'접근매체'에 해당되는 글 1건

  1. 2012.07.15 (2012.07.13) 전자금융거래법 규정해설

강사 : 금융감독원 강준모 선임조사역

장소 : 금융보안연구원

 

지난 13일 금융보안연구원에서 한 IT 컴플라이언스 교육 중 전자금융거래법에 대한 주요 내용을 정리합니다.

 

전자금융거래법은 크게 2가지 법으로 구성되어 있습니다.

1. 거래법 -> 전자금융거래 안전성, 신뢰성 확보 및 이용자 보호

    - 전자금융거래 전반을 규율하는 거래법

    - 비서면, 비대면의 전자적 거래 특성 반영

    - 전자금융거래 기본절차 및 책임관계 명확화

2. 사업법 -> 전자금융업의 건전한 발전 및 활성화 도모

    - 전자금융업 영위 및 감독/검사에 관한 사업법

    - 전자금융업의 대한 범위, 진입(허가, 등록)

    - 금융회사 정보기술부문 기준 마련

 

다음과 같은 환경이라면 전자금융거래법을 적용 받아야 할까요?

'저희 은행은 인터넷 뱅킹이 없습니다. 오직 창구에서만 업무가 이뤄지고 있습니다.'

 

결론은 전자금융거래법을 적용 받습니다. IT 로 이루어진 업무가 대내외로 있다면 전자금융거래법이

적용된다고 합니다.

 

전자금융거래의 개념은

'금융기관 또는 전자금융업자가 전자적 장치(1)를 통하여 금융상품 및 서비스를 제공(2)하고, 이용자가 금융기관 또는 전자금융업자의 종사자와 직접 대면(3)하거나 의사소통을 하지 아니하고(4) 자동화된 방식(5)으로 이를 이용하는 거래' 라고 법에 기술되어 있습니다.

 

다음 중 전자금융거래는 어떤 것일까요?

① 증권사 관리자에게 전화해서 시장가에 팔아달라고 요청하고 비밀번호를 말해서 거래 성사

② 증권사 ARS 로 전화해서 거래

 

답은 2번 입니다.

① 은 법에 규정된 전자금융거래 정의에서 (4), (5) 를 만족하지 못했으므로 전자금융거래가 아닙니다.

② 는 전자금융거래가 맞습니다.

 

즉, 사람의 조작이 중간에 들어가면 전자금융거래가 아닙니다.

 

전자금융거래법 주요 내용

 

해킹, 전산장애 등의 쌍방 무과실 사고시 금융기관/전자금융업자 책임(제9조)

    - 접근매체 위/변조 또는 전자적 전송 및 처리과정에서의 사고로 이용자에게 손해 발생시 금융기관/전자금융

       업자가 책임을 부담.

    - 다만, 1) 사고발생시 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의

       부담으로 할 수 있다는 취지의 약정을 체결한 경우 및

    - 2) 법인이용자의 경우 금융기관이 사고방지를 이한 보안절차 수립, 준수 등 충분한 주의의무를 다한 경우

       금융기관 등의 면책 가능

 

여기서 책임은 '민사' 에 대한 책임을 말하는 것이라 합니다.

또한 해킹으로 인해 고객이 손해를 입었다 하더라도 금융기관/전자금융업자가 민사상 책임을 져야 한다고 합니다.

 

다음 중 금융기관/전자금융업자의 책임은 어떻게 될까요?

① 이용자가 여러 은행의 보안카드 번호를 엑셀로 정리해서 개인 컴퓨터에 보관했는데 해킹 당해서 이용자

    의 금전적인 손해 발생

② 이용자가 여러 은행의 보안카드 번호를 엑셀로 정리해서 클라우드나 네이버의 N드라이브 등에 올려놓고

    클라우드가 해킹 당해서 금전적인 손해 발생

③ 술집에서 종업원에게 현금 빼오라고 하면서 카드와 비밀번호를 모두 전달한 경우

 

① 은 100% 금융기관 책임이고

② 는 금융업자의 보안 정책에 따라 일부 책임 가능.

③ 은 100% 이용자의 중대한 과실

 

따라서, 금융업자는 공인인증서 재발급 강화(2 채널 인증, 특정 컴퓨터 ip/mac address 에서만 인증서

발급할 수 있어야 위 사고로부터 대처할 수 있습니다.

 

접근매체의 분실과 도난 책임(법 제10조)

    - 접근매체 분실/도난 시 신고 후 거래에 대해서는 금융기관 등의 책임

 

공인인증서와 보안카드가 유출되거나 피싱 피해를 입었을 경우 신고 후 발생하는 거래에 대해서만 민사

상 책임을 금융기관이 집니다. 신고 전 발생한 피해액은 금융기관 책임이 없습니다.

 

단, 카드는 신고 전 90일 전 사고도 금융기관이 책임을 집니다.

 

정보보호최고책임자의 지정(법 제21조의 2)

    - 금융기관(전자금융업자)는 정보기술부문 보안 총괄책임자(정보보호최고책임자)를 의무적으로 지정

    - 총자산/종업원수가 일정수준 이상의 기관(최근 사업년도말 기준 총자산 2조 이상이면서 종업원수 300

       명이상)인 경우에는 임원으로 지정해야 함

 

임원이라 함은 이사 이사를 말합니다.

만약, 자산 2조원 미만이거나 종업원수 300명 미만이면 부장급이하 팀장도 CISO 지정 가능합니다.

 

법상으론 CPO, CIO, CISO, 신용정보 관리책임자 모두를 한 사람이 겸직 가능합니다.

 

 

Posted by i kiss you
,