주메뉴 바로가기 본문 내용 바로가기

eg(전자정부)이 누리집은 대한민국 공식 전자정부 누리집입니다.

온라인결제 보안강화 종합대책 마련
2013-04-09 조회수 : 10331
담당부서금융위원회 전자금융과 담당자김경수 사무관 연락처2156-9493
담당부서금융위원회 전자금융과 담당자 김윤진 팀 장 연락처2156-9493
담당부서금융위원회 전자금융과 담당자 소현철 팀 장 연락처2156-9493

1. 추진 배경

 

최근 해킹으로 인한 비씨·KB국민카드 부정결제사고를 계기*로 금융위는 관계기관과 합동으로 온라인결제** 전반에 대한 대책 마련에 착수

 

* 총 230개 카드에서 약 1억 7천만원 피해 발생(‘12.11.2~11.6)

 

** 안전결제(ISP:Internet Secure Payment), 안심클릭

 

ㅇ 아울러 일반적인 모바일 금융거래의 보안위협도 증가함에 따라 모바일을 통한 온라인결제 보안강화방안도 同 대책에 포함시켜 추진해 왔음

 

사고 직후 비씨·KB국민카드사에 대해 현장점검을 실시하였고, 경찰청(사이버수사대)에 수사를 의뢰

 

 

<주요 점검 결과>

 

▣ 이번 사고 원인은 고객PC 해킹을 통해 획득한 신용카드정보로 온라인 게임 사이트 등에서 부정결제된 것으로, 온라인결제 시스템 자체가 해킹된 것이 아님(‘13.4.2 경찰청 발표)

 

 

 

2. 주요 내용

 

<온라인결제 보안강화 추진방향>

  

▣ 온라인결제 사고 방지를 위해 부정결제가 빈번하게 발생하는 사이트 거래에서의 본인인증과 부정방지 모니터링을 강화하고 모바일상의 본인인증도 강화

  

󰊱 게임 사이트 온라인결제 인증 강화

 

(현황) 해킹을 통해 획득한 카드정보를 이용하여 게임 사이트에서 온라인 소액결제(30만원 미만) 피해가 빈번하게 발생

 

현재 안전결제는 ISP인증서와 비밀번호, 안심클릭은 카드정보와 비밀번호 필요

 

(개선)게임 사이트에서는 유출된 정보만으로 온라인결제가 불가능하도록 추가인증*을 의무화(‘13.5월)

 

 

< 적용 방안 >

 

대 상

30만원 미만 결제 시

30만원 이상 결제 시

게임 사이트

(아이템 거래 포함)

①공인인증서 또는 ②휴대폰문자인증 중 선택 의무화

공인인증서와 휴대폰문자인증을 모두 의무화

 

󰊲 부정사용방지시스템(FDS) 모니터링 확대

 

(현황) 현재 카드사들은 자체 부정사용방지시스템(FDS)*을 통해 온라인 게임 사이트만 모니터링(‘12.11월~)하고 있으며,

 

* Fraud Detection System:카드승인시 부정사용의심거래를 실시간으로 분석하여 탐지하는 시스템

 

- 특히 환금성이 높아 부정결제 위험이 많은 파일(동영상 등) 공유 사이트, 포인트 충전 사이트 등은 모니터링 대상에서 제외

 

(개선)부정사용방지시스템의 모니터링 대상파일 공유 사이트 포인트 충전 사이트 등으로 확대(‘13.6월)

  

- 또한, 신종 부정결제행위*를 주기적으로 모니터링하여 시스템에서 해당 행위 탐지가 가능하도록 시스템 보완

 

* (예시) 최근 3개월간 게임 사이트 결제내역이 전혀 없었던 이용자 카드로 새벽시간에 수차례 거래승인요청이 발생한 경우 등

 

󰊳 모바일결제서비스 인증 강화

 

(현황) PC와는 달리 모바일에서 온라인결제용 신용카드 등록시 카드정보* 이외 추가인증 절차가 없어 타인에 의한 등록이 가능

 

