‥최고‥수준의‥ATM‥보급률1),‥전체‥입출금거래‥중‥비대면거래2)의‥비중‥
86%….‥이는‥화려함을‥자랑하는‥우리나라‥전자금융‥산업의‥현‥주소를‥보여주는‥지표들이
다3).‥
IT와‥지급결제인프라의‥결합에‥기반한‥전자지급결제서비스는‥그동안‥거래‥효율성을‥최
고의‥기치로‥하여‥거듭되는‥발전을‥이루어왔다.‥그러나‥비대면·비서면·자동화된‥방식으
로‥진행되는‥전자금융거래의‥속성상‥효율성의‥또‥다른‥한‥편에는‥늘‥안전성이라는‥양날의‥
칼이‥도사리고‥있다.‥시스템‥자체의‥결함으로‥인한‥장애사고‥이외에‥악의적‥의도를‥가진‥주
체에‥의한‥중간자‥공격,‥개인·금융정보의‥무단‥침해‥및‥조작‥등‥다양한‥공격‥형태가‥등장
하면서‥1차적인‥금전적‥피해와‥더불어‥개인정보‥유출에‥따른‥2차적‥피해‥등‥전자금융‥사업
자의‥평판리스크4)를‥현실화시키는‥사고가‥끊이지‥않고‥발생하고‥있다(표1‥참조).‥
1)‥한국은행이‥2009년‥7월‥발간한‥「우리나라‥및‥주요국의‥지급결제‥통계」에‥따르면,‥2007년‥기준‥국민‥백만명당‥ATM‥
보급은‥한국(1,934대)‥>‥캐나다(1,748대)‥>‥벨기에(1,448대)‥>‥미국(1,375대)‥>‥일본(1,083대,‥2008.3월‥기준)‥>‥
영국(1,040대)으로‥집계된다.‥
2)‥CD/ATM,‥텔레뱅킹,‥인터넷뱅킹,‥모바일뱅킹을‥포함한다.
3)‥2009년‥2/4분기‥국내‥인터넷뱅킹서비스‥이용현황,‥한국은행,‥2009.‥7
4)‥지급결제서비스의‥중단‥또는‥해킹으로‥고객의‥신뢰가‥무너져‥고객이‥특정‥금융기관이나‥결제서비스를‥회피하는‥리
스크를‥말한다.
<표1> 최근 5년간 전자금융사고주) 발생 추이
주)‥인터넷뱅킹·텔레뱅킹·폰뱅킹,‥인터넷‥신용카드‥결제,‥카드‥복제‥등이‥포함(단,‥보이스피싱은‥제외)
자료‥:‥최근‥5년간‥전산보안사고‥내역‥및‥처리현황,‥금융감독원,‥2009.‥9
450
400
350
300
250
200
150
100
50
0
411
14
2
23
1016
15
331.5
428
272
2005‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥2006‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥2007‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥2008‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥2009.‥8월
백만원
90
80
70
60
50
40
30
20
10
0
건
건수금액
36 지급결제와 정보기술
이러한‥전자금융사고는‥관련‥사업자에‥대한‥평판리스크를‥현실화시킬‥뿐‥아니라,‥전자
금융시스템‥전반에‥대한‥고객‥신뢰도‥저하‥및‥전자금융‥경쟁력‥약화로까지‥이어질‥수‥있
다는‥점에서‥최근‥안전성‥이슈가‥효율성‥중심의‥패러다임이‥지배해왔던‥전자금융‥산업에‥
경종을‥울리고‥있다.‥물론‥전자금융‥사업자와‥정책·감독‥당국이‥다양한‥사전·사후‥대책
을‥강구함으로써‥사고‥발생‥가능성‥및‥피해‥규모를‥최소화하기‥위한‥노력을‥지속하고‥있
으나,‥새로운‥유형의‥전자금융사고가‥발생하는‥등‥공격‥수법이‥날로‥지능화·복잡화되는‥
양상을‥보인다.‥
이에‥본고에서는‥전자금융거래에서‥발생‥가능한‥사고‥유형을‥살펴보고‥각각의‥대응현황‥
및‥주요‥이슈에‥대해‥논의해보고자‥한다.‥전자금융거래란‥<그림1>에서와‥같이‥「금융기관‥
또는‥전자금융업자가‥전자적‥장치를‥통하여‥금융상품‥및‥서비스를‥제공(이하‥“전자금융업
무”라‥한다)하고‥이용자가‥금융기관‥또는‥전자금융업자의‥종사자와‥직접‥대면하거나‥의사
소통을‥하지‥아니하고‥자동화된‥방식으로‥이를‥이용하는‥거래」를‥지칭하며5),‥본고에서는‥
전자‥여·수신‥및‥전자지급거래에서‥발생‥또는‥발생‥가능한‥전자금융사고‥유형을‥중심으
로‥기술하도록‥한다.‥
5)‥전자금융거래법‥제2조‥제1호
<그림1> 전자금융거래 개념도
사용자
전자금융업자금융기관
전자적‥장치(CD/ATM,‥컴퓨터,‥전화,휴대폰,‥카드단말기‥등)
전자여·수신
전자지급거래
전자채권거래
전자증권거래
전자보험거래
금융상품‥또는서비스‥제공
비대면 자동화 비서면
금융상품‥또는서비스‥이용
2009. 10 37
전자금융사고 발생유형 및 대응현황
Ⅱ. 전자금융사고 유형 및 주요 기법
다음의‥<표2>는‥2000년대‥들어‥발생했던‥대표적인‥전자금융‥사고‥사례를‥기술하고‥있다.
이러한‥전자금융사고에서는‥특정‥공격‥기법이‥이용되기도‥하지만,‥최근‥복수의‥공격‥기
법이‥결합하여‥보다‥지능화·고도화된‥사고가‥발생하는‥경향을‥보이고‥있다.‥다음에서는‥
사고‥발생구간에‥따라‥클라이언트‥구간,‥네트워크‥구간,‥시스템‥구간으로‥나누어‥각‥구간
에서의‥공격기법‥등을‥살펴보도록‥한다(그림2‥참조).
<표2> 대표적인 전자금융 사고 사례
☞‥현금·신용카드‥위조‥및‥복제를‥통한‥현금인출‥사고(2002년)
☞‥웜에‥의한‥인터넷‥네트워크‥마비‥및‥전자금융서비스‥중단‥사고(2003년)
☞‥텔레뱅킹‥감청에‥의한‥비밀번호‥유출‥및‥이체‥사고(2004년)
☞‥악성프로그램을‥이용한‥최초의‥인터넷뱅킹‥해킹‥사고(2005년)
☞‥인터넷‥기반‥신용카드의‥안심클릭·안전결제‥비밀번호‥해킹‥사고(2006년)
☞‥악성프로그램‥또는‥파밍‥사이트를‥통한‥공인인증서·인터넷뱅킹‥접근매체‥유출‥및‥불법‥자금이체‥사고
‥‥‥‥(2007년)
☞‥저축은행의‥서버‥해킹을‥통한‥고객정보‥유출사고(2008년)
☞‥개인PC·이메일·웹하드‥해킹을‥통한‥공인인증서·인터넷뱅킹‥접근매체‥유출‥및‥불법‥자금이체‥사고
‥‥‥‥(2008,‥2009년)
☞‥분산서비스거부‥공격을‥통한‥금융기관‥웹사이트‥마비(2009년)‥
<그림2> 전자금융거래의 구간별 침해사고 형태
구간
대상
주요공격기법
client
•PC‥:‥인터넷뱅킹,‥전자상거래‥등•전화‥:‥텔레뱅킹,‥모바일뱅킹•CD/ATM•IPTV,‥인터넷전화,‥Wibro‥등
•악성코드‥‥‥(예)‥바이러스,‥웜,‥트로이목마,‥‥‥‥‥‥‥‥‥‥‥‥스파이웨어•피싱,‥파밍•스키밍
network
•유선네트워크:‥인터넷,‥전용선,‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥VPN,‥PSTN•무선네트워크‥:‥이동통신망‥등
•중간자공격을‥통한‥데이터‥탈취‥‥·조작•분산서비스‥거부‥공격‥‥‥(네트워크‥부하)
system
•금융기관‥시스템•전자금융업자‥시스템•전자금융보조업자‥시스템
•서버‥직접‥또는‥우회‥공격•분산서비스‥거부‥공격‥‥‥(시스템‥마비)
전 자 금 융 거 래
38 지급결제와 정보기술
1. 클라이언트 구간
최근의‥전자금융사고는‥클라이언트‥구간,‥즉‥고객이‥금융기관‥시스템‥또는‥네트워크에‥
접근하는‥대고객‥접점‥영역에서‥대부분‥발생한다.‥이는‥적극적으로‥네트워크‥및‥시스템‥
보안에‥대한‥투자를‥지속해야하는‥금융기관‥또는‥전자금융업자와는‥달리,‥상대적으로‥보
안에‥민감하지‥않은‥불특정‥다수의‥일반‥사용자가‥개방형‥환경에서‥다양한‥용도로‥사용되
는‥접근매체로‥서비스에‥접속하다보니‥인식하지‥못하는‥사이에‥악의적‥제3자에‥의한‥해
킹‥위험에‥노출될‥가능성이‥높기‥때문이다.‥주요한‥사고‥원인‥및‥형태를‥분류해보면‥다음
과‥같다.‥
가. 악성코드를 활용한 사용자 접근매체의 제어
악성코드,‥즉‥멀웨어(malware)란‥정보처리시스템의‥정상적인‥구동을‥방해할‥악의적‥목
적으로‥제작·유포되어‥컴퓨터‥등에서‥실행‥가능한‥모든‥형태의‥프로그램·매크로·스크
립트를‥지칭한다.‥악성코드는‥감염대상‥유무·자기복제‥등‥특징에‥따라‥<표3>과‥같이‥다
양한‥형태로‥존재한다6).
6)‥다만‥최근‥악성코드의‥분류‥기준이‥점차‥모호해지고‥있다.‥즉,‥웜이면서‥바이러스의‥특징을‥지니거나‥트로이목마인
데‥웜처럼‥자동복제‥전송되는‥등‥융합된‥형태의‥악성코드가‥증가하고‥있다.
