스마트폰 전자금융서비스 안전대책

1.
금융감독원이 스마트폰 보안대책을 발표하였습니다.

스마트폰 전자금융서비스 안전대책

아래한글 파일을 받기 귀찮은 분들 위해 ‘스마트폰 전자금융서비스 주요 안전대책’ 전문을 실었습니다.

1. 기본방향

□ (적정한 보안수준) 스마트폰을 이용한 전자금융거래시 발생될 수 있는 잠재적 보안위협으로부터 고객정보를 보호하고 안전한 전자금융서비스 제공을 위해 적정한 보안수준 유지
– PC 인터넷뱅킹서비스와 유사한 보안수준을 적용

□ (보안위협에 대한 공동대응) 금융회사, 정보보호전문기관 등과 협력하여 향후 예상되는 보안위협에 공동대응

2. 안전대책

가. 전자금융거래 부문

□ 다단계 가입자확인*을 통해 전자금융서비스 가입절차를 강화
* 1단계 확인(ID?비밀번호 등) → 2단계 확인(일회용비밀번호 등) → 3단계 확인(공인인증서 등)

□ 스마트폰 전자금융서비스 가입시 이용자 유의사항 안내 후 가입허용
□ 로그인시 공인인증서를 사용하거나, ID?비밀번호 외에 일회용비밀번호(보안카드 포함)를 추가로 적용*하는 등 사용자 인증강화
* 이중요소 인증 (two-factor authentication) 적용

□ PC 인터넷뱅킹의 전자자금이체시 적용되는 거래인증방법(계좌비밀번호, 일회용비밀번호, 전자서명)과 보안등급별 자금이체한도를 적용

나. 기술적 침해대응 부문

□ 금융거래의 기밀성 및 무결성 확보를 위해 “스마트폰↔금융회사” 全 통신구간에서 금융거래정보는 암호화하여 송수신
□ 비밀번호 등 중요입력정보가 유출되거나, 변조되지 않도록 입력정보 보호대책 적용
□ 비밀번호 등 중요정보를 스마트폰에 저장 금지
□ 바이러스 등 악성코드에 의한 각종 보안위협으로부터 전자금융거래를 보호하기 위한 악성코드 예방대책 적용
□ 거래사실의 부인 방지를 위해 전자서명 등을 이용

다. 취약점 모니터링 부문

□ 서비스 제공 금융회사는 자체 보안전문인력, 정보보호전문기관 등과 협력하여 취약점 분석 및 대응을 위한 상시모니터링 체제 구축
□ 금감원은 「스마트폰 전자금융서비스 안전대책 마련 T/F」을 지속 운영하여 범금융권과 공동 대응

2.
그동안 금감원 보안정책에 대한 찬반이 극명하게 나뉩니다. 이번 대책도 역시 같은 반응이 나오지 않을까 합니다.

아이폰 모바일 뱅킹서비스, 금감원발 직격탄(?)
[취재수첩] 금감원 ‘스마트폰 뱅킹 안전대책’이 갖는 의미

금감원의 보안정책과 다른 길을 제시하고 있는 Openweb의 반응입니다.

금감원의 스마트폰 보안정책

다만 스마트폰 서비스를 준비하여야 하는 금융회사들은 금감원 가이드라인을 거스릴 수 없습니다. 참고가 될 만한 글이 하나 있습니다. 금감원 가이드라인에 따르면 백신과 키보드보안제품을 설치하도록 하여야 합니다. 내년부터 SKT에서 활성화에 나설 구글폰과 아이폰을 위한 제품을 개발한 업체가 있다고 합니다.

스마트폰 ‘혁명’과 함께 주목되는 신생 보안업체

그런데? Openweb의 글을 보면 약간 의문을 표명하고 있습니다.

아이폰용 실시간 백신은 기술적으로도 불가능합니다. 무지한 국내 언론을 동원하여 아이폰용 백신 개발 운운하는 괴담을 흘린 국내 일부 보안업체는 실제로 다른 업체들의 빈축을 사고 있습니다.

위의 기사와 Openweb이 직접 관련이 있는지는 알 수 없습니다. 도입전 직접 확인하는 것이 최선입니다.(^^)
마지막으로 Openweb의 분석기사를 보면 금감원 보안정책으로 구현가능한 경우가 다양합니다. 보안업체들의 입김을 배제하고 서비스를 제공할 수 있다고 합니다.

각종 국내용 “보안프로그램”(플러그인) 판매 만을 자신의 사업 영역으로 규정하고, 그것에만 목을 매고 있었던 업체들은 빨리
퇴출되는 것이 옳습니다. 국제 수준의 보안 “시스템 설계” 기술을 확보하고, 세계 시장에서 당당히 경쟁할 능력이 있는 업체가
주목 받는 시절이 곧 올 것입니다.

어떤 경우를 금감원 가이드라인에 부합한지는 전적으로 금감원의 권한입니다. 정책에 대한 해석권한은 금감원이 배타적으로 가지고 있기때문입니다.? 이것이 문제입니다.