2014.3.14 금융보안연구원 기획총괄팀장이성욱
목차 I. 용어이해하기 II. 사고사례분석 III. 전자금융보안기술및대책 IV. 결론
I. 용어이해하기 1. 인증수단유형 2. 전자금융사기유형 3. 개인정보란?
1. 인증수단유형 인터넷 / 모바일뱅킹등에서이용하고있는인증수단은? 공인인증서보관장소? (PC, USB, 스마트폰 ) 보안카드 OTP 2채널인증 ( 전화승인서비스 )
1. 인증수단유형 1) 공인인증서인터넷등에서안심하고사용할수있게해주는사이버상의인감증명서공인인증기관에서발급되므로법적효력및안전성을보장범용공인인증서와용도제한공인인증서로구분범용 : 인터넷뱅킹, 전자상거래, 전자정부민원서비스등다양한분야에이용용도제한용 : 인터넷뱅킹등특정분야에서만이용
1. 인증수단유형 [MBN 뉴스 ] 공인인증서유출 ( 자료 : 미디어다음 )
1. 인증수단유형 2) 보안카드 35 개배열에 4 자리숫자가표시된코드번호로이루어진카드형태 계좌이체등에서카드내특정배열의앞 2 자리, 뒤 2 자리숫자를입력 해킹, 피싱, 파밍등에취약 복사, 스캔등을통해웹메일또는스마트폰등에이미지로저장하거나키보드해킹등에의해장기간노출되는경우카드번호유출가능 피싱, 파밍에의해 35 개카드번호전체가한꺼번에노출가능 1 년이상사용하는경우재발급필요
1. 인증수단유형 3) OTP(One Time Password) OTP 발생기에서일정한간격으로새롭게 6 자리숫자로생성되는일회용비밀번호 계좌이체등에서토큰형또는카드형 OTP 발생기화면에표시된 6 자리숫자를입력하는방식 OTP 발생기는 3~5 년간사용가능 피싱, 파밍등에매우안전 OTP 발생기는복제할수없으며, 간편하고보안성이우수 OTP 는 30~60 초간의매우짧은시간만유효하고, 수시로변경되므로재사용불가
1. 인증수단유형 4) 2 채널인증 PC 인터넷뱅킹시계좌이체단계에서전화, 휴대폰등을이용하여최종적으로본인확인을거치는전화승인서비스 공인인증서재발급, 300 만원이상이체시본인확인절차강화를위해 OTP+ 휴대폰 SMS 또는 2 채널인증을의무화 < 전화승인서비스유형 >
2. 전자금융사기유형 전자금융사기유형에대해들어본적이있나요? 피싱파밍스미싱보이스피싱
2. 전자금융사기유형 1) 피싱 (Phishing) 개인정보 (private data) + 낚시 (fishing) 의합성어 이메일을통해위조된가짜사이트를접속유도를통해금융정보를탈취하여금융사기에이용하는범죄 불특정다수를대상으로위조된웹사이트링크를포함한스팸메일을주로활용 은행, 카드사등을사칭하며, 계좌번호, 비밀번호등을확인 / 갱신하지않을경우거래가중지된다는경고를하거나자극적인문구를사용 ( 자료 : HSBC 은행 )
2. 전자금융사기유형 2) 파밍 (Pharming) 경작 (Farming) + 피싱 (Phishing) 의합성어 정상사이트로접속을시도해도악성코드에의해위조사이트로자동접속되게하여금융정보를탈취하는사기수법 가짜사이트주소와진짜사이트의도메인주소가동일하기때문에주의깊게살펴본다하더라도쉽게속을수있음 악성코드감염이주된원인 이메일내링크또는첨부파일클릭시 보안이취약한사이트접속시 사회공학 홈페이지 윈도우운영체제취약점등으로자동감염 윔 / 바이러스 P2P 파일공유사이트 S /W 다운시
2. 전자금융사기유형 파밍예 ( 자료 : 인터넷 )
2. 전자금융사기유형 3) 스미싱 (Smishing) 문자메시지 (SMS) + 피싱 (fishing) 의합성어 스마트폰 SMS 등으로악성코드가있는 URL 을전달하여, 악성앱설치를유도하는방식 공인인증서가필요없는 30 만원미만의소액결제에활용 환금성높은게임아이템구매등 국내점유율 90% 넘는안드로이드스마트폰이주요공격표적대상 1 링크가포함된 SMS 발송 2 악성코드설치 3 소액결제승인번호탈취 ( 소지자는문자메시지를전혀볼수없음 )
2. 전자금융사기유형 [YTN 뉴스 ] 스미싱결제사기 ( 자료 : 미디어다음 )
2. 전자금융사기유형 4) 보이스피싱 ( 자료 : 우정사업본부 ) 정의 음성 + 개인정보 + 낙시의합성어 전화로공갈, 금융기관등을사칭해돈을빼내는사기수법 사기과정 1 2 3 4 5 [ 사기이용계좌확보 ] 대포통장매입, 대출등미끼로편취 [ 전화 문자메시지시도 ] 해외 ( 중국등 ) 콜센터에서발신자번호를조작하여국내로전화 [ 기망 공갈 ] 개인정보유출, 범죄사건연루등으로기망하여피해자의금융거래정보를탈취 [ 계좌이체 ] 사기계좌로이체를유도하거나피해자로부터편취한정보로공인인증서를재발급받아직접이체 [ 인출 송금 ] 현금인출책 송금책을통해해외송금