<표3> 주요 악성코드 형태
주)‥컴퓨터‥내에서‥악성코드로‥활동하기‥위하여‥내부‥프로그램이나‥데이터를‥직접‥감염시키는지에‥대한‥여부
구분 내역 주요‥피해‥‥‥감염‥‥‥대상주)
자기복제
컴퓨터
바이러스
사용자‥몰래‥컴퓨터‥프로그램이나‥메모리에‥자
신‥또는‥자신의‥변형을‥복사해‥넣는‥악의적‥명
령어의‥조합
-‥시스템‥또는‥데이터‥자체
-‥사용자‥작업‥지연·방해○ ○
웜다른‥프로그램의‥감염없이‥독립적으로‥자기복제
를‥통해‥네트워크로‥확산되는‥명령어들의‥조합
-‥개인정보‥유출
-‥감염‥대상‥원격‥조정× ○
트로이
목마
자기복제‥능력이‥없으며‥특정‥조건·의도를‥반영
하여‥정상‥프로그램으로‥위장하고‥있는‥악의적‥
목적의‥코드‥집합
-‥개인정보‥유출
-‥감염‥대상‥원격‥조정× ×
스파이
웨어
사용자의‥동의없이‥또는‥사용자를‥속여‥설치한‥
후,‥시스템‥및‥정상‥프로그램의‥설정을‥변경하거
나‥운영을‥방해하고‥입력내용·화면‥출력정보를‥
빼내는‥등의‥행위를‥하는‥프로그램
-‥사용자‥정보‥수집 × ×
2009. 10 39
전자금융사고 발생유형 및 대응현황
이러한‥악성코드는‥다양한‥경로를‥통해‥클라이언트에‥침입하게‥된다.‥악성코드‥등장‥초
기에는‥이메일‥첨부파일‥다운로드나‥보안이‥취약할‥것으로‥예상되는‥P2P‥사이트에서의‥
감염파일‥공유처럼‥사용자가‥비교적‥쉽게‥인지할‥수‥있는‥단순한‥형태로‥유포되는‥수법이‥
대부분이었으나,‥점차‥백신프로그램·동영상‥코덱·사무자동화‥관련‥프로그램‥등으로‥가
장(假裝)하거나‥메신저를‥활용하는‥등‥사회공학적‥기법(social‥engineering)‥하의‥정교한‥
은닉·유포‥수법이‥증가하고‥있다.‥사회공학적‥기법이란‥기술적인‥부분보다는‥사회의‥절
차·제도·사람의‥심리‥등에‥초점을‥맞춰‥사용자·운영자를‥속이거나‥사기를‥통해‥시스템
에‥침투·공격하는‥방법을‥지칭한다.‥아울러‥최근에는‥방문자는‥많지만‥보안이‥취약한‥웹
사이트7)를‥공략,‥악성코드를‥은닉함으로써‥해당‥사이트‥접속만으로‥부지불식간에‥악성프
로그램이‥설치되는‥취약‥홈페이지‥공격방식이‥증가하는‥것도‥하나의‥특징이라‥볼‥수‥있다.‥
이‥외에도‥사용자‥저변이‥넓은‥USB‥플래시메모리‥등도‥악성코드‥유포‥경로로‥활용되고‥있
다.‥특히‥최근의‥악성코드는‥다수의‥컴퓨터를‥감염시켜‥네트워크‥및‥시스템‥공격‥수행으로
까지‥활용되고‥있어‥주의가‥요구된다.‥
사용자‥PC에‥유포된‥악성코드는‥전자금융거래에‥직·간접적인‥리스크를‥야기한다.‥일례
로‥해커는‥사용자‥PC에‥키로거(key‥logger)8)와‥같은‥악성코드를‥설치하여‥계좌정보·카
드정보‥등‥사용자의‥입력‥데이터를‥절취하거나‥스크린할‥수‥있다.‥물론‥국내‥인터넷뱅킹의‥
경우‥ID,‥계좌비밀번호,‥이체비밀번호,‥보안카드,‥공인인증서에‥이르기까지‥다계층적인‥인
증‥체계를‥갖추고‥있으나‥만약‥이러한‥인증수단에‥대한‥정보가‥사용자‥PC의‥하드디스크나‥
보안이‥취약한‥웹메일·웹서버에‥업로드되어‥있다면9),‥악성코드만으로도‥계좌이체에‥필요
한‥상당한‥수준의‥정보가‥수집될‥가능성이‥있으며‥이는‥직접적인‥불법‥자금이체‥피해로‥이
어질‥수‥있다.‥2009년‥1월‥발생했던‥시중은행의‥중국발(發)‥인터넷뱅킹‥불법‥자금이체‥사
고도‥1차적으로는‥악성코드로‥개인정보를‥탈취한‥해커가‥악성코드를‥통해‥지속적으로‥보
안카드‥입력‥값을‥감시하고,‥공인인증서‥온라인‥재발급을‥통해‥불법‥자금이체를‥성사시킨‥
사례이다(그림3‥참조).‥이‥외에도‥2008년‥12월‥발생한‥카드사‥불법‥현금서비스‥시도10)‥또
한‥악성코드로‥인한‥개인·금융정보‥유출‥및‥이를‥통한‥전자금융사고라‥할‥수‥있다.‥
7)‥포털,‥블로그‥등이‥해당한다.‥‥
8)‥사용자가‥키보드를‥통해‥입력하는‥정보를‥중간에서‥가로채어‥별도‥저장한‥후‥해당‥정보를‥해커에게‥전송하는‥프로
그램을‥말한다.‥
9)‥실제로‥사용편의성을‥위해‥보안카드를‥스캔하여‥웹메일·하드디스크에‥저장하는‥경우가‥적지‥않다.‥특히‥공인인증
서의‥경우‥70%‥이상의‥사용자가‥하드디스크‥내에‥인증서를‥보관하고‥있어‥유출‥위험이‥크다.‥‥‥
10)‥해커가‥부당하게‥취득한‥개인정보로‥카드사에서‥사용자‥명의의‥현금서비스를‥받은‥후‥인터넷뱅킹을‥통해‥이체를‥
시도했던‥사건이다.‥SMS를‥통해‥현금서비스‥사실을‥바로‥확인한‥사용자의‥신고‥및‥카드사·은행간‥신속한‥대처
로‥직접적인‥금전상의‥피해는‥발생하지‥않았다.‥‥
40 지급결제와 정보기술
이처럼‥악성코드로‥인해‥1차적으로‥개인·금융정보가‥유출되고,‥이후‥도용된‥정보를‥악
용한‥전자금융사고가‥발생하는‥형태가‥일반적이지만,‥사용자에‥의한‥정상적인‥전자금융거
래‥상에서‥악성코드의‥일종인‥메모리‥해킹프로그램을‥통해‥사용자의‥입력‥값을‥직접‥조작
하여‥즉시‥범죄에‥악용할‥가능성도‥있다.‥메모리해킹이란‥전자금융거래‥프로세스‥중‥사용
자의‥데이터가‥평문으로‥복호화되는‥메모리‥구간을‥포착,‥사용자가‥정상적으로‥입력한‥입
금계좌번호나‥이체금액‥정보를‥변조하여‥제3의‥계좌로‥자금을‥이체하는‥공격행위를‥말한
다(그림4‥참조).
‥‥‥‥‥‥‥‥‥
<그림3> 악성코드를 활용한 주요 인터넷뱅킹 사고 흐름도
<그림4> 메모리해킹 주요 흐름도
사용자 금융기관
공격자
메모리 변조
이체정보입력
변조된이체정보‥전송
인터넷뱅킹‥화면
사용자‥PC
sd 84$ 2*q}
59(o 32
sd 84$ 2
59(o 32
sd 84$ 2*q}
59(o 32
sd 84$ 2
59(o 32
메모리
입금계좌번호이체금액
입금계좌번호이체금액
⑩‥자금‥수취
⑨‥이체‥처리
④‥사용자‥입력값지속적‥모니터링
①‥악성코드‥유포(원격제어·키로거‥기능)
⑥‥인증서‥재발급
공격자
사용자‥PC 사용자‥거래은행
공인인증기관
수취은행(대포통장)
⑦‥재발급‥인증서‥전송
⑤‥인증서‥재발급‥요청
‥‥‥‥(신원확인‥정보‥입력)
⑧‥인터넷뱅킹에서‥계좌이체‥요청‥‥‥‥‥(인증서,‥보안카드‥정보‥등‥입력)
③‥인터넷뱅킹‥거래(보안카드‥정보,‥인증서‥비밀번호‥등‥입력)
②‥감염
2009. 10 41
전자금융사고 발생유형 및 대응현황
나. 사용자 부주의
사용자‥부주의는‥앞서‥살펴본‥악성코드가‥직접적인‥전자금융사고를‥야기할‥수‥있는‥토
대로‥작용할‥수‥있다.‥악성코드만으로도‥상당‥부분의‥개인·금융정보가‥유출될‥수‥있으나‥
국내‥전자금융거래는‥이를‥감안하여‥대부분‥2요소‥인증‥등‥다계층적인‥인증‥체계를‥따르고‥
있다.‥예를‥들어‥인터넷뱅킹에서‥사용되는‥보안카드는‥계좌이체·공인인증서‥재발급‥등을‥
위해‥사용자가‥별도로‥보관하는‥물리적인‥카드로,‥악성코드를‥설치하여‥여타‥개인·금융
정보를‥탈취한‥공격자라‥하더라도‥실물‥보안카드를‥소지하지‥않은‥이상‥자금이체시‥1,190
개의‥보안카드‥조합‥값‥중‥정확한‥요청‥값을‥알아내기는‥쉽지‥않다.‥그러나‥거래‥편의성을‥
위해‥사용자가‥직접‥보안카드를‥스캔하여‥하드디스크,‥웹메일,‥웹하드에‥저장하는‥경우라
면‥악성코드를‥통해‥공격자에게‥보안카드의‥모든‥정보가‥전송됨으로써‥더‥이상‥강력한‥인
증수단으로서의‥의미를‥갖기‥어려워지는‥것이다.‥공인인증서‥또한‥하드디스크,‥웹메일‥등
에‥저장할‥경우‥해킹에‥의해‥유출될‥수‥있어‥그‥안전성을‥담보하기‥어렵다고‥할‥수‥있다.‥
이‥뿐‥아니라‥인증수단의‥분실,‥타인과의‥인증정보‥공유,‥금융기관‥웹사이트‥접속시‥악성
코드‥탐지·차단‥프로그램의‥미설치,‥유추가능한‥아이디·비밀번호‥지정‥및‥주기적‥업데
이트‥관리‥부재‥등의‥사용자‥부주의는‥사용자‥접근매체를‥주로‥겨냥하는‥최근의‥공격‥패턴
을‥감안할‥때,‥전자금융사고와‥직결될‥가능성이‥상당히‥높다.
다. 비정상거래의 정상거래 오인을 통한 사기(fraud)
사용자를‥속여‥비정상거래를‥정상거래로‥오인하게끔‥유도함으로써‥사용자의‥금융정보
를‥탈취하는‥유형으로,‥대표적인‥공격‥기법으로는‥피싱(phishing)과‥파밍(pharming)을‥
들‥수‥있다.‥
피싱은‥사용자가‥신뢰할만한‥기업‥또는‥사람임을‥가장하여‥사용자가‥위장된‥사이트에서‥
계좌정보·카드정보·비밀번호‥등을‥입력토록‥유도11)하고‥이를‥통해‥예금‥등을‥빼내는‥사
기‥기법으로,‥이메일‥주소·웹사이트‥화면‥등을‥정교하게‥위장하기‥때문에‥사용자가‥비정
상거래임을‥쉽게‥파악하기‥어렵다.‥초기에는‥이메일‥방식이‥주를‥이루었으나,‥점차‥이메
일‥뿐‥아니라‥악성코드와‥결합한‥메신저피싱12)이나‥음성전화를‥이용한‥보이스피싱13)‥등‥다
11)‥미납요금내역‥확인·납부,‥개인정보‥업데이트,‥경품당첨이나‥이벤트‥참여‥등의‥내역을‥공지하는‥방식을‥주로‥사
용한다.
12)‥사용자의‥메신저‥아이디,‥비밀번호를‥입수하여‥로그인한‥후‥기‥등록되어‥있는‥친·인척,‥지인에게‥일대일‥대화를‥
통해‥금전을‥요구·탈취하는‥수법을‥사용한다.‥
13)‥경찰청‥통계에‥따르면‥2006년‥하반기‥발생하기‥시작한‥이래‥피해가‥지속적으로‥확대되어‥2009년‥3월까지‥총‥
16,030건,‥1,621억원‥규모의‥피해가‥발생하였다.‥보이스피싱은‥사칭‥기관·방법에‥따라‥보호형·보상제공형·협
박형·의무부과형으로‥구분된다.‥‥
42 지급결제와 정보기술
양한‥형태로‥확대되고‥있는‥추세이다.‥다음으로‥파밍은‥합법적으로‥소유하고‥있던‥특정‥기
관의‥도메인을‥탈취하거나‥DNS(Domain‥Name‥System)14)를‥속여서‥사용자가‥평소‥거래
하던‥사이트와‥동일한‥주소를‥갖는‥가짜‥사이트로‥유도한‥후‥개인정보‥업데이트‥등을‥통해‥
정보를‥취득하는‥사기‥기법이다.‥공격자는‥이렇게‥취득한‥정보로‥공인인증서를‥발급받아‥
사용자‥계좌의‥자금을‥대포‥통장으로‥송금하거나,‥신용카드‥번호를‥이용해‥불법‥결제를‥수
행하는‥등‥금전적‥피해를‥야기할‥수‥있다.‥특히‥파밍은‥인터넷‥주소를‥알려주는‥호스트‥파
일‥자체를‥조작하는‥방식‥등으로‥정상적인‥사이트의‥인터넷‥주소‥자체를‥탈취하기‥때문에‥
사용자가‥주의를‥기울인다‥하더라도‥알아채기가‥거의‥어렵다는‥점에서‥피싱보다‥고도화된‥
사기‥기법이라‥할‥수‥있다(그림5‥참조).
