[ 보기 -T ] 미국, 일본인터넷전문은행서비스및보안기능비교분석 목차 ( 정보보안본부보안기술연구팀, ) 정의및현황 인터넷전문은행의정의 특징 현황 서비스 주요서비스 가입 계좌개설 입출금 송금 보안 특징및법적근거 사용자인증 서버인증및암호화

[ 보기 -T-2015-003] 미국, 일본인터넷전문은행서비스및보안기능비교분석 목차 ( 정보보안본부보안기술연구팀, 2015.02.17) 정의및현황 인터넷전문은행의정의 특징 현황 서비스 주요서비스 가입 계좌개설 입출금 송금 보안 특징및법적근거 사용자인증 서버인증및암호화 정책적보안및고객보호방안 참고 한미일뱅킹서비스보안특성비교 정책적제언 - 1 -

1 정의및현황 정의 주영업채널이오프라인 지점 이아닌온라인인은행으로 입출금송금 은물론 계좌개설 도온라인으로처리 인터넷뱅킹 이지점에기반을둔전자적서비스였다면 인터넷전문은행 은은행자체를의미 혹은 로표현 국내의경우 인터넷뱅킹 이보편적이나 인터넷전문은행 은아직없음 ( 15.2 월현재 ) 특징 온라인전용으로별도의오프라인지점이없으며 이로인한비용절감을고객혜택 높은이자율 낮은수수료 으로환원 * 대부분오프라인영업력확대를위해 ATM을적극활용하고있으며, 일부는대도시중심으로전용창구를개설하여상담, 입출금업무등도처리 시간 일상시영업을원칙으로하고있으며 소매금융에특화 현황 미국 일본중심으로활성화 양국약 여개사영업중 구분미국일본 근거 금융당국이인터넷전문은행을승인 (90년대중반, 안정성, 소비자보호에중점 ) 주도자보험, 증권등비은행금융회사 ( 은산분리 ) 규모 < 미국 일본인터넷전문은행현황비교 > 총자산 : 4400 억달러 ( 상업은행대비 3.9%) 영업이익 : 7.2 억달러 ( 상업은행대비 6.9%) 90년대중반, 산업자본의은행업진출허용 ( 비금융기관의은행지분 20% 이상소유가능 ) * 5% 이상시신고, 20% 이상시인가비은행금융회사, IT업체합자 * 금융과통신, 포털, 제조, 유통과의융합 총자산 : 8.5 조엔 ( 상업은행대비 0.9%) 영업이익 : 4.3 조엔 ( 상업은행대비 1.4%) 주요사업자찰스슈왑, 얼라이뱅크, 바클레이델라웨어外재팬넷뱅크, 라쿠텐뱅크, 소니뱅크外 - 2 -

2 서비스 주요서비스 미국은 송금 수표활용 중심 일본은이외에다양한부가서비스마련 미국 예금 송금 고지서결제 등 * 상당수은행이본인계좌간송금만가능 ( 타인송금불허 ) 하여자산관리의개념이강함 ** 개인수표의반대개념으로기관이나상점이상거래등에대한대금청구로발행 일본 예금 송금 외환거래 해외송금 대출 보험 복권등 특성 미국은이용이쉽고편리하나 송금유연성 이체지연 이체대상제한 이부족 일본은실시간 임의대상송금이가능하나가입절차가느리고불편 계좌개설편의 계좌개설편의 서비스다양성 온라인이용환경 서비스다양성 ( 미국 ) ( 일본 ) 온라인이용환경 보안수준 송금유연성 보안수준 송금유연성 가입 ( 계좌개설 ) 미국은 자동화 온라인즉시개설 일본은 수작업 처리 주소요 미국 본인확인정보 를온라인에입력 실시간검증을통해즉시개설 * 사회보장번호 (Social Security Number), 연락처, 생년월일등 일본 본인확인서류를 우편으로은행에송부 사본 하거나 전용앱으로촬영하여전송 은행직원이직접검토하여개설처리 기타방식 : 중국의민영은행시범사업자인 웨이중은행 의경우, 고객스마트폰의카메라를통해고객의얼굴을원격으로인증하는방식을사용 - 3 -