3. 개인정보란? 개인정보란? 생존하는개인에관한정보 사망하였거나사망으로추정되는자에대한정보는보호대상이아님 사망자와유족간의관계를나타내는정보는유족에대한식별이가능하므로인정 개인을식별할수있는정보 다른정보와결합하여개인을식별할수있는정보도개인정보에해당 예 ) 주소 + 이름 => ~ 에사는특정인이름 + 메일 => ~ 가사용하는메일 ID+ IP 주소 => ~ 에있는특정인 일반 기호 / 성향 신용정보 근로정보 개인정보유형 신체정보의료 / 건강 신념 / 사상 개인 / 금융 교육정보 법적정보 통신정보 위치정보 병역 개인정보보호법 ( 제 2 조 ) : 개인정보 란살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보 ( 해당정보만으로는특정개인을알아볼수없더라도다른정보와용이하게결합하여알아볼수있는것을포함한다 ) 를말한다 ( 자료 : KISA)
3. 개인정보란? 고유식별정보 vs 민감정보 고유식별정보 고유식별정보의범위 ( 개인정보보호법시행령제19조 ) : 법령에따라개인을고유하게구별하기위하여부여된식별정보 1 주민등록번호 2 여권번호 3 운전면허번호 4 외국인등록번호 민감정보 민감정보의범위 ( 법제23조, 영제18조 ) : 사생활침해우려가현저히높은개인정보 1 사상 신념, 노동조합 정당의가입탈퇴, 정치적견해, 건강, 성생활관련정보 2 유전자검사에따른유전정보 3 형의실효등에관한법률 에따른범죄경력정보
3. 개인정보란? 개인정보 vs 신용정보 신용정보 법인신용정보 개인신용정보 개인정보 인적사항신념 / 사상생체인식정보 법인명 법인등록번호 기업지분보유현황 소득재산카드 / 계좌번호신용평가정보 교육정보 근로정보 병역정보생체정보생체정보 신체정보 법적정보 신용정보법 개인정보보호법, 정보통신망법
3. 개인정보란? 개인정보유출로인한피해 ( 개인측면 )
3. 개인정보란? 개인정보유출로인한피해 ( 기업측면 ) 손해배상금지급 개인정보유출 정보주체의배상소송 소송비용발생 기관이미지하락 고객이탈 잠재고객외면 매출감소가치하락신뢰저하 경쟁사의비방대상
3. 개인정보란? 개인정보유출로인한피해 ( 금융회사측면 ) 금융감독법령위반임직원및기관제재 정보유출에대한형사책임 ( 개인정보보호법, 정통망법위반 ) 01 02 경영상위험 04 03 고객이탈로인한경영악화 정보유출로인한손해배상
II. 사고사례분석 1. 전자금융이용자관점 2. 금융회사관점 3. 개인정보유출사고 4. 유출개인정보유통경로
건수 1. 전자금융이용자관점 1) 피싱의급격한증가 ( 피싱사이트 ) 차단건수 - 2012 년부터폭발적으로증가 ( 보이스피싱 ) 신고건수 - 매년지속발생하고있으나, 감소추세 9,000 8,000 7,000 6,000 5,000 4,000 3,000 2,000 1,000 0 '07 '08 '09 '10 '11 '12 피싱사이트 2 2 4 8 1,849 6,944 보이스피싱 3,981 8,454 6,720 5,455 8,244 5,709 ( 자료 : 검찰청, KISA)
1. 전자금융이용자관점 피싱의진화과정 06. 04. 07. e 메일과가짜웹사이트통한피싱 보이스피싱등장 메신저피싱등장 파밍등장 04 년 10 월, 가짜외국계은행홈페이지를통한 ID 와비밀번호탈취 05 년 11 월, 은행의가짜홈페이지를통한 ID 와비밀 / 계좌번호, 주민번호탈취 (1 억여원피해 ) 전화로 자녀를납치했다 는납치범흉내부터검경, 법원, 국세청, 금융회사사칭을통해주민번호, 계좌번호, 신용카드번호등을알아내거나 ATM 기로유인해돈을이체받음 메신저로재미있는동영상을보여준다며웹주소를보내놓고메신저 ID, 비밀번호요구 08 년, 메신저 ID 와비밀번호를도용, 등록된지인들에게급전이필요하다며돈을송금받음 최근빠르게확산추세 12. 스미싱등장 스마트폰의보급과함께문자메시지를통해가짜웹주소를전송하거나가짜앱설치를유도해소액결제에이용
1. 전자금융이용자관점 2) 피싱과파밍의결합 ( 악성코드 ) 게임계정 금융정보탈취목적으로변화 게임아이템 ( 사이버머니 ) 판매를반기당 1,200 만원으로제한 * 함에따라, 해커의수익모델다각화추세 * 게임산업진흥에관한법률시행령개정 (2012.9) 2012.11 월부터 4 개월간 323 건신고, 21 억원피해발생 ( 자료 : 경찰청 ) ( 자료 : 빛스캔한국인터넷위협분석보고서, 2013.1)
1. 전자금융이용자관점 피싱 & 파밍의결합예 피싱사이트는 200 만원내외로제작 판매 금융회사홈페이지와거의동일수준으로발전하는추세
1. 전자금융이용자관점 피싱 & 파밍의결합예 가짜인증서관리화면을보여주어 PC 에저장된공인인증서및인증서암호탈취
1. 전자금융이용자관점 피싱 & 파밍의결합예 피싱사이트의 보안강화서비스신청하기 에서보안카드코드번호전체탈취
1. 전자금융이용자관점 동영상시청 ( 피싱 & 파밍 )
1. 전자금융이용자관점 파밍 예방요령 금융거래정보유출에항상주의금융회사는어떠한경우에도전화, 문자메시지를통해금융거래정보를요구하지않으며, 특정인터넷사이트에서의입력을요구하지도않음보안카드는철저히관리전화나문자메시지로보안카드일련번호및코드번호전체를알려달라거나, 인터넷사이트에입력하도록요구하면절대응하지말것금융회사의보안서비스적극활용전자금융사기예방서비스에반드시가입, 보다강화된인증수단활용출처가불분명한파일다운로드는 NO 악성코드감염으로인해파밍에노출될가능성증대금융회사의보안승급요구는무시금융회사는문자, 이메일로보안승급및보안강화조치를요구하지않음금융회사홈페이지에서도보안승급등을이유로금융거래정보입력을요구한다면반드시 118 에신고