* 카드번호, 비밀번호, CVC번호, 유효기간

 

(개선)카드정보만으로 모바일결제서비스 등록이 불가능하도록 모바일에 저장된 공인인증서 또는 휴대폰문자를 통한 추가인증을 의무화(‘13.5월)

 

󰊴 앱 위변조 방지를 위한 금융앱스토어 서비스 개설

 

(현황) 일부 앱스토어에서 정상적인 금융앱을 위장한 피싱앱이 발견*되어 금융정보 유출로 인한 금전적 피해가 발생할 우려

 

* ‘13.1월 구글 플레이스토어에서 뱅킹앱을 위변조한 피싱앱이 다수 등장

 

(개선)안전한 모바일 금융거래를 위해 금융기관* 통합 앱스토어를 구축하여 피싱앱의 등록·유통을 원천 차단(‘13.4월/은행권)

 

* 은행권, 증권권, 카드업권, 보험업권을 대상으로 추진

 

- 특히 금융앱에 적합한 별도의 검증기준*을 마련하고, 앱의 위변조 여부를 상시 점검하여 모바일 금융거래시 불안감 해소

 

* 금융거래정보 유출, 금융거래 시 비정상적인 접근 가능성 등을 점검

 

󰊵 모바일단말기 지정

 

(현황) PC대비 보안수준이 취약한 모바일단말기 해킹 공인인증서, 보안카드번호 등이 유출될 수 있어 추가 피해가 우려

 

-또한 이용자는 거래전용PC를 지정할 수 있지만, 모바일단말기는 별도의 지정절차가 없어 어느 단말기에서나 부정이체 발생 가능

 

(개선)이용자가 미리 등록한 모바일단말기에서만 인터넷뱅킹, 트레이딩 등의 금융거래가 가능하도록 추진(‘13년 4분기)

 

단말기 지정 방법, 대상 금융거래 등을 금융권과 협의 예정

 

󰊶 공인인증서 발급 및 이용 안전성 강화

 

(현황) 공인인증서는 불법 획득한 금융정보*만으로 재발급이 가능하고, 편의상 PC에 저장할 경우 해킹으로 인한 유출 가능

 

* 계좌번호, 계좌비밀번호, 주민등록번호, 보안카드번호

 

(개선)금융기관에 한해 공인인증서 재발급시 지정된 PC를 이용하거나, 미지정 PC에서는 추가 인증*을 의무화(‘13.9월)

 

* ① 휴대폰문자(SMS) 인증, ② 2채널 인증(인터넷뱅킹 이용 중인 PC채널 외에 유선전화 등 다른 채널을 통해 인증), ③ 영업점 방문(1회용 비밀번호를 발급받아 인증)

- 공인인증서의 무단 유출을 방지할 수 있는 안전한 저장매체*(보안토큰)를 보급·활성화 추진

 

*현행 IC카드형, USB형 보안토큰 이외에 휴대전화 유심(USIM) 형태의 보안토큰을 ‘13.5월부터 보급할 예정

 

󰊷 금융보안 전문가 양성 및 교육 프로그램 강화

 

(현황) 온라인결제 체계의 보안취약점 분석 및 대응방안 마련을 위한 금융보안전문가 부족교육 프로그램 미흡

 

(개선) 고용계약형 석사과정(고려대)을 지속 운영하고, 금융권 임직원의 정보보안 역량 제고를 위한 교육* 강화(연중지속)

 

* 최신 금융보안이슈 및 대책 공유 등 실무자 대상 온라인/오프라인 교육 실시

 

 

 

 

 

 

 

 

*자세한 내용은 첨부파일을 참고하시기 바랍니다.

첨부파일 (1)첨부파일 열림
130408_(금융위)보도자료__온라인결제_보안강화_종합대책.hwp 파일뷰어 파일다운로드
콘텐츠 내용에 만족하셨나요?