전자서명법, 전자금융거래법개정안 - 인증제도및보안기술규제의선진화, 글로벌화전략 김기창 ( 고려대학교법학전문대학원교수 ) 1. 정부주도 보안의문제점 1 공인인증서 1-1. 권한구분 개념이없던시절에개발된낡은기술 현행공인인증서기술은윈도우운영체제가일반유저

Similar documents
전자서명법, 전자금융거래법개정안 - 인증제도및보안기술규제의선진화, 글로벌화전략 - 김기창 고려대학교법학전문대학원

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-


Microsoft PowerPoint - 6.pptx

vPR200403_2.hwp

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

untitled

경상북도와시 군간인사교류활성화방안

2011 Handbook

약관

<312E20C0AFC0CFC4B3B5E55F C0FCC0DAB1E2C6C720B1B8B8C5BBE7BEE7BCAD2E687770>

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>


(012~031)223교과(교)2-1

메뉴얼41페이지-2

2018년 10월 12일식품의약품안전처장

Windows 8에서 BioStar 1 설치하기

untitled

디지털컨버전스시대의사용자인증혁신 디지털컨버전스시대가도래하면서디지털세상으로진입하는관문인사용자인증이더욱중요해지고있습니다. 기업과서비스공급자는사용자가본인의정보에더욱안전하게접속할수있도록다양한인증수단을적용하고있습니다. 그러나복잡한인증과정은사용자의피로도를증가시켰으며, 이로인해발생

인증기관간상호연동을위한 CTL 기술규격 CTL Technical Specification for the Interoperability of Certification Authorities 년 월

주간경제 비철금속시장동향 원자재시장분석센터 2014 년 6 월 3 일 조달청 Public Procurement Service 본시황자료에수록된내용은조달청연구원들에의해신뢰할만한자료및정보로부터얻어진것이나, 어떠한경우에도본자료가열람자의거래결과에대한법적책임소재의증빙자료로사용될

SBR-100S User Manual

TTA Journal No.157_서체변경.indd

BEA_WebLogic.hwp

PowerPoint 프레젠테이션

동자료는외국환거래에대한이해를돕기위한참고자료일뿐외국환거래법, 동법시행령및외국환거래규정등관련법령에대한유권해석이아니며, 대외적인구속력은인정되지않습니다. 따라서동자료에기재된내용중관련법령과상이한내용이있을경우에는관련법령이우선하며, 특정사안에대한외국환거래절차등은관련 ( 해당 ) 기

레이아웃 1

*2008년1월호진짜

1.장인석-ITIL 소개.ppt

RHEV 2.2 인증서 만료 확인 및 갱신

Tomcat.hwp

A 목차

Microsoft PowerPoint 지성우, 분쟁조정 및 재정제도 개선방향

활력있는경제 튼튼한재정 안정된미래 년세법개정안 기획재정부

120330(00)(1~4).indd

주간경제 비철금속시장동향 원자재시장분석센터 2015 년 6 월 23 일 조달청 Public Procurement Service 본시황자료에수록된내용은조달청연구원들에의해신뢰할만한자료및정보로부터얻어진것이나, 어떠한경우에도본자료가열람자의거래결과에대한법적책임소재의증빙자료로사용

목차 Ⅰ. 기본현황 Ⅱ 년도성과평가및시사점 Ⅲ 년도비전및전략목표 Ⅳ. 전략목표별핵심과제 1. 군정성과확산을통한지역경쟁력강화 2. 지역교육환경개선및평생학습활성화 3. 건전재정및합리적예산운용 4. 청렴한공직문화및앞서가는법무행정구현 5. 참여소통을통한섬

W7_Business_ 제품설계

외국인투자유치성과평가기준개발

암호내지

내지2도작업


new Spinbackup ICO White Paper(ko)

OTP문답집(일반이용자대상)_v3[최종].hwp

2

2018 년 SW 개발보안교육과정안내 행정안전부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및 개발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다 년 SW 개발보안일반과정 교육대상 : 전

목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널

I. KeyToken USB 소개 1. KeyToken 개요 KeyToken 은공인인증서를안전하게저장하고또안전하게사용하기위한보안제품으로, 한국인터넷진흥원 (KISA) 이 KeyToken 의보안토큰에대한구현적합성을평가하고인증한 제품입니다. 2. KeyToken USB 그

