금융보안 침해사고 유형 분석 금융회사 등 기업들이 유의해야 할 정보보호 컴플라이언스 전략

1. 2014. 9. 구태언대표변호사테크앤로법률사무소contact@teknlaw.com

2. 제8회금융정보보호컨퍼런스
강사소개
구태언변호사
제34회사법시험합격, 사법연수원제24기수료
서울중앙지방검찰청첨단범죄수사부검사
김앤장법률사무소변호사(정보보호·부정조사팀장)
안전행정부·방송통신위원회·개인정보보호위원회·미래창조과학부·대검찰청디지털수사·특허정보원영업비밀보호센터등자문변호사
금융보안연구원금융보안거버넌스자문위원회위원(2014-)
금융감독원금융감독자문위원회(금융IT분과) 위원(2014-)
2013 개인정보보호대상수상, 2012 정보보호대상수상
테크앤로법률사무소대표변호사
Santa Clara University Law School (Visiting Scholar)
고려대학교법과대학(법학사),고려대학교정보보호대학원(공학석사)

3. 제8회금융정보보호컨퍼런스

4. 제8회금융정보보호컨퍼런스
최근금융보안사고의4대유형
4대
금융보안사고
1
2
3
4
전자금융거래법상명의도용
전자금융거래법상전산망침해
개인정보보호법령상개인신용정보유출
개인정보보호법령상개인신용정보의오남용
►전자금융거래법제9조위반
►접근매체의위조, 변조및도용으로발생한사고
►계약체결또는거래지시의전자적전송이나처리과정에서발생한금전적사고(단, 금융회사의부주의에의하여발생한사고)
►전자금융감독규정제3장(전자금융거래의안전성확보및이용자보호) 제4절(정보기술부문)위반
►해킹등으로인하여고객정보가유출된경우
►법령이나개인정보처리자의자유로운의사에의하지않고, 정보주체의개인정보에대하여개인정보처리자가통제를상실하거나또는권한없는자의접근을허용한것
►표준개인정보보호지침제26조각호
►내부∙수탁사∙대리점직원들에의한개인정보의오남용
►한두건씩정상적인업무의일환으로개인정보를조회하는것처럼꾸며개인정보를유출
►법적합성관점에서최초수집시의목적, 보유및이용기간을벗어난개인정보의처리
최근새롭게부각되는금융보안영역
전통적금융보안영역

5. 제8회금융정보보호컨퍼런스
점점늘어나는개인정보유출사고
2013. 3.
2013. 4.
2013. 5.
2013. 11.
2014. 1.
2014. 3.
3.20 전산대란
방송국, 은행전산망마비
정보유출규모확인불가
캐피탈고객대출정보유출
고객34,000여명의
신용정보, 개인정보유출
손해보험사고객정보유출
H손보고객15만명
M화재고객16만명
시중은행고객대출정보유출
A은행103,000건
B은행34,000건
카드3사고객(신용)정보유출
총1억400만건
집단소송중
이동통신사고객정보유출
1,200만건유출후
텔레마케팅업체에판매
2
4
4
3
3
4

6. 제8회금융정보보호컨퍼런스
개인정보보호법령상개인신용정보유출
신용카드3사개인정보유출사례

7. 제8회금융정보보호컨퍼런스
접근매체위변조등에의한금전사고
앱카드명의도용사고
•안드로이드폰이용카드고객에게서스미싱을통해개인정보와인증서정보를빼내고이를아이폰용으로개발된앱카드앱에서구현된본인인증의허점을이용
•아이폰에서앱카드를도용하여발급받아게임사이트에서게임머니결제를통해현금화

8. 제8회금융정보보호컨퍼런스

9. 제8회금융정보보호컨퍼런스
전자금융거래법상명의도용민사책임
금융회사또는전자금융업자의손해배상책임근거조항
제9조(금융회사또는전자금융업자의책임)
①금융회사또는전자금융업자는다음각호의어느하나에해당하는사고로인하여이용자에게손해가발생한경우에는그손해를배상할책임을진다.
1.접근매체의위조나변조로발생한사고
2.계약체결또는거래지시의전자적전송이나처리과정에서발생한사고
3.전자금융거래를위한전자적장치또는「정보통신망이용촉진및정보보호등에관한법률」 제2조제1항제1호에따른정보통신망에침입하여거짓이나그밖의부정한방법으로획득한접근매체의이용으로발생한사고
•제9조제1항제3호전자금융거래를위한전자적장치또는정보통신망에침입하여거짓이나그밖의부정한방법으로획득한접근매체의이용으로발생한사고(개인정보유출,피싱,파밍,공인인증서도용,메모리해킹등)가추가되어금융기관의책임범위가확대되었음
1