1. 전자금융이용자관점 3) 스미싱의다양한진화
1. 전자금융이용자관점 스미싱의다양한진화 스마트폰기반공인인증서탈취를통해계좌이체, 주식거래등으로확장가능성존재 스마트폰에보안카드촬영사진이존재하거나금융정보를메모한경우스마트폰소지자도모르게유출가능 소지자가전화문의및해당기관의확인전화가불가능하도록특정전화번호발신및착신을차단가능 2012.12 월부터 3 개월간 3,100 건신고, 7 억원피해발생 ( 자료 : 경찰청 ) ( 자료 : 보안뉴스 )
1. 전자금융이용자관점 [MBC 뉴스 ] 스미싱결제사기 ( 자료 : 미디어다음 )
1. 전자금융이용자관점 스미싱 예방요령 탈옥이나루팅자제 탈옥 루팅을통해유료앱을무료로다운로드하는등사용자맞춤형스마트폰을꾸밀수있지만, 해킹에취약 탈옥 (jailbreak) : 애플아이폰 (iphone) 잠금장치를스스로해제 루팅 (rooting) : 구글안드로이드폰잠금장치를스스로해제 정식앱장터에서만앱다운로드 의심이가는 URL 은누르지말아야 출처가불분명한앱은설치하지않는것이우선 안드로이드스마트폰설정화면에서 ' 알수없는출처의앱설치 ' 옵션을비활성화 통신사에요청해소액결제한도를낮추거나아예서비스를받지않아야 통신사는가입단계에서소액결제서비스를활성화하고한도를최대설정 ( 무료 ) 백신앱사용
1. 전자금융이용자관점 스미싱 예방요령 < 스마트폰금융거래 10 계명 > 1. 금융회사가안내하는배포처를확인하여금융서비스이용 2. 스마트폰메모장,` 메시지함, 사진함등에계좌번호 ` 비밀번호등금융정보저장금지 3. 금융거래비밀번호는인터넷포털비밀번호와다르게설정 4. 스마트폰분실 / 도난시금융서비스사용중지 5. 스마트폰교체 ` 수리전공인인증서등삭제 6. 사용환경무단변경 ( 탈옥,` 루팅등 ) 금지 8. OTP 등보안서비스이용 7. 보안업데이트및바이러스검사 9. 잠금설정및수시로비밀번호변경 10. 출처불분명한무선랜 ( 와이파이 ) 사용시주의
1. 전자금융이용자관점 4) 보이스피싱의지속발생 사고사례 자녀납치및사고빙자 ( 자료 : 금융감독원 ) 자녀와부모전화번호등을사전에알고, 자녀전화번호로발신자번호를변조하여자녀가사고또는납치상태인것처럼가장하여부모로부터자금편취학교간자녀납치, 군대간아들사고, 유학중인자녀납치 / 사고빙자등텔레뱅킹이용정보탈취 50~70대를대상으로텔레뱅킹가입사실을확인또는가입하게한후, 명의도용, 범죄사건연루등명목으로피해자를현혹시켜텔레뱅킹에필요정보 ( 주민등록번호, 이체 / 통장비밀번호, 보안카드일련번호 / 코드등 ) 를알아내어피해자계좌에서사기범계좌로이체하여자금편취 CD/ATM 유인 ( 수사기관직원사칭 ) 피해자의계좌가사건 ( 범죄 ) 에연루되어, 피해자계좌의안전조치가필요하다고기망하여 CD를조작하게하여자금편취 ( 국세청, 건강보험공단, 국민연금관리공단직원등사칭 ) 세금, 보험료, 연금등이과다또는오류징수되어환급하여주겠다며유인
1. 전자금융이용자관점 보이스피싱 사고사례 자금이체유도 ( 검찰, 경찰, 금융감독원등공공기관및금융회사사칭 ) 누군가피해자를사칭하여예금인출을시도한다고기망한후거래내역추적을위해필요하다면서사기범이불러주는계좌로이체토록한후편취 학생의대학지원명세를빼내실제대학교의전화번호로변조하여학부모 / 학생에게전화해서사기범계좌로등록금납부를요구하여편취 카드론대금편취 명의도용, 정보유출, 범죄사건연루등명목으로피해자를현혹하여신용카드정보 ( 카드번호, 비밀번호, CVC 번호 ) 를알아낸후, ARS 를통해피해자명의로카드론신청과동시에피해자에게다시전화를걸어허위로범죄자금입금사실을알리고, 사기범계좌로이체토록유도하여편취 물품대금오류송금빙자 문자메시지또는전화로물품대금, 숙박비등을송금하였다고연락한후, 잠시후에실수로잘못송금하였다면서반환또는차액을요구하여편취
1. 전자금융이용자관점 보이스피싱 - 예방요령 ( 자료 : 금융감독원 ) 피해예방을위한금융상식금융회사나공공기관에서는전화로개인정보를묻지않습니다. 현금지급기를통해금전환급 ( 세금, 보험료환급등 ) 및계좌정보보호조치는하지않습니다. 피해발생시, 반드시해당기관에먼저확인하세요! 사기범에게돈을보낸경우 은행콜센터에지급정지요청, 경찰신고 (112) 개인정보를알려준경우 가까운은행을방문하여사고예방시스템에개인정보노출사실을등록요청
1. 전자금융이용자관점 보이스피싱 - 예방요령 지급정지제도? 금융회사는거래내역등의확인을통해사기이용계좌로의심할만한사정이있다고인정되면, 해당사기이용계좌의전부에대해지급정지조치를해야함 ( 전기통신금융사기피해금환급에관한특별법 제 4 조 ) ( 자료 : 금융감독원 )
