나경아빠의 스케치북 - 고통은 희망의 씨앗이다

출처 : 2015.12.3 주요정보통신기반시설 정보보안 컨퍼런스, 박영웅 연구원(국가보안기술연구소)

1. 스마트폰 보안 위협

    ㅇ 스마트기기 공격 - 새로운 공격 경로

        - 새로운 감염 및 공격 경로의 지속적인 등장

- 앱 마켓, 스팸 문자, 웹 서핑, MMS -> (스마트기기) -> DDoS공격, 개인정보유출, 도청, 위치추적

ㅇ 공격자 입장에서 스마트폰의 매력

1) 기존의 단말

① Closed OS (+ WIPI)

② Closed Market

③ Closed SDK

④ 국내에 특별한 보안 이슈 없었음(시장 규모 작읍 -> 공격을 통한 이득이 없음)

2) 스마트폰

① 앱 개발의 주체가 개발자로 이동

- Open Market으로 활성화

- 개방된 개발환경 제공됨

② 개인의 민감한 정보의 집중화

- PIMS의 역할 수행(연락처, SMS, 일정, 메일 등)

- 금융 정보(인증서, PIN번호, 보안카드 등)

③ 모바일 오피스의 등장

- 각종 업무 정보와 포탈 접속

④ 다양한 공격 발생 가능

- 개방된 개발환경으로 공격자는 보다 많은 기술 습득

- 사용자 증가로 상업적 이득이 높아짐

- 개인정보 수집(프라이버시 침해/제2,3의 공격에 활용)

ㅇ 주요 악성 앱

1) BrainTest

① 주요 특징

- 2015년 9월 Check Point의 Blog를 통해서 알려짐

- MDM 정책 수정 시도

- 구글 악성 앱 필터링 시스템(Google Bouncer)을 우회하여 공식 마켓을 통해 유포

- 약 100,000 다운로드

- 삭제를 방해하기 위해 root exploit 사용

- 서버로부터 코드를 다운로드 받아서 실행(악성행위 다변화)

② BrainTest의 Google Bouncer 우회

- IP주소 검증

-> BrainTest는 Google Bouncer의 IP에서 실행되면 악성 행위를 수행하지 않음

- Domain 문자열 검증

-> Host의 domain에서 "google", "android", "1e100"을 검사

- TimeBomb

-> 실행 후 20초 뒤에 unpack 시작, 최초 실행 후 8시간 뒤에 서버로부터 악성코드 수신

- Java Reflection 을 이용한 메소드 호출 은닉

2) FakeKaKao

① 주요 특징

- 2013년 등장

- 네이티브 코드를 활용하여 고수준의 구현 기술 사용

- Anti-Debugging, Anti-Emulator, 커스텀 문자열 암호화 기술 사용

- Anti-Virus 솔루션 탐지

- 이 악성 앱의 기술을 기반으로 다양한 변종 출현

② FakeKaKao 의 분석 방해 기술

- .init_array 섹션에 등록된 초기화 함수에서 안티 디버깅 수행

- 프로세스 목록을 검사하여 분석 도구 프로세스가 실행중인지 검사

- 안드로이드 에뮬레이터의 IP주소(10.0.2.15) 접속 시도를 통한 에뮬레이터 검증 수행

- pm disable 명령을 이용한 안티 바이러스 솔루션 무력화

2. Mobile APT

ㅇ Mobile Remote Administration Tool

1) Mobile Remote Administration Tool

- 원격에서 사용자의 모바일 사용을 감시

- 도청, 도촬, 위치추적, SMS, 연락처 같은 민감한 개인 정보의 열람 및 조작 가능

- 최근에는 특정 앱(ex 메신저) 의 정보를 열람할 수 있게 하는 기능까지 제공

- keylogger 기능 제공

2) Mobile RAT기능은 Mobile APT의 핵심적인 요소

3) 강력한 감시 기능을 위해서 주로 root exploit을 이용해서 관리자 권한을 탈취

- 2015년 Zimperium Mobile Security사는 Telegram메신저의 Secret mode에서 대화 내용을 열람하는데 성공

- SELinux가 도입되었지만 안드로이드 환경을 위한 효과적인 Rule이 없고, 임기웅변식의 대응중

- Virus : root 권한으로 시스템 파일들을 예전 ELF 바이러스 형태로 감염시키는 안드로이드 악성코드도 등장

- Bootkit : init.rd를수정하여 사용자가 악성 앱을 삭제해도 재부팅하면 다시 설치되도록 하는 방식의 부트킷(oldboot)

ㅇ 안드로이드 취약점의 위협

1) 모바일 해킹의 가장 심각한 위협은 취약점

2) 최근 권한 상승 취약점과 함계 remote code execution 취약점도 발견

3) 최근 전세계적으로 모바일 취약점에 대한 연구가 활발히 진행중

4) 취약점은 리눅스 커널, 드라이버, 안드로이드 플랫폼, 제조사의 앱 또는 서비스, 사용자 앱에서 발생

5) 최근 갤럭시 시리즈에서 발견된 취약점

- 삼성 Swift 키보드의 원격 코드 실행 취약점(CVE-2015-4640, CVE-2015-4541)

-> 공격자는 MITM 공격을 통해서 조작된 업데이트 파일을 다운받아 실행시킴

- 구글 Project Zero에서 11개의 취약점 발견(권한상승 취약점 포함)