10. 제8회금융정보보호컨퍼런스
금융회사또는전자금융업자의면책또는감경조항
제9조(금융회사또는전자금융업자의책임)
②제1항의규정에불구하고금융회사또는전자금융업자는다음각호의어느하나에해당하는경우에는그책임의전부또는일부를이용자가부담하게할수있다.
1.사고발생에있어서이용자의고의나중대한과실이있는경우로서그책임의전부또는일부를이용자의부담으로할수있다는취지의약정을미리이용자와체결한경우(중략)
③제2항제1호의규정에따른이용자의고의나중대한과실은대통령령이정하는범위안에서전자금융거래에관한약관(이하"약관"이라한다)에기재된것에한한다.
•전자금융거래법은이용자의고의나중대한과실이있으면금융회사의책임을감면하는규정을두고,이용자의고의나중대한과실의범위를하위의대통령령이정하는형식을취함
전자금융거래법상명의도용민사책임
1

11. 제8회금융정보보호컨퍼런스
금융회사또는전자금융업자의면책또는감경조항
시행령제8조(고의나중대한과실의범위)법제9조제3항에따른고의나중대한과실의범위는다음각호와같다.
1.이용자가접근매체를제3자에게대여하거나그사용을위임한경우또는양도나담보의목적으로제공한경우
2.제3자가권한없이이용자의접근매체를이용하여전자금융거래를할수있음을알았거나쉽게알수있었음에도불구하고접근매체를누설하거나노출또는방치한경우
3.금융회사또는전자금융업자가법제6조제1항에따른확인외에보안강화를위하여전자금융거래시요구하는추가적인보안조치를이용자가정당한사유없이거부하여법제9조제1항제3호에따른사고가발생한경우
4.이용자가제3호에따른추가적인보안조치에사용되는매체·수단또는정보에대하여다음각목의어느하나에해당하는행위를하여법제9조제1항제3호에따른사고가발생한경우
가.누설·노출또는방치한행위
나.제3자에게대여하거나그사용을위임한행위또는양도나담보의목적으로제공한행위
•제3호,제4호를신설하여금융회사또는전자금융업자의면책또는감경범위를넓힘
전자금융거래법상명의도용민사책임
1

12. 제8회금융정보보호컨퍼런스
금융회사또는전자금융업자의행정책임
금융회사의부주의에의하여발생한사고
•금융회사의부주의로발생한접근매체위조,변조및도용으로발생한사고,해킹에의한고객정보유출등이발생하였을때기관주의및임직원에대한주의적경고이상의제재를받을수있음
금융기관검사및제재에관한규정시행세칙제46조(임직원등에대한제재기준)
②금융실명법을위반한행위등특정위법․부당행위에대한제재는별표3의금융업종별․위반유형별제재양정기준에의한다.다만,제1항등여타제재기준을참작하여제재를가중하거나감경하는등제재수준을정할수있다.<개정2010.1.5,2010.8.312014.7.23.>
[별표3]1-4.IT관련법규위반행위1.제재대상<개정2014.7.23.>
◦「전자금융거래법」,「전자금융감독규정」및동규정시행세칙을위반한행위
가.IT사고중다음유형에해당하는사고가발생한경우
•유형2:(접근매체위변조등에의한금전사고:「전자금융거래법」제9조위반)(단,금융회사의부주의에의하여발생한사고에한함)
•유형4:(해킹에의한고객정보유출:「전자금융감독규정」제4절위반)
2
1

