• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

온라인 금융 결제 ‘보안강화’ 된다 2013.04.09

 금융위원회, 온라인 결제 종합대책 마련


[보안뉴스 김태형] 최근 해킹으로 인한 비씨·KB국민카드 부정결제사고를 계기로 금융위는 관계기관과 합동으로 온라인결제 전반에 대한 대책 마련에 착수했다.


아울러 일반적인 모바일 금융거래의 보안위협도 증가함에 따라 모바일을 통한 온라인결제 보안강화방안도 이번 대책에 포함시켜 추진해 왔다.


지난해 11월 총 230개 카드에서 안전결제(ISP:Internet Secure Payment), 안심클릭를 이용한 부정결제로 약 1억 7천만원 피해가 발생했다. 사고 직후 비씨·KB국민카드사에 대해 현장점검을 실시했고, 경찰청(사이버수사대)에 수사를 의뢰했다.


이번 사고 원인은 고객 PC 해킹을 통해 획득한 신용카드정보로 온라인 게임 사이트 등에서 부정결제된 것으로, 온라인결제 시스템 자체가 해킹된 것은 아니었다.


이에 금융위는 온라인결제 사고 방지를 위해 부정결제가 빈번하게 발생하는 사이트 거래에서의 본인인증과 부정방지 모니터링을 강화하고 모바일상의 본인인증도 강화하기로 했다.


▲ 게임 사이트 온라인결제 인증 강화

현재 해킹을 통해 획득한 카드정보를 이용해 게임 사이트에서 온라인 소액결제(30만원 미만) 피해가 빈번하게 발생하고 있다. 현재 안전결제는 ISP인증서와 비밀번호, 안심클릭은 카드정보와 비밀번호가 필요하다.


하지만 오는 5월부터는 게임 사이트에서는 유출된 정보만으로 온라인결제가 불가능하도록 추가인증을 의무화한다. 게임 사이트(아이템 거래 포함)에서는 △30만원 미만 결제 시에는 공인인증서 또는 휴대폰문자인증 중 선택을 의무화하고 △30만원 이상 결제 시에는 공인인증서와 휴대폰문자인증을 모두 의무화한다.


▲ 부정사용방지시스템(FDS) 모니터링 확대

현재 카드사들은 자체 부정사용방지시스템(FDS)을 통해 지난해 11월부터 온라인 게임 사이트만 모니터링 하고 있으며, 특히 환금성이 높아 부정결제 위험이 많은 파일(동영상 등) 공유 사이트, 포인트 충전 사이트 등은 모니터링 대상에서 제외했다.


올해 6월부터는 부정사용방지시스템의 모니터링 대상을 파일 공유 사이트와 포인트 충전 사이트 등으로 확대한다. 또한, 신종 부정결제행위를 주기적으로 모니터링해 시스템에서 해당 행위 탐지가 가능하도록 시스템을 보완한다. 예를 들면 최근 3개월간 게임 사이트 결제내역이 전혀 없었던 이용자 카드로 새벽시간에 수차례 거래승인요청이 발생한 경우 등을 탐지한다.


▲ 모바일결제서비스 인증 강화

현재 PC와는 달리 모바일에서 온라인결제용 신용카드 등록시 카드정보 이외 추가인증 절차가 없어 타인에 의한 등록이 가능하다. 하지만 오는 5월부터는 카드정보만으로 모바일결제서비스 등록이 불가능하도록 모바일에 저장된 공인인증서 또는 휴대폰문자를 통한 추가인증을 의무화한다.


▲ 앱 위변조 방지를 위한 금융앱스토어 서비스 개설

현재 일부 앱스토어에서 정상적인 금융앱을 위장한 피싱앱이 발견되어 금융정보 유출로 인한 금전적 피해가 발생할 우려가 높다.

 

올 4월부터는 금융권에서 안전한 모바일 금융거래를 위해 금융기관통합 앱스토어를 구축해 피싱앱의 등록·유통을 원천 차단한다. 특히 금융앱에 적합한 별도의 검증기준을 마련하고 앱의 위변조 여부를 상시 점검해 모바일 금융거래시 불안감을 해소한다.


▲ 모바일단말기 지정

현재 PC대비 보안수준이 취약한 모바일단말기 해킹 시 공인인증서, 보안카드번호 등이 유출될 수 있어 추가 피해가 우려된다. 또한 이용자는 거래전용 PC를 지정할 수 있지만, 모바일 단말기는 별도의 지정절차가 없어 어느 단말기에서나 부정이체 발생이 가능하다.


올 4분기 부터는 이용자가 미리 등록한 모바일단말기에서만 인터넷뱅킹, 트레이딩 등의 금융거래가 가능하도록 추진된다.


▲ 공인인증서 발급 및 이용 안전성 강화

현재 공인인증서는 불법 획득한 금융정보만으로 재발급이 가능하고 편의상 PC에 저장할 경우 해킹으로 인한 유출이 가능하다.

 

올 9월부터는 금융기관에 한해 공인인증서 재발급시 지정된 PC를 이용하거나, 미지정 PC에서는 추가 인증을 의무화 한다. 또 공인인증서의 무단 유출을 방지할 수 있는 안전한 저장매체(보안토큰)를 보급·활성화 한다.


▲ 금융보안 전문가 양성 및 교육 프로그램 강화

현재 온라인결제 체계의 보안취약점 분석 및 대응방안 마련을 위한 금융보안전문가 부족 및 교육 프로그램이 미흡하다. 이에 고용계약형 석사과정(고려대)을 지속 운영하고 금융권 임직원의 정보보안 역량 제고를 위한 교육을 강화해 연중 지속적으로 진행한다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>