1. 전자금융이용자관점 5) 이용자 PC 해킹을통한 ISP 정보유출 (2012.12) 개요 취약한인터넷쇼핑몰을해킹해악성코드를설치하고이쇼핑몰에방문하는이용자 PC 를악성코드에감염시킨후, 이용자 PC 에서 ISP( 안심결제 ) 정보를유출시킨후, 소액결재등부정사용 유출된정보를이용하여게임아이템을사부당이익을취한이씨등 2 명을구속기소하고, 공범 1 명에대해서는불구속기소 (2013.4) 또한중국인공범 5 명에대해서도공조수사진행 사고내용 접속 해커 해킹및악성코드설치악성코드감염인터넷쇼핑몰홈페이지 카드결제시, 정보유출 (K 카드, B 카드 ) 인터넷쇼핑몰 유출카드번호로아이템구매 (1 천여회 ) 게임아이템재판매 (2 억 2 천여만원 ) 게임사이트아이템거래사이트 신용카드정보 (227 명 ) (ISP 비밀번호포함 )
1. 전자금융이용자관점 6) 이용자 PC 에악성코드설치를통한공인인증서탈취 (2013.2) 개요 해커들이악성코드가설치동의없이바로설치되는드라이브바이다운로드 (Drive-by Download) 방식을통해인터넷뱅킹용악성코드를유포한후, FTP 를통해공인인증서를전부수집해간흔적발견 공인인증서 700 여개가탈취되었으며, 유효한 400 여개공인인증서를폐기 (300 여개공인인증서는유효기간이만료된인증서 ) 사고내용 FTP ( 공인인증서 ) FTP ( 공인인증서 ) 수집서버 악성코드배포사이트 ( 웹하드, 게시판, 동영상등 ) 이용자 PC ( 악성코드감염 ) FTP ( 공인인증서 ) 공인인증서 700 여개 300 여개만기된인증서, 400 여개폐기
1. 전자금융이용자관점 동영상시청 ( 이메일통한제로데이악성코드배포 )
1. 전자금융이용자관점 동영상시청 ( 인증우회 )
2. 금융회사관점 N 은행전산장애 (2011.4) 개요 외주직원노트북에악성코드를심은후, 감염된노트북을은행서버에연결하면악성코드가삽입되고, 서버 270 여대의데이터삭제 검찰은 7.7 DDoS 와 3.4 DDoS 사건과동일집단인북한해커의소행으로결론 사고내용
2. 금융회사관점 L 투자증권홈페이지해킹 (2011.5) 개요 홈페이지취약점 (SQL Injection) 으로인한해킹으로개인정보데이터베이스에저장된개인정보유출 해커가이메일로해킹사실무마조건으로 1,500 만원요구한후, 해킹사실인지 제재사항 : 기관주의, 견책 3 명, 주의 1 명 사고내용 고객신용정보유출사실무마조건으로협박이메일을 보냄 투자증권社 SQL 인젝션공격 개인정보 DB 웹서버 해커 2 만 6000 여건의개인정보 ( 중복제외 1 만 2600 여건 ) 5000 여개증권계좌번호
2. 금융회사관점 동영상시청 ( 홈페이지해킹 )
2. 금융회사관점 대형마트포스단말기해킹을통한카드정보유출 (2012.1) 개요 식당, 주유소등의포스단말기보안취약점을이용하여카드정보를유출하고복제카드로무단사용 유출방식 : 원격제어프로그램이설치된 POS 접속, 악성코드가포함된이메일전송으로 POS 감염 신용카드를위조, 수억원대의물건을구입한신모 (44) 씨등 2 명을여신전문금융업법위반혐의로구속 사고내용 POS 설치업체 유지보수용원격제어프로그램 PW 관리미흡 (1111, 없음등 ) 원격제어프로그램에가상 IP 로침입 인터넷을통해재판매 카드정보탈취 해커 POS 단말기 카드번호, 유효기간, PVV( 카드비밀번호암호화값 ), CVV( 신용인증값 ) 등 복제카드제작 판매 메일을읽은후, 악성코드감염 POS 단말기 악성메일공격 카드정보탈취 카드번호, 유효기간, PVV( 카드비밀번호암호화값 ), CVV( 신용인증값 ) 등 해커 220 여장 2 억원상당 제 3 자 ( 범인 ) 귀금속등구매
2. 금융회사관점 동영상시청 ( 무선랜해킹 )
2. 금융회사관점 3.20 전산장애 (APT, 2013.3) 개요 주요방송사와일부금융회사의전산망에해킹에의한악성코드유포등으로인한장애발생 내부컴퓨터가악성코드에감염된후사내업데이트서버의취약점을이용하여내부에악성코드를유포 방송사 / 금융사등의내부 PC 및 ATM 4만여대의데이터를삭제 전형적인 APT 공격으로사이버테러로판명 사고내용
3. 개인정보유출사고 대표적유형 IT Sabotage, 금전취득을노린절취또는변조및사업이득을노린절취또는변조 ( 출처 : 미국 CERT) 구분 IT Sabotage 금전취득을노린 절취또는변조 사업이득을노린 절취또는변조 발생율 45% 44% 14% 전 현직 전직 현직 현직 직책 시스템및 DB 관리자등 현업담당자등 영업직원등 방법 비인가된방법 인가된방법 인가된방법 목표 시스템, 네트워크, 데이터 고객정보 지적재산정보 시간 근무시간외 근무시간 근무시간 장소 원격접근 직장내 직장내 주요피해 시스템 / 네트워크다운, 중요정보삭제등 금전적배상, 대외신뢰도하락등 사업경쟁력약화등
3. 개인정보유출사고 조직의규모에따른내부자위반율 IDC 조사에서는보안사고의 60% 이상이내부자에의해발생 조직의규모가클수록내부자위협에더욱취약
3. 개인정보유출사고 내부자실수사고 ( 개인정보가담긴파일첨부, 2006) 사고개요 - 은행담당자실수로단체메일에고객 3만여명의이름, 이메일등이포함된명단을파일로첨부해발송 ( 06) 피해및사고내용 - 유출피해자 1,024 명손해배상소송제기 처리결과 - 소송인대상배상금지급판결 ( 07) - 이름, 이메일 : 10만원 - 주민등록번호포함시 : 20만원