13. 제8회금융정보보호컨퍼런스
금융회사및전자금융업자의사고보고의무
전자금융감독규정제73조의중대한사고
전자금융거래법제39조(감독및검사)
②금융감독원장(「금융위원회의설치등에관한법률」제29조제1항의규정에따른"금융감독원장"을말한다.이하같다)은제1항의규정에따른감독을위하여필요한때에는금융회사또는전자금융업자로하여금그업무및재무상태에관한보고를하게할수있다.
전자금융감독규정제73조(정보기술부문및전자금융사고보고)
①금융회사및전자금융업자는다음각호와관련된중대한사고가발생한경우에는지체없이금융위원회및금융감독원장에게보고하여야한다.
3.전자적침해행위로인해정보처리시스템에사고가발생하거나이로인해이용자가금전적피해를입었다고금융회사또는전자금융업자에게통지한경우<개정2013.12.3>
4.법제9조제1항의규정에서정하는사고
전자금융감독규정시행세칙제12조(정보기술부문사고보고)
①금융회사및전자금융업자는규정제73조에따른정보기술부문및전자금융사고가발생한경우별지제2호서식에따라즉시보고하여야한다.<개정2014.3.31>
2
1

14. 제8회금융정보보호컨퍼런스
개인정보보호법령상개인(신용)정보유출책임
3
•개인정보취급자에의한해킹(본사직원및수탁업체직원여부불문)
-기업은사용자책임및형사책임발생
-민사책임:입증책임의전환으로기업이승소하기곤란
-형사책임:기술적/관리적보호조치위반으로형사처벌가능성이높음
•개인정보취급자가아닌자에의한해킹
-민사책임:사용자책임이인정될가능성이아주높음
-형사책임:기술적/관리적보호조치위반으로평가받을가능성이아주높음
내부자에의한
해킹
민사책임
•사용자책임–본사직원및수탁업체직원포함(정통망법25조5항)
•입증책임의전환(정통망법32조)–기업이고의/과실이없음을입증해야
•제공받은제3자에의한침해
-본사가적정하게개인정보를제공하였는지가책임발생의관건
형사책임
•고의에의한행위자는행위책임으로서본인이형사처벌을받게됨
•입건대상자는기업의개인정보담당임직원(개인정보관리책임자에국한되지않음)
•기술적/관리적보호조치위반에의한침해로평가될경우“부작위”가처벌되는결과
기업의책임

15. 제8회금융정보보호컨퍼런스
개인정보보호법령상개인(신용)정보오남용책임
4
본사직원에의한침해
•수집,이용,제공,파기,보존단계별관련법규위반시
수탁업체에의한침해
•본사를위해개인정보를처리하는과정에서관련법규위반시
업무처리
과정에서
개인정보침해
민사책임
•사용자책임–본사직원및수탁업체직원포함(정통망법25조5항)
•입증책임의전환(정통망법32조)–기업이고의/과실이없음을입증해야
•제공받은제3자에의한침해
-본사가적정하게개인정보를제공하였는지가책임발생의관건
형사책임
•고의에의한행위자는행위책임으로서본인이형사처벌을받게됨
•법률의부지는정당한변명이되지않음
•입건대상자는기업의개인정보담당임직원(개인정보관리책임자에국한되지않음)
•기술적/관리적보호조치위반에의한침해로평가될경우“부작위”가처벌되는결과
기업의책임

16. 제8회금융정보보호컨퍼런스
수탁자의정보유출∙오남용시위탁자의법적책임
민사책임
•직원(수탁자포함)의개인정보침해시위탁자의사용자책임발생(민법상부진정연대책임)
•입증책임의전환(개인정보보호법제39조,정보통신망법32조)–회사가고의∙과실이없음을입증해야
•집단소송에따른거액의손해배상책임부담(한국소비자원의집단분쟁조정절차개시,개인정보분쟁조정위원회의조정절차개시등)
•회사는민법제756조제3항또는계약을근거로수탁자에게구상청구가능
•국가를피고로하여국가배상을구하는경우도발생(감독부실책임)
4
3
형사책임
•수탁자의암호화의무등보호조치고시위반등일정한경우형사책임의발생
•양벌규정으로인한수탁자의형사책임발생및벌금의부과
•사안에따라위탁자도부작위에의한공범또는방조범으로형사처벌가능성