라. 물리적 카드 복제
현금·신용카드‥불법‥복제로‥인한‥전자금융사고는‥2000년대‥초부터‥CD/ATM‥거래나‥
신용카드‥지급거래에서‥종종‥발생해왔다.‥여기에는‥카드‥소지자의‥허락없이‥카드상의‥정
보를‥전자적으로‥복사해가는‥스키밍(skimming)‥기법이‥사용되며,‥복제‥장비로써‥스키머
(skimmer)라는‥소형‥전자장비가‥동원된다.‥특히‥마그네틱‥카드를‥스와이프(swipe)하는‥
14)‥네트워크에서‥도메인이나‥호스트‥이름을‥숫자로‥된‥IP‥주소로‥해석해주는‥TCP/IP‥네트워크‥서비스이다.‥‥
<그림5> 파밍 공격 흐름도
공격자
사용자
①‥DNS서버‥해킹•금융기관‥웹사이트‥IP를‥‥‥가짜‥웹사이트‥IP로‥조작
②‥금융기관‥웹사이트‥‥‥주소‥입력‥‥‥•정상‥IP‥요구
④‥공격자의‥가짜‥‥‥웹사이트‥접속‥및‥‥‥개인정보‥입력·유출
금융기관‥웹사이트
‥가짜‥웹사이트
DNS서버(로컬‥또는‥ISP)
③‥가짜‥웹사이트‥IP‥전송
2009. 10 43
전자금융사고 발생유형 및 대응현황
방식으로‥손쉽게‥대금지급이‥이루어지는‥신용카드의‥경우‥가맹점‥측에‥실물카드를‥전달하
여‥POS기를‥통해‥결제가‥진행되는‥만큼,‥악의적‥의도를‥가진‥가맹점이‥POS기에‥스키머를‥
설치한다면‥쉽게‥신용카드‥정보를‥복사하여‥불법‥대금결제를‥할‥수‥있다.‥반면‥CD/ATM
에서는‥카드정보‥및‥비밀번호‥탈취가‥동시에‥이루어져야‥하는‥만큼‥주로‥스키머와‥몰래카
메라를‥병행한‥형태의‥정보‥복제·탈취‥사고가‥발생한다15).‥국내에서는‥이‥같은‥스키밍‥피
해를‥줄이기‥위하여‥복제가‥용이한‥마그네틱‥카드에서‥보안성이‥우수한‥IC칩‥카드로의‥전
환이‥빠르게‥이루어지고‥있으나,‥IC칩‥카드를‥수용하는‥가맹점‥단말기의‥보급이‥더딘‥신
용카드‥부문에서는‥여전히‥마그네틱‥카드‥거래로‥인한‥카드‥정보‥유출‥사고가‥끊이지‥않고‥
있다16).‥더군다나‥국경간‥이동이‥잦아지면서‥동남아시아‥등‥IC칩‥기반‥신용카드로의‥전환
이‥이루어지지‥않은‥국가들을‥중심으로‥우리나라‥방문객에‥대한‥카드‥불법‥복제사고가‥자
주‥발생하고‥있어‥이에‥대한‥대응이‥요구되고‥있다.‥아울러‥최근‥안정성이‥보장된‥것으로‥
알려진‥IC칩‥카드에서‥카드정보를‥유출해내는‥새로운‥공격방식17)이‥소개되는가‥하면,‥해외
에서는‥CD/ATM‥내부에‥직접‥악성코드를‥삽입하는‥형태의‥카드복제‥사고가‥보고되는‥등‥
카드정보‥복제에‥대한‥위협은‥지속되고‥있다.‥
2. 네트워크 구간
클라이언트와‥서비스‥제공시스템‥사이에서‥각종‥데이터가‥송수신되는‥네트워크‥구간에
서는‥데이터‥도청‥및‥변조‥공격,‥네트워크‥부하초래‥공격이‥발생할‥수‥있다.‥동‥구간은‥사
고‥발생시‥막대한‥피해는‥물론‥기업에‥미치는‥평판리스크가‥상당한‥만큼‥관련‥사업자들이‥
민감하게‥대응하는‥양상을‥보인다.‥
가. 데이터 도청 및 변조
네트워크에서‥송수신되는‥데이터‥트래픽을‥엿보거나‥가로채어‥변조하는‥형태의‥공격으
로,‥대표적인‥공격‥기법으로는‥스니핑(sniffing)·세션‥하이재킹(session‥hijacking)‥등
15)‥국내에서는‥2007년‥7월‥가짜‥현금인출기를‥설치,‥스키머와‥몰래카메라를‥장착한‥후‥서비스를‥이용한‥100여명의‥
현금카드를‥복사하고‥비밀번호를‥탈취하는‥사고가‥발생하여‥7,000만원‥이상의‥금전적‥피해가‥발생한‥바‥있다.‥‥
16)‥IC현금카드는‥2008년‥12월‥기준‥5,628만장‥발급‥및‥97.1%의‥CD/ATM‥적용률을‥보이며‥IC칩‥전환에‥성공한‥것으
로‥평가되나,‥IC신용카드는‥80%‥가량의‥카드‥전환‥발급에도‥불구하고‥IC카드‥전용‥단말기‥보급률이‥19%‥정도에‥
불과하여‥IC칩‥전환에‥따른‥실제적‥리스크‥축소‥효과‥없이‥카드‥복제‥사고가‥지속되고‥있다.‥
17)‥일명‥부채널공격(side‥channel‥attack)기법으로,‥IC칩‥카드‥내에서‥암호‥알고리즘‥작동시‥발생하는‥전기소모량‥·
전자신호량·열·소요시간‥등의‥부가적인‥정보를‥측정하여‥이를‥통해‥암호‥알고리즘‥및‥키‥값을‥분석하는‥공격기
법이다.‥2008년‥일부‥현금카드가‥부채널공격‥위험에‥노출된‥것으로‥알려져‥감독당국이‥해당‥복제위험‥IC칩‥현금
카드에‥대한‥단계적‥교체‥계획을‥밝힌바‥있다.‥
44 지급결제와 정보기술
을‥들‥수‥있다.
스니핑이란‥네트워크에서‥송수신되는‥데이터‥트래픽을‥엿볼‥수‥있는‥도청장치인‥스니퍼18)
를‥랜포트나‥AP(Access‥Point)에‥설치하여‥데이터를‥가로채는‥기법을‥말한다.‥실제적으
로‥유선‥인터넷‥기반의‥전자금융‥데이터는‥대부분‥암호‥알고리즘에‥따라‥암호화되어‥송수
신되고‥있어‥스니핑으로‥인한‥데이터‥유출시에도‥복호화에‥성공하지‥못하면‥직접적인‥전자
금융사고로‥이어질‥가능성은‥크지‥않으나,‥악성코드와‥결합하거나‥암호화되지‥않은‥데이
터일‥경우‥유출에‥따른‥피해는‥적지‥않다고‥할‥수‥있다.‥최근‥무선‥네트워크‥이용‥확대‥추
세는‥무선‥환경에서의‥스니핑‥위협을‥현실화시키고‥있다.‥무선망이‥유선망에‥비하여‥물리
적‥특성,‥인증‥및‥암호화‥매커니즘의‥취약성‥등으로‥인해‥보안이‥상당히‥취약한‥것으로‥알
려지면서‥이를‥겨냥한‥공격‥시도가‥나타나고‥있다.‥지난‥2008년‥무선랜카드·무선랜‥공유
AP를‥장착한‥노트북을‥이용하여‥시중은행‥인터넷‥무선공유기의‥MAC19)‥주소를‥스니핑하
고‥이를‥통해‥은행‥전산망에‥침투하려는‥공격‥시도가‥발생한‥바‥있다.‥공격자들은‥은행‥전
산망‥침투를‥통해‥고객의‥개인·금융정보를‥탈취하고‥해외로‥건너가‥예금‥인출을‥시도할‥
목적이었던‥것으로‥알려졌다20).‥‥
이‥밖에‥사용자와‥시스템‥간‥정당한‥거래에‥중간자로‥개입하여‥인증‥후의‥세션을‥가로채‥
적법한‥사용자로‥위장하거나‥세션‥자체를‥응용하여‥새로운‥거래를‥시도하는‥등의‥세션‥하
이재킹‥공격도‥데이터‥변조‥공격‥기법으로‥볼‥수‥있다.‥
나. 네트워크 부하 초래 공격
최근‥정보보호‥업계‥최대의‥이슈는‥분산서비스거부(Distributed‥Denial‥of‥Service;‥
DDoS)‥공격이라‥해도‥과언이‥아니다.‥DDoS‥공격이란‥전자금융시스템‥등‥특정‥정보처리
시스템에‥동시다발적으로‥막대한‥양의‥트래픽을‥발생시켜‥병목‥현상을‥야기함으로써‥정상
적인‥사용자의‥서비스‥접근을‥방해하는‥공격‥기법이다.‥이를‥위해‥공격자는‥사전에‥악성코
드를‥사용자‥PC에‥유포하여‥다수의‥봇(bot)21)으로‥구성된‥광범위한‥봇넷(botnet)22)을‥구성
18)‥본래‥네트워크‥트래픽‥데이터를‥분석하여‥네트워크를‥최적화하려는‥목적으로‥사용되는‥프로그램이나,‥보안‥부문
에서는‥패킷에‥잠입하여‥정보를‥가로채는‥해킹‥기술을‥의미한다.‥
19)‥Media‥Access‥Control의‥약어로,‥랜카드나‥인터넷공유기‥등의‥네트워크‥기기에‥부여된‥하드웨어‥고유의‥식별번
호를‥지칭한다.‥‥‥
20)‥동‥사고에서는‥MAC‥주소만‥유출되었을‥뿐‥은행‥내부‥전산망으로의‥접근‥또는‥고객정보유출은‥발생하지‥않았다.‥
21)‥본래는‥자동화된‥기능을‥수행하는‥프로그램을‥지칭하나,‥악성코드에‥감염된‥경우‥훼손된‥시스템에서‥자동으로‥악
의적‥공격을‥수행하는‥종속‥프로세스로‥작동한다.‥일명‥좀비(zombie)라고도‥불리며,‥사용자가‥인식하지‥못한‥상
태로‥설치·작동할‥가능성이‥높다.‥‥‥
22)‥봇(bot)들과‥조종자(명령제어서버,‥봇마스터)로‥구성된‥네트워크를‥지칭하며,‥이를‥통해‥DDoS‥공격‥뿐‥아니라‥애
드웨어,‥스파이웨어,‥스팸발송,‥불법‥정보수집‥등‥다양한‥형태의‥공격이‥가능하다.‥ ‥‥
2009. 10 45
전자금융사고 발생유형 및 대응현황
하고‥이를‥원격‥조정한다(그림6‥참조).‥
이‥중‥네트워크를‥대상으로‥하는‥DDoS‥공격은‥중요‥노드23)‥공격·대역폭‥소비‥공격24)‥
등의‥형태가‥대표적이다.‥
금융권에서는‥2007년‥6월‥최초의‥DDoS‥공격을‥받은‥이래‥현재까지‥10개의‥금융회사가‥
공격을‥받았으며,‥금융정보‥유출이나‥불법이체와‥같은‥금전적‥피해는‥없었으나‥인터넷뱅킹‥
서비스의‥일시중단‥또는‥접속지연‥문제를‥겪었다.‥특히‥2009년‥7월‥7일‥발생했던‥DDoS‥
사고는‥일명‥7.7‥DDoS‥대란으로‥불리며‥DDoS‥공격에‥대한‥우려를‥공론화시키기에‥이르
렀다.‥공격‥대상이‥되었던‥21개의‥주요‥국내‥웹사이트‥중‥7개가‥금융기관‥웹사이트에‥해당
하였으며,‥이로‥인해‥최소‥20분,‥최대‥2~3시간‥가량‥서비스‥접속이‥지연되었다25).‥
이‥같은‥DDoS‥공격은‥감염된‥PC가‥사용자도‥모르는‥사이에‥공격자의‥명령을‥수행하는‥
가해자가‥된다는‥점,‥그리고‥이미‥약‥8만여‥대‥이상이‥감염‥PC로‥추정되며‥그‥숫자가‥빠르
23)‥DNS,‥라우터,‥스위치,‥집선장치‥등
24)‥한정된‥대역폭의‥네트워크‥회선‥상에‥막대한‥공격‥트래픽을‥전송하여‥네트워크‥서비스를‥마비시키는‥방식이다.‥
25)‥악성코드에‥감염된‥PC들이‥각각‥한번‥공격시‥444회씩‥무한대로‥대상‥사이트를‥공격하였다.‥
<그림6> 분산서비스거부(DDoS) 공격 개념도
주1)‥명령제어‥서버로,‥봇마스터의‥악성행위‥수행‥명령을‥봇(bot)에‥전달‥주2)‥지난‥7.7‥DDoS‥공격‥때는‥별도의‥공격지시‥없이‥봇이‥자체적으로‥공격대상‥도메인,‥공격방법‥등이‥명시된‥파일을‥참조하여‥공격을‥수행
공격자(botnet‥master)
금융기관‥시스템
봇넷(botnet)
①‥악성코드‥유포·은닉
네트워크 및 시스템과부하
③‥감염
②‥접속시‥악성‥코드‥배포
⑤‥일시공격
블로그,포털,P2P‥사이트
‥‥
‥‥
스팸메일취약한‥홈페이지‥해킹
C&C서버주1)
④‥명령‥및‥제어‥‥‥‥(공격지시)주2)
봇(bot)
46 지급결제와 정보기술
게‥증가하고‥있음을‥감안할‥때‥주요한‥사이버‥위협‥요소로‥받아들여지고‥있다26).
