강사 : 금융감독원 강준모 선임조사역
장소 : 금융보안연구원
지난 13일 금융보안연구원에서 한 IT 컴플라이언스 교육 중 전자금융거래법에 대한 주요 내용을 정리합니다.
전자금융거래법은 크게 2가지 법으로 구성되어 있습니다.
1. 거래법 -> 전자금융거래 안전성, 신뢰성 확보 및 이용자 보호
- 전자금융거래 전반을 규율하는 거래법
- 비서면, 비대면의 전자적 거래 특성 반영
- 전자금융거래 기본절차 및 책임관계 명확화
2. 사업법 -> 전자금융업의 건전한 발전 및 활성화 도모
- 전자금융업 영위 및 감독/검사에 관한 사업법
- 전자금융업의 대한 범위, 진입(허가, 등록)
- 금융회사 정보기술부문 기준 마련
다음과 같은 환경이라면 전자금융거래법을 적용 받아야 할까요?
'저희 은행은 인터넷 뱅킹이 없습니다. 오직 창구에서만 업무가 이뤄지고 있습니다.'
결론은 전자금융거래법을 적용 받습니다. IT 로 이루어진 업무가 대내외로 있다면 전자금융거래법이
적용된다고 합니다.
전자금융거래의 개념은
'금융기관 또는 전자금융업자가 전자적 장치(1)를 통하여 금융상품 및 서비스를 제공(2)하고, 이용자가 금융기관 또는 전자금융업자의 종사자와 직접 대면(3)하거나 의사소통을 하지 아니하고(4) 자동화된 방식(5)으로 이를 이용하는 거래' 라고 법에 기술되어 있습니다.
다음 중 전자금융거래는 어떤 것일까요?
① 증권사 관리자에게 전화해서 시장가에 팔아달라고 요청하고 비밀번호를 말해서 거래 성사
② 증권사 ARS 로 전화해서 거래
답은 2번 입니다.
① 은 법에 규정된 전자금융거래 정의에서 (4), (5) 를 만족하지 못했으므로 전자금융거래가 아닙니다.
② 는 전자금융거래가 맞습니다.
즉, 사람의 조작이 중간에 들어가면 전자금융거래가 아닙니다.
전자금융거래법 주요 내용
해킹, 전산장애 등의 쌍방 무과실 사고시 금융기관/전자금융업자 책임(제9조)
- 접근매체 위/변조 또는 전자적 전송 및 처리과정에서의 사고로 이용자에게 손해 발생시 금융기관/전자금융
업자가 책임을 부담.
- 다만, 1) 사고발생시 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의
부담으로 할 수 있다는 취지의 약정을 체결한 경우 및
- 2) 법인이용자의 경우 금융기관이 사고방지를 이한 보안절차 수립, 준수 등 충분한 주의의무를 다한 경우
금융기관 등의 면책 가능
여기서 책임은 '민사' 에 대한 책임을 말하는 것이라 합니다.
또한 해킹으로 인해 고객이 손해를 입었다 하더라도 금융기관/전자금융업자가 민사상 책임을 져야 한다고 합니다.
다음 중 금융기관/전자금융업자의 책임은 어떻게 될까요?
① 이용자가 여러 은행의 보안카드 번호를 엑셀로 정리해서 개인 컴퓨터에 보관했는데 해킹 당해서 이용자
의 금전적인 손해 발생
② 이용자가 여러 은행의 보안카드 번호를 엑셀로 정리해서 클라우드나 네이버의 N드라이브 등에 올려놓고
클라우드가 해킹 당해서 금전적인 손해 발생
③ 술집에서 종업원에게 현금 빼오라고 하면서 카드와 비밀번호를 모두 전달한 경우
① 은 100% 금융기관 책임이고
② 는 금융업자의 보안 정책에 따라 일부 책임 가능.
③ 은 100% 이용자의 중대한 과실
따라서, 금융업자는 공인인증서 재발급 강화(2 채널 인증, 특정 컴퓨터 ip/mac address 에서만 인증서
발급할 수 있어야 위 사고로부터 대처할 수 있습니다.
접근매체의 분실과 도난 책임(법 제10조)
- 접근매체 분실/도난 시 신고 후 거래에 대해서는 금융기관 등의 책임
공인인증서와 보안카드가 유출되거나 피싱 피해를 입었을 경우 신고 후 발생하는 거래에 대해서만 민사
상 책임을 금융기관이 집니다. 신고 전 발생한 피해액은 금융기관 책임이 없습니다.
단, 카드는 신고 전 90일 전 사고도 금융기관이 책임을 집니다.
정보보호최고책임자의 지정(법 제21조의 2)
- 금융기관(전자금융업자)는 정보기술부문 보안 총괄책임자(정보보호최고책임자)를 의무적으로 지정
- 총자산/종업원수가 일정수준 이상의 기관(최근 사업년도말 기준 총자산 2조 이상이면서 종업원수 300
명이상)인 경우에는 임원으로 지정해야 함
임원이라 함은 이사 이사를 말합니다.
만약, 자산 2조원 미만이거나 종업원수 300명 미만이면 부장급이하 팀장도 CISO 지정 가능합니다.
법상으론 CPO, CIO, CISO, 신용정보 관리책임자 모두를 한 사람이 겸직 가능합니다.
'My Security Study > Review' 카테고리의 다른 글
| 보안사고 역사 새로 쓸 초대형 보안 사고 (0) | 2013.04.22 |
|---|---|
| 방송통신위원회과 금융위원회의 금융회사에 대한 정보통신망법 견해 (0) | 2013.03.09 |
| 개인정보보호법, 정보통신망법, 신용정보법에서의 개인의 차이 (2) | 2013.03.06 |
| 개인신용정보와 개인정보와의 관계 (0) | 2013.03.05 |
| 개인정보의 정의 (0) | 2013.03.04 |
| 행정안전부 SW보안약점 진단원 만남 후기 (0) | 2013.02.19 |
| (2012.08.29) 해킹당한 고객의 접속 차단, 모니터링의 관리적 조치 (0) | 2012.08.29 |
| 정보보안기사 출제기준(필기, 실기) (0) | 2012.08.23 |
| 사내 리소스 활용으로 저비용 개인정보파일 통제 방법 (0) | 2012.07.18 |
| (2012.06.12) 개인정보 안정성 확보조치 및 위험도 분석 기준 Q&A (0) | 2012.06.17 |