17. 제8회금융정보보호컨퍼런스
수탁자의정보유출∙오남용시위탁자의법적책임
행정책임
기관에대한조치(카드3사의경우)
•업무일부정지3개월
-「여신전문금융업법」상신용카드회원등이용자정보의대량유출
-정지업무:신용카드업무및부대업무의일부정지
-정지기간:2014.2.17.~2014.5.16.(3개월)
•과태료600만원부과
-「신용정보의이용및보호에관한법률」상과태료부과대상인신용정보전산시스템에대한안전보호대책수립및운용소홀
임직원에대한조치
•임원에대한제재관련규정:여신전문금융업법제53조,금융기관검사및제재에관한규정제18조
-감독원장은금융기관의임원이제재사유가있는경우에는해임권고및업무집행정지에해당하는조치를취할것을금융위에건의하여야하며,문책경고,주의적경고,주의에해당하는조치를취할수있음(규정제18조)
•직원에대한제재관련규정:금융기관검사및제재에관한규정제19조,동규정시행세칙제45조
-감독원장은검사결과금융기관의직원이제재사유에해당되는위법∙부당행위를한사실을적출한경우에는당해기관의장에게이를통보하여조치대상자및수준을적의결정하여조치하도록의뢰(이하‘조치의뢰사항’)할수있음(시행세칙제45조제2항)
4
3

18. 제8회금융정보보호컨퍼런스
앱카드명의도용사고시법적책임
신용카드부정사용시법적책임(민사책임)
•신용카드업자는부정한방법으로얻은신용카드의정보를이용한신용카드의사용에대한민사책임을부담
-전자금융거래를위한전자적장치에침입하여거짓이나그밖의부정한방법으로획득한접근매체의이용으로발생한사고(개인정보유출,피싱,파밍,공인인증서도용,메모리해킹등)로이용자에게발생한손해에대해책임을부담
-‘신용카드회원등의고의또는중대한과실을증명’하여야그책임의전부또는일부를신용카드회원이지도록할수있으므로사실상신용카드회사가모든책임을부담
-결제대행업체(PG社)는신용카드가맹점에해당하고,‘신용카드가맹점의고의또는중대한과실을증명”하여야그손실의전부또는일부를신용카드가맹점이부담하도록할수있으므로사실상신용카드회사가모든책임을부담
출처: ‘최근지급카드이용현황및주요과제’, 한국은행, 2014. 8.
1

19. 제8회금융정보보호컨퍼런스
앱카드명의도용사고시법적책임
신용카드부정사용시법적책임(형사책임)
•개인정보의수탁자인PG사에대한관리감독의무
•수탁자의암호화의무등보호조치고시위반등일정한경우형사책임의발생
•양벌규정으로인한수탁자의형사책임발생및벌금의부과
•사안에따라위탁자도부작위에의한공범또는방조범으로형사처벌가능성
-수탁자로게재될결제대행업체(PG社)가개인(신용)정보보호등안전성확보조치를소홀히하였다는사정을알면서도이에대한관리∙감독의무를해태한경우또는특정범죄행위와관련하여공동정범내지방조범의지위가인정되는경우예외적으로형사책임(공범)이인정될수있음
-최근PG사에대한IT부문검사에서나이스정보통신㈜,㈜모빌리언스,케이아이비넷㈜이가맹점관리시스템보안대책,전산자료유출방지대책,프로그램변경통제절차,네트워크접근통제방법불합리등을이유로개선권고를받은바있음
1

20. 제8회금융정보보호컨퍼런스
앱카드명의도용사고시법적책임
신용카드부정사용시법적책임(행정책임)
•신용카드업자는금융회사의부주의로발생한접근매체위조,변조및도용으로발생한사고등에대해기관주의및임직원에대한주의적경고이상의제재부담
-「금융기관검사및제재에관한규정」제17조,제18조및같은규정시행세칙제46조제2항[별표3]1-4.IT관련법규위반행위중유형2.의금융회사의부주의로발생한접근매체위조,변조및도용으로발생한사고,계약체결또는거래지시의전자적전송이나처리과정에서발생한금전적사고등이발생한경우사고금액에따라기관주의및임직원에대항주의적경고이상의제재를받을수있음
1