3. 시스템 구간
정보의‥실제적‥처리‥및‥저장이‥이루어지는‥시스템‥구간에서는‥금융기관‥및‥전자금융업
자가‥관련‥당국의‥감독‥하에‥상당한‥수준의‥보안‥시스템을‥구축·운영하고‥있는‥만큼‥사고
가‥빈번하게‥발생하지는‥않으나,‥사고‥발생시‥불특정‥다수에게‥막대한‥피해를‥야기할‥위
험이‥크다.‥
가. 사용자 정보 탈취 공격
금융기관‥및‥전자금융업자의‥내부‥시스템에‥침입하여‥고객‥정보를‥무단‥유출하는‥사고‥
유형에‥해당한다.‥2008년에는‥7개‥상호저축은행과‥여타‥기관의‥고객‥금융정보‥약‥970만‥
건이‥유출되는‥사고가‥발생한‥바‥있다.‥동‥사고에서‥공격자는‥추적‥가능성이‥낮은‥공공장
소에서‥인증이‥필요‥없는‥무선‥공유기에‥접속하여‥금융기관의‥네트워크‥및‥서버‥취약점을‥
수집하는‥방식으로‥DB‥및‥웹하드‥계정을‥획득하였고‥이를‥통해‥고객‥금융정보를‥대량‥유
출시켰다.‥또‥2008년‥2월에는‥선불전자지급수단‥발행·관리‥업무를‥수행하는‥전자금융업
자의‥시스템에‥침입하여‥약‥1,000만명의‥개인정보‥및‥약‥100만명의‥은행계좌번호‥등‥금
융정보까지‥탈취한‥사고가‥있었다.‥한편‥2009년‥미국에서는‥서비스‥제공사업자의‥서버를‥
악성코드로‥감염시킨‥후‥고객‥정보를‥유출하는‥보다‥적극적인‥방식으로‥편의점‥체인,‥대
형‥슈퍼마켓‥체인,‥신용카드‥처리대행업체‥등‥5개‥기업의‥시스템에‥불법‥침입하여‥약‥1억‥
3,000만개의‥신용·직불카드‥정보를‥탈취한‥사건이‥발생하였다.‥이‥같은‥고객‥정보‥유출
은‥추후‥이를‥활용한‥2차적인‥금융사고로‥이어질‥가능성이‥높다는‥점에서‥위험성이‥크다.‥
특히‥비금융기관의‥지급결제참여가‥확대됨에‥따라‥이들이‥보유한‥고객의‥개인·금융정보
를‥탈취하려는‥움직임도‥지속적으로‥시도될‥것으로‥예상된다.
나. 공격을 통한 시스템 마비
앞서‥살펴보았던‥DDoS‥공격‥중‥시스템을‥겨냥한‥DDoS‥공격의‥형태로,‥시스템의‥CPU·
메모리와‥같은‥가용자원을‥고갈시켜‥서비스를‥제한하거나‥시스템‥자체를‥마비시킬‥수‥있
다.‥
26)‥공격자‥집단은‥정치적‥의도,‥보복성‥공격,‥금전‥요구‥등의‥목적으로‥DDoS‥공격을‥수행한다.‥
2009. 10 47
전자금융사고 발생유형 및 대응현황
Ⅲ. 전자금융사고 대응현황
전자금융사고에‥효과적으로‥대응하기‥위하여‥정책·감독당국‥및‥업계는‥다양한‥사전적‥
대응책을‥운영하는‥한편,‥피해‥최소화‥및‥재발‥방지를‥위한‥사후적‥대응책을‥지속적으로‥
마련하고‥있다.‥
1. 사전적 대응
가. 클라이언트 구간 보안대책
전자금융사고가‥가장‥빈번하게‥발생하는‥클라이언트‥구간에‥대한‥정책·감독당국‥및‥업
계의‥보안대책은‥크게‥3가지‥측면을‥중심으로‥살펴볼‥수‥있다.
1)‥사용자‥인증‥강화
전자금융거래는‥비대면‥거래에서‥정당한‥사용자임을‥보다‥철저하게‥확인하기‥위하여‥다
중화된‥인증체계를‥지향하고‥있다.‥인터넷뱅킹의‥인증체계가‥대표적‥예로,‥인증수단의‥결
합‥형태에‥따라‥보안등급을‥차등화27)하는‥한편,‥OTP(One-Time‥Password)‥발생기나‥
HSM(Hardware‥Security‥Module)‥보안토큰과‥같이‥인증수단의‥물리적‥속성을‥분리하
는‥방식을‥통해‥부당‥사용자의‥서비스‥접근‥가능성을‥낮추고‥있다.‥즉,‥유한하고‥고정된‥키‥
값을‥보유한‥보안카드의‥유출·복사로‥인한‥사고가‥발생하면서‥1회성‥난수를‥생성하여‥인
증하는‥OTP‥발생기가‥대안으로‥제시되고‥있으며,‥하드디스크에‥보관해왔던‥공인인증서의‥
유출‥사고가‥잇따르면서‥보안이‥강화된‥HSM‥보안토큰이나‥기타‥휴대용‥저장매체가‥주목
받는‥양상을‥보이고‥있다.‥OTP‥발생기와‥HSM‥보안토큰이‥휴대상의‥불편성‥및‥별도의‥구
입비용‥소요라는‥진입장벽으로‥인해‥빠르게‥확대되지는‥못했으나,‥전자금융‥보안에‥대한‥
논의가‥활발해지면서‥보급에‥탄력을‥받을‥것으로‥예상된다.‥이‥외에도‥서비스‥접속시‥사용
자가‥사전에‥등록해두었던‥특정‥이미지를‥선택하도록‥하는‥이미지‥인증방식‥또는‥계좌이체‥
최종‥지시‥전에‥사전에‥등록한‥유·무선전화로‥거래‥내역을‥인증하는‥전화‥인증방식‥등이‥
도입되고‥있으며,‥그동안‥공인인증서‥적용이‥면제되었던‥모바일‥금융거래에서‥공인인증서‥
27)‥1등급,‥2등급,‥3등급으로‥분류하여‥서로‥다른‥거래한도를‥부여받도록‥되어‥있다.‥1등급은‥OTP발생기+공인인증
서,‥HSM방식‥공인인증서+보안카드,‥보안카드+공인인증서+2채널인증‥방식이,‥2등급은‥보안카드+공인인증서+
휴대폰SMS‥방식이,‥3등급은‥보안카드+공인인증서‥방식이‥해당한다.‥‥‥
48 지급결제와 정보기술
도입이‥확대되는‥등‥다양한‥인증수단이‥확대‥적용되고‥있는‥추세이다.‥또한‥최근에는‥사용
자‥PC의‥IP28)주소·MAC주소‥또는‥전화번호‥등‥접근매체의‥고유‥주소나‥접속경로‥정보를‥
통해‥사용자를‥인증하는‥방식이‥주목받고‥있다.‥특히‥최근‥중국‥등‥해외‥발(發)‥인터넷뱅킹‥
해킹‥시도가‥증가함에‥따라‥금융기관은‥기‥등록된‥의심‥IP주소나‥해외‥IP주소의‥서비스‥접
근시‥이를‥거부하거나‥사용자에게‥공지하는‥형태로‥동‥인증‥방식을‥활용하고‥있다.
2)‥사용자‥접근매체에‥대한‥해킹·사기‥방지‥툴의‥보완‥및‥개선
사용자‥PC가‥수많은‥악성코드에‥쉽게‥노출되는‥인터넷‥환경에서‥안전한‥전자금융거래
를‥위하여‥각종‥악성코드‥탐지‥프로그램·방화벽·키보드‥보안프로그램·백신‥프로그램‥
등이‥제공되고‥있다.‥이들은‥악성코드의‥탐지,‥정보유출‥차단,‥악성코드‥제거‥등의‥역할을‥
수행하고‥있다.‥다만,‥공격자들이‥지능화된‥기법으로‥이를‥우회하거나‥무력화시키려는‥시
도를‥지속하고‥있어,‥공격‥기술‥진화에‥따른‥해킹‥방지‥툴의‥보완이‥요구되고‥있다.‥일례로‥
2005년‥발생한‥인터넷뱅킹‥사고‥이후‥도입된‥키보드‥보안프로그램의‥경우,‥2007년‥USB‥
키보드의‥취약성‥및‥메모리‥해킹‥가능성29)에‥대한‥지적이‥제기되면서‥확장‥E2E(End‥to‥
End,‥단대단)‥암호화30)를‥적용하도록‥요구받고‥있으며‥이‥외에도‥투채널‥인증,‥마우스를‥
이용한‥가상키보드‥적용31)‥등‥각종‥보안책이‥제시되고‥있다.‥
다음으로‥사기‥방지,‥특히‥피싱‥방지를‥위한‥대책으로는‥사용자가‥정당한‥금융기관임을‥
확인할‥수‥있는‥이용기관‥이미지‥인증방식,‥그리고‥해외‥발(發)‥보이스피싱에‥대응하기‥위
한‥국제전화‥식별번호‥표시‥및‥국제전화‥알림‥문자서비스32)를‥들‥수‥있다.‥‥
아울러‥컴퓨터‥기반의‥전자금융거래‥이외에‥물리적‥카드‥복제를‥방지하기‥위해‥복제가‥
어려운‥IC칩‥카드‥전환이‥이루어지고‥있다.‥다만,‥신용카드의‥경우‥EMV‥규격의‥카드를‥수
용할‥수‥있는‥가맹점‥단말기‥보급률이‥카드의‥IC칩‥전환율을‥따라가지‥못하여‥실제‥거래시‥
EMV‥카드‥내에‥구현된‥마그네틱‥겸용‥기능을‥통해‥마그네틱상의‥데이터가‥송수신됨으로
28)‥Internet‥Protocol의‥약어로,‥인터넷에‥연결된‥모든‥네트워크와‥그‥네트워크에‥연결된‥PC·단말기·홈페이지‥등
에‥부여되는‥고유한‥식별‥값을‥지칭한다.
29)‥기존‥키보드‥보안프로그램은‥PC에서‥일시‥복호화되어‥재암호화되는‥방식으로,‥공격자에‥의해‥키‥입력‥값이‥유출
되거나‥변조될‥수‥있다는‥취약점을‥갖는다.
30)‥키보드‥보안프로그램과‥서비스‥제공시스템의‥웹‥암호화‥프로그램간‥연동을‥통해‥키보드‥입력‥값이‥웹서버까지‥암
호화한‥상태로‥송수신된다.‥
31)‥마우스만으로‥숫자‥및‥영문자를‥입력할‥수‥있는‥시스템으로‥키로거로부터‥금융정보‥보호가‥가능하나,‥화면‥모니터
링‥해킹‥등‥신규‥해킹‥기법에‥노출될‥수‥있다는‥약점이‥지적되기도‥한다.‥‥
32)‥국제전화‥식별번호‥표시란‥휴대폰으로‥국제전화가‥걸려올‥때‥액정‥화면에‥국제전화임을‥알‥수‥있도록‥특정‥식별
번호를‥표시하는‥것으로‥2009년‥5월부터‥제공되고‥있다.‥국제전화‥알림‥문자서비스는‥국제전화‥식별번호가‥있는‥
전화가‥걸려올‥경우‥사용자‥휴대폰‥발신번호‥창에‥국제전화임을‥알리는‥메시지가‥표시되도록‥하는‥서비스로‥2009
년‥10월부터‥제공될‥예정이다.