3. 개인정보유출사고 내부자실수사고 (ATM 하드디스크유출, 2011.6) 개요 은행현금자동입출기교체시, ATM 운송파기업체에서 2 천여만건의개인금융정보가담긴하드디스크수백개를빼돌려판매 (ATM 운송파기업체대표불구속 ) 금융당국에서저장매체에수록된고객정보관리강화요청 사고내용 구형기기 파기 (450 대 ) HDD 판매 (6~7 천원 / 개 ) 중고판매 교체 ATM 운송파기업체 ( 대표불구속 ) 구입중고상 중고 PC 장착 소비자 신형기기 전자저널 ( 약 1 년정도의거래내역정보 2 천여만건 ) 사진등
3. 개인정보유출사고 내부자고의사고 (S 카드, 2011.8) 개요 내부직원이서버를 196 회에걸쳐조회하고 47 만여건의개인정보를노트북에복사후일부유출하고, 텔레마케팅업체에개인정보를넘김 S 카드사는내부감사를통해내부직원의불법행위를적발하고경찰에고발 제재사항 : 기관주의, 과태료 600 만원, 주의적경고 1 명, 감봉 2 명, 견책 5 명, 퇴직자위법부당사항 1 명 사고내용 주민등록번호, 전화번호, 주소, 직장명, 카드번호, 현금서비스승인내역, 카드론대출여부, 대출전력, 대출금액및만기내역등 개인정보 196 회조회 유출 거래 (600 여건 ) 카드社 내부직원개인정보 47만여건조회 노트북에복사 (47 만여건 ) 하여데이터유출 대출스펨메일발송 텔레마케팅업체
3. 개인정보유출사고 내부자고의사고 (I 캐피탈, 2013.5) 개요 고객 8,000 여명의개인정보와신용정보를조회하고유출한 I 캐피탈임직원적발 회사개인정보처리시스템에접속해고객정보를조회, 고객의성명 휴대전화번호 회사명 신용등급등이담긴정보를별도엑셀파일로작성한후회사프린터로출력하거나 SNS 를통해문자또는조회화면사진파일을제 3 자에게전달하는방법사용 제재사항 : 기관주의, 과태료 600 만원, 관여직원 3 명견책, 직원관리의무가있는임원 2 명주의 사고내용 캐피탈社 직접접속하여개인정보를조회 SNS 를통해문자및조회화면사진파일로전송 개인정보처리시스템 내부직원 8,000 여명개인정보, 신용정보 ( 성명, 휴대전화번호, 회사명, 신용등급등 ) 엑셀파일프린터출력 유출 개인신용정보 516 건 개인식별정도 5,280 건 제 3 자
3. 개인정보유출사고 외부자해킹사고 (H 캐피탈, 2011.4) 개요 고객 175 만여명의개인정보해킹후 H 사를협박 ( 입금된 1 억원을분산이체하여 3 천 6 백만원인출 ) 퇴사직원의 ID, 비밀번호와해킹방지시스템에대한관리부실이주요원인 해커신모씨는인터폴공조수사로필리핀에서검거되어 2013 년 1 월구속기소 ( 신모씨는징역 1 년 6 개월을선고, 총책허모씨는징역 2 년확정 ) 제재사항 : 기관경고, 주의적경고 2 명, 임원 3 명에대한감봉 (3 개월 ), 견책 5 명 사고내용 화면복사, 다운로드를통한해킹 고객정보 (175 만여건 ) 해킹및유출 캐피탈社 퇴사자 ID/PW 관리미흡 보조서버에악성코드삽입 ( 광고메일발송서버, 정비내역조회서버 ) ID/PW 습득 해커 공모 현금요구협박 (5 억원 ) 일부현금송금 (1 억원 ) 캐피탈社 퇴사직원
3. 개인정보유출사고 개인정보관리소홀 (B 캐피탈, 2013.9) 개요 금감원부문검사시 (2012.9), 대출모집인에대해고객의개인신용정보부당제공사실을확인 개인신용정보조회시스템의개인정보조회권한을고객의동의없이대출모집인에게부당부여 ( 여신전문금융업법등관련법규위반 ) 제재사항 : 기관경고, 과태료 6 억원, 감봉 2 명, 견책 1 명, 주의 1 명 ( 대표이사및관련임원포함 ) 주요내용 대출모집인 (711 명 ) 에게대출고객 (42,608 명 ) 의개인신용정보조회권한부여 B 캐피탈社 조회 개인신용정보처리시스템 결과 대출모집인 (138 명 ) 1 만 6 천 875 명, 총 1 만 6 천 955 건개인신용정보
3. 개인정보유출사고 외주업체관리소홀 (2 개은행, 2013.12) 개요 S 은행 IT 전산센터외주직원이고객정보 10 만 3 천건을 USB 에저장해대학선배에게 5 차례전달 (11 년 11 월 ) C 은행대출담당직원이실적을올리기위해고객정보 3 만 4 천건을문서로출력해대출모집인에전달 (12 년 4 월 ) S 은행외주업체직원과 C 은행대출담당직원및개인정보를전달받은대출모집인등 5 명구속 ( 총 12 명기소 ) 이사건은 2014 년에발생한카드 3 사정보유출사건과관련 사고내용 외주직원프로그램개발중 USB 로개인정보복사 B 대출모집인 전달 유통 S 은행 시스템 외주직원 ( 개발자 ) 유출방식 10 만 3 천건 전달 A 대출모집인 3 만 4 천건 조회 C 은행 시스템 내부직원 대출담당직원이접근권한을악용하여프린터로개인정보출력
