fds산업포럼 발족식 발표자료 구태언...
TRANSCRIPT
테크앤로법률사무소 / 서울 종로구 종로 1 교보생명빌딩 15층 / 전화 02-2010-8840 / 팩스 02-2010-8985 / [email protected]
구 태 언[email protected]
테크앤로법률사무소 대표변호사
개정 전자금융거래법의 이해와 FDS 대응 전략
연사 소개
구 태 언 변호사
제34회 사법시험 합격, 사법연수원 제24기 수료
서울중앙지방검찰청 첨단범죄수사부 검사
김앤장법률사무소 변호사 (정보보호·부정조사 팀장)
안전행정부·방송통신위원회·개인정보보호위원회·미래창조과학부·대검찰청디지털수사·특허정보원 영업비밀보호센터 등 자문변호사
금융보안연구원 금융보안거버넌스자문위원회 위원(2014-)
금융감독원 금융감독자문위원회(금융IT분과) 위원(2014-)
2013 개인정보보호대상 수상, 2012 정보보호대상 수상
테크앤로 법률사무소 대표변호사
Santa Clara University Law School (Visiting Scholar)
고려대학교 법과대학 (법학사), 고려대학교 정보보호대학원 (공학석사)
금융위원회의 금융규제∙제도의 개선∙지원 추진
전자금융거래의 핵심인 전자상거래 분야에 집중하여 관련 제도의 개선을 추진
14. 5. 20.전자상거래 카드결제시 공인인증서 사용의무 폐지
14. 7. 28., 9.23.전자상거래 결제 간편화 방안 마련 발표
14. 9. 30.전자금융거래상 특정 기술 및 인증방법 강제금지(전자금융거래법 일부개정)
14. 10. 1.카드정보저장 지급결제대행업체(PG) 기준 발표(여신협회) 등
전자금융거래법 개정 내용과
금융회사의 책임
일정규모이상대형금융회사및전자금융업자인경우정보보호최고책임자
의겸직제한
전자금융보조업자가업무를제3자에게재위탁하는것을원칙적으로금지
정보보호및 IT보안의중요성을감안하여형벌등의제재수준을상향조정
징벌적과징금제도도입
금융회사가자율적으로금융보안수단을결정할수있게함
이용자의선택에따른전자자금이체의지급효력지연조치의의무화
보존기간이경과한전자금융거래기록에대한파기의무부여
전자금융거래법 일부개정법률안 제안 이유
개정 전자금융거래법 주요 내용(2014. 10. 15.)
지급 효력 지연조치의 의무화
• 전자적 장치를 이용한 실시간 자금이체 시 착오 등에 따라 의도하지 않은 계좌에 잘못 이체한
경우 이를 돌려받기 위한 절차의 어려움을 감안하여, 이용자가 원하는 경우 전자자금이체의 거
래지시를 하는 때로부터 일정 시간이 경과한 후 지급 효력이 발생하도록 하는 조치를 금융회사
등이 취하도록 의무화함(제13조제2항 신설, 시행일 : 2015.10.16.).
공인인증서외 자율적보안수단결정
• 공인인증서 사용을 강제하는 근거로 작용할 수 있는 규정을 보완하여 금융회사가 자율적으로
금융보안 수단을 결정할 수 있도록 함(제21조제2항 및 제3항, 시행일 : 2015. 4. 16.)
불필요한 거래기록 파기
• 전자금융거래기록이 불필요하게 되는 경우에는 이를 파기(신용정보는 「신용정보의 이용 및 보
호에 관한 법률」의 규정에 따름)하도록 함(제22조제2항, 시행일 : 2015. 4. 16.).
정보보호최고책임자 겸직제한
• 총자산, 종업원 수 등을 감안하여 일정규모 이상의 대형 금융회사 또는 전자금융업자의 경우 정
보보호최고책임자의 겸직을 제한함으로써 전자금융업무 및 정보기술부문 보안의 독립성과 책
임성을 확보함(제21조의2제3항 신설, 시행일 : 2015. 4. 16.).
개정 전자금융거래법 주요 내용(2014. 10. 15.)
제3자에 대한 업무위탁 금지
• 정보기술 부문의 정보보호 관련 업무를 위탁받은 전자금융보조업자는 전자금융거래정보의 보
호 및 안전한 처리를 저해하지 아니하는 범위 내에서 금융위원회가 인정하는 경우를 제외하고
는 해당업무를 제3자에게 재위탁하는 것을 금지함(제40조제6항 신설, 시행일 : 2015. 4. 16.).
거래정보의 목적 외 사용시 과징금 부과
• 전자금융거래정보를 제공․누설하거나 업무상 목적 외에 사용한 경우에 대한 과징금(50억원 이
하) 부과규정을 신설함(제46조제1항 신설, 시행일 : 2015. 4. 16.).