2009. 10 49
전자금융사고 발생유형 및 대응현황
써‥카드‥복제사고가‥줄어들지‥못하는‥아이러니컬한‥상황이‥벌어지고‥있어‥가맹점‥인프라‥
완비가‥시급하다고‥할‥수‥있다.‥CD/ATM‥거래의‥경우에는‥현금카드‥및‥인프라의‥IC칩‥전
환이‥거의‥완료되어‥상대적으로‥카드‥복제‥위험이‥감소했으나,‥공공장소‥등에‥CD/ATM을‥
설치하여‥운영하는‥전자금융보조업자의‥경우‥사고‥발생‥가능성이‥금융기관에‥비해‥높다는‥
지적이‥있어‥감독당국이‥이들에‥대한‥관리를‥강화하고‥있다.‥
3)‥사용자‥보안의식‥고취
앞서‥언급한‥사용자‥인증‥강화나‥사용자‥접근매체에‥대한‥해킹·사기‥방지를‥위한‥정책
당국‥및‥업계의‥다각적‥노력이‥있더라도‥정작‥클라이언트‥매체를‥직접적으로‥소유·관리하
는‥사용자의‥보안의식이‥결여되어‥있다면,‥원천적으로‥사고의‥가능성은‥열려있다고‥볼‥수
밖에‥없다.‥그동안‥알려진‥대부분의‥전자금융사고들이‥사용자의‥보안의식‥결여에‥기인한‥
사용자‥과실이었다는‥점이‥이를‥뒷받침한다.‥
이에‥정책·감독‥당국과‥업계는‥다양한‥측면에서의‥사용자‥주의사항을‥마련하여‥배포하
는‥등‥사용자‥보안의식‥고취를‥위한‥노력을‥확대하고‥있다.‥금융감독원은‥지난‥7월‥1일부
터‥6개월간‥금융회사·금융협회·금융정보보호기관‥등‥230개사와‥공동으로‥‘범금융권‥고
객정보보호‥캠페인’을‥추진하고‥있다.‥동‥캠페인은‥<표4>와‥같은‥사용자‥유의사항을‥다양
한‥홍보‥채널을‥통해‥사용자에게‥인지시킴으로써‥전자금융거래의‥첫‥관문인‥클라이언트‥구
간에서의‥사고‥예방을‥강화하는‥것을‥목적으로‥한다.
<표4> 안전한 인터넷 금융거래를 위한 사용자 유의사항
1.‥공인인증서·보안카드·비밀번호‥등은‥e-mail함,‥웹하드‥등‥인터넷에‥보관하지‥않기(보관한‥경우‥즉시‥삭
제하고‥금융회사를‥방문하여‥교체)
2.‥공인인증서는‥PC보다‥USB,‥보안토큰‥등‥이동식‥저장매체에‥보관하기
3.‥보안카드는‥복사‥또는‥스캔하지‥말고,‥오래된‥보안카드는‥재발급받기
4.‥금융거래‥ID,‥비밀번호는‥인터넷‥포털‥및‥쇼핑몰‥등의‥ID,‥비밀번호와‥다르게‥설정하고‥절대로‥타인에게‥
알려주지‥않기
5.‥가장‥안전하게‥인터넷‥금융거래를‥이용하려면‥OTP‥발생기,‥보안토큰,‥전화승인‥서비스를‥사용하기
6.‥계좌이체·공인인증서‥재발급‥등의‥이용내역을‥즉시‥알려주는‥휴대폰문자서비스(SMS)를‥가입하기
7.‥PC방,‥도서관‥등‥공공장소에서‥인터넷‥금융거래를‥가급적‥하지‥않기
8.‥예금인출‥사고를‥당한‥경우‥즉시‥해당‥금융회사에‥신고하고‥출금정지를‥요청하기
자료‥:‥금융위원회‥및‥금융감독원,‥2009.‥7
50 지급결제와 정보기술
또한‥증가하는‥메신저‥피싱에‥대응하기‥위해‥2009년‥9월‥한국인터넷진흥원은‥사용자를‥
위한‥‘메신저‥피싱‥방지‥5계명’을‥발표한‥바‥있다.‥
이‥밖에도‥사용자는‥MS‥윈도우‥보안패치‥또는‥신뢰할만한‥백신‥업데이트를‥통한‥최신‥
보안상태‥유지,‥비밀번호의‥주기적‥변경,‥각종‥자료‥다운로드시‥악성코드‥유무에‥대한‥확
인‥등‥안전한‥PC‥환경‥유지를‥위한‥노력을‥병행할‥필요가‥있다.‥
나. 네트워크 구간 보안대책
네트워크‥구간에서의‥보안대책은‥2가지‥원칙을‥필요로‥한다.‥하나는‥정당한‥사용자의‥접
속을‥판별하는‥것이고‥다른‥하나는‥접속‥이후‥송수신‥데이터에‥대한‥기밀성이‥보장되어야‥
한다는‥것이다.‥이를‥위하여‥물리적‥안전성‥확보를‥위한‥전용선‥도입‥또는‥주민등록번호·
계좌번호·계좌비밀번호‥등의‥송수신‥데이터에‥대한‥암호화를‥적용하고‥있다.‥
최근‥이슈가‥되고‥있는‥무선‥구간의‥보안성‥확보에‥대해서‥감독당국은‥2009년‥2월‥발표
한‥「2009년도‥IT‥및‥전자금융‥중점‥감독·검사방향」을‥통해‥금융회사가‥사용자‥인증·암
호화·불법‥접속감시‥및‥차단‥등의‥보안시스템을‥구축토록‥함으로써‥무선LAN‥보안‥통제‥
강화‥기조를‥확실히‥하였다.
다음으로‥네트워크‥측면에서의‥DDoS‥공격에‥대한‥대책으로는‥재해복구센터를‥통한‥트
래픽‥분산,‥도메인‥우회33)‥등의‥방법이‥주로‥사용되고‥있다.‥그러나‥좀비PC의‥가파른‥증
가‥추이를‥감안할‥때‥향후‥대규모의‥DDoS‥공격‥또한‥예상‥가능한만큼‥사전적‥대응‥강
화를‥위하여‥방화벽·네트워크‥장비‥등의‥처리용량에‥대한‥점검,‥ISP(Internet‥Service‥
Provider)와의‥공조체계‥구축,‥주기적인‥모의‥훈련실시,‥공동대응센터‥운영‥등의‥대책이‥
제기되고‥있다.‥
다. 시스템 구간 보안대책
감독당국은‥전자금융감독규정에‥근거하여‥금융기관‥및‥전자금융업자‥등에‥대한‥시스템‥
보안대책을‥제시하고‥있다34).‥즉,‥정보처리시스템‥및‥전자금융업무‥개발·운영‥담당‥인력
과‥조직을‥통제하는‥인력의‥운용에‥관한‥사항,‥각종‥재해‥등‥내·외부‥충격으로부터‥전산
33)‥DDoS‥공격이‥발생할‥경우‥별도의‥URL을‥생성하여‥정상‥트래픽은‥새로‥생성한‥URL로‥자동접속하게‥하고,‥악
성‥트래픽으로‥감지된‥경우‥기존‥URL로‥격리시킴으로써‥서비스‥정상운영을‥가능하게‥하는‥방법이다.‥다만‥공격
자가‥실시간으로‥악성코드를‥제어하는‥경우에는‥신규‥URL로‥전환‥접속할‥수‥있도록‥조정할‥수‥있다는‥점에서‥한
계를‥갖는다.‥‥
34)‥전자금융감독규정‥해설,‥금융감독원,‥2007.‥12
2009. 10 51
전자금융사고 발생유형 및 대응현황
실을‥보호하고‥업무연속성을‥확보할‥수‥있는‥공간적‥개념의‥시설‥보호에‥관한‥사항,‥정보
처리시스템‥접근‥단말기·전산자료·정보처리시스템과‥같은‥전자적‥장치의‥보호에‥관한‥
사항을‥정함으로써‥시스템‥안전성‥확보를‥유도하고‥있다.‥구체적인‥예로는‥침입차단시스
템·침입탐지시스템과‥같은‥정보보호시스템의‥도입·설치‥등‥외부에서의‥내부‥네트워크
에‥대한‥접근통제‥강화,‥내부직원‥및‥아웃소싱‥상주‥직원의‥내부‥서버에‥대한‥접근통제‥강
화,‥홈페이지‥등‥공개용‥서버와‥내부망의‥분리,‥내부직원‥PC‥및‥인터넷‥사용에‥대한‥보호
조치‥등을‥들‥수‥있다.‥
2. 사후적 대응
가. 분쟁처리 및 손해배상
현행‥전자금융거래법‥제9조‥제1항에‥따르면‥접근매체의‥위조나‥변조로‥발생한‥사고,‥계
약체결‥또는‥거래지시의‥전자적‥전송이나‥처리과정에서‥발생한‥사고로‥인해‥사용자에게‥손
해가‥발생한‥경우‥원칙적으로‥금융기관‥또는‥전자금융업자가‥손해‥배상책임을‥갖는다35).‥
아울러‥동‥법‥제27조에서는‥전자금융거래와‥관련한‥분쟁처리‥및‥분쟁조정‥절차를‥마련토
록‥규정하고‥있는‥바,‥금융기관‥또는‥전자금융업자는‥<그림7>과‥같은‥일반적인‥분쟁처리‥
및‥조정절차를‥정하고‥있다.‥‥
35)‥단,‥사용자의‥고의나‥중대한‥과실로‥입증될‥경우에는‥손해배상에‥대한‥면책‥또는‥경감이‥가능하다.‥
<그림7> 전자금융 분쟁처리 절차
주)‥서면‥또는‥전자적‥장치를‥이용하여‥금융기관‥또는‥전자금융업자의‥본점이나‥영업점에‥신청하며,‥금융감독원‥또는‥한국소비자보호원의‥분쟁조‥‥‥‥‥정위원회로도‥신청‥가능
분쟁조정위원회(금융감독원‥및소비자보호원) 협조기관
(타‥은행‥또는수사기관)
법원
보험‥또는공제법인
④‥이의신청
③‥결과통보‥‥‥‥(15일‥이내)
①‥분쟁처리‥및‥‥‥‥조정‥신청주)
⑥‥손해배상‥의뢰
②‥사실조사
⑤‥조정·소송‥‥‥‥참여
⑦‥손해보상
사용자(고객)
금융기관(분쟁처리조직)
52 지급결제와 정보기술
분쟁처리‥결과‥금융기관‥또는‥전자금융업자가‥손해배상을‥해야‥하는‥경우,‥이들은‥보
험·공제‥또는‥적립된‥준비금으로‥사용자에게‥보상을‥하게‥된다.‥이‥같은‥배상책임‥이행을‥
위해‥전자금융거래법은‥보험·공제‥가입‥또는‥준비금‥적립을‥의무화하고36)‥최소‥금액‥기
준을‥<표5>와‥같이‥정하고‥있다.
‥
전자금융사고‥대비를‥위한‥주요‥보험‥상품으로는‥전자금융거래‥배상책임보험37),‥개인정
보유출‥배상책임보험38),‥e-biz‥배상책임보험39)‥등이‥대표적이다.‥한편‥대부분의‥금융기관‥
또는‥전자금융업자가‥정해진‥최소한의‥기준‥금액으로‥보험에‥가입하고‥있어‥전자금융사고
에‥대한‥우려가‥높아지는‥최근‥추세를‥감안하여‥보험‥가입금액을‥상향‥조정할‥필요가‥있다
는‥의견도‥대두되고‥있다.‥
다음으로‥보이스피싱‥사고의‥경우‥피해자는‥전화사기자금‥지급정지제도40)를‥통해‥자금
의‥지급효력을‥우선‥취소하고,‥수취인과의‥협의가‥원활히‥진행되지‥않을‥경우‥수취인을‥대
상으로‥민사상의‥부당이득반환청구‥소송을‥제기함으로써‥사기‥자금‥반환을‥요청할‥수‥있
다.‥부득이‥소송절차를‥거쳐야‥하는‥이유는‥전화사기자금‥지급정지제도를‥통해‥지급효력을‥
36)‥전자금융거래법‥제9조제4항‥
37)‥전자금융거래‥중‥해킹이나‥전산장애로‥인한‥피해‥보상에‥대비한‥상품이다.