21. 제8회금융정보보호컨퍼런스
앱카드명의도용사고시법적책임
신용카드부정사용시법적책임(행정책임)
•신용카드업자는가맹점관리에관한의무를위반한경우과징금5천만원또는업무정지3개월의제재를받을수있음
-여신전문금융업법제24조제7호,같은법감독규정제24조의6제3항에따른가맹점관리에관한의무를위반한경우,같은법57조제1항제3호,시행령제21조제1항[별표2]에따라과징금5천만원또는업무정지3개월의제재를받을수있음
-다만,부정거래유형에따라신용카드사의고의또는과실즉,책임있는사고에대하여만책임을부담하게됨
여신전문금융업감독규정제24조의6(가맹점관리사항)
③법제24조제7호에따라신용카드업자는「신용정보의이용및보호에관한법률」제20조제1항에서정하는내부관리규정을마련하고신용카드가맹점으로하여금신용카드등의거래에의해얻은신용카드회원등의제반정보에대한제3자의불법접근또는제3자에게유출되는등의위험에대해처분∙소거또는폐기등기술적∙물리적보안대책을수립하도록하여야한다.
1

22. 제8회금융정보보호컨퍼런스
법정손해배상제도의도입
법정손해배상의청구조항신설(정보통신망법) 에서청구가능:손해액입증부담경감(구체적인금액은법원이결정).징벌적손해배상제도는도입유보:고의또는과실이없었음을입증하여야함
-위법성,인과관계는여전히요구 ①평소기술적∙관리적보호조치에관한이행내역등증적관리필수,②신뢰도제고를위해외부전문가에의한검증필요,③수탁자리스크관리필요
정보통신망법제32조의2(법정손해배상의청구)
이용자는다음각호의모두에해당하는경우에는대통령령으로정하는기간내에정보통신서비스제공자등에게제32조에따른손해배상을청구하는대신300만원이하의범위에서상당한금액을손해액으로하여배상을청구할수있다.이경우해당정보통신서비스제공자등은고의또는과실이없음을입증하지아니하면책임을면할수없다.
1.정보통신서비스제공자등이고의또는과실로이장의규정을위반한경우
2.개인정보가분실·도난·누출된경우
①법원은제1항에따른청구가있는경우에변론전체의취지와증거조사의결과를고려하여제1항의범위에서상당한손해액을인정할수있다.
4
3

23. 제8회금융정보보호컨퍼런스

24. 제8회금융정보보호컨퍼런스
비금융회사의금융결제시장진출
비금융회사에의한전자지급결제서비스성장
•전자지급결제서비스중비금융회사의서비스비중은건수대비62%,금액대비0.5%차지
-금융위는2014.7.28.“전자상거래결제간편화방안”을통해해외의Paypal, Alipay등과같은간편한‘신결제서비스’를도입할수있도록여건을마련하도록함
-카카오페이와같은비금융회사의금융시장진입이확대되는추세
출처: ‘금융IT감독∙검사방향및주요현안사항’, 금융감독원, 2014. 7.

25. 제8회금융정보보호컨퍼런스
전자금융거래시명의도용사고급증예상
최근신용카드도용사고의급증
•2013년카드부정사용은5만6000여건,부정사용액도291억원(2010년대비1.7배증가)
-카드위변조(2만1000건,2010년대비96%증가)
-카드정보도용(2만건,2010년대비276%증가)
•과거는타인의개인정보를도용해실물신용카드를발급받아결제하거나현금을인출하였음
-현재는타인의개인정보를도용해앱카드(앱형모바일카드)를발급받아부정사용을함
-문자메시지에있는인터넷주소를클릭하면악성코드가설치되어개인∙금융정보가빠져나감(스마트폰스미싱방식)
-빼낸개인정보를이용하여다른스마트폰에앱카드를개설하고이를결제에사용
전자상거래결제간편화방안(2014.7.28.)
•전자상거래결제간편화방안의후속조치로다양한결제방법(PG사가카드정보를저장하는방식등)이도입될예정
•간편결제방식은금융회사와전자금융업자의새로운RISK이자개선과제로대두
출처: ‘최근지급카드이용현황및주요과제’, 한국은행, 2014. 8.