< 참고 : 미국인터넷전문은행계좌개설절차 (Ally Bank) 1 계좌종류선택 - 당좌 (Checking), 저축 (Saving) 중선택 2 본인확인정보입력 - 이름, 사회보장번호 (SSN), 보안질문, 이메일, 연락처 ( 주소, 전화번호 ) 입력 * 은행에따라공공 DB 조회를통한질문을통해본인인증을강화하는경우도있음 ( 예 : 본인이예전에살던곳은?, 보유중인차량의자동차연식은?) 3 계정생성및사용자약관동의 - 동의절차에따라신청서양식이 전자적형태로은행에제출 4 예금액예치 - 일정금액예치 ( 선택사항이나은행별상이 ) - 당행이체 ( 실시간 ), 타행이체 (ACH, 2~3일 ), 우편전송 ( 수표발행 ) 중선택 5 계정생성완료 - 예치액입금후바로사용 - 수표북이나직불카드는 10일이후우편으로도착 [ 그림출처 : Ally Bank(www.ally.com)] - 4 -

< 참고 : 일본인터넷전문은행계좌개설절차 (JapanNet, Rakuten Bank) 1 온라인으로계좌계설신청 - 개인정보 ( 이름, 연락처 ), 본인확인방법 ( 앱, 우편 ), 추가카드이용여부 ( 직불등 ), 보안툴선택 (OTP, 보안카드 ) 여부입력 2 이메일인증후, 정식본인확인절차진행 ( 우편혹은전용앱, 약 1~3주소요 ) - ( 전용앱 ) 앱다운로드후, 운전면허증혹은보험증서를촬영하여전송 - ( 우편 ) 본인확인서류 * 를우편으로은행에송부 * 운전면허증, 건강보험증, 여권, 주민증, 인감증명서, 외국인등록증 ( 외국인한정 ) 등 ( 모바일 ) ( 우편 ) 3 등록확인서및보안장치수취 - 은행으로부터보안장치 (OTP, 보안카드 ), 및 현금카드를우편으로수취 4 로그인및초기설정 - 웹사이트에접속, 초기설정 ( 비밀번호설정, 이체비밀번호, OTP 및카드등록등 ) 후이용 [ 그림출처 : 재팬넷뱅크 (www.japannetbank.co.jp), 소니은행 (www.sonybank.net)] - 5 -

입출금 특징 본인계좌간 인터넷은행 은행 이체가기본이며 미국은수표 일본은 을적극활용 보통창구가없어현금의직접입출금은불가 * 개인수표 (Personal Check) 를의미, 미국내현금을대체하는주요지불수단으로개인이금액을기입하여자유롭게발행하고수취자는은행에제출하여현금화 미국 기본입출금수단은수표와직불카드 다수은행이주요입금수단으로월급이체서비스 제공 < 미국인터넷전용은행입출금방식 > 구분 방식 내용 특징 수표회수 발행수표를은행이회수하여개인계좌에입금 우편송부, 촬영본전자전송, ATM 회수등 입금 * 월급이체 전용서식에기입후출력하여기관제출 은행, 회사모두제출가능 출금 수표발행수표를발행하여추후은행이정산수표북은우편으로전송 ( 무료 ~$15) ATM 인출카드로 ATM 현금인출및상점결제직불카드 ( 수수료는은행별상이 ) 일본 계좌간이체 창구및온라인 병행 제휴 에서현금카드 기본발송 를이용하여입출금 * 건당수수료는 1~3백엔 ( 자행 150엔 ~, 타행 300엔 ~) 수준이며 3만엔이상무료 ( 은행별상이하여예치금, 이용실적에따라일부는수수료무료제공 ) 이체 타행 인터넷전문은행본인계좌간이체 * 타행이체시수수료발생 (3백엔수준이며예치금및이용실적에따라무료제공 ) < 일본인터넷전문은행입출금방식 > < 출처 : 재팬넷뱅크 (www.japannetbank.co.jp) > - 6 -