38)‥개인정보‥유출시‥가입‥고객으로부터‥청구될‥수‥있는‥손해배상청구‥소송에‥대비한‥상품이다.‥
39)‥기업의‥네트워크‥불안정성·시스템‥장애·데이터‥손실‥등으로‥인한‥피해‥보상에‥대비한‥상품으로,‥법률상‥손해배
상책임‥뿐‥아니라‥방어비용‥등도‥보상한다.‥‥
40)‥전자금융사기‥등을‥당하여‥자금이‥이체된‥피해자가‥거래은행에‥지급정지를‥요청할‥경우‥즉시‥자금‥지급을‥정지하
는‥제도로서,‥2007년‥1월‥전국은행연합회와‥은행이‥공동으로‥구축하였다.‥‥
<표5> 전자금융사고 대비 보험·공제 가입기준주)
주)‥준비금을‥적립하는‥경우에도‥보험·공제‥가입기준에‥준하는‥금액을‥보유해야‥하며,‥보험·공제‥가입과‥준비금‥적립을‥병행할‥수‥있다.
자료‥:‥전자금융감독규정‥및‥전자금융감독규정‥해설
구분 보험금액 대상기관
금융
기관별
은행권역
20억원 시중은행,‥농협중앙회,‥기업은행,‥농협‥단위조합(공동가입)
10억원지방은행,‥외은지점,‥수협중앙회,‥산업은행,‥체신관서,‥신용카드업자,‥수협‥단
위조합·신용협동조합·상호저축은행·새마을금고(공동가입)
증권권역 5억원 증권회사,‥증권금융,‥선물업자
기타 1억원
전자금융거래법‥및‥시행령상‥금융기관‥중‥위‥금융기관을‥제외한‥금융기관
(예)‥보험회사,‥상호저축은행(공동보험‥가입자‥제외),‥여신전문금융업자(신용
카드업자‥제외)‥등
전자금융
업무별
2억원 전자자금이체업,‥직불전자지급수단‥발행업
1억원전자화폐‥발행업,‥선불전자지급수단‥발행업,‥지급결제대행업,‥결제대금예치
업,‥전자고지결제업‥등
2009. 10 53
전자금융사고 발생유형 및 대응현황
취소하더라도‥금융기관으로부터‥이체금액을‥바로‥환급받을‥수‥있는‥법적‥근거가‥마련되어‥
있지‥않기‥때문이다.‥이러한‥소송에는‥장기간이‥소요될‥뿐‥아니라‥대포통장이‥주로‥활용되
는‥보이스피싱의‥속성상‥전액‥환급이‥이루어지지‥않는‥경우도‥많아41)‥사기자금‥조기‥환급‥
등‥피해자‥구제에‥관한‥특별법‥제정의‥필요성이‥제기되고‥있다.‥
나. 피해규모 최소화
1)‥전자금융‥사고자금‥지급정지제도
2009년‥2월‥금융감독원은‥인터넷뱅킹·폰뱅킹‥등에‥의한‥전자금융사고‥발생시‥사기에‥
의해‥이체된‥자금에‥대해‥지급을‥정지하는‥전자금융‥사고자금‥지급정지제도‥도입을‥발표
하였다.‥과거에는‥1~2일‥가량‥소요되는‥일반적인‥사고자금‥지급정지‥절차로‥처리하였으
나‥신속한‥지급정지의‥필요성이‥부각됨에‥따라‥2007년부터‥시행‥중인‥전화사기자금‥지급
정지제도를‥인터넷뱅킹·폰뱅킹‥등의‥영역으로까지‥확대한‥것이다.‥동‥제도에‥따라‥금융
회사는‥신고를‥받은‥즉시‥자행계좌에‥대해서는‥지급정지를,‥타행계좌에‥대해서는‥지급정
지‥요청을‥실시간으로‥할‥수‥있다42).‥
2)‥전자금융사고대응시스템
전자금융사고대응시스템(Electronic‥Financial‥Accident‥Response‥System;‥EFARS)
은‥침해사고‥발생시‥최초‥신고에서부터‥타‥금융기관과의‥사고‥정보‥공유·전파에‥이르는‥
일련의‥과정을‥온라인화‥함으로써‥신속한‥사고‥대응을‥목적으로‥한다(그림8‥참조).‥특히‥
사고가‥발생하거나‥발생이‥의심되는‥IP·MAC‥주소‥및‥ID‥정보‥등을‥금융기관간‥신속하게‥
공유함으로써‥추가‥사고를‥미연에‥방지할‥수‥있다는‥점에‥의의가‥있다.‥7월부터‥시중은행
을‥대상으로‥시범운영‥중이며,‥점차‥증권사‥등‥타‥금융권으로‥확대할‥계획에‥있다.‥
41)‥보이스피싱에서‥주로‥사용되는‥대포통장의‥명의주가‥신용불량자인‥경우가‥많아,‥명의주에‥대한‥제3의‥기관으로부
터의‥압류‥등이‥병행될‥경우‥피해자가‥확정판결을‥받더라도‥전액‥환급이‥어려울‥수‥있다.
42)‥사고자금‥수취은행은‥우선‥지급정지‥조치를‥이행한‥후‥24시간‥이내에‥서면으로‥지급정지‥요청서를‥징구하여‥보완
하도록‥되어‥있다.‥‥
54 지급결제와 정보기술
Ⅳ. 주요 이슈
1. 금융기관 및 전자금융업자의 무과실책임 부담 증가
2007년부터‥시행‥중인‥전자금융거래법은‥일정한‥유형의‥전자금융사고에‥대하여‥금융
기관‥또는‥전자금융업자의‥무과실책임‥원칙을‥명시하고‥있다.‥물론‥사용자의‥고의나‥중대
한‥과실이‥있는‥경우43)에는‥금융기관‥또는‥전자금융업자와‥사용자간‥사전‥약정에‥의해‥전
부‥또는‥일부의‥책임을‥사용자에게‥부담시킬‥수도‥있으나,‥이에‥대한‥입증‥책임은‥금융기
관‥또는‥전자금융업자가‥갖는다.‥이는‥IT기반의‥전자금융거래에서‥사용자가‥사고의‥원인‥
및‥귀책사유를‥입증하는‥것이‥거의‥불가능하다는‥판단에‥기인한‥것이다.‥그러나‥이러한‥법
률상‥규정에도‥불구하고‥최근‥사용자‥접근매체의‥정보유출로‥인한‥전자금융사고가‥잇따
르고‥금융기관‥및‥전자금융업자와‥사용자간‥법적‥분쟁소지가‥남아‥있어‥정책당국은‥해킹‥
등‥부정한‥방법으로‥획득한‥접근매체를‥이용하여‥발생한‥전자금융사고에‥대해서도‥금융기
관‥및‥전자금융업자가‥사용자의‥고의·중과실을‥입증할‥수‥없는‥경우‥손실을‥배상토록‥책
43)‥전자금융거래법‥시행령‥제8조는‥고의나‥중대한‥과실의‥범위를‥명시하고‥있다.‥즉,‥①‥사용자가‥접근매체를‥제3자
에게‥대여하거나‥그‥사용을‥위임한‥경우‥또는‥양도나‥담보의‥목적으로‥제공한‥경우,‥②‥제3자가‥권한‥없이‥사용자
의‥접근매체를‥이용하여‥전자금융거래를‥할‥수‥있음을‥알았거나‥쉽게‥알‥수‥있었음에도‥불구하고‥접근매체를‥누설
하거나‥노출‥또는‥방치한‥경우‥
<그림8> 전자금융사고대응시스템을 통한 공동 대응 개념도
자료‥:‥2009년도‥IT‥및‥전자금융‥중점‥감독·검사‥방향,‥금융감독원,‥2009.‥2.‥5
공격자
은행
증권사
카드사
전자금융사고대응시스템(EFARS)
사고발생
①‥침해사고 ②‥사고신고
③‥사고정보‥전파
③‥사고
정보‥전파
④‥추가‥사고‥차단
③‥사고정보‥전파
사고정보
2009. 10 55
전자금융사고 발생유형 및 대응현황
임부담주체를‥명확히‥하는‥내용‥등을‥포함하는‥전자금융거래법‥일부‥개정을‥추진‥중에‥있
다44)(표6‥참조).‥기존에도‥이러한‥유형의‥사고에‥대해‥금융기관‥또는‥전자금융업자가‥상법‥
등을‥준용,‥통상적으로‥책임을‥부담하여‥왔으나‥기존‥규정의‥모호하고‥제한적인‥책임‥범
위를‥법률에‥명확히‥함으로써‥법적‥분쟁시‥사용자‥쪽의‥피해‥부담‥가능성을‥낮추겠다는‥취
지로‥이해할‥수‥있다.
