1. 지연 이체 제도


전자금융사기를 예방하고자 이용자가 원할 경우 30분, 1시간 또는 1일 이후 이체가 되는 "지연 이체" 제도가 생겼다.

본 조항은 부칙에 따라 공포 후 1년이 경과한 날부터 시행된다.(2015.10.16)

따라서 대통령령은 이후 개정될 것으로 보인다.


IT적으로는 이체 시 지연 이체 신청 이용자인지 체크하는 로직이 들어가거나

이상금융거래탐지에 해당 이용자를 고려할지 검토가 필요할거 같다.


2. 공인인증의 강제성


금융위원회가 정하는 전자금융거래의 안전성 조치에 공인인증서까지 적용되는 걸로 보인다.

하지만 개정된 3항처럼 금융위원회가 특정한 공인인증 기술을 강제하지 않도록 했으므로 공인인인증서 외에 사설인증서도 사용할 수 있을거

같다.

이 규정또한 공포 후 1년이 경과한 날부터 시행된다.(2015.10.16) 


3. 정보보호최고책임자 지정


총자산이 2조원 이상이고, 상시 종업원 수가 300명 이상인 금융회사와 전자금융업자는 CISO 는 다른 업무를 겸직할 수 없는 전임 CISO 규정이 생겼다.

이 규정은 이 법 시행 후 선임(재선임 포함)되는 CISO 부터 적용하는데, 이 법은 공포 후 6개월이 경과한 날부터 시행이므로 2015.4.16 부터 적용된다.


4. 상거래 관계가 종료된 전자금융거래기록의 파기


금융거래 등 상거래관계가 종료된 경우에 5년 이내에 전자금융거래기록을 파기해야 한다.


아래 3가지 경우에는 전자금융거래기록을 파기하지 않아도 된다.

1) 신용정보("신용정보의 이용 및 보호에 관한 법률")

- 특정 신용정보주체를 식별할 수 있는 정보

생존하는 개인의 성명, 주소, 주민등록번호, 외국인등록번호, 국내거소신고번호, 여권번호, 성별, 국적 및 직업 등과 기업

(사업을 경영하는 개인 및 법인과 이들의 단체를 말한다. 이하 같다) 및 법인의 상호, 법인등록번호, 사업자등록번호

본점 및 영업소의 소재지, 설립연월일, 목적, 영업실태, 종목, 대표자의 성명 및 임원 등에 관한 사항

(제2호부터 제5호까지의 어느 하나에 해당하는 정보와 결합되는 경우만 해당한다)

- 신용정보주체의 거래내용을 판단할 수 있는 정보

대출, 보증, 담보제공, 당좌거래(가계당좌거래를 포함한다), 신용카드, 할부금융, 시설대여와 금융거래 등 상거래와 

관련하여 그 거래의 종류, 기간, 금액 및 한도 등에 관한 사항

- 신용정보주체의 신용도를 판단할 수 있는 정보

금융거래 등 상거래와 관련하여 발생한 연체, 부도, 대위변제, 대지급과 거짓, 속임수, 그 밖의 부정한 방법에 의한 

신용질서 문란행위와 관련된 금액 및 발생·해소의 시기 등에 관한 사항. 이 경우 신용정보주체가 기업인 경우에는 

다음 각 목의 어느 하나에 해당하는 자를 포함한다.

가. 「국세기본법」 제39조제2항에 따른 과점주주로서 최다출자자인 자

나. 「국세기본법」 제39조제2항에 따른 과점주주인 동시에 해당 기업의 이사 또는 감사로서 그 기업의 채무에 연대보증을 한 자

다. 해당 기업의 의결권 있는 발행주식총수 또는 지분총액의 100분의 30 이상을 소유하고 있는 자로서 최다출자자인 자

라. 해당 기업의 무한책임사원

- 신용정보주체의 신용거래능력을 판단할 수 있는 정보

금융거래 등 상거래에서 신용거래능력을 판단할 수 있는 다음 각 목의 어느 하나에 해당하는 정보

가. 개인의 재산·채무·소득의 총액 및 납세실적

나. 기업의 연혁·주식 또는 지분보유 현황 등 기업의 개황(槪況), 판매명세·수주실적 또는 경영상의 주요 계약 등 사업의 내용, 재무제표(연결재무제표 및 결합재무제표를 포함한다. 이하 같다) 등 재무에 관한 사항과 「주식회사의 외부감사에 관한 법률」에 따른 감사인의 감사의견 및 납세실적