송금 특징 온라인전용이체 처리시간및방법이국가별 은행별상이 미국은수수료가거의없으나이체가지연되며 일본은수수료가 비교적높으나실시간송금가능 창구에비해서크게낮은수준 일부은행은제휴를통해 간편송금 페이스북 이메일기반 서비스제공 미국 수수료는거의없으나 타행송금시처리가지연 일 되며 다수의은행이타인계좌로송금불가 자행 본인 타인에관계없이실시간이며대부분무료 타행 타행본인도반드시인증을통한사전등록필요 타행타인은 일부은행만지원하며영업일기준 일소요 이용 Auto Clearing House : 은행간배치 (Batch) 방식소액결제망으로이체에 1~3 일소요 < 미국인터넷전용은행송금서비스특징 > 구분서비스명처리시간수수료운용방식 자행본인 Transfer Funds 실시간무료내부망정산 타행 본인 * 2~3 일소요무료 타인 P2P Payment ( 일부지원 ) 2~3 일소요무료 ACH * 실시간 20~25 달러내외 Wire Transfer * 타행본인송금시, 인증을통한사전등록필요 ( 계정 ID/ 비번입력혹은소액송금내역확인 ) 일부 등 는송금편의를위해간편송금서비스 하단참고 제공 < 참고 : 미국의간편송금시스템 Popmoney > 이메일주소나전화번호를이용하여간편하게송금하는시스템 은행코드, 계좌정보, 예금주명등복잡한계좌정보필요없음 ( 단수취시는필요 ) 전용앱 웹 외부시스템 에서이용가능 송금은물론송금요청가능 내부적으로 을이용하여송금에 일소요 은행내부이용시무료 - 7 -

일본 모든거래가실시간으로처리 자행타행에따라수수료차등 수수료 엔수준이나월급통장지정혹은일정수준의잔고예치시 보통 억원이상 월 회무료 창구수수료는 엔 국내와달리 수취인성명자동확인서비스 가기본이아니며영업시간에만가능 < 일본인터넷전용은행송금서비스구분 ( 은행별상이 ) > 구분 수수료 처리시간 운용방식 자행 본인 타인 무료 ~100엔 실시간 (24시) 내부망정산 타행 본인 타인 150~300엔 실시간 (15시이후익일 ) 전국은행시스템 일부은행 라쿠텐은행 은 페이스북송금 과같은간편송금서비스제공 < 참고 : Rakuten Bank 의 페이스북송금 서비스 > 계좌정보입력대신페이스북친구를선택하여송금하는시스템 페이스북은친구목록만을제공하고실제송금은라쿠텐에서처리 라쿠텐은행에서친구명과계좌정보를연계해서송금처리하는방식 송수신자는라쿠텐은행모바일앱의 페이스북전송 메뉴를통해계좌정보사전등록이필요하여송수신도앱을통해서만이루어짐 자행간송금은무료 타행은 엔 와동일 - 8 -

3 보안 특징 결제처리환경 미국비실시간 일본실시간 이용문화 미국간편선호 일본안전선호 로인해양국의인증방법및보안절차가상이 미국 이체지연 대상및금액에제한존재 웹 로조회및이체가능 선택적이중인증 을수행하며 물리적장치 사용 보안카드등 일본 실시간이체 영업시간내 대상금액제한이거의없음 웹 로조회가능 이체시이중인증이반드시필요 정책적보안과기술적보안을사용자가균형적 으로선택가능 * 다수은행이 ID대신지점번호와계좌번호를요구 (Sony, JapanNet 등 ) ** 예시 ) 일부은행은지정자대상송금및 PC지정제사용시 OTP, 보안카드인증생략 공통적으로보안수단선택은사업자자율로은행마다차별성있는보안서비스가제공 웹표준기술활용 플러그인강제설치없음 법적근거 미국 금융당국 이보안요구사항을가이드라인형태로권고 * 연방금융기관검사위원회 (Federal Financial Institutions Examination Council), 연방예금공사 (Federal Deposit Insurance Corporation) 등 보안이점차강화되고있으나 예 팩터인증 은행이자율적으로적절한보안수단적용가능 기술중립적이어서 일본 일본금융청의감독지침에보안수단에대한방향성포함 은행이각종보안수단을평가후 적절한보안수단을채택가능 - 9 -