그러나‥다른‥한‥편으로는‥이러한‥금융기관‥또는‥전자금융업자에‥대한‥입증‥책임‥강화‥기
조가‥자칫‥과도한‥무과실‥책임주의‥및‥악의적‥금융소비자에‥의한‥전자금융‥공모사기와‥같
은‥부작용을‥낳을‥수‥있다는‥우려도‥적지‥않다.‥예를‥들어‥A라는‥주체가‥공모를‥계획한‥B
에게‥자신의‥계좌번호·비밀번호·보안카드·공인인증서를‥전달하고‥해외로‥출국한‥사이
에‥B가‥인터넷뱅킹을‥통해‥A의‥계좌에서‥자금을‥대포통장으로‥무단‥인출한‥경우를‥가정해
볼‥수‥있다.‥귀국한‥A가‥전자금융사고를‥주장하며‥거래은행에‥피해보상을‥요구하는‥경우,‥
정보의‥비대칭에‥처하게‥되는‥해당‥은행이‥어떻게‥A와‥B의‥사기‥공모사실을‥입증할‥수‥있
냐는‥문제가‥제기될‥수‥있는‥것이다.‥
이에‥대응하는‥방법으로써‥최근‥금융권에서는‥디지털‥포렌식에‥대한‥관심이‥증가하고‥있
다.‥디지털‥포렌식(Digital‥Forensics)이란‥사이버범죄‥등에‥대하여‥컴퓨터‥등‥정보기기‥
장치에‥내장된‥디지털‥자료를‥근거로‥그‥장치를‥매개체로‥발생한‥행위의‥사실‥관계를‥규
44)‥국무회의‥의결‥후‥9월초‥국회에‥제출된‥상태이다.‥‥‥
<표6> 전자금융거래법 일부개정법률안 중 무과실책임에 관한 사항
현‥행 개정안
제9조(금융기관‥또는‥전자금융업자의‥책임)‥①‥금융기관‥
또는‥전자금융업자는‥접근매체의‥위조나‥변조로‥발생한‥
사고,‥계약체결‥또는‥거래지시의‥전자적‥전송이나‥처리
과정에서‥발생한‥사고로‥인하여‥이용자에게‥손해가‥발생
한‥경우에는‥그‥손해를‥배상할‥책임을‥진다.‥
제9조(금융기관‥또는‥전자금융업자의‥책임)‥①‥금융기관‥
또는‥전자금융업자는‥다음‥각‥호의‥어느‥하나에‥해당하
는‥사고로‥인하여‥이용자에게‥손해가‥발생한‥경우에는‥
그‥손해를‥배상할‥책임을‥진다.‥
‥
1.‥접근매체의‥위조나‥변조로‥발생한‥사고
2.‥계약체결‥또는‥거래지시의‥전자적‥전송이나‥처리과
정에서‥발생한‥사고
3.‥전자금융거래를‥위한‥전자적‥장치‥또는‥「정보통신망
이용촉진‥및‥정보보호‥등에‥관한‥법률」‥제2조제1항제
1호에‥따른‥정보통신망에‥침입하여‥거짓이나‥그‥밖의
부정한‥방법으로‥획득한‥접근매체의‥이용으로‥발생한
사고
56 지급결제와 정보기술
정·증명하는‥기술‥또는‥일련의‥절차를‥지칭한다.‥즉,‥전자금융사고‥발생시‥전자금융서비
스‥접속내역·공인인증서·메신저‥또는‥e메일‥내역·USB‥사용기록·삭제된‥파일‥및‥디
스크‥복구‥등과‥같은‥사용자‥PC‥측면의‥증거를‥확보하거나‥사용자‥접속기록·전자금융거
래‥세부기록‥등의‥시스템‥측면의‥증거를‥확보하거나‥휴대폰‥통화기록·SMS‥기록‥등‥다양
한‥증거를‥확보함으로써‥책임소재‥규명‥및‥법적분쟁에‥대비한‥증거‥확보를‥가능하게‥하는‥
것이다.‥따라서‥정해진‥시간‥내에‥이러한‥필수‥증거를‥확보하고‥정확히‥분석할‥수‥있는‥디
지털‥포렌식‥전문‥인력의‥양성은‥무과실책임‥강화에‥직면한‥금융기관‥또는‥전자금융업자
에게‥주요‥과제라‥할‥수‥있다.‥
그러나‥디지털‥포렌식‥전문인력이‥양성된다‥하더라도‥현행‥법‥하에서는‥금융기관‥또는‥
전자금융업자의‥조사‥권한에‥관한‥사항이‥보장되어‥있지‥않아‥사생활‥침해‥논란‥및‥피해
자의‥비협조‥등‥한계가‥지적될‥수‥있다.‥따라서‥입증‥책임‥강화에‥따른‥부작용을‥방지하기‥
위해서는‥디지털‥포렌식‥전문인력의‥양성은‥물론‥금융기관‥또는‥전자금융업자에‥대한‥적
절한‥조사‥권한‥부여가‥필요하다고‥판단된다.‥아울러‥금융기관의‥무과실책임‥강화‥못지않
게‥사후‥처리에‥있어‥금융기관의‥적절한‥권리를‥제도적으로‥보장할‥필요가‥있다.‥즉,‥피해
금액의‥신속한‥반환을‥통한‥피해‥사용자‥보호‥등을‥위하여‥금융기관의‥사고자금‥회수‥등에‥
대한‥권한이‥강화될‥필요가‥있다45).‥
또한‥무과실책임이‥강화되는‥환경변화‥속에서‥디지털‥포렌식이‥사후적‥대책이라고‥한다
면,‥사전적‥대책으로서‥금융기관간‥적극적인‥공동대응이‥필요하다.‥예를‥들어‥공인인증서‥
의심·불법‥발급패턴에‥관한‥정보,‥인터넷뱅킹‥접속시‥불법·의심거래에‥관한‥정보‥등을‥
정보공유시스템을‥통해‥상호간‥신속하게‥공유하고‥역추적함으로써‥접근매체‥불법‥취득으
로‥인한‥사고를‥사전에‥예방하는‥형태‥또는‥다양한‥보안‥기술을‥공동으로‥연구하여‥보안‥기
술의‥저변을‥확대시키는‥형태를‥생각해볼‥수‥있다.‥이러한‥공동대응체계는‥사고‥발생‥이후
의‥법률적‥대응·디지털‥포렌식·사고‥처리‥등을‥담당하는‥전자금융사고‥조사·처리센터‥
등의‥형태로도‥확장‥운영‥가능하다.‥‥‥
2. 사용자 인증체계 개선
대부분의‥전자금융사고가‥사용자‥접근매체‥해킹·인증수단‥유출·사기‥등과‥같은‥클라
이언트‥구간에서‥발생함에‥따라‥현행‥사용자‥인증체계에‥개선이‥필요하다는‥지적이‥일고‥
있다.‥
45)‥사고자금‥수취계좌의‥예금주가‥자금반환을‥지연‥또는‥거절하는‥경우,‥금융기관은‥자금‥회수를‥위한‥별도의‥조치를‥
해야하는‥등‥문제가‥발생하기‥때문이다.‥‥‥
2009. 10 57
전자금융사고 발생유형 및 대응현황
특히‥전자‥인감증명서인‥공인인증서의‥경우‥자체적인‥기술‥안전성에는‥문제가‥없으나‥인
증서‥관리상의‥취약점으로‥인해‥유출·악용‥사고가‥잇따르고‥있다.‥일반적으로‥공인인증
서가‥유출되는‥형태로는‥사용자‥PC에‥저장된‥인증서가‥직접적으로‥유출되는‥경우와‥불법
으로‥취득한‥신원확인‥정보로‥제3자가‥부당하게‥공인인증서를‥재발급받는‥경우로‥나누어
볼‥수‥있다(표7‥참조).
따라서‥공인인증서의‥안전성‥강화는‥저장·보관방법‥및‥인증서‥재발급체계‥개선이라는‥
2가지‥측면에서‥접근할‥필요가‥있다.‥최근‥행정안전부에서‥수립한‥공인인증서‥이용관리의‥
안전성‥확보대책‥또한‥이러한‥개선‥방향을‥반영하고‥있다.‥
우선‥동‥대책은‥공인인증서‥저장·보관방법‥개선의‥일환으로‥보안토큰‥이용기반‥확충‥및‥
휴대용‥저장장치‥이용강화를‥포함한다.‥본래‥보안토큰은‥키‥생성·전자서명‥생성‥등을‥내
부‥프로세서가‥수행하고‥내부‥정보가‥외부로‥유출되지‥않도록‥물리적‥보안을‥구현한‥가장‥
안전한‥인증수단으로‥손꼽히고‥있다.‥다만,‥일정한‥구입비용이‥소요되고‥소수의‥시중은행
만이‥적용하고‥있어‥그동안‥보급에‥지연을‥겪어왔으나,‥공인인증서‥보관에‥있어‥물리적‥안
전성‥요구가‥증대되면서‥주요한‥대안으로‥재부상하고‥있는‥것이다.‥
이와‥더불어‥공인인증서‥이용관리의‥안전성‥확보대책에는‥인증서‥재발급‥절차의‥취약
점‥보완을‥위한‥방안이‥포함되어‥있다.‥현재‥공인인증서‥재발급은‥온라인으로‥이루어지며‥
재발급시‥주민등록번호·계좌번호·계좌비밀번호·보안카드와‥같은‥신원‥확인정보가‥요
구된다.‥하지만‥이러한‥신원‥확인정보가‥앞서‥살펴본‥바와‥같이‥다양한‥경로를‥통해‥유출
될‥수‥있는‥만큼‥공인인증기관이‥사용자‥접근정보46)를‥확인하여‥불법‥또는‥의심되는‥재발
급‥요청을‥차단하는‥방안,‥그리고‥재발급시‥등록된‥사용자의‥유·무선‥전화로‥재발급‥사
실을‥통보하는‥방안이‥제시되었다.‥더‥나아가‥재발급‥자체를‥오프라인‥대면‥기반으로‥전
환하는‥방안도‥가능한데,‥이는‥사용자‥편의성에‥역행한다는‥지적이‥제기될‥수‥있으나‥전
자‥인감증명서의‥사용용도‥및‥효력을‥감안할‥때‥오프라인‥인감증명서‥대비‥현행‥공인인증
46)‥IP주소,‥MAC주소‥등이‥해당한다.‥
<표7> 인터넷뱅킹 사고 중 공인인증서 유출 형태
자료‥:‥공인인증서‥이용관리의‥안전성‥확보대책,‥행정안전부,‥2009.‥8
구분 2005년 2006년 2007년 2008년 2009년 소계
공인인증서‥유출 ― ― 2건 2건 ― 4건
공인인증서‥부정발급 1건 ― ― 1건 1건 3건
계 1건 ― 2건 3건 1건 7건
58 지급결제와 정보기술
서의‥재발급‥절차가‥현저히‥간소화되어‥있다는‥점에서‥사고‥위험성‥방지에‥필요한‥조치일‥
수‥있다고‥판단된다.‥
공인인증서‥뿐‥아니라‥한‥번‥발급되면‥영구‥사용이‥가능한‥보안카드의‥주기적인‥교체,‥
생체인식‥기술의‥적용,‥사용자와‥시스템‥간‥상호인증,‥그리고‥사용자‥접근매체와‥인증매
체를‥분리하는‥이기종매체‥기반‥인증‥등‥사용자‥편의성을‥크게‥저해하지‥않는‥범위‥내에
서‥다계층적인‥보안체계를‥확립함으로써‥사용자‥인증을‥보다‥강화하려는‥움직임은‥지속
될‥것으로‥예상된다.‥
3. IT 컴플라이언스 요구 확대
최근‥전자금융거래‥안전성‥확보를‥위해‥IT‥컴플라이언스‥요구가‥확대되는‥양상을‥보인
다.‥IT‥컴플라이언스란‥기업의‥리스크‥관리와‥업무연속성,‥투명성‥강화를‥위해‥강제적‥또
는‥자율적으로‥각종‥규제를‥준수하는‥활동을‥지칭한다.‥앞서‥살펴본‥전자금융거래법‥개정‥
추진은‥물론,‥가칭‥악성프로그램‥확산‥방지‥등에‥관한‥법률(일명‥좀비PC법),‥개인정보보
호법‥제정‥추진과‥같은‥법률‥정비,‥금융‥정책·감독‥당국의‥각종‥지침·대책‥발표‥등이‥이
러한‥예이다.‥
우선‥지난‥7.7‥DDoS‥대란으로‥인해‥좀비PC에‥대한‥관심이‥고조되면서‥컴퓨터‥등‥정보
처리장치‥자체에‥대한‥법적‥규제장치가‥미흡하다는‥지적이‥제기되었고,‥이에‥좀비PC법‥제
정‥움직임이‥본격화되고‥있다.‥동‥법률은‥컴퓨터‥등‥정보처리장치가‥악성프로그램으로부
터‥공격받거나‥공격기지로‥악용되는‥것을‥방지하기‥위한‥목적으로,‥<표8>과‥같은‥내용을‥
포함하고‥있다.‥‥
‥
<표8> 가칭 악성프로그램 확산 방지 등에 관한 법률(안)의 주요 내용
-‥침해사고‥예방‥및‥대응을‥위한‥민관협력체계‥마련
-‥컴퓨터‥보안프로그램‥보급‥확산
-‥소프트웨어의‥보안‥취약점‥보완
-‥악성프로그램‥정기점검‥의무화‥및‥삭제‥명령
-‥좀비PC‥등에‥대한‥ISP의‥접속‥제한‥등
-‥접속경로의‥차단‥및‥DNS‥sinkhole주)‥적용
-‥침해사고‥원인분석을‥위한‥사용자‥컴퓨터‥등‥접속‥요청
-‥보안프로그램‥긴급‥배포
-‥침해사고‥신고‥및‥포상금‥지급
-‥손해배상책임의‥감경
-‥보안프로그램‥등의‥목적외‥이용금지
주)‥악성봇을‥조정하는‥조정자를‥탐지하고‥감염된‥PC와‥조정자간의‥접속을‥차단해‥2차‥피해를‥예방하기‥위한‥시스템‥
2009. 10 59
전자금융사고 발생유형 및 대응현황
이‥외에도‥끊임없는‥개인정보‥침해사고에‥대응하기‥위하여‥공공·민간‥공통의‥개인정보
보호원칙·기준‥정비‥및‥개인정보주체의‥권리‥강화를‥내용으로‥하는‥개인정보보호법도‥제
정‥추진‥중에‥있다.‥
법률적‥정비‥이외에도‥다양한‥공격기법에‥신속하게‥대응하기‥위해‥정책·감독‥당국은‥
다양한‥지침·대책을‥강구하고‥있다.‥전자금융‥사고자금‥지급정지제도,‥전자금융사고‥대
응시스템‥구축·운영에‥이어‥2009년‥9월‥감독‥당국은‥기술적‥대응‥역량‥제고·정보보
호‥관리체계‥강화·IT‥감독‥강화·정보보호전문가‥양성을‥골자로‥하는‥금융부문‥DDoS‥
공격대응‥종합대책을‥발표하는‥등‥안전성‥확보‥노력을‥확대해나갈‥것으로‥예상된다.‥다
만,‥이러한‥지침·대책‥수립에‥있어‥특정‥제품을‥의무화하여‥지정하는‥형태보다는‥안전
성‥요건을‥분명히‥함으로써‥업계에서‥동‥요건을‥충족하는‥다양한‥솔루션을‥개발·적용할‥
수‥있는‥환경을‥마련할‥필요가‥있다.‥절대적으로‥안전한‥보안이라는‥것이‥불가능한‥환경
에서‥일방적인‥특정‥솔루션의‥의무화는‥해당‥솔루션에‥대한‥공격‥기술‥등장시‥보안성이‥
현저히‥침해받을‥수‥있는만큼‥다양한‥솔루션이‥상호‥경쟁하여‥발전할‥수‥있는‥환경이‥마
련되어야‥장기적인‥관점의‥안전성‥강화가‥가능하다고‥판단된다.‥해외‥국가들의‥정보보
호‥동향을‥살펴보더라도‥대부분‥금융당국은‥관련‥기술의‥발전방향을‥선도하며‥정보제공
자로서의‥역할을‥수행하고‥개별‥금융기관‥등이‥경영환경에‥맞게‥보안기술을‥선택하는‥양
상을‥보인다47).‥
앞서‥언급한‥일련의‥IT‥컴플라이언스‥요구‥확대는‥전자금융서비스‥산업에서‥정보보호
에‥대한‥투자‥확대를‥통해‥전자금융의‥질적‥성장을‥위한‥제도적‥인프라로‥작용할‥것으로‥
기대된다.‥
4. 신규 채널에서의 전자금융사고 대비
지급결제‥부문의‥경쟁‥심화와‥산업간‥컨버전스‥확대는‥정보통신기술을‥활용한‥다양하고‥
새로운‥매체‥또는‥채널을‥전자금융서비스에‥접목시킴으로써‥전자금융의‥저변‥확대에‥기여
하였다.‥그러나‥이러한‥신규‥매체‥또는‥채널에서는‥효율성·사용자‥편의성·서비스‥차별
화와‥같은‥요소가‥강조될‥뿐‥보안성‥확보가‥상대적으로‥간과됨에‥따라‥이들‥채널에서의‥전
자금융‥사고‥가능성에‥대한‥선제적‥대응이‥요구된다.‥
6월말‥기준‥996만‥등록‥고객을‥보유한‥모바일뱅킹은‥상당한‥수준의‥고객‥저변을‥확보하
47)‥ID,‥비밀번호,‥이체비밀번호와‥별개로‥OTP,‥휴대폰인증,‥ARS인증‥등‥여타‥보조‥보안‥솔루션을‥자율적으로‥적용
하고‥있어‥특정‥보안‥솔루션의‥취약점이‥발생하더라도‥대체‥솔루션으로의‥신속한‥대체‥등이‥가능하다.