- CVE-2015-1800, CVE-2015-1801 : 삼성에서 추가한 drvie에서 발생한 취약점

ㅇ 망 침투

1) 감염된 모바일 기기를 이용한 PC 감염

2) 악성 앱은 감염된 모바일 기기의 SDCard에 autorun.inf, folder.ico, svchosts.exe) 파일을 생성

3) 스마트폰이 PC에 저장장치로 연결되었을 때, svchosts.exe가 실행되는 방식

4) 모바일 감염을 통한 망 침투

- 모바일 전자정부

- 모바일 오피스

- 모바일을 통한 VPN으로 내부망 접근

- 모바일에서 획득한 관리자 정보를 이용한 APT

- 망연계 솔루션 및 보안 솔루션들의 취약점

3. 대응

- 중요시설의 조직원은 모바일 기기 사용에 주의 필요

- [출처를 알 수 없는 앱] 체크 해제

- 불필요한 앱 설치 자제

- 공식 마켓 이용

- 정기적으로 초기화 필요(공장 초기화)

- 공개된 wifi 사용 자제

- 가정의 무선 AP 암호 설정 강화

- 개발자 옵션 비활성화

- 루팅 금지

- 스마트폰과 PC 접촉을 자제

- 불필요한 웹 사이트 접속 자제

- SMS의 URL 접속 자제

- 앱을 사용할 때, 시간차로 올라오는 화면 주의

출처 : 네트워크 타임즈 2015년 11월호 "망분리, 망연계 시장 집중 분석"

1. 망분리 배경

ㅇ 2013년 발표된 금융전산 망분리 가이드라인

ㅇ 제1금융권

- ~ 2014년 : 전산센터에 대한 물리적 망분리 완료

- ~ 2015년 : 본점과 영업점 망분리 완료

ㅇ 제2금융권

- ~ 2016년 : 망분리 완료

2. 망분리 목적

ㅇ 인터넷망과 업무망을 분리해 인터넷으로부터 유입되는 각종 사이버 공격을 막기 위함

3. 망분리 방법

ㅇ 물리적 망분리 

- 물리적으로 네트워크와 PC를 완전히 분리

ㅇ 논리적 망분리

- 가상화 기술을 이용해 한대의 PC에서 업무망과 인터넷망을 분리

① 서버기반컴퓨팅(SBC) : 서버에 가상 PC를 두고 인터넷에 연결

② 클라이언트기반컴퓨팅(CBC) : PC에 샌드박스와 같은 가상화 영역을 두고 인터넷에 연결 

4. 망분리 관련 컴플라이언스

ㅇ 2015.9 망분리 QnA : 

150921_망분리 QnA_.pdf

ㅇ 2015.9 망분리 예외기준을 명확히 한 전자금융감독규정 시행세칙

전자금융감독규정시행세칙.pdf

ㅇ 주요 내용

- 외국계 금융회사도 망분리 규제 준수 : 해외 소재 전산센터에 정보처리 업무를 위탁할 경우, 물리적 망분리

  이외의 망분리도 허용

- 제한적으로 외부망 연결 허용 : 전산센터의 물리적 망분리 서버의 경우 업무적으로 필요한 경우 허용

  (예 : 행정정보시스템, 공인인증서 발급기관 등)

- 외주직원 소유의 단말기의 망분리 준수 : 보험설계사, 외주직원 소유의 단말기로 금융사 내부망에 연결될 때

  에는 반드시 망분리

    -> 내부망과 분리된 DMZ 망 등에 위치한 시스템에만 접속하는 경우에는 망분리 대상이 아님

- 다른 계열사와 그룹웨어, 이메일 이용 시 망분리 : 그룹에 속한 금융회사가 다른 계열사와 그룹웨어, 이메일

  등을 이용할 때에도 망분리

- 망간자료전송시스템(망연계 시스템)은 의무 설치 아님 : 망연계 시스템을 이용해도 무방, 방화벽을 통해

  외부기관관의 연결 구성도 무방

5. 망분리 단점

ㅇ 인터넷에서 사용자 모르게 감염된 자료가 업무망 내부로 유입될 가능성 있음

ㅇ 업무망의 기밀정보가 외부로 유출될 가능성 있음

ㅇ 망간 전송 시 관리자의 승인을 받아야 하지만 관리자 업무가 폭증해 업무처리가 제대로 진행되지 않을 수 있음

ㅇ 망간 전송 의사결정이 늦어져 비즈니스 피해 가능성 있음

6. 망분리 걸림돌 - 라이선스

ㅇ 망분리는 한 사람이 2개 이상 OS와 응용프로그램을 사용해야 하기 때문에 라이선스도 하나의 단말에서 사용하는

   기준보다 훨씬 비싸다.