품질보증계획기준에따른품질보증계획서및절차서보유등의인증 요건을갖추어야합니다 인증유효기간 인증의유효기간은 년입니다 점검 재단은성능검증관리기관으로성능검증기관에대한정기점검과수시점검을현장점검으로수행합니다 정기점검은성능검증기관의인증후 년주기로 수시점검은특별한사안이있을경우실시되며점검



Security Overview

제 5 조 ( 이용자확인방법 ) 회사는이용자가서비스를이용하고자할경우이용자가입력한정보 ( 공인인증서, 계약번호, 주민등록번호, 거래비밀번호, 회사에등록한보안카드, 일회용비밀번호발생기, 생체 ( 바이오 ) 정보, 보안PIN, 카카오페이인증, 휴대폰본인인증등와회사가보유한이용

주간경제 비철금속시장동향 원자재시장분석센터 2015 년 02 월 10 일 조달청 Public Procurement Service 본시황자료에수록된내용은조달청연구원들에의해신뢰할만한자료및정보로부터얻어진것이나, 어떠한경우에도본자료가열람자의거래결과에대한법적책임소재의증빙자료로사

< C0DAC0B2C5BDB1B820BFEEBFB520B8DEB4BABEF32D33C2F720C6EDC1FD2E687770>

[ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 ( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상


조사보고서 복합금융그룹의리스크와감독

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

Frama-C/JESSIS 사용법 소개

20 여상수(763~772).hwp

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

PowerPoint 프레젠테이션

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

최종_백서 표지

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

말은 많은 Blockchain 2

조사보고서 구조화금융관점에서본금융위기 분석및시사점

#WI DNS DDoS 공격악성코드분석

1 법 위반 행위별 구체적 내용 가. 방송 계약서 미교부 또는 지연교부(6 개 사) TV홈쇼핑사는 상품 판매 방송을 실시하면서 납품업자에게 방송 계약서를 교부하지 않거나 방송 당일 이후에 교부하였음. ㅇ 대규모 유통업자가 당초 계약 내용에 없는 불리한 거래 조건을 설정

보도자료 2014 년국내총 R&D 투자는 63 조 7,341 억원, 전년대비 7.48% 증가 - GDP 대비 4.29% 세계최고수준 연구개발투자강국입증 - (, ) ( ) 16. OECD (Frascati Manual) 48,381 (,, ), 20

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

2015 년세법개정안 - 청년일자리와근로자재산을늘리겠습니다. -

<4D F736F F D20C0FCC0DAB1DDC0B6BCADBAF1BDBA20C0CCBFEBBEE0B0FC28B1B820C7CFB3AAC0BAC7E0295FB0B3C1A4C8C45F F2E646F6378>

< C1B6B0A35FBDBAB8B6C6AEC6F920B1DDC0B6B0C5B7A B0E8B8ED20B8B6B7C328BAD9C0D332295FBEC8B3BBBCAD2E687770>

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

대한주택보증 ( 주 ) 대한주택보증

DBMS & SQL Server Installation Database Laboratory

PowerPoint 프레젠테이션

1. 상고이유 제1점에 대하여 구 도시 및 주거환경정비법( 법률 제9444호로 개정되기 전의 것, 이하 구 도시정비법 이라 한다) 제4조 제1항, 제3항은 시 도지사 또는 대도시의 시장이 정비구 역을 지정하거나 대통령령이 정하는 경미한 사항을 제외한

목 차 Ⅰ. 사업개요 5 1. 사업배경및목적 5 2. 사업내용 8 Ⅱ. 국내목재산업트렌드분석및미래시장예측 9 1. 국내외산업동향 9 2. 국내목재산업트렌드분석및미래시장예측 목재제품의종류 국내목재산업현황 목재산업트렌드분석및미래시

슬라이드 1

*전자과학02월b63뼉?P-1

Microsoft PowerPoint 산업전망_통장전부_v9.pptx


C++ Programming

2014밝고고운동요부르기-수정3

2005프로그램표지

1차내지

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

170

006- 5¿ùc03ÖÁ¾T300çÃâ

데이터통신


한국의 양심적 병역거부

2016년 신호등 4월호 내지A.indd

3 TV 간편결제 신청 ( 휴대폰인증 포함 ) 은신청하시는분본인이직접이행하셔야하며, 이를 타인에게하게하거나인증번호등의정보를타인에게노출하여서는아니됩니다. 제 5 조 ( 가입제한 ) 회사 는다음각호의어느하나에해당하는사유가있는경우 TV간편결제 이용신청을승낙하지않을수있습니다.