정보를 타인에게 제공/누설 또는 목적 외 사용행위에 대한 벌칙 강화
• 접근권한을 가지지 아니한 자의 데이터 유출 행위 및 전자금융거래업무를 수행함에 있어 알게
된 정보를 타인에게 제공‧누설하거나 업무상 목적 외에 사용하는 행위에 대한 벌칙(10년 이하
의 징역 또는 1억원 이하의 벌금)을 강화함(제49조제1항, 시행일 : 2015. 4. 16.).
안전성/신뢰성 확보 의무 미이행시 과태료 부과
• 금융회사 등이 전자금융거래의 안전성과 신뢰성을 확보하기 위한 의무를 이행하지 않을 경우
등에 대한 과태료(5천만원 이하) 부과규정을 신설함(제51조제1항, 시행일 : 2015. 4. 16.).
개정 전자금융거래법 주요 내용(2014. 10. 15.)
전자금융거래법 제9조의 손해배상책임
금융회사 또는 전자금융업자의 손해배상책임 근거 조항
제9조(금융회사 또는 전자금융업자의 책임)
① 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 사고로 인하여 이용자에게
손해가 발생한 경우에는 그 손해를 배상할 책임을 진다.
1. 접근매체의 위조나 변조로 발생한 사고
2. 계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고
3. 전자금융거래를 위한 전자적 장치 또는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」
제2조제1항제1호에 따른 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득
한 접근매체의 이용으로 발생한 사고
• 제9조 제1항 제3호 전자금융거래를 위한 전자적 장치 또는 정보통신망에 침입하여 거짓이나
그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고(개인정보유출, 피싱, 파밍,
공인인증서 도용, 메모리 해킹 등)가 추가되어 금융기관의책임범위가확대
전자금융거래법 제9조의 손해배상책임
금융회사 또는 전자금융업자의 면책 또는 감경 조항
제9조(금융회사 또는 전자금융업자의 책임)
② 제1항의 규정에 불구하고 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 경
우에는 그 책임의 전부 또는 일부를 이용자가 부담하게 할 수 있다.
1. 사고 발생에 있어서 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를
이용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결한 경우 (중략)
③ 제2항 제1호의 규정에 따른 이용자의 고의나 중대한 과실은 대통령령이 정하는 범위 안에서 전자
금융거래에 관한 약관(이하 "약관"이라 한다)에 기재된 것에 한한다.
• 이용자의 고의나 중대한 과실이 있으면 금융회사의 책임을 감면하는 규정
• 시행령 : ‘이용자의 컴퓨터가 해킹 등 사고로 인하여 접근매체가 외부에 유출’됨에 따라 발생한
손해도 이용자의 고의/중대한 과실이 없으면 금융회사가 책임
• 금융회사 또는 전자금융업자에대한 무과실 책임에 준하는 엄격한책임
개인정보 유출 사고
2013. 3.
2013. 4.
2013. 5.
2013. 11.
2014. 1.
2014. 3.
3.20 전산대란방송국, 은행 전산망 마비정보유출규모 확인 불가
IBK직원 정보유출 적발고객 8,000여명의
신용정보, 개인정보 유출시도
손보사 개인정보 유출한화손보 고객 16만 명메리츠화재 고객 16만 명
은행 대출정보 유출한국SC은행 103,000건한국씨티은행 34,000건
카드3사 유출사건총 1억 400만 건집단소송 중
해킹프로그램1,200만 건 유출 후텔레마케팅 업체에 판매
2차 피해 사례 확인
금융회사 또는 전자금융업자의 책임
책임의 증가
• 개인정보 유출 사고의 규모/빈도는 계속 증가하는 추세
금융회사등의 책임성 강조
• 2015. 4. 16. 시행 전금법은 금융회사가 공인인증서 이외의 보안수단을 자율적으로
결정할 수 있게 함
금융기관등에부여된자율성만큼법적책임역시증가
• 금융기관은 피해자의 고의/중과실이 있는 경우 면책 가능(전자금융거래법 제9조)
고의/중과실은 대통령령에 규정된 것에 한정되므로, 규정 형식상 금융기관 등의
책임은이미무과실책임에 가까움
체계적인 이상금융거래 탐지시스템의 구축 필요성 대두
이상금융거래 탐지시스템과
기술적, 법률적 대응
FDS 개요
컴퓨팅 운영환경과 보안위협
시스템 콜 인터페이스(System call interface)
인증기술
암호통신 전자서명
키보드보안
백신
방화벽
피싱탐지
전자금융서비스프로그램
운영시스템커널
악성코드
악성코드
취약성(Exploitabl
e Flow)
PC환경
SW보안
모바일환경
???