ㅇ SBC방식의 라이선스

① 필수 라이선스

- VM 라이선스

- 윈도우 라이선스

- 버추얼 데스크톱 액세스(VDA) 라이선스

> 물리적인 PC가 가상PC에 접근하는 권한에 대한 라이선스

> 단말 단위로 부과

- 망연계 라이선스

7. 망분리 비용

ㅇ 물리적 망분리

- 네트워크 회선 공사

- 네트워크 장비

- 보안 장비

- PC

ㅇ SBC 망분리

- 서버, 스토리지 

- 백업 비용 : 업무 데이터가 모두 중앙에서 관리되기 때문

ㅇ CBC 망분리

- 상대적으로 비용이 적게 듬

ㅇ 비용 비교

- 물리적 망분리 : 100 기준

- CBC 망분리 : 50

- SBC 망분리 : 80 ~ 120, 하드웨어 리소스를 많이 사용하는 업무라면 400 이상

8. 망분리 시 문제점

ㅇ CBC 망분리

- 단말에 설치된 에이전트가 가상환경을 침해로 인식하고 가상환경을 구동시키지 않는 것

- CBC 방식의 망분리 환경에서 가장 많이 일어나는 문제

- 윈도우 및 각종 응용프로그램의 업데이트가 발생할 때마다 충돌 문제를 발생 가능

ㅇ SBC 망분리

- 가상 PC에서 액티브X 등 비표준 웹환경이 구동되지 않을 수 있음

- CBC와 마찬가지로 DLP, DRM 등이 가상환경의 접속을 차단하는 경우 있음

- 가상 데스크톱 인프라(VDI)는 외산 솔루션이 많이 때문에 국내의 특수한 상황을 맞추는데 시간 소요

ㅇ VDI 문제점

- VDI 솔루션은 동시접속자 기준으로 라이선스를 책정, 가상PC를 할당받은 사용자가 업무 종료 후 해당

  가상PC를 회수시키지 않고 그대로 남겨뒀을 때, 사용하지 않는 가상PC에 대한 관리가 되지 않아

  비용이 증가하는 문제가 발생할 수 있음

- VDI 솔루션에서 기본적으로 세션이 만료되면 자동으로 가상PC가 삭제되는 기능이 있는데 가상PC에

  대한 별도의 관리 툴이 필요

(금융위)별첨_금융권 빅데이터 활성화 방안.pdf 

(금융위)보도자료_빅데이터를 활성화하여 금융회사와 핀테크 기업의 동반성장 토대 구축.pdf

1. 빅데이터 정의

    - 빅데이터는 일반적인 기술로 저장, 관리, 분석이 어려울 정도로 큰 규모를 가진 데이터

    - 빅데이터는 3V(Volume, Variety, Velocity)로 정의

        . Volume : 전수조사에 근접한 표본

        . Variety : 구조한 데이터 + SNS, 위치정보 등 비구조화 데이터

        . Velocity : 과거 트랜드 분석에서 벗어나 실시간 분석

2. 빅데이터 현항

    - 국내 보험사의 경우 빅데이터 활용이 마케팅, 보험사기적발 위주인 반면, 외국 보험사는

      상품혁신, 기후재난예측 등 다양하게 빅데이터 활용

    - 외국의 경우 빅데이터가 수익모델로 연결되고 있지만, 우리나의 경우 빅데이터가 수익모

      델로 연결되지 않고 있음

    - 외국 금융회사는 수요에 맞는 서비스를 실시간으로 제공하여 영업에 활용하고 있지만, 우

      리나라의 경우 빅데이터를 실시간으로 영업에 활용하지 못함

    - 우리나라 핀테크 기업이 빅데이터를 활용해 금융권으로 진출하는 경우는 많지 않음

3. 빅데이터 활용의 필요성

    - 외국의 경우 빅데이터 활용이 하나의 산업군으로 연결되고 있어 새로운 성장동력이 되고

      있음

    - 핀테크 기업의 금융정보 빅데이터 활용이 증가하면 핀테크 기업과 금융권이 동반 성장

    - 금융회사도 빅데이터 활용을 통해 시장개척, 새로운 수익사업 발굴 등이 가능하여 금융산

      업 발전에도 도움

4. 빅데이터 활성화 제약요인

    - (법령상 제약) 신용정보법령상 금융회사 등이 신용정보를 비식별화하여 빅데이터 사업에

      활용할 수 있는지 여부가 불명확

    - (인프라 미흡) 핀테크 기업은 금융상품을 만들고 새로운 서비스를 제공하기 위해 필요한

      금융정보의 확보가 어려움

    - (지침 미비) 개정 신용정보법상 과징금 도입, 징벌적 손해배상 등 제재가 강화되어 금융

      회사의 비식별화 정보활용 노력 저해

5. 금융권 빅데이터 활성화 방안

    1) 신용정보 범위 명확화

        - (개선방안) 신용정보법 시행령에서 비식별정보는 개인신용정보에서 제외

            . 시행령 초안 : 식별성이 전제되니 않은 개별 거래내용, 신용도, 신용거래능력 판단

              정보를 개인신용정보 범위에서 제외(9.12일 시행예정)

    2) 비식별정보 활용가능여부 명확화

        - (현황, 문제점) 개인정보보호법상 개인정보는 동의받은 목적으로만 활용해야 하나, 비

           식별화시 동의 목적 외 이용가능

        - (개선방안) 개인정보보호법에 따라  비식별화할 경우 동의 목적 외 이용이 가능하다고

           유권해석

            . 신용정보법(특별법)에 규정되지 않은 사항은 개인정보보호법이 적용

    3) 비식별화 지침 마련

        - (현황, 문제점) 개인정보를 비식별화하더라도 특정 절차를 거치면 다시 식별화가 가능

          한 경우가 발생할 수 있음

        - (개선방안) 협회 공동으로 네거티브 방식으로 금융권 비식별화 지침 마련,  시행

          (`15.9월)

1. 배경

    - 금융과 IT를 결합시킨 새로우 융합기술 핀테크가 새로운 성장동력으로 부상

    - 액티브X 방식의 금융보안 모듈과 공인인증서 사용 의무화 폐지

    - 새로운 형태의 금융서비스 출시, 간편성을 강조한 전자상거래 서비스 소개되면서 보안

      필요성 대두

    - 전자금융거래법 등에서 사고가 발생했을 때 금융기관의 책임을 강화하면서 사기행위를

      탐지하는 시스템에 높은 관심

2. FDS란

    - 거래 트랜잭션을 분석해 이상금융거래를 찾아내는 시스템

    - 이전에 거래했던 패턴을 기반으로 사기거래를 탐지

    - 각 항목마다 점수를 매겨 위험도를 측정해 일정수준 이상 위험도가 발생한다면 추가

      본인확인을 요구하거나 거래를 중단하고 본인에게 직접 전화해 거래사실을 확인

    - 전자금융거래에 사용되는 단말기 정보, 접속 정보, 거래내용 등을 종합적으로 분석해

      의심거래를 탐지하고 이상금융거래를 차단하는 시스템(금융보안연구원)