3. 개인정보유출사고 외주업체관리소홀 (3 개카드사, 2014.1) 개요 국내카드 3사의고객거래정보약 1억건이 FDS 개발용역직원을통해외부로유출되는사건발생 (2013년 12월은행정보유출사고조사중카드사정보유출사실추가발견 ) N카드 (2012년 10~12월, 2,500만건 ), K카드 (2013년 6월, 5,300만건 ), L카드 (2013년 12월, 2,600만건 ) 불법수집자및최초유포자가검거및고객정보의추가적인유통미확인 ( 검찰수사결과 ) 제재사항 : 3개월영업정지, 과태료 600만원 사고내용 고객개인정보실데이터 대출모집인 카드社 NH 농협카드 (2012.10~12) KB 국민카드 (2013.6) 롯데카드 (2013.12) 운영서버 내부직원 PC 또는 FDS 개발서버 유출 USB 통제프로그램미설치 / 해제 PC (OS 설치등 ) USB 통제프로그램설치 PC 외주업체직원 100 만건판매 (2,300 만원 ) 유출 (1,650 만원 ) 미유출 브로커 카드社 삼성카드 / 신한카드 암호화된개인정보데이터
3. 개인정보유출사고 시만텍 '2013 글로벌데이터유출피해분석보고서 ' 주원인은사용자실수와시스템오류 - 유출사고의 64% 가사용자실수 (35%) 와시스템오류 (29%) - 임직원들의기밀데이터취급부주의, 시스템관리부재, 업계및 정부규제위반등 - 직원 62% 가회사데이터를외부로유출해도무방하다고생각 강력한대응으로데이터유출피해최소화 - 미국, 영국등강력한보안전략, 사고대응계획, CISO 임명으로최소화 - 미국, 프랑스는데이터유출복구컨설턴트채용등노력을기울임 데이터유출에따른피해정도국가별로상이 - 기업이직면한위협의유형과각국마다정보보호관련법이상이 오늘날기업들이직면하고있는가장시급한보안과제는내부임직원들이며, 처음조사했을때보다 22% 가량위협이증가 - 래리포네몬 ( 포네몬연구소회장 )
4. 유출개인정보유통경로 개인정보유출흐름도
4. 유출개인정보유통경로 단계별사례 : 유출자 브로커 개요 최초유출된정보는가공되지않은 원시데이터 이므로거래시에, 10 만명 100 만명단위로묶어브로커에게온라인 ( 메일, 메신저, 해외사이트 ) 과오프라인 ( 출력, CD, USB 등 ) 에서헐값에판매 사례 : 최근카드 3 사로부터유출된정보가브로커에게헐값에제공 (2014.1) 유통사례 1 억 4 천만건 1,650 만원 USB 통제프로그램미설치 / 해제 PC (OS 설치등 ) 유출 = 건당 0.21 원 제공 NH 농협카드 (2012.10~12) KB 국민카드 (2013.6) 롯데카드 (2013.12) 고객개인정보실데이터 유출 외주업체직원 USB 로데이터유출 브로커
4. 유출개인정보유통경로 단계별사례 : 유출자 (= 브로커 ) 국내외업자 개요 사금융, 온라인도박사이트, 웹하드업체, 대리운전정보관리업체등이업무상획득한개인정보들을내부직원들이유출하고, 브로커역할을하며동종업체등에돈을받고판매 사례 : 대리운전고객정보유출 (2013.6), 유출자구속기소및구입한정보를활용한운영자불구속기소 유통경로 무단다운로드 (184 만건 ) 240 만건을 100~500 만원에판매 건당 0.48~2.4 원 내부직원 대리운전업계는규모가작아대부분운행정보관리업체에관리를위탁 고객개인정보실데이터 대리운전운행정보관리업체 자신의지인및광고업체, 해당업체등에팔기위해유통 내부직원 (= 브로커 ) 타사정보획득 (240 만건 ) 유통 대리운전업체 ( 콜센터 ) 운영자
4. 유출개인정보유통경로 단계별사례 : 브로커 국내외업자 개요 브로커들은다양하게입수한 원시데이터를 재분류하여용도나범위에따라 블랙빅데이터 를구축 생산 유통 판매 시스템이확고하게자리잡고있으며, 이과정에서다양한형태로가공되어재판매 대출의경우, 전문용어들을통해수준별로다른가격에대출용개인정보들을은밀히유통 유통사례 1 건당 20 원 목적에따라정보를가공 가공된정보 아웃바운드문자용 = 단순금융기관가입자정보 국내외업자 고객개인정보실데이터 개인정보브로커 완콜 1 건당 200 원 하루전부결 = 대출을신청또는조회시거부고객정보 국내외업자 개인정보유출자 = 대출의향이확인된정보 1 건당 1 만원국내외업자
4. 유출개인정보유통경로 브로커와해커의합작에의한유출및거래 개요 개인정보브로커와중국해커가합작하여국내 100 여개업체에서 1,000 만개의개인정보를취득하고, 인터넷을이용하여불법유출및거래 (2011.6) 개인정보를 1 건당 10 원 ~30 원정도를받고대부중계업체와대리운전업체등에판매하여 6 천만원이득 2 명을구속하고 6 명을불구속입건 ( 중국해커는국제공조를통해검거할방침 ) 개인정보를구매한대부중개업체는대출고객과대부업체에대출을알선하고수수료를받음 유통사례 3 정보제공 4 가공하여인터넷에홍보 국내 100 여개회사 2 해킹, 정보취득 해커 1 해킹의뢰 개인정보브로커 5 정보구매 6 대출알선 6 대출알선 대출고객 8~30% 의수수료지급 대부중개업체 수수료 대부업체
4. 유출개인정보유통경로 대출모집인의불법유통정보이용과정