26. 제8회금융정보보호컨퍼런스

27. 제8회금융정보보호컨퍼런스
점점더강화되고있는규제환경
신용카드사태이후국회차원관여, 주무부처별규제강화경쟁

28. 제8회금융정보보호컨퍼런스
점점더강화되고있는규제환경
최근개정된관련법령의주요내용
법명
개정일
주요내용
시행일
개인정보
보호법
’13.8.6.
①주민등록번호처리원칙적금지
②주민등록번호가분실등발생시5억원이하의과징금
③안행부장관,대표자,책임있는임원징계권고
’14.8.7.
(6개월간
계도기간)
’14.3.24.
•주민등록번호가분실ㆍ도난ㆍ유출ㆍ변조또는훼손되지아니하도록암호화조치
’16.1.1.
정보통신망법
’14.5.2.
①개인정보유출기업처벌강화
②개인정보관련법정손해배상제도도입
③개인정보누출시신고, 통지강화
④개인정보사전유출방지및파기조치강화
⑤영리목적의광고성정보전송제한
’14.11.29.

29. 제8회금융정보보호컨퍼런스
전사적대응체계구축
법적분쟁준비체계수립시고려사항
법령을철저히준수하고이를다하였다는점을잘입증하는것이법률적대응
법위반사실에대해서는인정하나, 법준수를위한충분한노력을입증할경우에는법적책임을감경받을수있음
(참고) 개인정보보호법제39조(손해배상책임)
②개인정보처리자가이법에따른의무를준수하고, 상당한주의와감독을게을리하지아니한경우에는개인정보의분실·도난·유출·변조또는훼손으로인한손해배상책임을감경받을수있음
개인정보처리자등은위법행위를사전에막기위해법령·내규에서정한의무를다하여야함
(참고) 개인정보보호법제29조(안전조치의무)
개인정보처리자는개인정보가분실·도난·유출·변조또는훼손되지아니하도록내부관리계획수립, 접속기록보관등대통령령으로정하는바에따라안전성확보에필요한기술적·관리적및물리적조치를하여야한다.
선관주의의무
적극적항변
법적분쟁준비체계수립& 운영
•보안사고발생으로인한법적소송대응시, 정보보호관련법·제도에서요구하는선관주의의무에따른감독책임을충분히하였음을적극적으로항변할수있도록상시적인법적분쟁준비체계를수립및운영할필요
•사고발생전관리감독정책&프로그램을준비
•구축된프로그램은사고를적절히방지할수있어야함
•계열사의규모와정서를고려하여각종교육등으로공식화
•관리감독수준은관련업계의기준을충족또는능가하여야함
•지속적으로충실하게집행, 업데이트되어야함

30. 제8회금융정보보호컨퍼런스
사전컴플라이언스
이행확보관점의관리체계구축
교육실시,접근통제등관련법규정준수를입증할증적상시확보체계구축

31. 제8회금융정보보호컨퍼런스
사전컴플라이언스
법령준수관점의정보보호관리체계구축
법령의요구사항이일선조직에분담되도록정책∙지침정비

32. 제8회금융정보보호컨퍼런스
사전컴플라이언스
준법여부확인을내부감사와외부감사의병행
내부자율감사와외부전문가에의한감사를병행하는이중이행감사체계구축
외부감사
내부감사
Risk
►업무처리과정상부지불식중에존재하는불법적실무관행진단및시정√ IT 컴플라이언스업무의법적합성확보차원으로확대
►기업의개인정보는보안위협이아닌중요한자산으로인식전환
[상시적/효율적감사가능]
[팀/부서단위의컴플라이언스]
[유사시외부신뢰도낮음]
[사후대응]
시사점
[수집과이용과정의투명성]
[거버넌스관점의컴플라이언스]
[유사시객관성확보]
[사전예방]

33. 제8회금융정보보호컨퍼런스
사후입증책임
전자금융거래의사고분석∙대응방법
•디지털포렌식프로세스를적용하여대외제출증거(파일)검증
•사고분석보고서:기술적∙관리적원익분석및대응보고서작성.증적정보채증
-보안시스템(FDS,PC,보안관제등)의로그분석
-각종시스템/OS/DB및장비로그분석
•사고분석감정서
-대외제출증거감정서작성.기술적원인분석,관리적책임주체,피해액∙배상액등을감정
•사고분석및대응법률자문
•증적정보채증,사고분석,감정,법률자문,기술지원등의통합적대응이필요