FDS 개요
FDS 수집 정보의 유형
금융거래유형정보
•거래정보(거래패턴, 거래성향등)
사고유형정보
•유관기관•국내외동향수집
•악성코드분석(포렌식조사, 분석)
이용자매체환경정보
•인터넷뱅킹•스마트폰뱅킹
•PDA/VM뱅킹
FDS 개요
수집 정보 : 이용자 프로파일
이용자프로파일이용자정보
거래정보
장치정보
거래금액 거래시간 …
……
성별
나이
위치
MAC
이용자의 환경 및 거래 유형 정보 등을 일정기간 이상 수집/축적하여 이용자 전자금
융거래 특징을 통계적으로 작성한 정보
FDS 개요
FDS 도입
사용자 구간에 집중된 보안 대책의 한계
계층적 보안(Layered Security) 방안으로 부정거래 모니터링 필요
실시간 분석을 통해 고객의 금융거래(Transaction) 내역 보호 필요
정보수집 정보가공 정보축약 부정행위분석탐지
보고조치
모니터링단계
탐지단계
대응단계
FDS 구성 및 주요 기능
FDS 구성 요소 및 주요 기능
다양하게 수집된 정보를 종합적으로 분석하여 이상금융거래 유무를 판별
4가지 기능(정보 수집, 분석 및 탐지, 대응, 관리/운영 및 감사)이 상호 호환 또는 연
동되도록 구성
전자금융거래 사고에 대한 기술적/관리적 대응
전자금융거래의 사고 분석∙대응
• 이상금융거래 탐지시스템(FDS) 등 보안시스템을 이용하여 사고의 사전 예방
• 제출할 증거를 검증하기 위한 디지털 포렌식
• 보안시스템(FDS, PC지정, 보안관제 등)의 로그 분석
• 기술적 원인 분석, 관리적 책임주체, 피해액 등을 감정하는 사고 분석 ‘감정서’ 작성
• 증적 정보 채증, 사고분석, 감정, 법률자문, 기술지원 등의 통합적 대응
평소 지속적으로 전자금융보호를 위한 관리∙감독 여부가 핵심
• 사고발생 전 관리감독 정책&프로그램 준비
• 사고를 적절히 방지할 수 있는 프로그램
• 계열사의 규모와 정서를 고려하여 각종 교육 등으로 공식화
• 관리감독 수준은 관련업계의 기준을 충족 또는 능가하여야 함
• 지속적으로 충실하게 집행, 업데이트
탈 공인인증서 및 안전한 본인인증 방법 필요
• 정보통신망법은 이미 이용자의 주민등록번호를 사용하지 아니하고 본인을 확인하는
대체수단을 도입
• 금융회사의 경우는 휴대폰 인증 등의 방법을 사용
• 신용카드 본인인증의 법적 효력 부여 필요
• 실물카드의 발급 시 카드 배송직원이 신분증의 발급기관(운전면허증), 발급날짜
(주민등록증) 등의 추가적인 정보를 수집하여 본인 확인
• 카드번호, 유효기간, CVC값 및 비밀번호의 앞 2자리 입력으로 본인 인증을 받
는 경우 상대적 안전성
• 여신전문금융업법 또는 전자금융거래법을 개정하여 본인인증(부인방지) 효력을
부여할 필요(신용카드회사의 인증기관화)
• NFC 장착 신용카드의 인증 및 결제방법 등이 개발될 경우 간편하면서도 어떤
결제방법보다 안전한 전자금융결제 가능
전자금융거래 사고에 대한 기술적/관리적 대응
개정 법령에 대한 대응
• CISO의 겸직 제한 및 회사 조직의 재구성
• 안전성/신뢰성 확보 방안 강구
• 원칙적 제3자에 대한 업무위탁 금지
전자금융거래 사고에 대한 법률적 대응
손해배상책임에 대한 대응
• 사실상 금융회사등은 무과실책임에 준하는 책임 부담
• 공인인증서 외의 인증수단을 자율적으로 활용할 수 있는 반면, 그에 대한 책임 부담
기술적/관리적 대응을 통한 사전 예방이 곧 법률적 대응
개인정보 관련 법령의 개정 필요성
• FDS의 원활한 운용은 금융거래 정보, 이용자 정보, 디바이스 정보, 위치 정보 수집
이 전제
• 현행 개인정보 보호법, 위치정보보호법, 정보통신망법 등에서는 정보의 수집을 제한
전자금융거래법상 금융회사등의 의무를 이행할 수 있도록 정보 수집 관련
법령의 통일적인 개정이 필요
개인정보 등의 활용에 관한 입법적 제언
감사합니다
테크앤로법률사무소 / 서울 종로구 종로 1 교보생명빌딩 15층 / 전화 02-2010-8840 / 팩스 02-2010-8985 / [email protected]
구 태 언테크앤로법률사무소 대표변호사