머니투데이 핫이슈 - 2013 금융보안 & 개인정보보호 페어

"스마트금융 '보안강화' 불편함 감수해야"

안전한 인터넷·모바일 금융거래를 위해 향후 일정 거래액 이상의 자금이체 시 단말기 제한 및 추가적인 본인확인 절차가 강화된다. 김영린 금융감독원(이하 금감원) 부원장보(사진)는 14일 양재동 엘타워에서 열린 '금융보안 & 개인정보보호 페어' 오프닝 연설을 통해 향후 금감원의 금융보안 강화 정책을 밝혔다. 김 부원장보는 "고객의 부주의로 개인정보가 유출 되도 금전적인 피해를 입지 않도록 공인인증서를 재발급하거나 1일 누적 300만원 이상 자금이체를 하는 경우 지정된 단말기에서만 가능토록 할 예정"이라며 "휴대폰 SMS 인증 등 추가적인 본인확인 절차를 강화하는 등 전자금융 사기 예방서비스도 마련하겠다"고 밝혔다. 현재 이 같은 조치는 일부 은행권 및 비은행권에 시범 시행 중이다. 금감원은 이를 3분기 중 전 고객을 대상으로 의무 시행할 예정이다. 이처럼 금감원이 IT 금융보안 강화에 나서는 것은 이용자 비중이 크게 늘었기 때문이다. 김 부원장보는 "우리나라 인터넷 뱅킹 이용고객은 등

2013.05.14 13:50

'잊혀질 권리' 우리나라는 어떻게?

"잊혀질 권리는 인터넷 이용자의 권리보호 및 선택권 강화를 위해 필요하다." vs "이를 무제한 인정하면 타인의 표현의 자유에 대한 침해 및 공익적 기록 누락 등의 부작용이 있다." 최근 전세계적으로 '잊혀질 권리'에 대한 논의가 불거지면서 국내에서도 이에 대한 논의가 지속되고 있다. 잊혀질 권리란 자신의 정보가 더 이상 적법한 목적 등을 위해 필요치 않을 때 이용자가 이를 지우고 더 이상 처리되지 않도록 할 권리를 뜻한다. 이와 관련해 김정렬 방송통신위원회(이하 방통위) 개인정보보호 윤리과장(사진)은 14일 양재동 엘타워에서 열린 '금융보안 & 개인정보보호 페어'(FPIS 2013) 행사 기조연설을 통해 국내 논의사항을 밝혔다. 김 과장은 "ENISA(유럽네트워크정보보호원)가 올 초 선보인 데이터보호규정제안서에서 '잊혀질 권리' 제안이 언급되면서 더 관심을 받고 있다"며 "다만 아직 초기단계"라고 밝혔다. 그는 또 "주요 포털들의 여러 서비스가 여기저기에 복사되고 링크된 콘텐츠를

2013.05.14 13:48

3.20대란 피한 하나은행의 해법? "기본에 충실"

"3.20사태를 겪으면서 느낀 점은 모든 공격을 다 막을 수 없다는 것입니다. 그렇다면 이번 사태를 교훈삼아 각 보안담당자들은 초심으로 돌아가 '보안의 기본'을 지키고 보안시스템 운영체계를 재점검해보는 과정이 필요합니다." 윤종옥 하나은행 IT보안팀장(사진)은 14일 이날 양재동 엘타워에서 열린 '금융보안&개인정보보호 페어 2013(FPIS 2013)' 행사에서 '하나은행 차세대 금융보안 시스템 구축사례'라는 주제로 기조연설을 진행했다. 하나은행은 지난 3.20 전산마비 사태 당시 감독당국에서 제공받은 정보와 여러 비공식 채널을 통해 악성코드 배포서버 166개의 IP를 입수하고 이를 즉시 차단했다. 또 내부 직원들의 PC에서 해당 악성코드 배포서버의 1년간 접속이력을 분석해 감염여부를 살폈다. 윤 팀장은 "3.20 당시 공격자들은 특정 목표를 선정해서 장기적으로 공격을 준비한 것으로 알고 있다"며 "이에 효과적으로 대응하기 위해서는 초기 감염경로를 확인하고 위험요소를 신속하고 지속적

2013.05.14 11:03

"금융보안, 기본에 충실해야"

