( 붙임 3) 스마트폰금융거래 10계명안내서 배경 금융감독원은국내의스마트폰이용활성화를계기로 10.1월스마트폰전자금융서비스안전대책을수립하여금융회사가안전한스마트폰금융서비스를제공하기위한기반을마련하였습니다. 더욱안전한전자금융거래를위해서는서비스를제공하는금융회사뿐만아니라, 스스로도금융정보유출, 부정거래등전자금융사고예방을위해노력해야합니다. 금융소비자 이에금융감독원, 금융회사정보보호담당, 금융정보보호전문기관* 의전문가로구성된 스마트폰전자금융서비스안전대책반(TFT) 에서는금융소비자가스마트폰금융거래시 F실천할수있는 스마트폰금융거래 10 계명 을마련하였습니다. * 금융ISAC( 금융결제원, 코스콤), 금융보안연구원 1 금융회사가안내하는배포처를확인하여금융서비스이용하기 o 금융회사가안내하는공식배포처를통해스마트폰금융프로그램( 앱) 을설치하세요. - 스마트폰금융프로그램을가장한악성프로그램을설치될경우, 개인정보가노출될수있습니다. - 금융회사홈페이지, 콜센터에서안내하는공식배포처를확인하여해당금융회사의스마트폰금융프로그램을다운받아설치해야합니다. - 아울러금융회사홈페이지는웹브라우저의주소창에서직접입력하거나즐겨찾기에추가하여접속해야합니다. 금융회사홈페이지에서제공하는스마트폰금융프로그램( 앱) < 은행> < 증권 > < 카드 > < 보험 > (1/12)
o 블로그, 게시판등금융회사가제공하지않는경로로배포되는스마트폰금융프로그램( 앱) 은설치하지마세요. - 스마트폰금융프로그램을가장한악의적인프로그램으로인한피해를방지하기위해다음과같은경로로전달받은프로그램은설치하지말아야합니다. 메신저, 웹하드, 인터넷카페, 블로그, 게시판등을통해배포되거나, 확인되지않은경로로전달받은프로그램 사용환경이변경된( 탈옥, 루팅) 스마트폰에서실행가능하도록변조된프로그램 확인되지않은발송자의문자메시지로전달받은설치경로(URL) 를통한프로그램등 < 문자메시지를통한비정상프로그램( 앱) 배포 > (2/12)
2 스마트폰이나인터넷에금융정보를저장하지않기 o 계좌번호, 계좌비밀번호, 보안카드번호등금융정보는스마트폰이나인터넷(E-Mail 함, 웹하드등 ) 에저장하지마세요. - 전자금융거래의이용편의를위해스마트폰이나인터넷(E-Mail 함, 웹하드, 트위터등) 에로그인아이디 비밀번호, 계좌번호 비밀번호, 보안카드번호, 신용카드번호등의금융정보를텍스트또는이미지파일형태로보관하는경우가있습니다. - 그러나이러한금융정보는스마트폰의분실, 바이러스감염등을통해 저장된정보가 유출될수있으므로, 스마트폰이나인터넷에어떠한형태로도 금융정보를저장하지 않아야합니다. < 메모프로그램에기입된금융정보 > < 카메라로촬영하여저장된보안카드이미지 > o 자동로그인기능은가급적사용하지마세요 - 일반홈페이지등에서제공하는자동로그인기능은로그인에필요한아이디와비밀번호를스마트폰에저장하여재입력없이로그인하는편리한방법이나, - 저장되는정보에대한보호대책이없을경우스마트폰의도난 분실시중요정보가유출될수있으므로자동로그인기능을사용하지않는것이좋습니다. (3/12)
3 금융거래비밀번호를안전하게관리하기 o 금융거래비밀번호는유추하기쉬운번호( 전화번호, 생년월일등) 나인터넷포털, 쇼핑몰등의비밀번호와동일하게설정하지말고주기적으로변경하세요. - 금융거래사용되는로그인비밀번호, 공인인증서비밀번호, 계좌비밀번호등은생년월일, 전화번호, 동일숫자( 0000 ), 연속숫자( 1234 ) 등과같이타인이알기쉬운비밀번호로설정해서는안되며, 인터넷포털, 쇼핑몰등의비밀번호와다르게설정해야합니다. - 아울러이들비밀번호는주기적으로변경할것을권장합니다. 인터넷뱅킹에서사용되는주요비밀번호 구분생성시기이용시기변경방법 사용자( 로그인) 비밀번호온라인서비스신청시조회온라인 계좌비밀번호통장신규시조회, 이체영업점방문 공인인증서암호인증서발급시조회, 이체온라인 o 비밀번호를입력하거나금융거래를하는경우주변을살펴타인에게노출되지않도록주의하세요. - 지하철, 버스안등공공장소에서금융거래시공인인증서비밀번호, 계좌비밀번호등비밀번호를입력하거나금융거래를하는경우주변을살펴타인에게노출되지않도록주의해야합니다. (4/12)
