스마트폰 금융거래 10계명 안내서 배 경 금융감독원은 국내의 스마트폰 이용 활성화를 계기로 10.1월 스마트폰 전자금융서비스 안전 대책을 수립하여 금융회사가 안전한 스마트폰 금융서비스를 제공하기 위한 기반을 마련 하였습니다. 더욱 안전한 전자금융거래를 위해서는 서비스를 제공하는 금융회사뿐만 아니라, 금융소비자 스스로도 금융정보 유출, 부정거래 등 전자금융사고 예방을 위해 노력해야 합니다. 이에 금융감독원, 금융회사 정보보호담당, 금융정보보호전문기관*의 전문가로 구성된 스마트폰 전자금융서비스 안전대책반(TFT) 에서는 금융소비자가 스마트폰 금융거래 시 실천할 수 있는 스마트폰 금융거래 10계명 을 마련하였습니다. * 금융ISAC(금융결제원, 코스콤), 금융보안연구원 1 금융회사가 안내하는 배포처를 확인하여 금융서비스 이용하기 o 금융회사가 안내하는 공식 배포처를 통해 스마트폰 금융프로그램(앱)을 설치하세요. - 스마트폰 금융프로그램을 가장한 악성 프로그램을 설치될 경우, 개인정보가 노출될 수 있습니다. - 금융회사 홈페이지, 콜센터에서 안내하는 공식 배포처를 확인하여 해당 금융회사의 스마트폰 금융프로그램을 다운받아 설치해야 합니다. - 아울러 금융회사 홈페이지는 웹브라우저의 주소창에서 직접 입력하거나 즐겨찾기에 추가 하여 접속해야 합니다. 금융회사 홈페이지에서 제공하는 스마트폰 금융프로그램(앱) < 은 행 > < 증 권 > < 카 드 > < 보 험 > (1/12)
o 블로그, 게시판 등 금융회사가 제공하지 않는 경로로 배포되는 스마트폰 금융프로그램(앱)은 설치하지 마세요. - 스마트폰 금융프로그램을 가장한 악의적인 프로그램으로 인한 피해를 방지하기 위해 다음과 같은 경로로 전달받은 프로그램은 설치하지 말아야 합니다. 메신저, 웹하드, 인터넷카페, 블로그, 게시판 등을 통해 배포되거나, 확인되지 않은 경로로 전달받은 프로그램 사용 환경이 변경된(탈옥, 루팅) 스마트폰에서 실행 가능하도록 변조된 프로그램 확인되지 않은 발송자의 문자메시지로 전달받은 설치경로(URL)를 통한 프로그램 등 < 문자메시지를 통한 비정상 프로그램(앱) 배포 > (2/12)
2 스마트폰이나 인터넷에 금융정보를 저장하지 않기 o 계좌번호, 계좌 비밀번호, 보안카드번호 등 금융정보는 스마트폰이나 인터넷(E-Mail함, 웹하드 등)에 저장하지 마세요. - 전자금융거래의 이용편의를 위해 스마트폰이나 인터넷(E-Mail함, 웹하드, 트위터 등)에 로그인 아이디 비밀번호, 계좌번호 비밀번호, 보안카드번호, 신용카드번호 등의 금융 정보를 텍스트 또는 이미지 파일형태로 보관하는 경우가 있습니다. - 그러나 이러한 금융정보는 스마트폰의 분실, 바이러스 감염 등을 통해 저장된 정보가 유출 될 수 있으므로, 스마트폰이나 인터넷에 어떠한 형태로도 금융정보를 저장하지 않아야 합니다. < 메모프로그램에 기입된 금융정보 > < 카메라로 촬영하여 저장된 보안카드 이미지 > o 자동로그인 기능은 가급적 사용하지 마세요 - 일반 홈페이지 등에서 제공하는 자동로그인 기능은 로그인에 필요한 아이디와 비밀번호를 스마트폰에 저장하여 재 입력없이 로그인하는 편리한 방법이나, - 저장되는 정보에 대한 보호대책이 없을 경우 스마트폰의 도난 분실 시 중요정보가 유출 될 수 있으므로 자동로그인 기능을 사용하지 않는 것이 좋습니다. (3/12)
