이 누리집은 대한민국 공식 전자정부 누리집입니다.
1. 추진 배경
□ 최근 해킹으로 인한 비씨·KB국민카드 부정결제사고를 계기*로 금융위는 관계기관과 합동으로 온라인결제** 전반에 대한 대책 마련에 착수
* 총 230개 카드에서 약 1억 7천만원 피해 발생(‘12.11.2~11.6)
** 안전결제(ISP:Internet Secure Payment), 안심클릭
ㅇ 아울러 일반적인 모바일 금융거래의 보안위협도 증가함에 따라 모바일을 통한 온라인결제 보안강화방안도 同 대책에 포함시켜 추진해 왔음
□사고 직후 비씨·KB국민카드사에 대해 현장점검을 실시하였고, 경찰청(사이버수사대)에 수사를 의뢰
<주요 점검 결과>
▣ 이번 사고 원인은 고객PC 해킹을 통해 획득한 신용카드정보로 온라인 게임 사이트 등에서 부정결제된 것으로, 온라인결제 시스템 자체가 해킹된 것이 아님(‘13.4.2 경찰청 발표)
2. 주요 내용
<온라인결제 보안강화 추진방향>
▣ 온라인결제 사고 방지를 위해 부정결제가 빈번하게 발생하는 사이트 거래에서의 본인인증과 부정방지 모니터링을 강화하고 모바일상의 본인인증도 강화
게임 사이트 온라인결제 인증 강화
ㅇ (현황) 해킹을 통해 획득한 카드정보를 이용하여 게임 사이트에서 온라인 소액결제(30만원 미만) 피해가 빈번하게 발생
※ 현재 안전결제는 ISP인증서와 비밀번호, 안심클릭은 카드정보와 비밀번호 필요
ㅇ(개선)게임 사이트에서는 유출된 정보만으로 온라인결제가 불가능하도록 추가인증*을 의무화(‘13.5월)
< 적용 방안 >
|
대 상 |
30만원 미만 결제 시 |
30만원 이상 결제 시 |
|
게임 사이트 (아이템 거래 포함) |
①공인인증서 또는 ②휴대폰문자인증 중 선택 의무화 |
공인인증서와 휴대폰문자인증을 모두 의무화 |
부정사용방지시스템(FDS) 모니터링 확대
ㅇ (현황) 현재 카드사들은 자체 부정사용방지시스템(FDS)*을 통해 온라인 게임 사이트만 모니터링(‘12.11월~)하고 있으며,
* Fraud Detection System:카드승인시 부정사용의심거래를 실시간으로 분석하여 탐지하는 시스템
- 특히 환금성이 높아 부정결제 위험이 많은 파일(동영상 등) 공유 사이트, 포인트 충전 사이트 등은 모니터링 대상에서 제외
ㅇ (개선)부정사용방지시스템의 모니터링 대상을 파일 공유 사이트와 포인트 충전 사이트 등으로 확대(‘13.6월)
- 또한, 신종 부정결제행위*를 주기적으로 모니터링하여 시스템에서 해당 행위 탐지가 가능하도록 시스템 보완
* (예시) 최근 3개월간 게임 사이트 결제내역이 전혀 없었던 이용자 카드로 새벽시간에 수차례 거래승인요청이 발생한 경우 등
모바일결제서비스 인증 강화
ㅇ (현황) PC와는 달리 모바일에서 온라인결제용 신용카드 등록시 카드정보* 이외 추가인증 절차가 없어 타인에 의한 등록이 가능
* 카드번호, 비밀번호, CVC번호, 유효기간
ㅇ (개선)카드정보만으로 모바일결제서비스 등록이 불가능하도록 모바일에 저장된 공인인증서 또는 휴대폰문자를 통한 추가인증을 의무화(‘13.5월)
앱 위변조 방지를 위한 금융앱스토어 서비스 개설
ㅇ (현황) 일부 앱스토어에서 정상적인 금융앱을 위장한 피싱앱이 발견*되어 금융정보 유출로 인한 금전적 피해가 발생할 우려
* ‘13.1월 구글 플레이스토어에서 뱅킹앱을 위변조한 피싱앱이 다수 등장
ㅇ (개선)안전한 모바일 금융거래를 위해 금융기관* 통합 앱스토어를 구축하여 피싱앱의 등록·유통을 원천 차단(‘13.4월/은행권)
* 은행권, 증권권, 카드업권, 보험업권을 대상으로 추진
- 특히 금융앱에 적합한 별도의 검증기준*을 마련하고, 앱의 위변조 여부를 상시 점검하여 모바일 금융거래시 불안감 해소
* 금융거래정보 유출, 금융거래 시 비정상적인 접근 가능성 등을 점검
모바일단말기 지정
ㅇ (현황) PC대비 보안수준이 취약한 모바일단말기 해킹 시 공인인증서, 보안카드번호 등이 유출될 수 있어 추가 피해가 우려
-또한 이용자는 거래전용PC를 지정할 수 있지만, 모바일단말기는 별도의 지정절차가 없어 어느 단말기에서나 부정이체 발생 가능
ㅇ (개선)이용자가 미리 등록한 모바일단말기에서만 인터넷뱅킹, 트레이딩 등의 금융거래가 가능하도록 추진(‘13년 4분기)
※ 단말기 지정 방법, 대상 금융거래 등을 금융권과 협의 예정
공인인증서 발급 및 이용 안전성 강화
ㅇ (현황) 공인인증서는 불법 획득한 금융정보*만으로 재발급이 가능하고, 편의상 PC에 저장할 경우 해킹으로 인한 유출 가능
* 계좌번호, 계좌비밀번호, 주민등록번호, 보안카드번호
ㅇ (개선)금융기관에 한해 공인인증서 재발급시 지정된 PC를 이용하거나, 미지정 PC에서는 추가 인증*을 의무화(‘13.9월)
* ① 휴대폰문자(SMS) 인증, ② 2채널 인증(인터넷뱅킹 이용 중인 PC채널 외에 유선전화 등 다른 채널을 통해 인증), ③ 영업점 방문(1회용 비밀번호를 발급받아 인증)
- 공인인증서의 무단 유출을 방지할 수 있는 안전한 저장매체*(보안토큰)를 보급·활성화 추진
*현행 IC카드형, USB형 보안토큰 이외에 휴대전화 유심(USIM) 형태의 보안토큰을 ‘13.5월부터 보급할 예정
금융보안 전문가 양성 및 교육 프로그램 강화
ㅇ (현황) 온라인결제 체계의 보안취약점 분석 및 대응방안 마련을 위한 금융보안전문가 부족 및 교육 프로그램 미흡
ㅇ (개선) 고용계약형 석사과정(고려대)을 지속 운영하고, 금융권 임직원의 정보보안 역량 제고를 위한 교육* 강화(연중지속)
* 최신 금융보안이슈 및 대책 공유 등 실무자 대상 온라인/오프라인 교육 실시
*자세한 내용은 첨부파일을 참고하시기 바랍니다.