4 스마트폰분실 도난시스마트폰금융서비스사용중지하기 o 스마트폰을분실하거나도난을당한경우새로운공인인증서로재발급받으세요. - 스마트폰을분실하거나도난당한경우에는스마트폰에저장된공인인증서및모바일카드가악용될수있습니다. - 따라서스마트폰금융프로그램이설치된스마트폰을분실하거나도난당한경우에는공인인증서를발급받은금융회사홈페이지( 인증센터) 를통해새로운공인인증서를재발급 * 해야합니다. * 공인인증서를재발급할경우, 신규공인인증서의비밀번호는이전에사용했던공인인증서비밀번호및계좌비밀번호와는다르게설정해야하며, 생일, 전화번호, 동일숫자( 0000 ), 연속숫자 ( 1234 ) 등과같아타인이알기쉬운번호로사용해서는안됩니다. < 공인인증서재발급화면 > o 스마트폰에모바일신용카드가발급되어있는경우카드사에연락하여사용중지를요청하세요. - 분실하거나도난을당한스마트폰에모바일신용카드가발급되어있을경우, 즉시발급한카드사에전화또는서면등으로신고하여모바일신용카드의사용중지( 또는사용해지) 요청을해야합니다. - 모바일신용카드이용고객이사고신고를한경우신고접수일로부터 60일전이후에발생한제3자의부정사용금액에대해서는이용고객에게과실이있는경우를제외하고카드사로부터보상을받을수있습니다. (5/12)
5 스마트폰교체 수리전중요정보삭제하기 o 스마트폰을교체하거나수리하기전에공인인증서와스마트폰금융프로그램( 앱) 을삭제하세요. - 스마트폰에설치된공인인증서와스마트폰금융프로그램은암호등에의해보호되고있습니다. - 그러나잠재적인보안사고를예방하기위해서는스마트폰을교체하여타인에게양도하거나수리를위해맡길경우에공인인증서와스마트폰금융프로그램을삭제해야합니다. < 스마트폰공인인증서삭제 > < 전자금융프로그램삭제 > 스마트폰에저장된공인인증서를삭제하더라도금융회사에서 PC를통해발급받았던공인인증서는폐지되지않기때문에다시스마트폰전자금융거래를이용할경우 PC나 USB에저장된공인인증서를스마트폰으로재전송하여사용가능합니다. o 스마트폰에모바일신용카드가발급되어있는경우카드사에연락하여사용중지를요청하세요. - 스마트폰에모바일신용카드가발급되어있을경우에는발급한카드사에연락하여모바일신용카드의사용중지( 또는사용해지) 를요청해야합니다. (6/12)
6 휴대폰문자통지서비스 (SMS), 일회용비밀번호(OTP) 이용하기 o 보다안전한스마트폰전자금융거래를위하여 휴대폰문자통지서비스(SMS), 일회용비밀번호 (OTP) 발생기 등금융보안서비스를이용하세요. - 보안카드대신 OTP 발생기를이용하고, 공인인증서재발급및계좌이체등이용내역을알려주는휴대폰문자서비스(SMS) 등과같은금융보안서비스를이용하면더욱안전한스마트폰금융거래가가능합니다. - 금융보안서비스예 휴대폰문자통지서비스 (SMS)* : 공인인증서재발급, 계좌이체등고객의이용내역을사전에등록한휴대폰전화번호로통보하는서비스 * 고객의휴대전화번호가변경되었을경우금융회사에연락하여변경필요 공인인증서중요거래휴대폰사전인증서비스 : 공인인증서발급 재발급시공인인증서를제3자가부정발급받지못하도록휴대폰으로인증번호전송후, 인증번호일치시에처리하는서비스 < 공인인증서중요거래휴대폰사전인증서비스 > 일회용비밀번호발생기 : 고정된비밀번호대신일정주기로단한번만사용가능한비밀번호 ( OneTimePassword) 를생성해주는기기 < 일회용비밀번호(OTP) 발생기 > - 이외에도금융회사별로다양한보안서비스를개발하여제공하고있으므로각금융회사에확인하여이용할것을권장합니다. (7/12)
7 스마트폰사용환경을임의로변경하지않기 o 스마트폰보안에영향을주는구조변경( 탈옥, 루팅 등) 을하지마세요. - 스마트폰의사용자화면변경, 성능향상, 비공식운영체제설치등을위해아이폰의탈옥 (jailbreak), 안드로이드의루팅(rooting) 등과같이제조사에서제공하는순정상태의사용환경을인위적으로변경할수있는방법들이배포되고있습니다. - 그러나, 스마트폰의사용환경을인위적으로변경할경우보안수준이변경되거나해제되어문제가발생할수있으므로순정상태로사용해야합니다. < 아이폰의탈옥(JailBreak) > < 안드로이드의루팅(Rooting) > (8/12)