Transcription:

전자서명법, 전자금융거래법개정안 - 인증제도및보안기술규제의선진화, 글로벌화전략 - 2013.5.23 김기창 ( 고려대학교법학전문대학원교수 ) 1. 정부주도 보안의문제점 1 공인인증서 1-1. 권한구분 개념이없던시절에개발된낡은기술 현행공인인증서기술은윈도우운영체제가일반유저 / 관리자권한구분을하지아니하던미개한시절 ( 윈도우 2000 이전 ) 의보안상황을전제로설계됨. 유저인증서 ( 공인인증서 ) 를운영체제의시스템파일폴더에저장하는문제 윈도우비스타부터는심지어 ActiveX 도 non-admin 권한 ( 제한된권한 ) 으로설치, 실행할수있도록개선되었으나, 국내보안인력은이런사실을이해못하고여전히관리자권한을전제로공인인증서기술을구현하고있는후진적상황 1-2. Keystore, Keychain, Keyring, Credentials Storage 개념에대한몰이해 NPKI 폴더 에유저인증서와유저개인키를저장하는공인인증서기술은개인인증서사용을위하여애초에주요 OS 에구현되어있는 Keystore, Keychain, Keyring, Credentials Storage 라는기술의존재자체를몰랐거나, 이들의기능이나존재이유를제대로이해하지못한시점에개발된후진적기술이었음. 아이폰도입후에비로소 ( 아이폰에한하여 ) Keychain 사용. NPKI 폴더에저장된유저개인키는무단복제가무한정가능함. 그러나이사실을모르는컴맹이용자를상대로하여 암호입력 이나 16 자리또는 8 자리숫자의 인증코드입력 을요구함으로써, 이취약점을기만적으로가려덮으려함. 1-3. 플러그인에의존하는해법 유저행태를 위험하도록 유도 : 설치하시겠습니까? 예 1

추가적 보안플러그인 설치를거듭강요함으로써, 유저행태를더욱위험하게유도 하지만, 추가적보안플러그인은실제로는실효성이없음 : 심리적안심 을주려는보안쇼 (security theatre) 에불과함. 파일 + 고정암호 의유출을보안플러그인 설치 로막을수는없음 1-4. 서버 인증개념부존재 공인인증서는 HTTP 접속 + 플러그인 형태로구현되는것. 따라서유저가플러그인을내려받을때 ( 서버 identity 확인이가장필요한순간 ) 에는어떠한서버인증수단도없음. 공인인증서기술은오로지 유저 인증용도로개발된것이라는근본적한계가있음. KISA 와국내공인인증기관들은아직도 서버 인증서를제대로만들지못함. 오페라웹브라우저로국내공인인증기관이발급한서버인증서를장착한웹서버에접속을시도하면, 접속오류발생. ex. https://www.kisa.or.kr (7 년이지난오늘도해결못하고있음 ) 공인인증기술과는달리, 웹브라우저에기본탑재된 유저인증 HTTPS 프로토콜접속 기술은서버인증과유저인증을 동시에 수행함. 예제, https://openweb.or.kr/cert/auth 1-5. 루트인증기관에대한독립적, 전문적, 정기적검증 ( 실사 ) 결여 공인인증체계의논리적, 제도적정점에위치한루트인증기관 (KISA) 는누구로부터도검증받지아니함. 루트인증기관의신뢰성확보가전세계적으로어떻게이루어지는지이해하지못한시점에도입된인증체제가바로한국의공인인증체계임. 국제적으로고립된인증체계 국가간 상호인정협정 을거론하는법제 27 조의 2 는전세계적으로구축된루트인증기관의신뢰성확보메카니즘 ( 제 3 자검증 ) 에대한몰이해를노출할뿐. 루트인증기관이한국처럼제 3 자에의하여검증받지아니하는경우, 그를정점으로구축된인증체계를믿을이유는없음. 실제로지금까지한국은어떤나라와도상호인정협정을체결하는데성공한바없음. 2