3 금융거래 비밀번호를 안전하게 관리하기 o 금융거래 비밀번호는 유추하기 쉬운 번호(전화번호, 생년월일 등)나 인터넷 포털, 쇼핑몰 등의 비밀번호와 동일하게 설정하지 말고 주기적으로 변경하세요. - 금융거래 사용되는 로그인 비밀번호, 공인인증서 비밀번호, 계좌 비밀번호 등은 생년월일, 전화번호, 동일숫자( 0000 ), 연속숫자( 1234 ) 등과 같이 타인이 알기 쉬운 비밀번호로 설정 해서는 안 되며, 인터넷 포털, 쇼핑몰 등의 비밀번호와 다르게 설정해야 합니다. - 아울러 이들 비밀번호는 주기적으로 변경할 것을 권장합니다. 인터넷뱅킹에서 사용되는 주요 비밀번호 구 분 생성시기 이용시기 변경방법 사용자(로그인) 비밀번호 온라인서비스 신청 시 조회 온라인 계좌 비밀번호 통장 신규 시 조회, 이체 영업점 방문 공인인증서 암호 인증서 발급 시 조회, 이체 온라인 o 비밀번호를 입력하거나 금융거래를 하는 경우 주변을 살펴 타인에게 노출되지 않도록 주의하세요. - 지하철, 버스 안 등 공공장소에서 금융거래 시 공인인증서 비밀번호, 계좌 비밀번호 등 비밀번호를 입력하거나 금융거래를 하는 경우 주변을 살펴 타인에게 노출되지 않도록 주의해야 합니다. (4/12)
4 스마트폰 분실 도난 시 스마트폰 금융서비스 사용 중지하기 o 스마트폰을 분실하거나 도난을 당한 경우 새로운 공인인증서로 재발급 받으세요. - 스마트폰을 분실하거나 도난을 당한 경우에는 스마트폰에 저장된 공인인증서 및 모바일 카드가 악용될 수 있습니다. - 따라서 스마트폰 금융프로그램이 설치된 스마트폰을 분실하거나 도난당한 경우에는 공인인증서를 발급받은 금융회사 홈페이지(인증센터)를 통해 새로운 공인인증서를 재발급* 해야 합니다. * 공인인증서를 재발급할 경우, 신규 공인인증서의 비밀번호는 이전에 사용했던 공인인증서 비밀 번호 및 계좌 비밀번호와는 다르게 설정해야 하며, 생일, 전화번호, 동일숫자( 0000 ), 연속숫자 ( 1234 ) 등과 같아 타인이 알기 쉬운 번호로 사용해서는 안 됩니다. < 공인인증서 재발급 화면 > o 스마트폰에 모바일 신용카드가 발급되어 있는 경우 카드사에 연락하여 사용중지를 요청하세요. - 분실하거나 도난을 당한 스마트폰에 모바일 신용카드가 발급되어 있을 경우, 즉시 발급한 카드사에 전화(또는 서면)로 신고하여 모바일 신용카드의 사용중지(또는 사용해지)를 요청해야 합니다. - 모바일 신용카드 이용고객이 사고 신고를 한 경우 신고 접수일로부터 60일전 이후에 발생한 제3자의 부정사용 금액에 대해서는 이용고객에게 과실이 있는 경우를 제외하고 카드사로부터 보상을 받을 수 있습니다. (5/12)
5 스마트폰 교체 수리 전 중요정보 삭제하기 o 스마트폰을 교체하거나 수리하기 전에 공인인증서와 스마트폰 금융프로그램(앱)을 삭제하세요. - 스마트폰에 설치된 공인인증서와 스마트폰 금융프로그램은 암호 등에 의해 보호되고 있습니다. - 그러나 잠재적인 보안사고를 예방하기 위해서는 스마트폰을 교체하여 타인에게 양도 하거나 수리를 위해 맡기기 전에 공인인증서와 스마트폰 금융프로그램을 삭제해야 합니다. < 스마트폰 공인인증서 삭제 > < 스마트폰 금융프로그램 삭제 > 스마트폰에 저장된 공인인증서를 삭제하더라도 금융회사에서 PC를 통해 발급받았던 공인 인증서는 폐지되지 않기 때문에 다시 스마트폰 금융거래를 이용할 경우 PC나 USB에 저장된 공인인증서를 스마트폰으로 재전송하여 사용가능합니다. o 스마트폰에 모바일 신용카드가 발급되어 있는 경우 카드사에 연락하여 사용중지를 요청하세요. - 스마트폰에 모바일 신용카드가 발급되어 있을 경우에는 발급한 카드사에 연락하여 모바일 신용카드의 사용중지(또는 사용해지)를 요청해야 합니다. (6/12)