60 지급결제와 정보기술
고‥있지만‥대부분이‥공인인증서‥적용없이‥PIN‥정도로만‥인증이‥수행되고‥있다48).‥그러나‥
2009년‥4월‥폐쇄형‥모바일‥표준플랫폼인‥위피(WIPI)의‥의무탑재가‥폐지되는가‥하면,‥개
방형‥OS‥기반의‥스마트폰이‥보급되기‥시작하는‥등‥모바일‥환경이‥변화함에‥따라‥유선인터
넷‥환경에‥견줄만한‥보안성‥강화가‥시급한‥것으로‥판단된다.‥최근‥정책당국이‥모바일뱅킹
의‥안전성‥확보를‥위하여‥공인인증서‥적용을‥위한‥기술규격을‥마련하는‥등‥모바일‥공인인
증서‥보급이‥보다‥탄력을‥받을‥것으로‥예상된다.‥아울러‥휴대폰‥및‥스마트폰에서의‥악성코
드‥창궐49)과‥이로‥인한‥휴대폰‥DDoS‥공격에‥대한‥우려의‥목소리가‥제기되고‥있어‥무선기
기에‥적용될‥다양한‥보안‥프로그램‥개발·보급이‥필요할‥것으로‥판단된다.‥
다음으로‥인터넷전화50)(Voice‥over‥Internet‥Protocol;‥VoIP)‥보급이‥확대51)됨에‥따라‥
인터넷전화‥기반‥텔레뱅킹‥서비스에‥대한‥보안‥이슈가‥제기되고‥있다.‥VoIP‥기술은‥기존
의‥인터넷‥프로토콜을‥이용하는‥만큼‥통화‥내용에‥대한‥도청,‥서비스‥거부‥및‥오용‥공격,‥
세션‥가로채기,‥스팸‥등‥인터넷‥프로토콜이‥갖는‥위협‥요소를‥그대로‥상속한다.‥현재‥일부‥
시중은행이‥자체적인‥도청·해킹‥차단시스템‥구축‥후‥서비스를‥제공52)하고‥있거나,‥우회적
인‥방법으로‥IC칩‥리더기와의‥결합을‥통한‥홈ATM‥서비스53)를‥제공하고‥있다.‥최근‥감독‥
당국은‥국내‥전자금융거래에서‥텔레뱅킹‥비중과‥인터넷전화로의‥인프라‥전환‥추세를‥감안
하여‥인터넷전화‥기반‥텔레뱅킹‥서비스에‥대한‥거래한도‥축소,‥사용자‥인증수단‥강화‥등의‥
보안대책‥마련을‥은행권에‥요구한‥바‥있어‥귀추가‥주목된다.‥‥
이‥외에도‥와이브로,‥IPTV‥등‥다양한‥IT‥매체가‥전자금융거래의‥신규‥채널로‥등장하는‥
만큼‥기술변화를‥주시하되‥선제적인‥대응책을‥강구하는‥정책‥당국과‥업계의‥노력이‥요구
되고‥있다.‥
48)‥현행‥전자금융감독규정은‥모든‥전자금융거래에‥있어‥공인인증서‥사용을‥의무화하고‥있으나‥기술적·제도적으로‥
공인인증서‥적용이‥곤란한‥전자금융거래에‥대해서는‥공인인증서‥의무‥사용의‥예외를‥인정하고‥있다.‥그러나‥2008
년‥국민은행의‥모바일뱅킹‥공인인증서‥도입,‥금융결제원의‥모비싸인(Mobisign)‥서비스‥사례에서‥볼‥수‥있듯이‥휴
대폰‥성능‥개선에‥따라‥공인인증서를‥적용할‥수‥있는‥기술적‥환경은‥마련되었다고‥볼‥수‥있다.‥‥
49)‥2004년‥6월‥‘카비르’라는‥최초의‥스마트폰‥악성코드가‥발견된‥이래‥급속하게‥그‥수가‥증가하여‥현재‥약‥400여‥종
의‥모바일‥악성코드가‥발견된‥것으로‥알려져있다.‥
50)‥인터넷‥프로토콜(IP)을‥이용하여‥음성정보‥등을‥디지털화하여‥전송하는‥기술로,‥기존의‥구리선‥기반의‥아날로그‥공
중전화교환망(Public‥Switched‥Telephony‥Network;‥PSTN)을‥대체할‥차세대‥기술로‥지칭된다.
51)‥방송통신위원회에‥따르면‥인터넷전화‥가입자는‥2009년‥9월‥초‥500만명을‥돌파하는‥등‥기존의‥유선전화를‥빠르게‥
대체하고‥있다.‥‥‥
52)‥국민은행의‥KB‥WISE‥폰뱅킹이‥대표적‥예로,‥거래코드를‥눈으로‥확인하여‥신속한‥거래처리가‥가능한‥음성과‥문
자의‥결합형‥폰뱅킹‥서비스이다.‥
53)‥LCD화면이‥있는‥전용‥인터넷전화‥단말기에‥IC카드‥리더기를‥연결하고‥IC카드를‥삽입하여‥계좌조회·계좌이체·
공과금납부·신용카드‥현금서비스‥등의‥서비스를‥집‥안에서‥이용할‥수‥있다.‥전용‥전화기에‥탑재된‥전용‥어플리케
이션‥및‥보안모듈,‥그리고‥IC카드‥암호화‥방식을‥통해‥보안성을‥확보하였다.‥
2009. 10 61
전자금융사고 발생유형 및 대응현황
Ⅴ. 맺으며
전자금융거래의‥위협요소와‥보안의‥관계를‥흔히들‥창과‥방패의‥모순이라고‥말한다.‥서로
를‥극복해내기‥위하여‥끊임없이‥새로운‥시도가‥이어지기‥때문이다.‥그만큼‥완벽한‥보안이
라는‥것은‥사실상‥거의‥불가능하다고도‥볼‥수‥있다.‥다만,‥사전적·사후적‥대책을‥모색하
여‥발생가능성‥및‥피해를‥최소화하려는‥노력이‥요구되는‥것이다.‥
전자금융거래가‥확대될수록‥사고‥발생‥가능성‥및‥피해‥규모는‥지속적으로‥증가할‥것이
다.‥시스템‥자체의‥안정성‥문제에‥기인한‥장애사고는‥관련‥산업의‥자율‥및‥강제적‥규제에‥
따른‥투자로‥상당‥부분‥선제적‥대응이‥이루어지고‥있는‥반면,‥불특정‥다수를‥겨냥한‥악의
적‥주체가‥금전적‥이익을‥위하여‥지능적으로‥일으키는‥전자금융사고는‥이제‥범죄의‥수준
에‥이르고‥있다‥해도‥과언이‥아니다.‥따라서‥이‥같은‥전자금융‥사고‥위협에‥효과적으로‥대
응하기‥위해서는‥정부·기업·개인의‥노력이‥병행될‥필요가‥있다.‥우선‥보안은‥경제주체
의‥자율적‥노력만으로‥유지되기‥어려운‥속성을‥갖는‥만큼‥정책·감독‥당국이‥제도‥및‥인프
라에‥대한‥가이드라인의‥정비·보완을‥견인하되,‥다양한‥보안‥솔루션이‥개발·적용될‥수‥
있는‥유연성‥있는‥정보보호‥환경을‥마련해야‥한다.‥또한‥금융기관‥및‥전자금융업자는‥보안‥
이슈가‥기업의‥차별화‥및‥경쟁‥우위요소로‥작용할‥수‥있는‥대외‥환경‥변화를‥직시하고,‥지
능화·전문화되어가는‥공격자‥집단에‥대응할‥수‥있는‥전문가를‥양성하는‥한편,‥업계‥상호
간‥유기적‥공조체계를‥기반으로‥하는‥정보‥공유‥및‥공동‥대응능력을‥배양할‥필요가‥있다.‥
아울러‥사용자는‥수동적‥주체가‥아닌‥능동적‥주체로서‥보안을‥생활화하는‥등‥인식‥및‥행
동의‥전환이‥필요하다.‥
전자금융거래가‥그동안‥눈부신‥양적‥성장을‥거듭해왔다면,‥최근의‥잇따른‥정보보호‥문
제는‥전자금융거래의‥질적‥성장을‥위해‥거쳐야‥하는‥단계라고‥생각된다.‥이러한‥과정을‥정
부·기업·개인의‥일관된‥노력을‥통해‥지혜롭게‥극복하여‥안전성과‥효율성이‥조화를‥이룬‥
성숙한‥전자금융‥환경이‥정착될‥수‥있기를‥기대해본다.
62 지급결제와 정보기술
<참 고 문 헌>
[1]‥공인인증서‥이용관리의‥안전성‥확보대책,‥행정안전부,‥2009.‥8
[2]‥김성웅,‥인터넷뱅킹시스템‥보안‥위협‥및‥대응기술,‥지급결제와‥정보기술‥제17호,‥
2004.‥6
[3]‥이문주,‥전자금융거래의‥정보보호‥이슈분석‥및‥안전성‥제고‥방안,‥지급결제와‥정보
기술‥제28호,‥2007.‥4
[4]‥임종인,‥금융정보보호의‥향후‥과제,‥2009.‥9
[5]‥장종수,‥DDoS‥공격‥및‥대응‥기법‥분류,‥한국전자통신연구원,‥2009.‥9
[6]‥전자금융감독규정‥해설,‥금융감독원,‥2007.‥12
[7]‥전자금융의‥발전과‥정보보호의‥도전,‥금융감독원,‥2009.‥8.‥21
[8]‥전자금융의‥편의성과‥금융사기‥방지대책,‥한국은행,‥2009.‥4.‥3
[9]‥전자금융사기(보이스피싱)‥대응책의‥현황‥및‥개선방안,‥국회입법조사처,‥2009.‥8.‥21
[10]‥조성인‥외‥2인,‥새로운‥전자금융거래법에서의‥전자금융사고‥대응‥방안에‥대한‥연
구,‥2008.‥12
[11]‥home.atnlab.com
[12]‥www.boannews.com
[13]‥www.boho.or.kr
[14]‥www.bok.or.kr
[15]‥www.fsc.go.kr
[16]‥www.fss.or.kr
[17]‥www.kias.or.kr
[18]‥www.kisa.or.kr