    - 평소 사용하지 않던 단말과 IP에서 공인인증서를 새로 발급받고 한번도 송금한 적 없는

      계좌로 돈을 이체한다면 이상행위를 의심

    - 접속하는 IP 주소가 사용자가 평소에 접속하지 않던 국가이거나 공격이 자주 일어나는

      국가, VPN을 이용한 원격접속 등의 경우라면 의심

    - 단말의 하드웨어가 변경됐다거나 사이트에 접속 순서나 페이지가 넘어가는 빈도 등을

      분석했을 때 사람이 아니라 봇이 이용한 접속인 경우 등을 탐지

3. 전자금융사기

    - 웹사이트 방문자 시스템을 감염시켜 공인인증서를 비롯한 개인, 금융정보를 탈취한 후,

      기존에 수집한 개인정보와 매칭해 수준 높은 개인정보 DB를 만들고, 은행 사이트에 접속

      해 본인을 위장해 정상적인 프로세스로 거래

    - 단일 거래만을 보면 공인인증서, 이체비밀번호, 보안카드번호 등을 정확하게 입력하기

      때문에 정상거래일 수 있지만 사고 사례를 보면 새벽에 거액의 돈이 이전에 거래하지 않

      았던 계좌로 여러차례 빠져나가는 등 정상적이라 판단할 수 없는 상황

4. 사용자 단말 위주의 기존 금융 서비스 보안

    - 단말기 지정

    - SMS/ARS 추가인증

    - 공인인증서 안심보관 서비스

    - 거래내역 확인 서비스

    - 이체계좌 지정 서비스

    - 키보드 보안

    - 개인 방화벽

    - 백신/피싱방지 솔루션

5. 최근 FDS 단점

    - 실시간 이체가 일어나는 온라인 거래에서 단말정보나 패턴 기반 위험점수를 매기는 단순

      한 방식으로는 오탐이 많이 발생해 불편을 초래. 정탐률을 높인 고도화된 FDS가 필요

6. FDS 구축

[래퍼런스]

    네트워크 타임즈 5월호 - FDS 시장 집중 분석

    http://www.datanet.co.kr/news/articleView.html?idxno=83015

신용정보의 이용 및 보호에 관한 법률 개정예고가 되어 주요 내용으로 정리

신구대조표가 없어 제한적인 주요 내용으로 정리

국회에 제출될 때 개정안은 변경될 수 있을거 같다.

보도자료_신용정보의_이용_및_보호에_관한_법률_전부_개정법률안_입법예고.hwp

14-1119_신용정보법_전부개정법률안.hwp

141119입법예고공고_신용정보법_전부개정법률안.hwp

1. 배경

- 현행 신용정보법은 신용정보업의 기능 및 신용정보의 이용에 초점을 맞춘 반면

- 개정 신용정보법은 신용정보의 보호 의무와 신용정보주체의 자기정보통제권 강화에 초점을 맞춤

- 신용정보의 대상을 금융거래와 관련된 정보로 한정

- 신용정보처리자를 새롭게 정의하여 수범대상을 명확화

- "신용정보의 이용 및 보호에 관한 법률" -> "신용정보 보호 및 처리에 관한 법률" 로 법률명 변경

2. 신용정보처리자 신설

- 신용정보처리자를 금융당국의 감독대상인 금융기관, 신용정보회사, 신용정보집중기관에 한정하여 수범대상을 명확화

- 수범대상

=> 신용정보회사

=> 신용정보집중기관

=> 금융기관

=> 신용정보수탁처리자

3. 신용정보의 재정의(2조 1호)

- 현행법은 "정보의 이용" 측면에서 신용정보제공, 이용자간 처리가 필요한 정보를 제한적으로 열거

- 개정법은 "정보의 보호" 측면에서 신용정보처리자가 처리하는 모든 금융관련 정보를 신용정보로 정의하여 보호의무를 부과

- 개정 신용정보의 정의

=> 신용정보처리자가 처리하는 정보로서 식별정보, 금융거래관계의 설정, 유지여부를 판단하거나 조건을 결정하기 위해

     필요한 정보 및 금융거래 정보

4. 신용정보의 처리(2조 4호, 4조)

- 신용정보 처리의 원칙

=> 최소처리의 원칙

=> 목적외 사용금지

=> 정확성, 최신성의 원칙

5. 수집, 이용, 제공 개념의 단순/명확화(5조, 6조, 7조)

- 수집, 이용: 신용정보주체(고객)에게 직접 수집하여 이용하는 경우

- 조회, 이용: 신용조회회사에게 제공받아 이용하는 경우

- 조회, 이용/활용, 이용: 신용정보집중기관에게 제공받아 이용하는 경우

- 제공: 신용정보처리자가 제3자에게 신용정보를 공급하는 행위

6. 개인신용정보의 관리강화(18조)

- 금융거래 종료, 목적의 달성이 된 때부터 개인신용정보는 금융위가 고시하는 기한 내에 방화벽, 접근통제가 되는 별도의 저장공간에

   저장되어야 한다.

=> 고객원장에서 해당 레코드를 삭제해서 새로운 table에 insert 하는 것이 쉽지는 않으므로 "고객원장" -> "고객원장_거래종료" 이렇게 

     동일한 layout의 table 을 만들어 저장해야할 거 같다.

=> 별도의 table 의 조회는 보안, 컴플 등 감독 부서의 허가하에 조회될 수 있도록 해야할듯 싶다.

- 금융거래 종료, 목적의 달성이 된 때부터 최대 5년 경과 후 개인신용정보는 삭제가 되어야 한다.

2014.11.14 금융위 규정변경예고에 올라온 "전자금융감독규정" 일부개정규정안 정리

주요 내용에 대해서만 정리

전자금융감독규정 일부개정규정안(공고용).hwp

금융위원회 공고 제2014-257호(전자금융감독규정 규정변경예고).hwp

1. 제12조(단말기 보호대책)

- 주요정보, 이용자 정보 저장/조회 단말기와 정보처리시스템 관리용 단말기 등과 중요 단말기에 대한 구체적인 정의가 있었지만 

- 개정안에는 그런 정의가 없으므로 회사 보안지침 등에 중요 단말기 정의를 해야할 필요가 있어 보인다.