최근 3.20 사태를 계기로 각 기업의 보안담당자들은 어려움을 겪고 있을 것이다. 공격은 받지 않았지만 하나은행도 3.20과 관련해서 힘든 시간들을 보냈다. 이번 사태를 겪으면서 느낌 점은 모든 공격을 다 막을 수는 없다는 것이다. 그러면 어떻게 해야 할 것인가. 결론은 “기본에 충실하자”는 것이다. 처음 입사했을 때의 생각으로 매일매일 로그도 꼼꼼히 분석하고 그러면서 희열도 느꼈던 그때의 마음가짐으로 돌아가자는 것이다. 하나은행은 크게 전자금융 영역과 내부통제 영역으로 구분해 중점적으로 관리하고 있다. 우선 업무시스템에 대한 접근통제를 위해 계정감사통제라는 접근통제시스템을 운영, 모든 업무시스템 접근을 통제하고 있으며 로그인 인증강화를 위해 시스템 접근시 모바일 형태의 OTP로 추가 인증을 하고 있다. 또 PC의 백신프로그램에서 탐지하지 못하는 악성코드를 탐지하기 위해 네트워크 레벨의 악성코드 탐지시스템을 2011년부터 운영해왔다. 이번 3.20 사태와 같이 백신패턴이 없는 해킹프

"개인정보 전사적 통제체제 만들어야"

개인정보 유출 사고의 대부분은 악성코드 배포로부터 시작된다. 악성코드는 일반적으로 수익창출을 위한 경제적 목적과 기간 시스템을 마비시키는 비대칭전력으로 표현되는 정치적, 군사적 목적에 의해서다. 개인정보 침해사고의 신규 동향을 분석해 보면 웹서버·애플리케이션의 경우 개인정보 취득이 주요 목적이다. APT 공격의 경우 DB접속 권한자의 PC를 악성코드 배포를 통해 해킹하게 되는데 권한자가 부재 중일 때 DB에 접속해서 개인정보 파일을 취득하게 된다. 또한 개발용 웹서버의 개인정보 취득도 문제가 되는데, 이 경우 DB(데이터베이스)서버 접근 권한이 없이도 웹서버 해킹만으로 수백만 건의 개인정보 유출이 가능하다. 이러한 개인정보 유출 사고의 경우 상당수 개인정보에 대한 법적 분쟁에 빠질 우려가 높다. 개인정보 유출사고 발생 후 소송 시 천문학적 비용을 배상해야 하는 경우도 있는데, 법규 준수와 의무를 다했는지 판단하는 게 매우 중요하다. 즉, 피고가 관리자로서 기술적 관리적 보호조치 의무

방통위, 개인정보 위반사업자 처벌 수위 높인다

스마트 사회가 도래하면서 개인정보의 범위가 확대되고 있다. 과거의 개인정보가 신상정보 위주 인적과 신체적, 사회적 정보를 뜻했다면 이제는 위치정보, 성향정보, 웹사이트 방문기록까지 포함하게 된 셈이다. 특히 SNS(소셜네트워크서비스), 블로그 등의 확산은 개인정보 유통의 흐름을 오프라인에서 온라인으로 바꿔놓았다. 이 같은 트렌드는 클라우드 컴퓨팅 등 ICT기술발전에 기여했지만 개인정보 유출사고의 대형화, 글로벌화라는 문제도 낳게 됐다. 이에 따라 방송통신위원회는 개인정보보호와 관련, 몇 가지 주요원칙을 세우고 이를 실행하기 위한 노력을 기울이고 있다. 먼저 개인정보 유통의 최소화다. 주민등록번호 수집 및 이용을 금지하고 대체수단을 보급하는 것이다. 또 개인정보 주체의 권리와 선택권을 강화하는 것이다. 다양한 신규 서비스 등장으로 개인정보의 이용 범위가 확대됨에 따라 인터넷 상의 이용자 권리보호 및 선택권을 강화해 나갈 것이다. 아울러 대형화되고 있는 개인정보 누출사고를 미연에 방지하

"3백만원 이상 자금 이체, 지정 단말기로만 가능"

우리나라 인터넷 뱅킹 이용고객은 등록고객 수 기준으로 현재 8600만 명을 초과했다. 은행권의 전자금융거래 규모도 전체 금융거래 대비 건수기준으로 80%, 금액기준으로 30%에 달하고 있다. 특히 최근에는 스마트폰 보급의 확산으로 스마트폰 금융거래 금액이 하루 평균 8000억원을 넘어서고 있는 현황이다. 이 같은 환경변화에 따라 감독당국도 다양한 영역에서 금융IT 감독정책을 추진해 왔다. 지난해 3월부터 개인정보의 불법수집, 유출 등으로부터 개인의 사생활을 보호하기 위해 개인정보보호법이 제정됨에 따라 같은 해 6월 금융위원회, 금융협회와 함께 금융권 개인정보보호협의회를 구축하기도 했다. 올해 상반기 중 금융분야 개인정보보호 가이드라인을 마련해 금융실무 처리기준을 제시할 예정이다. 금융감독원은 전자금융거래 안전성 확보에도 노력을 기울이고 있다. 지난 2011년 현대캐피탈 정보유출, 농협의 전산장애 사고 등을 계기로 금융회사에 대해 CIO(최고정보보호책임자)를 임명하고 적정수준의 IT인