34. 제8회금융정보보호컨퍼런스
명의도용관련대응방안
전자상거래시안전한본인인증및결제방법채택
•정보통신망법상의정보통신서비스제공자는이미이용자의주민등록번호를사용하지아니하고본인을확인하는방법인대체수단을도입하였음
•금융회사의경우는공인인증서를활용한본인인증본인을확인하는방법이없어휴대폰인증등의방법을사용하고있음
•신용카드본인인증의법적효력부여필요
•실물카드의발급시카드배송직원이신분증의발급기관(운전면허증),발급날짜(주민등록증)등의추가적인정보를수집하여본인을확인하고있음
•카드번호,유효기간,CVC값및비밀번호의앞2자리입력으로본인인증을받는경우상대적안전성
•여신전문금융업법또는전자금융거래법을개정하여본인인증(부인방지)효력을부여할필요(신용카드회사의인증기관화)
•NFC장착신용카드의인증및결제방법등이개발될경우간편하면서도어떤결제방법보다안전한전자금융결제가능

35. 제8회금융정보보호컨퍼런스
명의도용관련대응방안
온라인FDS강화
•오프라인FDS가아닌온라인FDS서비스개발필요
-카드사의경우오프라인카드사용에대한FDS구축은잘되어있는반면,온라인은거의갖추지못하고있음
-금융감독당국은‘전자금융감독규정시행세칙’을개정하여내∙외국인구분없이온라인카드결제때공인인증서를의무적으로사용하는제도를폐지
-감독당국은이를통해각금융기관이자율적으로대체수단을개발해보안기술을발전시키길기대
-온라인FDS서비스등이그대안이될것
-FDS는최근발생한앱카드부정사용을탐지하여그효과를입증
•FDS는전금융권으로확대
-금융위원회2014.6.금융회사정보기술(IT)부문보호업무이행지침에‘이상금융거래탐지시스템구축∙운영’을포함
-공인인증서,개인방화벽,보안카드,OTP등인터넷뱅킹보안솔루션의무력화하는공격이늘어남
-현재시중은행18곳중KB국민은행,신한은행,부산은행3곳만이FDS구축

36. 제8회금융정보보호컨퍼런스
개인정보보호관련대응방안
금융당국도개인정보보호의주관기관–검사, 제재로연결
•개인정보보호법/정보통신망법상개인정보보호규정은사실그동안금융회사에는엄격히적용되지않았음
•그러나이번신용카드3사유출을계기로국가적으로개인정보보호를강화하는방향과금융위/ 금감원이독자적으로개인정보보호를관장하자는방향이맞물려금융위도개인정보보호법상고지/동의원칙을구현할예정
•금융위원회와금융감독원은2014.4.11.‘금융분야개인정보유출재발방지종합대책’의후속조치이행계획점검을위한2차회의에서카드신청서정보수집제한및양식간소화등에대한진행상황을점검하기도하였음

37. 제8회금융정보보호컨퍼런스
개인정보보호관련대응방안
금융기관검사및제재규정시행세칙개정(2014. 7. 23.)
출처: 국민일보14. 4. 23. 기사

38. 제8회금융정보보호컨퍼런스
개인정보보호관련대응방안
개인정보보호도중요한컴플라이언스과제
•정보침해뿐만아니라마케팅등개인정보의동의없는이용시CISO/CPO/준법감시인등에게강력한문책예정
•금융회사보안담당자들도이제개인정보보호법령의고지/동의원칙등모든법리를잘파악하여대비할필요

39. 제8회금융정보보호컨퍼런스
개인정보보호관련대응방안
현업의업무가개인정보보호법령에위반되지않도록조치
개인정보Life-Cycle 보호대책
개인정보기술적/관리적보호대책
개인정보유출점검
개인정보오남용점검
최적화된
개인정보보호
체계수립
개인정보관련일선업무처리의법적합성진단
•관련법규정상요구되는항목의일상적점검
•업무처리과정상부지불식중에존재하는불법적실무관행진단및시정
•부적절한업무처리시적절한제재에대한근거규정도입
개인정보처리시스템의보안강화
•접근권한의적절한설정, 접근기록의점검및백업등기술적/관리적보호조치관련고시상요구사항준수
•접근통제시스템, 비밀번호/금융정보암호화등보안의강화
•적절한패치도입등시스템보안의최신상태유지
본사및협력업체교육과점검강화
전략-정책-규정-지침-절차-서식의검토

40. 제8회금융정보보호컨퍼런스
Q & A