- 노트북을 중요 단말기로 지정하지 말아야 한다는 근거는 사라짐

- 단말기 본체 또는 데이터가 저장된 하드 디스크 반출에 대한 모니터링, 승인 등 절차가 필요해 보임 (예 : RFID 부착 등)

2. 제17조(홈페이지 등 공개용 웹서버 관리대책)

- 공개용 웹서버 점검 시 공식(?) 점검항목이던 불필요한 계정, 포트 삭제가 삭제 (그래도 서버 점검기준에 포함은 되야할듯)

- 공개용 웹서버 관리자, 개발자 등이 로그인할 때 공인인증서 추가 인증이 삭제되어 보다 넓은 범위의 추가 인증 적용이 가능

   (OTP 문자 발송, 솔루션 외 자체 인증 - SSO 등)

3. 제34조(전자금융거래 시 준수사항) - 1

- 홈페이지, HTS, MTS 에 보안 프로그램을 설치해야 하는 의무 규정이 삭제

- 고객이 보안 프로그램의 삭제, 미구동을 원할 때 이에 대한 기록 규정도 삭제

- 금융회사는 더 자율적인 보안 대책을 세우고 고객에게 적용해야 하므로 사회적 이슈, 최신 해킹/금융사고 사례를 통해 대책을 적용해야 함

- 아마도 상위기관의 공문이 더 자주 오거나 사고 사례를 들어 보안 대책 적용 여부를 따질 듯

4. 제34조(전자금융거래 준수사항) - 2

- 전자금융거래 매체와 거래인증수단 매체를 분리 사용이 삭제됨에 따라 전자금융거래 매체내에 SW적인 거래인증수단이 적용 가능

   (예: 공인인증서 모듈의 안전한 저장 개념을 하드 디스크내에 SW보안토큰 공간 마련, SW OTP 등)

- 보안카드, OTP 사용 시 번호 입력 오류 등이 발생하면 다음 거래 시 이전의 오류가 난 번호를 다시 요구하였던 것을 삭제

   이는 2014년 규정상의 약점을 악용한 메모리 해킹 사고가 많아짐에 따라 삭제된걸로 생각된다.

- 삭제된 2개 항 대신에 신설된 포괄적인 내용의 4항으로 인해 금융회사는 규정을 준수했다는 면피수단(?)이 사라지고

   고객 매체에 대한 보안대책을 더 많이 고민해야한다.

5. 제37조의 5(정보보호책임자의 업무)

- 임직원 보안점검의 날을 지정하고, 매월 점검하고, 점검결과와 보완계획을 CEO 보고해야 한다.

- 단건으로 CEO에게 보고할 수는 없으니 정보보호위원회를 매월 개최하고 그 세부 안건으로 해야할듯 싶다.

- 점검항목은 어떤 것인지 별도로 정리할 필요가 있겠다.

6. 제60조(외부주문등에 대한 기준)

- 외부 업체에 의한 정보처리시스템 개발 시 별도의 장소, 내부 업무용 시스템으로 접속이 불가하는 별도의 네트워크망을 이용해야 한다.

- 외부주문의 정의가 연간 IT 아웃소싱 계약이 되어 항상 상주하는 인력까지라면 업무장소, 네트워크망 분리는 차치하더라도

   서로간의 위화감(특히, 한 조직이었다가 계열 분리된 경우)이 들거 같아 걱정이 된다.

- 전자금융거래법령, 전자금융감독규정 내 보안업무의 CISO, CEO, 상위감독기관 보고, 제출 업무 정리

전자금융감독규정.pdf

전자금융거래법.pdf

전자금융거래법 시행령.pdf

■ CISO 까지 보고/승인

1. 무선통신망 이용 업무의 승인

① 내용 : 무선통신망을 이용한 업무는 정보보호최고책임자의 승인을 받아 사전에 지정해야한다.

② 근거 : 전자금융감독규정 제15조(해킹 등 방지대책) 6항 1호 <개정 2013.12.3>

■ CEO 까지 보고

1. 정보보안 관련법규 준수 점검결과 보고

① 내용 : 정보보호최고책임자는 임직원이 정보보안 관련법규가 준수되고 있는지 정기적으로 점검하고 그 점검결과를 최고경영자에게 보고할 것

② 근거 : 전자금융감독규정 제8조(인력, 조직 및 예산) 1항 4호 <신설 2013.12.3>

2. 정보보안 관련법규 위반자 제재 보고

① 내용 : 최고경영자는 임직원이 정보보안 관련법규를 위반할 경우 그 제제에 대한 기준 및 절차를 운영해야하므로 

             정보보호최고책임자는 정보보안 관련법규 위반자의 제제 기준 및 절차를 수립하여 CEO 에게 보고해서 시행해야 한다. 

   (내 생각. CEO 가 이거 챙기겠어?)

② 근거 : 전자금융감독규정 제8조(인력, 조직 및 예산) 1항 5호 <신설 2013.12.3>

3. 정보기술부문/정보보호 인력, 정보보호예산의 감독규정 미준수 시 보고 및 공시

① 내용 : 정보기술부문 인력은 총 임직원수의 100분의 5 이상(5%), 정보보호인력은 정보기술부문 인력의 100분의 5 이상(5%), 

   정보보호예산을 정보기술부문 예산의 100분의 7 이상이 되도록 해야한다.