- 다음 각 목의 어느 하나에 해당하는 정보

가. 법원의 금치산선고·한정치산선고·실종선고의 재판, 회생·개인회생과 관련된 결정, 파산선고·면책·복권과 관련된 결정, 채무불이행자명부의 등재·말소 결정 및 경매개시결정·경락허가결정 등 경매와 관련된 결정에 관한 정보

나. 국세·지방세·관세 또는 국가채권의 체납 관련 정보

다. 벌금·과태료·과징금 또는 추징금 등의 체납 관련 정보

라. 사회보험료·공공요금 또는 수수료 등 관련 정보

마. 기업의 영업에 관한 정보로서 정부조달 실적 또는 수출·수입액 등의 관련 정보

바. 개인의 주민등록 관련 정보로서 출생·사망·이민·부재에 관한 정보, 주민등록번호·성명의 변경 등에 관한 정보

사. 기업등록 관련 정보로서 설립, 휴업·폐업, 양도·양수, 분할·합병, 주식 또는 지분 변동 등에 관한 정보

아. 다른 법령에 따라 국가, 지방자치단체 또는 공공기관으로부터 받은 행정처분에 관한 정보 중에서 금융거래 등 상거래와 관련된 정보

자. 그 밖에 신용정보주체의 신용등급, 신용조회회사의 신용정보 제공기록 또는 신용정보주체의 신용회복 등에 관한 사항으로서 금융위원회가 정하여 고시하는 정보

2) 다른 법률에 따른 의무를 이행하기 위한 기록

3) 금융위원회가 정하는 전자금융거래기록


파기하지 않아도 되는 위 3가지 전자금융거래기록을 제외환 기록을 예로 든다면 아래와 같을거 같다. 상당히 제한적일거 같다.

- HTS 에서 보안 솔루션 해지 기록 

- 서버에 보관된 개인별 관심종목 기록


5. 위탁한 정보보호업무의 재위탁 금지


금융회사의 정보보호업무를 위탁받은 전자금융보조업자(ex : 안랩, 인포섹 등)는 그 정보보호업무를 다시 제3의 업체에 재위탁해서는 안 된다.

금융위원회가 인정하는 경우는 제3의 업체에 위탁해도 된다고 하는데 그 인정 기준은 모르겠다


6. 과징금


(1항) 금융회사가 정보보호업무를 소홀히 하여 전자금융거래를 유출, 목적 외 사용한 경우에는 50억 이하의 과징금을 부과한다.

(2항) 금융회사가 6개월 이내의 업무정지를 당한 경우 5천만원 이하의 과징금으로 업무정지를 갈음할 수 있다.

제43조 2항 업무정지 사례(보안 관련 사례만)

- 접근매체(공인인증서, 보안카드, OTP 등) 발급 시 고객 본인 확인을 안한 경우

- 전자금융거래 안정성 의무를 소홀히 한 경우

- 침해사고 발생 시 피해확산 방지 노력을 안한 경우


과태료, 과징금, 벌금

1) 과태료

- 행정법상 의무 위반에 대한 제재로서 부과, 징수되는 금전

- 법 위반자에게 아무런 경제적 이득이 없어도 부과하는 금전


2) 과징금

- 위반 사업자를 의무위반을 이유로 사업정지처분을 내릴 때에 그로 인해 현저하게 공익이 침해될 우려가 있을 때 부과하게 되므로

   사업을 계속하게 하되 그 이익을 박탈하기 위한 목적인 금전

- 이득환수를 목적이므로 과태료보다 훨씬 큰 금액이 부과 


3) 벌금

- 형법에 의한 금전을 박탈하는 것


7. 과태료


5천만원 이하 과태료 부과 범위가 많이 늘어났다.(보안관련 항목만 정리)

1) 전자금융거래 안전성 확보 의무를 소홀히 한 경우

2) 전자금융기반시설의 취약점을 분석·평가하지 아니한 경우

3) 전자금융기반시설의 취약점 분석·평가 결과에 따른 필요한 보완조치의 이행계획을 수립·시행을 아니한 경우

4) 정보보호업무를 제3자에게 재위탁한 경우


Posted by i kiss you
,