인증제도의근본기초인 신뢰성확보메커니즘 자체에대한무지를노출할뿐. 권위주의 에입각한공인인증제도 : 아무도검증안하는 KISA 를정점으로구축된공인인증체제를무작정믿으라고국민에게강요하는정부의요구는상식을벗어난것. 2. 정부주도 보안의문제점 2 규정보안끊임없이변하는기술적디테일을 행정규칙 의형태로 정부 가제정, 운용하는것이과연적절한지? 2-1. 금융위원회고시 전자금융감독규정제 3 장은매우상세한보안기술적디테일을규정화하고있음 (ex. 손전등비치의무등 ). 2-2. 행정안전부 고시 ( 아직미래부로변경되지도않음 ) 공인인증기관의시설및장비등에관한규정은 RSA 또는 KCDSA 1024 비트이상의전자서명키생성기능 등낡은기준을그대로방치 공인인증기관의보호조치에관한규정은 시스템에대한논리적인접근통제를설정할것 등공무원이검사할역량도없는내용 3. 정부주도 보안의문제점 3 점검부실, 부재 기술적디테일을담은 규정 이과연실제로준수되는지여부를누가검사 / 검증 / 실사하는지? 규정상 으로는전자금융감독규정의준수여부는금감원이검사. 보안성심의 는일회성검사. 하지만실제로금감원직원이검사를수행할전문성이있는지? 감독규정의나머지부분은과연언제, 얼마나자주금감원이검사하는지? ( 대형사고발생하면 특별검사 를실시, 하지만과연실효성있는지?) 공인인증기관에대한정기점검은 KISA 가수행. 그러나, KISA 에대한검증은누가하나? Nobody. 미래부직원이과연 KISA 를검증할역량이있는지? 검증수행기관을미래부나금융위가평가하고판단하여 지정 할역량이있나? 3

4. 관치보안, 규정보안 의참담한결과 북한이그랬어요ㅠㅠ... 악성코드배포웹서버 비율 세계최고 개인 PC 감염비율세계정상급 면피용보안 : 우리는규정이하라는것은모두했다. 따라서면책되어야한다 는주장제기가능성만을제공할뿐. 최소 요건을행정규정화하고위반시제재규정을둘경우 : 규정된이상은하지아니하는결과로되어원래의도와는달리 최소 규정이사실상 최대 조치내용으로둔갑. 규정을충족하였다고주장하며 면책 될가능성이생기기때문에, 자발적 으로보안에투자할인센티브는감소. 이문제를극복해보겠다고 억지투자를강요 하는규정을또다시도입 ( 전자금융감독규정제 8 조, 인력, 조직및예산에관한규정 ; 위헌소지있음 ) 이러한악순환은결국소비자피해로귀결 5. 보안기술발전, 보안감사서비스산업토대마련필요 5-1. 금융보안및인증업무수행 기준 을마련하고관리할역량 민간업계 / 전문기술단체가자율적으로제정하고, 관리 ( 업데이트 ) 하는금융보안및인증업무수행기준이생겨나도록권장, 지원할필요있음. 국제적으로인정받는다음기준들은모두 전문기술단체 가자체적으로마련하고관리하는것임. 어느나라의행정조직도여기에개입하지는않음 : PCI DSS (Payment Card Industry Data Security Standards) ( 금융보안기준 ) WebTrust Program for Certification Authorities ( 인증업무수행기준 ) Public key infrastructure for financial services Practices and policy framework ( 인증업부수행에관한 ISO 기준 ) Electronic Signatures and Infrastructures (ESI) Policy requirements for certification 4