사용자인증 < 미국 > 공통 로그인 로모든서비스 조회 송금 이용이가능하며 로그인보안강화를위해 개인로그인화면 확인 기법활용 개인로그인화면 피싱방지를위해로그인시본인이사전에 설정한이미지를확인 * 사전에다수이미지 ( 도형형태, 색상등상이 ) 중원하는이미지를선택필요 < 개인로그인화면 > 확인 현접속 와최근접속 의위치 주소 가다를경우 추가질문이메일보안코드등의추가인증수행 웹쿠키 활용 * 사이트접속시사용자편의 ( 정보자동입력등 ) 제공을위해웹서버가사용자PC에저장하는정보파일로은행은사용자 PC에쿠키가없으면새로운 PC로인식 선택 추가질문 이메일보안코드 보안 등의설치가능 < 미국인터넷전용은행의선택적보안기술 ( 은행별상이 ) > 구분내용비고 개인로그인화면주 PC설정추가질문 로그인화면에서본인이사전설정한 이미지가있을경우만로그인 쿠키를활용, 이전접속PC 의 IP와현재 접속 IP 를비교, 다를경우추가인증요청 사전에등록한질문에대한답변을입력 예시 ) 첫번째애완동물이름은? 위조웹사이트접근방지 추가인증기법 : 추가질문, 이메일보안코드 보안수준이취약하다고판단될경우시스템이필요에따라서동적으로요구 ex) 비밀번호입력오류, 새로운 PC 에서접속등 보안 S/W 백신, 개인방화벽 S/W 사용자선택사항 ( 무료 ) FDS 원격에서사용자행위를모니터링하여 부정행위를탐지 비밀번호복구 번호입력후 이메일로힌트를보내거나 이메일보안코드검증등을통해재설정 일부은행은콜센터통화만가능 - 10 -

< 일본 > 공통 조회시 이체시이체비번 보안카드중선택 계좌개설시 토큰을무료로제공 재발행시 엔 하며 일부는 형식 이메일보안코드 으로대체 라쿠텐은행 유효시간 분 보안카드 국내보안카드와유사 에비해이체한도적음 < 일본주요인터넷전용은행의인증방식비교 > 구분 로그인 이체, 기타해약및개인정보변경등 JapanNet Bank 지점명, 계좌명, 비밀번호 * 선택적으로 OTP ( 추가 ) 인증가능 이체전용비밀번호, OTP Sony Bank 지점명, 계좌명, 비밀번호 이체전용비밀번호, OTP 혹은추가질문 Rakuten Bank 사용자 ID, 비밀번호이체전용비밀번호, 이메일보안코드혹은보안카드 선택 추가질문 지정 제 가상보안키보드등을제공중이며선택적으로사용가능 은행에따라상이 < 일본인터넷전용은행의선택적보안기술 ( 은행별제공서비스상이 ) > 구분 내용 비고 가상보안키보드 보안값입력시화면에특별히표시된치환값을입력하는방식 ( 용도 ) 키로거및스파이웨어방지 * 키보드로입력, 치환값은매번변경 추가질문지정PC제외부사이트이동안내 사전에등록한질문 / 답변형식의개인정보를입력예 ) 첫번째애완동물이름은? 주로사용하는 PC를등록하여 허가된 PC 가아니면접근을차단 타사이트이동이필요시자동이동을 불허하고사용자의클릭시에만이동 비밀번호입력오류등, 보안수준이취약하다고판단될경우시스템이필요에따라서동적으로요구 다수의 PC 등록가능 ( 일부는 PC 를등록하지않을경우매로그인시 OTP 인증요구 ) ( 용도 ) 피싱방지 비밀번호복구 나보안카드로추가인증후 및우편을통해 재설정용코드를개인에게통지 - 11 -