② 근거 : 전자금융감독규정 제8조(인력, 조직 및 예산) 3항 <개정 2013.12.3>

   금융회사 정보기술부문 보호업무 모범규준 II. 5. ⑥

③ 공시방법

- 홈페이지

- 홈페이지를 운영하지 않는 금융회사는 관련 협회를 통해 공시

④ 공시 시기 

- 매사업년도 종료 후 1개월 이내

- 사업연도 반기(반기가 시작되는 월 기준)마다 주기적으로 재공시

 ⑤ 공시 기간

- 공시일로부터 15일 동안 공시

4. 정보보호위원회 심의, 의결사항 보고

① 내용 : 정보보호최고책임자는 정보보호위원회 심의·의결사항을 최고경영자에게 보고하여야 한다.

② 근거 : 전자금융감독규정 제8조의2(정보보호위원회 운영) 4항

■ 상위감독기관 보고

1. 정보기술부문 계획서 제출

① 내용 : 안전한 전자금융거래를 위한 정보기술부문에 대한 현실적이고 실현 가능한 장단기 계획을 매년 수립하여 운영하여야 한다.

② 근거 : 전자금융거래법 제21조(안전성의 확보의무) 4항 <신설 2013.5.22>

             전자금융감독규정 제19조(정보기술부문 계획서 제출 절차 등) 1항 <신설 2013.12.3>

③ 최종 제출처 : 금융위원회

④ 제출 시기 : 매 사업연도 초일부터 3개월 이내

⑤ 보고 내용

- 정보기술부분의 추진목표 및 추진전략

- 정보기술부문의 직전 사업연도 사업실적 및 해당 사업연도 추진계획

- 정보기술부문의 조직 등 운영 현황

- 정보기술부문의 직전 사업연도 및 해당 사업연도 예산

- 그 밖에 안전한 전자금융거래를 위하여 정보기술부문에 필요한 사항으로서 금융위원회가 정하여 고시하는 사항

⑥ 벌칙/과태료

- 정보기술부문 계획을 제출하지 않으면 1천만원 이하 과태료

2. 전자금융기반시설의 취약점 분석, 평가 결과서 제출

① 내용 : 총자산이 2조원이상이고 상시 종업워수가 300명이상인 금융회사는 전자금융거래의 안전성과 신뢰성을 확보하기 위해 

   전자금융기반시설에 대한 분석, 평가해야한다.

② 근거 : 전자금융거래법 제21조3(전자금융기반시설의 취약점 분석, 평가) 1항

             전자금융감독규정 제37조의3(전자금융기반시설의 취약점 분석, 평가 전문기관의 지정 등) 2항

③ 최종 제출처 : 금융위원회

④ 취약점 분석, 평가 시기

- 사업연도마다 1회 이상 취약점 분석, 평가 실시(홈페이지는 6개월에 1회 이상)

- 즉시 취약점 분석, 평가

가. 침해사고가 발생하여 그 피해 및 피해 확산을 방지하기 위한 긴급한 조치가 필요한 경우

나. 정보처리시스템이나 인터넷 홈페이지 구축 등 정보기술부문 관련 사업을 실시하였거나 정보기술부문의 기능개선ㆍ변경을 수행한 

     경우

⑤ 결과서 제출 시기 : 취약점 분석, 평가 종료 후 30일 이내 제출

⑥ 취약점 분석, 평가 대상

가. 정보기술부문의 조직, 시설 및 내부통제에 관한 사항

나. 정보기술부문의 전자적 장치 및 접근매체에 관한 사항

다. 전자금융거래의 유지를 위한 침해사고 대응조치에 관한 사항

라. 정보기술부문과 연계된 전자금융보조업자의 정보처리시스템 등에 관한 사항

마. 그 밖에 전자금융거래의 안정성과 신뢰성을 확보하기 위하여 필요한 사항으로서 금융위원회가 정하여 고시하는 사항

⑦ 벌칙/과태료

- 전자금융기반시설의 취약점을 분석, 평가하지 아니한 자는 2천만원 이하 과태료

- 보완조치의 이행계획을 수립, 시행하지 아니한 자는 2천만원 이하 과태료

- 전자금융기반시설의 취약점 분석, 평가의 결과를 보고하지 아니한 자는 1천만원 이하 과태료

3. 정보기술부문 및 전자금융사고 보고

① 내용 : 금융회사는 전산장애, 금융사고, 해킹 등 중대한 사고가 발생하면 지체 없이 상위기관에 보고하여야 한다.

② 근거 : 전자금융감독규정 제73조(정보기술부문 및 전자금융사고보고) 1항 <신설 2013.12.3>

③ 최종 보고처 : 금융위원회 및 금융감독원장

④ 보고 대상사고

가. 전자적 침해행위로 인해 정보처리시스템에 사고가 발생하거나 이로인해 이용자가 금전적 피해를 입었다고 금융회사 또는 

     전자금융업자에게 통지한 경우

나. 접근매체의 위조나 변조로 발생한 사고

1. 정보기술부문 계획

1) 목적

- 안전한 전자금융거래를 위한 정보기술부문에 필요한 사항을 계획

2) 근거 법령

- 전자금융거래법 제21조(안전성의 확보의무) 4항

3) 시기

- 매년 수립

- 매 사업년도 초일부터 3개월 이내

4) 보고/제출 라인

- 대표자의 확인, 서명

- 금융위원회 제출

5) 보고 내용

- 정보기술부문의 추진목표 및 추진전략

- 정보기술부문의 직전 사업연도 사업실적 및 해당 사업연도 추진계획

- 정보기술부문의 조직 등 운영 현황

- 정보기술부문의 직전 사업연도 및 해당 사업연도 예산

- 그 밖에 안전한 전자금융거래를 위하여 정보기술부문에 필요한 사항으로서 금융위원회가 정하여 고시하는 사항

6) 벌칙/과태료

- 정보기술부문 계획을 제출하지 않으면 1천만원 이하 과태료

2. 전자금융기반시설의 취약점 분석, 평가

1) 목적

- 전자금융거래의 안전성과 신뢰성을 확보하기 위해 전자금융기반시설에 대한 분석, 평가

2) 근거 법령

- 전자금융거래법 제21조3(전자금융기반시설의 취약점 분석, 평가)