authorities (ETSI) 유럽연합통신표준기구가제정한인증업무수행기준 한국의전문기술단체도이제는그역량을개발, 향상할시점에도달했다고봄. 국제적으로인정받는이러한기준을연구, 참고하여우리도이들에버금가는기준을마련하고자체적으로관리할역량을길러나가야할것임. 전문적기술기준을 정부 나 행정규정 에일임하는태도를계속한다면, 국내의전문기술집단은영원히후진성을면할수없고, 세계수준의기술역량을기를기회는박탈될것임. 5-2. 민간전문업체가수행하는보안감사서비스시장활성화필요 위에소개한 기준 을제정하고관리하는 전문기술단체 들은, 금융회사나인증기관이그기준을과연준수하는지를점검할전문점검 ( 보안감사 ) 업체에대한품질관리도자율적으로수행하고있음. Licensed WebTrust Practitioners : International SysTrust Seal WebTrust Seal PCI Qualified Security Assessors (QSAs) 국내의 전문기술단체 들도이제는이처럼 보안감사업체의품질관리 를수행할수있는역량을자체적으로기르도록노력해나가야할때가되었다고봄. 보안점검 ( 금융보안기준이나인증업무수행기준을금융회사나인증업체가과연준수하는지여부에대한점검 ) 을정부, 행정부서가하겠다고나설경우, 민간의전문보안감사서비스업체가등장할수가없고, 활발히영업할수도없고, 민간보안감사업체의품질관리를국내의 전문기술단체 들이할역량을기를기회도원천박탈됨. 현재의공인인증체제와전자금융감독체제는금융보안이나인증서비스보안점검을 KISA/ 금감원 / 미래부가 독점 하겠다는것이지만, 다음과같은심각한문제가있음 KISA 자체는아무도검증안함 금감원 / 미래부는보안점검을수행할역량자체가없음. 5

6. 한국의공인인증제도에대한국제적평판 I am well aware of the South Korea screw up. We use it as an example of how not to do it. - Mr Andy Smith (BCS The Chartered Institute for IT) 2013.4.23. Mr Andy Smith 는영국정부의국무회의 (Cabinet Office) 가채택한아래백서의집필자임 PKI Implementation Strategy, v. 1.0 (2013.2.28) Public Key Infrastructure, v. 1.0 (2011.7.28) 7. 전자금융거래법개정안 제 21 조제 3 항을다음과같이개정 : 금융위원회는전항의기준을정함에있어서보안기술과인증기술의공정한경쟁을저해하거나, 특정기술또는서비스의사용을강제하여서는아니된다. 이를계기로, 전자금융감독규정의전면재검토역시필요함 : 감독규정은근본원칙만을제정 (BCBS 전자금융위험관리원칙참조 ) 상세한보안감사기준은업계 / 전문기술단체가제정하고, 상시관리 ( 업데이트 ) 하는것이옳음. 보안점검은전문보안감사업체 (security auditor) 가정기적으로실시하고, 보안감사보고서를공개. 보안감사업체는자신의전문성을소명하고금융위에등록하고영업 금융회사는자신이어느업체로부터보안감사를받는지를공지하고, 보안감사보고서도투명하게공개하여야함. 8. 전자서명법개정법률안 공인 제도폐지 일방적 전자서명강요중단 : 합의에기한전자서명사용 ( 한미 FTA 참조 ) 전자서명의 추정력 규정삭제 ( 법관의자유심증존중 ) 루트인증기관에대한제 3 자검증제도도입 ( 인증서비스에대한 Governance, safety assurance 6

의문제 ). 미래부는인증업무수행기준의핵심원칙과최소한의가치만을제정, 공지 구체적인인증업무수행기준자체는업계 / 전문기술단체가독자적, 자율적으로작성하고, 상시관리 ( 업데이트 ) 국제적으로인정받는인증업무수행기준은이를국내에서도존중하고반영해야함. 인증업무수행기준준수여부는전문보안감사업체가상시적 ( 정기적 ) 으로점검 ( 실사 ) 전문보안감사 ( 인증업무감사 ) 업체는자신의전문성을소명하고미래부에등록하고영업 보안감사업체들의품질관리는업계 / 전문기술단체가자율적인 License, 감사서비스품질관리제도를운영함으로써확보 국제적으로인정받는보안감사업체의전문성과신뢰성은국내에서도이를존중 9. 행정권력의사전통제 v 업계의자율규제 + 사법부에의한사후통제 정부의사전지정, 사전인가의폐해 예들들어, 정보보호사전점검에관한고시 ( 방통위고시 ) 를보면, 사전점검수행기관 ( 보안감사서비스업체 ) 를정부 ( 방통위 ) 가지정하도록규정하고있으나 ( 제 6 조 ), 이러한제도는보안감사서비스시장에대한 진입장벽 으로작용할뿐아니라, 방통위직원이전문보안감사업체의역량과전문성을실제로 평가 할역량은없음. 정부는보안감사업체의품질관리를수행하는데필요한전문성이없음. 그럼에도정부가보안감사업체를 지정 하려할경우, 민간 / 업계의역량, 기술, 전문성발달의기초가아예박탈됨. 민간자율, 진입장벽제거, 자유경쟁확보필요 업계 / 전문기술집단의 평판 에기초한사전적품질관리가이루어질것 수검기관 / 금융회사의 self interest 가작동함을이해할필요있음 : 무료 검사가아니라, 비싼돈을지불하고 유료검증 을받는금융회사등이, 허술한검증서비스를일부러묵인할이유는없음. 7