III. 전자금융보안기술및대책 1. 전자금융현황 2. 전자금융안전성보호기술 3. 전자금융보호대책 4. 기타 : 법원판례등
1. 전자금융현황 국내인터넷뱅킹이용현황 (1/2) [ 인터넷뱅킹 ( 모바일뱅킹포함 ) 등록고객수 9,163 만명 ] 2013 년 6 월말현재 19 개 금융기관에등록된고객으로전분기말 (8,930 만명 ) 대비 2.5%(233 만명 ) 증가 2013 년 6 월말현재인터넷뱅킹용공인인증서 ( 은행 신용카드 보험용, 범용 ) 발급건수는 2,577 만개로전분기말 (2,532 만개 ) 대비 1.8% 증가 [ 이용건수 5,399 만건, 금액 33 조 3,419 억원 ( 일평균기준 )] 2013 년 2/4 분기중 인터넷뱅킹 ( 모바일뱅킹포함 ) 전분기대비 2.2% 증가, 금액은 0.8% 증가 [ 비대면거래가 (88.4%)] 2013 년 2/4 분기중입출금및자금이체거래기준으로 비대면업무처리비중은증가하고창구거래는 11.6% 로지속적으로감소 비대면거래세부비중은 CD/ATM 42.2%, 인터넷뱅킹 32.5%, 텔레뱅킹 13.7% 순임 * 출처 : 2013 년 2/4 분기국내인터넷뱅킹서비스이용현황, 한국은행 (2013.8.15)
1. 전자금융현황 국내인터넷뱅킹이용현황 (2/2) [ 스마트폰기반모바일뱅킹등록고객수 3,131만명 ] 전체모바일뱅킹등록고객수는전분기말 (4,113만명) 대비 7.8%(319만명 ) 증가한 4,432만명을기록 [ 이용건수는 2,032 만건금액은 1 조 3,523 억원 ( 일평균기준 )] 2013 년 6 월말기준 스마트폰기반모바일뱅킹서비스이용실적으로전체모바일뱅킹이용실적대부분 ( 각각 98.8%, 97.1%) 차지 < 스마트폰기반모바일뱅킹등록고객수추이 > * 출처 : 2013 년 2/4 분기국내인터넷뱅킹서비스이용현황, 한국은행 (2013.8.15)
1. 전자금융현황 전자금융서비스환경의변화 과거 PC 기반전자금융서비스 ( 웹브라우저기반, APP 기반 HTS 등 ) [ 오픈뱅킹 액티브엑스, 플러그인 ] 멀티브라우저, 멀티 OS 지원엑티브엑스에서플러그인으로지원범위확대 [ 모바일뱅킹 - 앱 ] 금융사별전자금융앱개발 [ 오픈뱅킹 플러그인탈피 ] 플러그인방식에서프로세스호출방식및 HTML5 등다양한기능을지원할수있도록표준화진행중 [ 모바일웹뱅킹 ] 스마트폰에서웹브라우저를이용한전자금융거래지원
1. 전자금융현황 스마트금융서비스로확산 스마트사회 (ICT 급속한발전 + 사회현상의변화 ) 를지원하는스마트금융으로변화
2. 전자금융안전성보호기술 전자금융보안요소 국제표준정보보호관리체계인 ISO 27001 에서는데이터의기밀성, 무결성, 가용성을보안의 3 요소로정의 전자금융서비스에서는비대면거래의경우양방향을확인할수없고거래내역에대한외부유출이나변경의가능성이높아져기밀성, 무결성, 가용성에인증 / 부인방지까지보안요소로고려 요소기밀성무결성가용성인증 / 부인방지 내용인가된대상만이데이터에접근하여내용을파악할수있음을보장비인가된대상에의해데이터가변경될수없음을보장정보시스템의성능을안정적으로유지하여전자금융거래서비스의연속성을보장인가된대상자확인및거래사실에대한증빙을보장
2. 전자금융안전성보호기술 전자금융보안기술의발전 이용자보호관점 국내의전자금융보안기술은 1999 년에인터넷뱅킹서비스가시작되면서발전 1999 2000.9 2002~2005 2005.12 2007년 ~ 현재 컴플라이언스 인터넷뱅킹서비스출시 전자서명법제정 전자금융거래보안강화조치 전자금융거래법강화 보안조치 전자적장치 별도장치 ID/PW 사용자인증 공인인증서 보안카드 키보드보안프로그램 해킹방지프로그램 보안카드의조합번호 OTP 안티피싱 파밍 E2E 암호화 가상브라우저 전자금융사기예방서비스 스마트폰금융서비스보안 주요해킹사고 ID/PW 유출 악성코드에의한공인인증서유출 악성코드에의한보안카드유출 악성코드, 피싱, MITM 에의한고객정보유출 사회공학에의한고객정보획득
2. 전자금융안전성보호기술 이용자 PC 보안프로그램
2. 전자금융안전성보호기술 이용자 PC 보안프로그램 ( 주요기능 ) 구분 주요기능요약 개인침입차단시스템 - 네트워크패킷데이터감시및차단 - 악성프로그램의네트워크전송및실행금지 - 내부중요자료유출방지ㆍ차단 키보드해킹방지프로그램 - 악의적인키로깅프로그램으로부터이용자가입력한키보드입력값보호 공인인증서프로그램 - 이용자신원확인및부인방지를위한전자서명인증및관리프로그램 백신프로그램 웹암ㆍ복호화프로그램 - 실행되고있는프로그램프로세스메모리바이러스감염유무검색및치료 - 네트워크로전송되어지는 html 문서암ㆍ복호화
2. 전자금융안전성보호기술 스마트폰뱅킹보안기술 (1/3) 스마트폰플랫폼보호 - Android 기반의스마트폰은금융앱구동시루팅 (Rooting) 체크를하고백신프로그램을연동하여악성코드탐지수행후금융서비스시작 - iphone은플랫폼특성상탈옥 (jailbreak) 탐지에초점을둠 스마트폰뱅킹 인증센터 신용카드 투자증권 LOG 조회