3) 시기

가) 취약점 분석, 평가 시행 시기

- 사업연도마다 1회 이상 취약점 분석, 평가 실시

- 즉시 취약점 분석, 평가

① 침해사고가 발생하여 그 피해 및 피해 확산을 방지하기 위한 긴급한 조치가 필요한 경우

② 정보처리시스템이나 인터넷 홈페이지 구축 등 정보기술부문 관련 사업을 실시하였거나 정보기술부문의 기능개선ㆍ변경을 수행한 경우

나) 보고 시기

- 취약점 분석, 평가 종료 후 30일 이내 제출

4) 보고/제출 라인

- 금융위원회 제출

5) 취약점 분석, 평가 대상

- 정보기술부문의 조직, 시설 및 내부통제에 관한 사항

- 정보기술부문의 전자적 장치 및 접근매체에 관한 사항

- 전자금융거래의 유지를 위한 침해사고 대응조치에 관한 사항

- 정보기술부문과 연계된 전자금융보조업자의 정보처리시스템 등에 관한 사항

- 그 밖에 전자금융거래의 안정성과 신뢰성을 확보하기 위하여 필요한 사항으로서 금융위원회가 정하여 고시하는 사항

6) 취약점 분석, 평가 수행자

- 자체전담반

- 전문성을 갖춘 외부 기관

- 자체전담반의 구성기준과 의뢰할 수 있는 외부 기관의 기준은 금융위원회가 정하여 고시

7) 보고 내용

- 취약점 분석ㆍ평가의 사유, 대상, 기간 등 실시개요

- 취약점 분석ㆍ평가의 세부 수행방법

- 취약점 분석ㆍ평가 결과

- 취약점 분석ㆍ평가 결과에 따른 필요한 보완조치의 이행계획

- 그 밖에 취약점 분석ㆍ평가의 적정성을 확보하기 위하여 필요한 사항으로서 금융위원회가 정하여 고시하는 사항

8) 벌칙/과태료

① 2천만원 이하 과태료

- 전자금융기반시설의 취약점을 분석·평가하지 아니한 자

- 보완조치의 이행계획을 수립·시행하지 아니한 자

② 1천만원 이하 과태료

- 전자금융기반시설의 취약점 분석·평가의 결과를 보고하지 아니한 자

1. 지연 이체 제도

전자금융사기를 예방하고자 이용자가 원할 경우 30분, 1시간 또는 1일 이후 이체가 되는 "지연 이체" 제도가 생겼다.

본 조항은 부칙에 따라 공포 후 1년이 경과한 날부터 시행된다.(2015.10.16)

따라서 대통령령은 이후 개정될 것으로 보인다.

IT적으로는 이체 시 지연 이체 신청 이용자인지 체크하는 로직이 들어가거나

이상금융거래탐지에 해당 이용자를 고려할지 검토가 필요할거 같다.

2. 공인인증의 강제성

금융위원회가 정하는 전자금융거래의 안전성 조치에 공인인증서까지 적용되는 걸로 보인다.

하지만 개정된 3항처럼 금융위원회가 특정한 공인인증 기술을 강제하지 않도록 했으므로 공인인인증서 외에 사설인증서도 사용할 수 있을거

같다.

이 규정또한 공포 후 1년이 경과한 날부터 시행된다.(2015.10.16) 

3. 정보보호최고책임자 지정

총자산이 2조원 이상이고, 상시 종업원 수가 300명 이상인 금융회사와 전자금융업자는 CISO 는 다른 업무를 겸직할 수 없는 전임 CISO 규정이 생겼다.

이 규정은 이 법 시행 후 선임(재선임 포함)되는 CISO 부터 적용하는데, 이 법은 공포 후 6개월이 경과한 날부터 시행이므로 2015.4.16 부터 적용된다.

4. 상거래 관계가 종료된 전자금융거래기록의 파기

금융거래 등 상거래관계가 종료된 경우에 5년 이내에 전자금융거래기록을 파기해야 한다.

아래 3가지 경우에는 전자금융거래기록을 파기하지 않아도 된다.

1) 신용정보("신용정보의 이용 및 보호에 관한 법률")

- 특정 신용정보주체를 식별할 수 있는 정보

생존하는 개인의 성명, 주소, 주민등록번호, 외국인등록번호, 국내거소신고번호, 여권번호, 성별, 국적 및 직업 등과 기업

(사업을 경영하는 개인 및 법인과 이들의 단체를 말한다. 이하 같다) 및 법인의 상호, 법인등록번호, 사업자등록번호, 

본점 및 영업소의 소재지, 설립연월일, 목적, 영업실태, 종목, 대표자의 성명 및 임원 등에 관한 사항

(제2호부터 제5호까지의 어느 하나에 해당하는 정보와 결합되는 경우만 해당한다)

- 신용정보주체의 거래내용을 판단할 수 있는 정보

대출, 보증, 담보제공, 당좌거래(가계당좌거래를 포함한다), 신용카드, 할부금융, 시설대여와 금융거래 등 상거래와 

관련하여 그 거래의 종류, 기간, 금액 및 한도 등에 관한 사항

- 신용정보주체의 신용도를 판단할 수 있는 정보

금융거래 등 상거래와 관련하여 발생한 연체, 부도, 대위변제, 대지급과 거짓, 속임수, 그 밖의 부정한 방법에 의한 

신용질서 문란행위와 관련된 금액 및 발생·해소의 시기 등에 관한 사항. 이 경우 신용정보주체가 기업인 경우에는 

다음 각 목의 어느 하나에 해당하는 자를 포함한다.