충분한, 적절한, 합리적인 등에대한판단은 ( 사후적 ) 재판절차를통하여판정. 10. 전자금융사고거래에대한책임 ( 개인고객의경우 ) 한국 : 금융회사가배상 ( 전자금융거래법제 9 조 ) 개인고객의고의, 중과실을금융회사가입증하면고객부담 미국 : 금융회사가배상 (EFTA; 15 U.S.C. 1693g(a)) 접근매체유출 / 분실을고객이 알고나서이틀내에신고하면 그사이에아무리많이사고거래가이루어졌더라도 50 달러만고객부담 신용카드번호 를공격자가알아내서거래한경우, 고객이해당거래사실을통보받은날 ( 거래명세서를배달받은날 ) 로부터 60 일내에이의제기하면, 고객부담은 0. 문제의거래내역을통지받고 60 일이지나도록고객이문제제기를안하면, 고객부담액증가. 영국 : 금융회사가배상 (Financial Conduct Authority 규정 ) Your bank may only refuse a refund for an unauthorised transaction if it can prove you are at fault because you acted fraudulently, or because you deliberately, or with gross negligence, failed to protect the details of your card, PIN or password in a way that allowed the transaction. 규제당국의올바른자세는, 금융회사들, 당신들이알아서보안기술을선택하라. 단, 사고가나면철저히물어줘야한다 는것임. 규제당국이금융회사에게특정보안기술 ( 공인인증서 ) 을사용하도록강제할거면, 사고거래책임도그기술사용을강요한금융위 / 금감원해당공무원이지는것이옳을것임. 배상책임도지지않을규제당국이금융회사의인증 / 보안기술선택에개입해서이래라저래라강요하는것은무책임하고, 위법한것임 ( 특정업계와의결탁의혹을사게됨 ). 8

전자금융감독규정제 3 장 ( 현행감독규정제 7 조 - 제 41 조 ) 의개정방향 [ 예시 ] [ 금융위원회고시 ] 제 3 장전자금융거래의안전성확보및이용자보호 제 1 절규제자의임무 제 7 조 ( 금융소비자보호 ) 금융위원회와금융감독원은전자금융서비스가기술발전을반영한합리적방법으로안전하게제공되고, 전자금융거래와관련된분쟁이신속하고정당하게해결되도록하여금융소비자가적절히보호되는데필요한감독을수행한다. 제 8 조 ( 금융회사등의책임성확보 ) 금융위원회와금융감독원은금융회사등이우월적지위를남용하거나법령이정한책임을부당하게소비자또는다른사업자에게전가하거나회피하지않도록하는데필요한감독을수행한다. 제 9 조 ( 기술및서비스의자유로운경쟁과발전 ) 금융위원회와금융감독원은전자금융거래서비스제공에사용되는거래기술, 보안기술및보안감사서비스가활발하고공정하게경쟁하고발전할수있는시장환경이손상되지않도록감독을수행한다. 제 10 조 ( 규제의투명성및형평성 ) 금융위원회와금융감독원은전자금융거래서비스와관련된정보가적절한수준에서투명하게공개되고규제의형평성이유지되도록한다. 제 2 절금융회사최고경영진의책임 제 11 조 ( 관리감독체계의확립 ) 금융회사등의이사진과최고경영진은전자금융사업에관한위험을관리하고책임소재를분명히하는데필요한관리감독체계를자체적으로확립하여야한다. 제 12 조 ( 일괄위임의금지 ) 금융회사등의이사진과최고경영진은자신의전자금융사업에적용되는보안통제절차의핵심적사항을직접검토하고승인한다. 제 13 조 ( 외주계약관계등의점검과관리 ) 금융회사등의이사진과최고경영진은자신의전자금융사업이외주계약관계등제 3 자에게의존하는부분에대하여적절히점검하고관리하는데필요한상시적체계를수립한다. 제 14 조 ( 직원의훈련및교육 ) 금융회사등의이사진과최고경영진은전자금융사업에수반되는위험을관리하는데필요한인력을충분히확보하고그들에대한상시적이고정기적인훈련및교육프로그램을마련한다. 1

