전자금융거래 인증방법의 안전성 기술평가기준 설명

[보안뉴스 오병민] 금융감독원은 23일 금융기관 및 전자금융업자(이하 ‘금융기관’)를 대상으로 ‘전자금융거래 인증방법 안정성 기술평가기준’에 대한 설명회를 개최했다.

금융감독원은 지난 2011년 1월 31일 인증방법평가위원회를 개최해 ‘전자금융거래 인증방법의 안전성 기술평가기준’을 마련했다. 이번 기준은 전자금융거래에 적용할 수 있는 공인인증서 이외의 인증방법에 대한 평가기준을 제시함으로써 다양한 인증방법이 전자금융거래에 활용될 수 있는 기반을 마련한 것이다.

이에 따라 향후 금융기관은 전자금융거래 유형 및 규모를 감안하여 적합한 인증방법을 선택하여 적용할 수 있으며 전자금융거래자는 다양한 인증수단을 활용할 수 있게 되어  스마트폰, 스마트패드 등 정보 입력이 불편한 단말기에서도 전자금융거래를 편리하게 이용할 수 있을 것으로 기대된다.

금융감독원은 금융기관 및 이용자의 이해를 돕고자 해설서를 함께 발간해 동 기준과 함께 금융감독원 홈페이지(http://www.fss.or.kr)에 게시할 예정이다.

 

전자금융거래 인증방법은 인증수단 및 전자금융거래를 보호하기 위한 기술적 방법으로 구성된다. 평가기관은 이를 바탕으로 인증방법 안전성 평가시 인증방법평가위원회 사무국이 인정한 국내·외 공인기관의 평가·인증 결과를 활용할 수 있도록 했다.

이번 기술평가기준은 금융기관과 전자금융업자가 자율적으로 인증방법을 선택할 수 있도록 공인인증서와 동등한 수준 내지 기타 안전한 인증방법의 안전성 세부 평가기준을 제시하는 것을 목적으로 하고 있다.

인증방법 안전성 평가는 전자금융거래시 도입하려는 공인인증서 외 인증방법을 대상으로 하며 이번 기준을 적용해 인증방법의 안전성을 평가할 경우 ‘전자금융거래법’ 제1조(목적)에 따라 전자금융거래의 안전성과 신뢰성 확보를 우선적으로 고려해야 한다.

인증방법의 기본적 기술적 요건은 크게 △이용자 인증 △정보처리시스템 인증 △통신채널 암호화 △전자금융 거래내역의 무결성 △전자금융 거래내역의 부인방지 등 5가지로 구성돼 있다.

그러나 평가기준에서는 금융거래의 특성에 따라 보안등급을 구분해 적용할 수 있도록 했다. 보안등급은 1등급에서 3등급으로 구분되며 상위등급은 하위등급의 보안 요구사항을 모두 충족해야 한다.

우선 하위등급인 3등급은 기본적인 기술적 요건을 모두 충족시켜야 하며 2등급은 기본적 기술적 요건에 부인방지 기능을 추가로 제공해야 한다. 가장 높은 등급인 1등급은 2등급과 더불어 물리적인 부분에서도 보안조치가 가능하도록 해야 한다. 물리적 보안조치란, 예를 들어 OTP와 같은 하드웨어 기반의 인증수단이 물리적인 분해나 분석을 통해 인증수단이 무력화 되지 않도록 하는 것이다.

이 같이 단계별로 보안등급을 나눈 것은 금융거래의 특성에 기반 해 전자금융서비스의 활성화를 위한 것으로 분석되고 있다. 또한 2등급은 현 공인인증서와 동등한 수준으로 설정했기 때문에 필요에 따라 공인인증서보다 강력한 인증수단도 나올 수 있을 것으로 기대된다.

권한용 금융감독원 부국장은 “오늘 설명회에서 많은 금융기관들이 관심을 가지고 참여를 했다”면서 “앞으로 이번 평가기준을 준수해 각 금융기관에 맞는 다양한 인증수단이 나올 수 있을 것으로 기대한다”고 밝혔다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>