2. 전자금융안전성보호기술 스마트폰뱅킹보안기술 (2/3) 금융앱, 거래전문에대한위 변조여부등무결성검증
2. 전자금융안전성보호기술 스마트폰뱅킹보안기술 (3/3)
2. 전자금융안전성보호기술 사용자인증기술 OTP 2 채널인증 HSM 공인 보안카드 그래픽인증 인증서 [KISA. 2012.12 휴대폰월 ] SMS PC 지정 바이오인증
2. 전자금융안전성보호기술
3. 전자금융보호대책 IT 감독정책 지능화되고있는신종위협예방및전자금융거래의안전성확보의지강화 전자금융거래법개정 CISO 선임, IT 보안인력 5% 확보 IT 예산 7% 사용 금융전산보안강화종합대책 망분리의무화, FDS 구축 금융보안관리체계인증제도도입 CISO 전임제도, 전문인력양성등 Next? 전자금융거래안전성강화종합대책 해킹방지 / 공인인증서사용등 보안전담기구 /OTP 인증센터설립 보안등급별이체한도차등화 보이스피싱피해방지종합대책 공인인증서재발급절차강화 지정 PC, 2 채널인증등사용 300 만원이상계좌이체지연인출 O 은행해킹 N 은행 /H 캐피탈해킹 보이스피싱급증 공인인증서파밍, 안심클릭 (ISP) 해킹 3.20 전산장애 개인정보유출
3. 전자금융보호대책 전자금융사기피해예방제도실시현황 대책명설명추진현황 카드론취급강화 지연인출제도도입 발신번호조작제한 공인인증서재발급및사용절차강화 카드론입금시통장에카드론명시및신용카드와카드론간신청절차분리 카드론최초이용자가 300 만원이상신청한경우승인후 2 시간지연입금 300 만원이상이체후자동화기기에서인출시 10 분지연인출 국제전화를국내전화로조작하는것을방지하기위해해외유입전화에대해국제전화식별번호를표시 공인인증서재발급및 300 만원이상이체시단말기지정, 추가인증 (OTP+ 휴대폰 SMS, 2 채널인증등 ) 을통해본인확인절차강화 12.5 월시행 12.6 월시행 12.7 월부터단계적시행 은행 12.9 월비은행 13.3 월시범시행 대포통장통합관리시스템구축 대포통장협의계좌주정보와의심계좌적발, 모니터링시나리오등을은행연합회의전산시스템시스템을통해공유 활용하는시스템구축 12.11 월시행 ( 자료 : 금융감독원, 2013.3, 재구성 )
3. 전자금융보호대책 [ 연합뉴스 ] 전자금융사기예방서비스 ( 자료 : 미디어다음 )
4. 기타 : 법원판례등 1. 주요판결사례 K 은행 1 인당 20 만원배상판결 (06) 고객에게개인정보파일을이메일발송 L 전자 1 인당 70 만원배상판결 (06) 개인정보가홈페이지노출 H 통신사 1 인당 20 만원배상판결 (07) 고객동의없이수탁업체에개인정보제공 A 쇼핑몰 G 정유사 원고패소 ( 배상책임불인정 ) (08) 해킹에의한고객정보유출 (08) 고객의개인정보담은 CD 유출
4. 기타 : 법원판례등 주요내용 2. 최근판결결과 쟁점 GS 칼텍스옥션 해킹사고방지를위한주의의무 개인정보불법유출탐지등 공개용알집프로그램을사용한점 손해배상책임범위 N/A 정신적손해없음 ( 전부회수한경우 ) 주의의무위반없음 ( 기술적 관리적조치의무를위반하여해킹사고를방지하지못한경우여야함 ) N/A N/A 네이트 1 차 2 차 주의의무위반없음 ( 법령상실시간모니터링의무는없음 ) 상당인과관계부정 N/A 과실인정 ( 개인정보보호의무를위반하여개인정보유출 ) 위반인정 (DB 접속업무내역의실시간모니터링의무 ) 상당인과관계인정 정신적손해 : 200,000 원 ( 유출된개인정보종류, 성격등을종합고려 ) 결론회사책임부정회사책임인정 개인정보유출피해자들의집단손해배상소송예상 ( 자료 : 구태언, 2013.3, 재구성 )
4. 기타 : 법원판례등 3. 집단소송발생현황 K 통신 K 이동통신사 5 개월간 800 여만명고객정보유출 집단소송진행중 S 포털 개인정보유출 20 만원배상 위자료지급판결 (2013. 2) - 대규모개인정보유출사건에따른이용자의정신적피해를인정한첫판결 - 판결이후해당기업의주가가약 7% 이상폭락 3,500 만명 ( 유출피해자 ) ⅹ 20 만원 = 약 7 조 ( 해당기업연매출액 ( 약 1,900 억원의 35 배 ) 기타 진행중인 H 캐피탈 (175 만명 ), K 통신회사 (800 만명 ) 에대입할경우 - H 금융은 3,500 억, K 통신회사는 1 조 6000 억추정 법원판결 : 해당기업이 일련의행위들이피고가개인정보보호의무에소홀했다는것을의미한다 며 개인정보유출이재산상피해를입혔다는입증자료는없으나개인정보가회수되지않았기때문에위자료지급책임을면할수없다 고판결
IV. 결론
1. ( 개인 ) 정보보호의중요성 ( 개인 ) 정보보호의중요성 개인 개인정보유출등정신적피해, 보이스피싱등에의한금전적손해, 유괴등각종범죄에노출우려 기업 개인정보는기업의자산그자체, 개인정보유출시기업이미지실추, 집단손해배상등으로기업경영타격 국가 정부및공공행정신뢰성하락, 국가브랜드가치하락, 프라이버시라운드대두에따른산업전반수출애로 ( 개인 ) 정보보호는국가 사회안전및기업발전의필수요소
감사합니다.