제 3 절보안통제조치 제 15 조 ( 적절한인증기술의채택 ) 금융회사등은거래의성격과해당거래에수반하는위험의수준을고려하여업계의기술수준을반영한합리적인당사자인증기술을채택하여야한다. 제 16 조 ( 분쟁예방및대처 ) 금융회사등은거래내용을고객이분명히이해할수있도록유저인터페이스를설계하고, 거래의주체와거래의내역을신뢰성있는방법으로확인하고, 거래데이터가변조되지않도록하며, 변조여부를판별하는데필요한합리적조치를채택함으로써전자금융거래와관련된분쟁을예방하고, 분쟁에대처하여야한다. 제 17 조 ( 업무권한의분할 ) 금융회사등은전자금융거래시스템, 데이타베이스, 프로그램의운용에있어서각직원의임무가적절히분리, 분할되도록하는데필요한조치를취함으로써자신의전자금융업무가직원들간에상호검증될수있도록해야한다. 제 18 조 ( 접근, 출입권한의통제 ) 금융회사등은전자금융거래시스템, 데이타베이스, 프로그램에대한접근권한및출입권한통제가적절히이루어지도록함으로써각직원이자기권한을스스로변경할수없도록하며, 업무권한의분리, 분할을통한상호검증체계가우회되지않도록해야한다. 제 19 조 ( 거래기록등의보호 ) 금융회사등은전자금융거래내역, 거래기록등의정보가변경되지않고보존될수있도록하는데필요한조치를마련하여야한다. 제 20 조 ( 검사이력및증거확보 ) 금융회사등은고객의모든전자금융거래에대하여감사 / 검사이력 (audit trails) 이남도록하고, 법원에제출될수있는증거자료를평소에확보하고, 증거자료가사후에변조되지않도록하는데필요한적절한조치들을상시로취해야한다. 제 21 조 ( 고객의비밀보호 ) 금융회사등은전자금융거래내역의비밀성을유지하는데필요한적절한조치를마련하여야한다. 제 4 절법적책임및평판에관한사항 제 22 조 ( 고객에게제공되어야할정보 ) 금융회사등은고객이거래할지여부를제대로판단하는데 필요한정보 ( 명칭, 규제상황등 ) 를적절히제공하여야한다. 제 23 조 ( 개인정보보호 ) 금융회사등은고객의개인정보를법령에따라준수하여야한다. 제 24 조 ( 사업지속에필요한대비책 ) 금융회사등은전자금융서비스가상시제공될수있도록사업 규모, 사업지속및비상대책에관한사전기획절차를마련하여야한다. 2