서버인증및암호화 서버인증 웹사이트피싱방지를위해베리사인 인증서 사용 * Extended Validation SSL : 서버의신뢰성과안전성을제공하기위해사용되는인증및암호화방식으로피싱대응등에효과적, 자물쇠와함께주소창이녹색으로표기 < EV-SSL 적용화면 > 암호화 웹표준 네트워크암호화기술적용및 암호화 정책적보안 공통 이체한도설정 미국은고정 일본은선택적변경가능 미국 은행마다다르나 송금은일 천달러 인출은 천달러수준 일본 천엔단위 로사용자가설정가능 최대한도는보안수준에따라다르며 억엔 보안카드 천만엔등 엔도설정가능 계정잠금효과 공통 거래내역통지 입출금 정보변경 로그인내역을메일로발송 공통 지정계좌등록 미국은자행계좌사전등록필수 일본은선택 * 일부은행에한하여지정계좌등록시추가인증면제 ( 예 : JapanNET Bank) 고객보호 미국 연방예금보험공사 기준에의거 전자적거래피해에대해서 일이내신고시전액보상가능 원칙적으로 일이내의경우 의고객책임금액이있으나상당수은행이이를면제 일본 법적근거가아닌은행협회기준을통해보상하며고객과실이없을경우원칙적으로은행이책임 일부은행은보안수단에따라차등 만엔 보안카드 만엔 - 12 -

< 참고 : 韓 美 日뱅킹서비스보안특성비교 > 아래비교는전수가아닌일부 ( 주요 ) 은행을대상으로조사, 비교하였으므로조사되지않은특정은행기준과비교시일부내용상차이가있을수있음 로그인 이체 구분 계좌개설 기본인증 국내 ( 국내 A 은행인터넷뱅킹 ) 대면 ( 지면양식작성, 신분증확인 ) 웹 ID/PW( 조회만 ) 공인인증서 ( 모든서비스 ) 추가인증개인로그인화면 ( 선택 ) 기본인증 추가인증 이체비밀번호 + OTP or 보안카드 + 공인인증서 ARS,SMS(300 만원이상 ) * PC 지정제, OTP 이용시면제 그래픽인증 ( 선택 ) 미국 (Ally, Capital One 360 *, National Wide Bank) 비대면 ( 본인확인정보온라인검증, 전자적문서제출 ) 웹 ID/PW 추가질문 ( 주 PC아닐시 ), 개인로그인화면 ( 은행별상이 ) 없음추가질문 일본 (JapanNet, Sony, Rakuten Bank) 비대면 ( 신분증사본우편전송, 신분증휴대폰촬영전송 ) 웹 ID/PW 추가질문, OTP, 이메일보안코드 ( 선택 ) OTP, 보안카드, 이체전용비밀번호, 이메일보안코드 (1개이상필수 ) * 업체별, 정책별상이 서버, 네트워크보안정책 서버인증 EV SSL EV SSL EV SSL 네트워크암호화 SSL 128bit 외 SSL 128bit SSL 128bit 제공SW 공인인증서, 방화벽, 백신, 키보드보안 ( 필수 ) 백신 S/W ( 선택 ) 없음 송금한도설정 선택 고정 선택 지정 선택 선택 ( 자동화 ) 선택 PC제 * 미등록시조회만가능 * 미등록시추가인증요청 * 미등록시로그인불가 지정자 선택 일부필수 일부선택 송금 * 미지정시이체한도제한 * 일부은행타행송금불가 * 지정은추가인증면제 거래내역통지 SMS, 이메일 이메일 이메일 해외 IP차단 선택 불가 불가 * Capital One 360 은지점기반은행인 Capital One 의자회사로엄밀한의미의인터넷전문은행이라고하기어려우나서비스분석을위해참고하였음 - 13 -

