법제도/정책
금감원,“스마트폰 금융 앱 위변조 위협에 적극 대응”
디지털데일리
발행일 2012-09-19 08:06:05
- 금감원 “스마트 금융 감독 강화와 금융기관 감사 강화할 것”
[디지털데일리 이민형기자] 금융감독원은 지난해 발표한 ‘금융회사 IT보안 강화 종합대책’을 지속적으로 추진할 것이라고 18일 밝혔다.
지난해 6월 발표된 ‘IT보안 강화 종합대책은’ 현대캐피탈 고객정보유출 및 농협 전산장애 사고 등 금융회사 IT보안 전반에 대한 종합대책 마련이 필요하다는 요구에 따라 발표됐다. 주요 내용으로는 ▲금융기관 CEO의 책임 부여 ▲정보보호최고책임자(CISO) 지정 의무화 등을 통해 책임관리시스템 구축 ▲사고시 제재수준 강화 등이다.
김윤진 금융감독원 팀장<사진>은 18일 서울에서 열린 ‘금융정보보호 컨퍼런스’에 참석해 “무선랜 사용증가, 스마트폰 사용증가, 스마트 브랜치 도입 등으로 인한 전자금융사고 및 장애 발생 우려가 증가함에 따라 금융 IT 위협에 대한 보안강화가 절실한 상황"이라고 말했다.
이를 위해 금감원은 ▲신기술 기반 전자금융거래에 대한 안정성 확보 ▲공인인증서 발급 및 사용절차 강화 ▲IT보안시스템 구축 등에 대한 기획‧테마 검사를 실시할 계획이다.
◆금감원 “금융 앱 위변조 방지 대책에 주력”=신기술 기반 전자금융거래에 대한 안정성 확보는 스마트폰에서 사용되는 금융 앱들의 무결성을 보장하기 위한 대책이다.
김 팀장은 “일부 스마트폰 사용자들은 유료 앱의 무료 사용을 위해 제조사의 보안 기능을 해제해 사용하는 경우가 많다. 또 임의개조된 스마트폰 사용자는 금융권의 차단을 우회하기 위해 전자금융 앱을 위변조 해 접속한 후 전자금융 거래를 이용하고 있다”며 “이를 완벽히 차단하기 위한 앱 위변조 방지솔루션이 존재하지 않아, 이 위협을 최소화하기 위해 심층방어(Defence-in-Depth) 기법을 활용할 계획”이라고 말했다.
심층방어 기법은 다양한 보안수단을 적용해 우회접속을 최대한 지연시키거나 원천적으로 차단할 수 있도록 하는 기술이다. 보안성은 강화되지만 속도저하나 장애 가능성이 증가할 수 있다는 문제도 가지고 있다.
김 팀장은 “문제 발생 소지를 최소화한 하기 위해 철저한 검증 테스트를 거쳐서 추진할 것”이라며 “금감원은 스마트폰 앱 위변조 방지 보안대책 이행 상황을 모니터링 하고 필요시 점검을 실시할 예정”이라고 말했다.
앱 위변조 방지 보안대책으로는 루팅, 탈옥 탐지, 앱 자체 보호(난독화, 안티디버깅, 무결성 체크), 백신 프로그램 제공, 가상 보안키패드 제공, 통신 암호화 등이 마련돼 있다.
◆공인인증서 발급 어려워진다=금감원은 공인인증서 발급과 사용절차를 강화하는 정책도 실시한다. 이는 보이스피싱 종합대책의 일환으로 공인인증서 재발급 또는 300만원 이체시 단말기 지정, 추가인증을 하도록 하는 전자금융사기 예방서비스다.
이번 안은 고객이 지정한 단말기에서 공인인증서 재발급 및 자금이체를 할 경우 보안카드 또는 OTP(일회용 비밀번호)를 통한 본인확인절차에 휴대폰 문자서비스(SMS)가 추가됐다. 2채널 인증(신청 단말기, 승인 유선전화 등 별도 채널 이용)과 영업점 방문을 통한 본인확인도 가능하다.
김 팀장은 “이 서비스는 이달 25일부터 은행권을 대상으로 시범 시행하고, 비은행권은 내년 1분기 중 시범 시행 예정”이라며 “전자금융사기 예방 서비스 시범 시행 포스터, 신문광고 등을 통해 국민들에게 적극적으로 알려나갈 계획”이라고 강조했다.
◆금융권 IT보안시스템 대상 테마검사 실시=금융기관 IT시스템 해킹 및 내부정보통제 미흡으로 인한 고객정보 유출로 보이스피싱과 같은 금융사고가 발생할 개연성이 점차 높아지고 있다.
이에 금감원은 금융기관의 IT보안시스템과 고객정보보호 관리 체계에 대한 테마검사를 지난 7월부터 이달 말까지 실시하고 있다. 김 팀장은 “고객정보보호와 해킹 예방을 위해 IT보안 내부통제 체계, IT보안 시스템 취약점 및 개인정보보호법 준수여부를 중점적으로 검사하고 있다”며 “특히 고객동의 없이 정보를 조회해 영업 등에 사용하는 지 여부도 집중적으로 조사하고 있다”고 강조했다.
이어 “이번 조사결과는 향후 금융기관 제도개선 등에 반영하고 중대한 위법과 부당행위에 대해서는 엄정한 제재를 가할 것”이라고 덧붙였다.
또 금감원은 사이버 테러에 대한 대응역량을 강화하기 위해 비상대응훈련 실시, 정보보호관리체계(ISMS) 인증 취득, CISO 역할 강화 등을 유도한다는 계획이다.
김 팀장은 “전자금융거래의 신뢰도를 제고하고 리스크를 최소화 하기 위해서는 각 금융 분야 주체의 총체적인 노력이 필요할 것”이라고 재차 강조했다.
<이민형 기자>kiku@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지