8 스마트폰보안업데이트를정기적으로수행하고바이러스검사하기 o 스마트폰운영체제와 백신, 스마트폰금융프로그램( 앱) 을최신버전으로업데이트하세요. - 스마트폰제조사에서제공하는운영체제의최신버전을통해기존에확인된보안취약점에대한조치가가능하므로최신버전제공여부를확인하여업데이트해야합니다. < 최신운영체제업데이트 > - 백신프로그램은최신버전으로업데이트해야만새로운바이러스를치료할수있고, 금융회사에서제공하는금융프로그램도기능개선등을위한최신버전을제공하므로업데이트해야합니다. < 백신프로그램업데이트 > < 전자금융프로그램업그레이드 > o 스마트폰백신프로그램을이용하여수시로바이러스검사하세요. - 바이러스등악성프로그램으로인한피해를줄이기위해서는스마트폰을이용하여웹하드등홈페이지에접속하거나인터넷 PC 블루투스등을통해프로그램이나파일을다운로드한경우에는백신프로그램으로바이러스검사를해야합니다. < 바이러스감염여부검사 > (9/12)
9 스마트폰 잠금기능을 설정하고 잠금비밀번호는 수시로변경하기 o 스마트폰에서제공하는 잠금기능 을설정하고잠금기능에사용한 비밀번호 는수시로변경하세요. - 스마트폰을분실하거나도난당한경우스마트폰에저장된개인정보등이유출되어도용될수있으므로비밀번호나패턴잠금등을통한잠금기능을설정하여정보유출을방지할수있습니다. - 아울러잠금기능비밀번호나패턴은금융거래비밀번호와다르게설정하고지나치게짧거나생일, 전화전호, 동일숫자( 0000 ), 연속숫자( 1234 ) 등과같이타인이알기쉬운번호를사용해서는안되며수시로변경해야합니다. < 아이폰의암호잠금 > < 안드로이드의패턴잠금 > (10/12)
10 출처가불분명하거나보안설정없는무선랜 (Wi-Fi) 사용시주의하기 o 개인정보등을요구하는민감한서비스를이용할경우출처가불분명하거나보안설정없는무선랜 (Wi-Fi) 은사용하지말고이동통신망(3G 등) 을이용하세요. - 최근무선랜(Wi-Fi) 의확산으로커피숍, 백화점등의다양한장소에서무료또는저렴한비용으로무선인터넷사용이가능하지만, 암호설정없는무선랜이나, 악의적인목적으로설치된무선랜을이용하는경우개인정보가노출될수있습니다 - 금융회사가제공하는전자금융서비스는이용자의스마트폰에서금융회사서버까지암호화하여정보도청에대응하는한편, 일회용비밀번호(OTP) 발생기, 휴대폰문자통보서비스(SMS), 피싱* 방지서비스등다양한보안수단을제공하고있습니다. * 피싱(Phishing) : 프라이버시(Privacy) 와낚시(Fishing) 의합성어로서, 이메일, 인터넷, 휴대폰, 메신저등을이용하여기관홈페이지 인물로사칭하여개인정보를불법적으로획득하는행위 - 일반이용자가현재접속중인무선랜(Wi-Fi) 이안전한지를확인하기가어렵기때문에로그인이필요한서비스, 개인정보등을요구하는민감한서비스를이용하는경우에는이동통신망(3G 등) 으로이용할것을권장합니다. < 아이폰의무선랜끄기> < 안드로이드의무선랜기능끄기> 이동통신망(3G 등) 를이용할경우과도한데이터통화료가발생할수있으므로전용요금제를이용하거나민감한정보를요구하는서비스를이용할경우에한정하여사용 (11/12)
o 블루투스나무선랜(Wi-Fi) 은평상시에는꺼두고필요할때만사용하세요. - 바이러스등악성프로그램의감염가능성을줄여주고불필요한배터리의소모를막을수있기때문에평상시에는꺼두고필요할때만사용하는것을권장합니다. < 아이폰의블루투스끄기 > < 안드로이드의블루투스끄기 > - 블루투스, 무선랜(Wi-Fi) 기능을공공장소에서사용할경우악의적인무선단말및무선공유기접속을통해개인정보가유출될수있으므로사용에유의해야합니다. 참고문헌 o 인터넷뱅킹이용고객유의사항 ( 금융감독원, 09.6 월) o 스마트폰전자금융서비스안전대책 ( 금융감독원, 10.1 월) o 스마트폰이용자 10 대안전수칙 ( 방송통신위원회, 10.2 월) (12/12)