제 25 조 ( 재난회복및사고대응책 ) 금융회사등은전자금융서비스에대한내부자의공격이나외부자의공격등불의의사태를관리하고피해를최소화하는데필요한사고대응책을적절히개발하여시행한다. 제 26 조 ( 사고보고및분쟁절차모니터링 ) 금융감독원은전자금융사고거래의내용과규모를정확히파악하고, 공평하고신속한분쟁해결을위하여다음조치를취한다 : 1. 전자금융서비스와관련된소비자의불만, 이의, 환불신청등을통합적으로접수할수있는페이지 ( 금융소비자보호페이지 ) 를금융감독원이관리하고, 각금융회사는이페이지의링크를자신의홈페이지에게시한다. 2. 금융감독원은금융소비자보호페이지를통하여접수된소비자의불만, 이의, 환불신청을해당금융회사등에이첩하고, 분쟁해결과정을모니터링한다. 3. 금융감독원은각금융회사별사고거래의내용과규모를신뢰성있는방법으로파악하여보안기술의연구개발및서비스품질향상에필요한한도에서적절한수준과방법으로공표한다. 제 5 절보안감사서비스 제 27 조 ( 정기적, 전문적, 독립적보안감사 ) 1 금융회사등은다음중하나의보안점검기준에따른보안감사를수행할전문성과독립성이있는보안감사업체와계약을체결하고보안감사를년 1 회이상받아야한다. 1. PCI DSS 등국제적으로인정받는금융거래보안기준 2. 금융감독원이공표하는별지의보안기준 ( 금융감독원데이터보안기준 ; Korea Financial Supervisory Service Data Security Standards)( 이하, FSS DSS 라함 ) 2 금융감독원은 FSS DSS 의지속적인업데이트및국제화작업, FSS DSS 기준에따른보안감사서비스제공자의자격요건및품질관리에필요한업무를지원한다. 제 28 조 ( 신규솔루션에대한제 3 자검증 ) 1 금융회사등이전자금융거래솔루션을신규로채용할경우에는독립적이고전문적인보안감사업체의검증을받고, 그검증보고서를해당서비스개시후 6 개월이내에금융감독원에제출하여야한다. 2 전항의검증보고서는해당금융회사의웹사이트에도공지하여야한다. 3

인증업무수행기준등에관한고시 [ 예시 ] [ 미래창조과학부고시 ] 제 1 조 ( 인증업무수행기준 ) 전자서명법제 4 조제 1 항및제 2 항에따른인증업무수행기준은다음각 호의하나로한다. 1. WebTrust "Principles and Criteria for Certification Authorities 2.0" 2. WebTrust "Principles and Criteria for Certification Authorities - Extended Validation Audit Criteria 1.4" 3. ISO 21188:2006 Public key infrastructure for financial services -- Practices and policy framework 4. ETSI TS 101 456 V1.4.3 5. ETSI TS 102 042 V2.3.1 6. 미래창조과학부장관은위기준들과대등하다고인정하는기준을추가할수있다 제 2 조 ( 점검업무수행자의전문성, 독립성 ) 1 전자서명법제 4 조제 1 항의인증기관은인증업무수행기준준수여부를다음요건중하나를충족하는제 3 자로부터연 1 회이상점검받아야한다. 1. 제 1 조의각인증업무수행기준을제정, 관리하는주체로부터해당기준준수여부를검사할전문성과독립성이있음을인정받은자 2. 제 1 조의인증업무수행기준준수여부를검사할전문성과독립성이있다는사실을소명하고미래창조과학부장관에게신고한자. 2 제 1 항제 2 호의점검업무수행자의전문성은다음요건을기준으로판단한다. 1. 공개키기반구조및관련기술기준등인증업무의기술적내용에대한지식이있는지여부 2. 보안감사, 보안평가, 위험분석등의작업을수행한경험이있는지여부 3. 정직성과객관성을유지할수있는지여부 3 제 1 항제 2 호의점검업무수행자의독립성은다음요건을기준으로판단한다. 1. 해당점검업무의정당한대가외에인증기관으로부터급여, 자문료기타명목여하를막론한금전을지급받는지여부 2. 만일전항의금전을지급받을경우, 그성격과액수가공시되는지여부 3. 법령이나자신이소속된직업단체의자치규약에따라, 정직하고객관적인평가를하여야할의무를부담하는자인지여부제 3 조 ( 개인정보보호법준수 ) 전자서명법제 4 조의 1 항에따른인증기관은개인정보보호법준수여부에대한변호사의검토의견을자신의웹사이트에공지하여야하며, 이검토의견은연 1 회이상갱신되어야한다. 제 4 조 ( 배상책임재원의확보 ) 전자서명법제 4 조제 1 항에따른인증기관의자산액이 10 억원미만일경우, 최소 10 억원이상의배상책임보험을가입하여야한다.

2024 © docsplayer.org 개인정보보호 | 약관 | 지원