4 정책적제언 시사점 미국 일본의인터넷전문은행은각국금융환경의결점을보완하는방식으로발전 미국은낮은접근성 일본은높은수수료극복 국내는해외에비해지점접근성이높고수수료가낮을뿐더러온라인뱅킹환경도우수 더나은소비자편익을위해한층높은혁신이필요 따라서맹목적인해외사례벤치마킹보다는 비대면인증 이나 서비스편의사항 등우리에게부족한부분을선별적으로검토하고 빅데이터분석 비금융서비스와의제휴등 고객맞춤형차별적서비스를개발함으로서소비자진입을유도하는적극적인전략필요 은행 국내 인터넷뱅킹 는해외에비해거래가신속 안전하며서비스도다양하여고객입장에서신규서비스로받아들이기어려워보임 온라인계좌개설만되면해외이상의서비스즉시제공가능한상황 따라서 소비자편익제공 을통한신규시장창출보다는 패러다임변화대응 온라인화 운영비용절감등경쟁력확보차원에서접근필요 * 국내는지접접근성이높고수수료가낮아소비자편익비용이크지않음 다만비은행권과의경쟁에대비 고객충성도를높이기위해다양한상품개발 을제공하고서비스편의를지속적으로개선필요 * 고객의이용패턴 ( 예금, 이체, ATM이용 ) 등의빅데이터분석을통해개인맞춤형금융상품제공 - 14 -

비은행 단순히 낮은수수료 높은이용성 만으로시장진입이어려우며기존인터넷뱅킹과차별있는 고객특화비즈니스모델 발굴이필수 비은행은카드 증권과의결합 비금융은 서비스와결합하는등상호시너지 를일으키는차별적서비스를적극적으로발굴필요 * 사례 : 라쿠텐은행계정보유시라쿠텐쇼핑몰에서편리하게낮은수수료로결제가가능하며계열서비스 ( 브로드밴드, 쇼핑몰등 ) 연계이용시추가로높은포인트지급 신규사업자는영업채널 온라인 이한정되어고객확보가쉽지않으므로인지도가높고충분한고객이확보되어있는사업자가절대유리 초기의원활한시장진입을위해서온라인회원기반이튼튼한 사업자와 은행금융업자간제휴도적극고려할필요있음 기술보안 국내는해외에비해신속 안전하나획일적이용환경에편의성도다소부족 필수설치보안 는사용자에게이용선택권을부여하고 상대적으로약해진클라이언트보안은추가인증및 를통해보완 편의성효과성을높이기위해 추가인증은반드시 설치형으로적용하고 보안요구수준에맞추어유연 하게운영 * 예시 ) 1만원이하등극소액이체나사전등록한지인의경우일정금액내에서추가인증면제, 반대로최근로그인 PC가아닐경우로그인시추가인증수행 비대면계좌개설관련 실시간방식의미국식이국내정서와어울림 국내는휴대폰본인인증 카드본인인증등 신뢰할수있는제 자대행본인인증시스템 이발달하여이러한시스템을적극활용하되 인증효과성을높이기위해 입력된개인정보를 민원 등에서실시간으로조회하는방식도검토 개인신상정보조회가아닌 참거짓만판별 중국의카메라인증방식은진위판별이어려워보조적수단으로활용하는것이바람직 - 15 -

< 참고문헌 > [1] 황선철, 미국일본인터넷뱅킹현황및시사점, 지급결제와정보기술 ( 10.4), 금융결제원 [2] 강서진, 해외인터넷전문은행동향및국내이슈점검, KB 지식비타민 (14-73 호 ), KB 금융지주경영연구소 [3] 천대중, 해외인터넷전문은행동향및시사점, 주간금융경제동향 (2014-30), 우리 금융경영연구소 [4] http://online-only-banks-review.toptenreviews.com/ [5] http://www.ally.com/ [6] https://home.capitalone360.com/ [7] http://www.nationwide.com/online-banking.jsp [8] http://sonybank.net/ [9] http://www.rakuten-bank.co.jp/ [10] http://www.rakuten-bank.co.jp/ [11] http://online-only-banks-review.toptenreviews.com/ [12] http://en.wikipedia.org/wiki/direct_bank - 16 -