금융감독원, 신한카드에 대해 기관주의와 과태료 등 기관 제재
안전한 인증 추가 없이 앱 업그레이드 버전 출시

[보안뉴스 김영명 기자] 금융감독원은 최근 신한카드사에 대해 ‘전자금융거래의 안전한 인증방법 사용의무 위반’으로 기관주의와 함께 과태료 5,000만원을 의결, 12월 21일부로 제재한다고 밝혔다.


전자금융거래법(법률 제17354호) 제21조제2항과 전자금융감독규정(행정규칙, 금융위 고시 제2022-44호) 제7조 및 제37조에 따라 금융회사는 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 전자금융거래의 종류·성격·위험수준 등을 고려해 안전한 인증방법을 사용해야 한다.

하지만 신한카드는 2021년 6월, 모바일 애플리케이션인 ‘신한PayFAN’에 대해 취약점 분석 및 평가 전문기관을 통해 이용자 인증 등에 대한 취약점을 진단한 결과, 타인 명의의 스마트폰에서 모바일 앱 가입을 위해 본인을 인증할 때 휴대전화번호를 위·변조하는 수법으로 인증방법을 우회할 수 있는 취약점이 발견됐다.

해당 전문기관은 신한카드 측에 SMS 인증 등을 이용한 추가인증 방법을 강구하도록 권고했다. 하지만 신한카드사는 이 권고를 무시해 안전한 인증방법을 적용하지 않은 채 기존의 모바일 앱 버전을 업그레이드, 2021년 10월에 ‘신한pLay’ 앱을 출시했다.

이어서 2021년 11월부터 2022년 4월 11일 사이에 불상자가 스마트폰 피싱 등의 방법을 이용해 수집한 것으로 추정되는 고객정보를 도용, 신한pLay 모바일 앱 가입 시 유심(USIM)에서 자동 추출한 휴대전화번호를 고객의 휴대전화번호로 위·변조해 본인인증을 우회했다. 해당 사고로 신한카드 고객 70명의 신용카드에서 금융감독원의 검사착수일 확인된 금액을 기준으로 1억 7,500만원이 부정 사용되는 결과가 발생했다.

이에 금융감독원은 전자금융거래법과 전자금융감독규정 등 관련 규정에 의거해 신한카드사에 기관주의를 줬으며, 5,000만원의 과태료도 함께 부과했다고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>