가. 「국세기본법」 제39조제2항에 따른 과점주주로서 최다출자자인 자

나. 「국세기본법」 제39조제2항에 따른 과점주주인 동시에 해당 기업의 이사 또는 감사로서 그 기업의 채무에 연대보증을 한 자

다. 해당 기업의 의결권 있는 발행주식총수 또는 지분총액의 100분의 30 이상을 소유하고 있는 자로서 최다출자자인 자

라. 해당 기업의 무한책임사원

- 신용정보주체의 신용거래능력을 판단할 수 있는 정보

금융거래 등 상거래에서 신용거래능력을 판단할 수 있는 다음 각 목의 어느 하나에 해당하는 정보

가. 개인의 재산·채무·소득의 총액 및 납세실적

나. 기업의 연혁·주식 또는 지분보유 현황 등 기업의 개황(槪況), 판매명세·수주실적 또는 경영상의 주요 계약 등 사업의 내용, 재무제표(연결재무제표 및 결합재무제표를 포함한다. 이하 같다) 등 재무에 관한 사항과 「주식회사의 외부감사에 관한 법률」에 따른 감사인의 감사의견 및 납세실적

- 다음 각 목의 어느 하나에 해당하는 정보

가. 법원의 금치산선고·한정치산선고·실종선고의 재판, 회생·개인회생과 관련된 결정, 파산선고·면책·복권과 관련된 결정, 채무불이행자명부의 등재·말소 결정 및 경매개시결정·경락허가결정 등 경매와 관련된 결정에 관한 정보

나. 국세·지방세·관세 또는 국가채권의 체납 관련 정보

다. 벌금·과태료·과징금 또는 추징금 등의 체납 관련 정보

라. 사회보험료·공공요금 또는 수수료 등 관련 정보

마. 기업의 영업에 관한 정보로서 정부조달 실적 또는 수출·수입액 등의 관련 정보

바. 개인의 주민등록 관련 정보로서 출생·사망·이민·부재에 관한 정보, 주민등록번호·성명의 변경 등에 관한 정보

사. 기업등록 관련 정보로서 설립, 휴업·폐업, 양도·양수, 분할·합병, 주식 또는 지분 변동 등에 관한 정보

아. 다른 법령에 따라 국가, 지방자치단체 또는 공공기관으로부터 받은 행정처분에 관한 정보 중에서 금융거래 등 상거래와 관련된 정보

자. 그 밖에 신용정보주체의 신용등급, 신용조회회사의 신용정보 제공기록 또는 신용정보주체의 신용회복 등에 관한 사항으로서 금융위원회가 정하여 고시하는 정보

2) 다른 법률에 따른 의무를 이행하기 위한 기록

3) 금융위원회가 정하는 전자금융거래기록

파기하지 않아도 되는 위 3가지 전자금융거래기록을 제외환 기록을 예로 든다면 아래와 같을거 같다. 상당히 제한적일거 같다.

- HTS 에서 보안 솔루션 해지 기록 

- 서버에 보관된 개인별 관심종목 기록

5. 위탁한 정보보호업무의 재위탁 금지

금융회사의 정보보호업무를 위탁받은 전자금융보조업자(ex : 안랩, 인포섹 등)는 그 정보보호업무를 다시 제3의 업체에 재위탁해서는 안 된다.

금융위원회가 인정하는 경우는 제3의 업체에 위탁해도 된다고 하는데 그 인정 기준은 모르겠다. 

6. 과징금

(1항) 금융회사가 정보보호업무를 소홀히 하여 전자금융거래를 유출, 목적 외 사용한 경우에는 50억 이하의 과징금을 부과한다.

(2항) 금융회사가 6개월 이내의 업무정지를 당한 경우 5천만원 이하의 과징금으로 업무정지를 갈음할 수 있다.

제43조 2항 업무정지 사례(보안 관련 사례만)

- 접근매체(공인인증서, 보안카드, OTP 등) 발급 시 고객 본인 확인을 안한 경우

- 전자금융거래 안정성 의무를 소홀히 한 경우

- 침해사고 발생 시 피해확산 방지 노력을 안한 경우

과태료, 과징금, 벌금

1) 과태료

- 행정법상 의무 위반에 대한 제재로서 부과, 징수되는 금전

- 법 위반자에게 아무런 경제적 이득이 없어도 부과하는 금전

2) 과징금

- 위반 사업자를 의무위반을 이유로 사업정지처분을 내릴 때에 그로 인해 현저하게 공익이 침해될 우려가 있을 때 부과하게 되므로

   사업을 계속하게 하되 그 이익을 박탈하기 위한 목적인 금전

- 이득환수를 목적이므로 과태료보다 훨씬 큰 금액이 부과 

3) 벌금

- 형법에 의한 금전을 박탈하는 것

7. 과태료

5천만원 이하 과태료 부과 범위가 많이 늘어났다.(보안관련 항목만 정리)

1) 전자금융거래 안전성 확보 의무를 소홀히 한 경우

2) 전자금융기반시설의 취약점을 분석·평가하지 아니한 경우

3) 전자금융기반시설의 취약점 분석·평가 결과에 따른 필요한 보완조치의 이행계획을 수립·시행을 아니한 경우

4) 정보보호업무를 제3자에게 재위탁한 경우

(주)시소아이티의 이상 금융거래 아키텍처 자료

logcenter0515.pdf

1. 룰 탐지 시나리오

1) 거래 사전 행위 탐지에 의하 시나리오

2) 금융 거래 패턴 데이터 탐지에 의한 시나리오

- IP를 통해 국적을 구분해서 물리적으로 제한된 시간내에 이동 가능한 거리인지 판단하는 것에 대한 유효성은 있다.

- 직전 거래한 IP 지역과 현재 거래한 IP 지역간의 이동시간에 대한 데이터가 중요할 듯 보인다.

- 평상시의 거래 금액, 거래 횟수, 거래 빈도를 통해 이상금융거래 판단은 오탐이 있지만 어느 정도 유효성은 있다.