6 휴대폰 문자서비스(SMS), 일회용비밀번호(OTP) 이용하기 o 보다 안전한 스마트폰 금융거래를 위하여 휴대폰 문자서비스(SMS), 일회용 비밀번호 (OTP) 발생기 등 금융보안서비스를 이용하세요. - 보안카드 대신 OTP 발생기를 이용하고, 공인인증서 재발급 및 계좌이체 등 이용내역을 알려주는 휴대폰 문자서비스(SMS) 등과 같은 금융보안서비스를 이용하면 더욱 안전한 스마트폰 금융거래가 가능합니다. - 금융보안서비스 예 휴대폰 문자서비스(SMS)* : 공인인증서 재발급, 계좌이체 등 고객의 이용내역을 사전에 등록한 휴대폰 전화번호로 통보하는 서비스 * 고객의 휴대전화번호가 변경되었을 경우 금융회사에 연락하여 변경필요 공인인증서 중요거래 휴대폰 사전인증서비스 : 공인인증서 발급 재발급 시 공인인증서를 제3자가 부정발급 받지 못하도록 휴대폰으로 인증번호 전송 후, 인증번호 일치 시에 처리하는 서비스 < 공인인증서 중요거래 휴대폰 사전인증서비스 > 일회용비밀번호 발생기 : 고정된 비밀번호 대신 일정주기로 단 한번만 사용가능한 비밀번호 (One Time Password)를 생성해주는 기기 < 일회용비밀번호(OTP) 발생기 > - 이외에도 금융회사별로 다양한 보안서비스를 개발하여 제공하고 있으므로 각 금융회사에 확인하여 이용하시기 바랍니다. (7/12)
7 스마트폰 사용환경을 임의로 변경하지 않기 o 스마트폰 보안에 영향을 주는 구조변경( 탈옥, 루팅 등)을 하지 마세요. - 스마트폰의 사용자화면 변경, 성능향상, 비공식 운영체제 설치 등을 위해 아이폰의 탈옥 (jailbreak), 안드로이드의 루팅(rooting) 등과 같이 제조사에서 제공하는 순정상태의 사용 환경을 인위적으로 변경할 수 있는 방법들이 배포되고 있습니다. - 그러나, 스마트폰의 사용환경을 인위적으로 변경할 경우 보안수준이 변경되거나 해제 되어 문제가 발생할 수 있으므로 순정상태로 사용해야 합니다. < 아이폰의 탈옥(Jailbreak) > < 안드로이드의 루팅(Rooting) > (8/12)
8 스마트폰 보안업데이트를 정기적으로 수행하고 바이러스 검사하기 o 스마트폰 운영체제 와 백신, 스마트폰 금융프로그램(앱) 을 최신버전으로 업데이트 하세요. - 스마트폰 제조사에서 제공하는 운영체제의 최신버전을 통해 기존에 확인된 보안취약점에 대한 조치가 가능하므로 최신버전 제공여부를 확인하여 업데이트해야 합니다. < 최신 운영체제 업데이트 > - 백신프로그램은 최신버전으로 업데이트해야만 새로운 바이러스를 치료할 수 있고, 금융 회사에서 제공하는 금융프로그램도 기능개선 등을 위한 최신버전을 제공하므로 업데이트 해야 합니다. < 백신프로그램 업데이트 > < 스마트폰 금융프로그램 업그레이드 > o 스마트폰 백신프로그램을 이용하여 수시로 바이러스 검사하세요. - 바이러스 등 악성프로그램으로 인한 피해를 줄이기 위해서는 스마트폰을 이용하여 웹하드 등 홈페이지에 접속하거나 인터넷이나 PC로부터 프로그램 및 파일을 다운로드한 경우, 백신프로그램으로 바이러스 검사를 해야 합니다. < 바이러스 감염여부 검사 > (9/12)
9 스마트폰 잠금기능 을 설정하고 잠금비밀번호 는 수시로 변경하기 o 스마트폰에서 제공하는 잠금기능 을 설정하고 잠금기능에 사용한 비밀번호 는 수시로 변경하세요. - 스마트폰을 분실하거나 도난당한 경우, 스마트폰에 저장된 개인정보 등이 유출되어 도용 될 수 있으므로 비밀번호나 패턴잠금 등을 통한 잠금기능을 설정하여 정보 유출을 방지 할 수 있습니다. - 아울러 잠금기능 비밀번호나 패턴은 금융거래 비밀번호와 다르게 설정하고 지나치게 짧거나 생일, 전화전호, 동일숫자( 0000 ), 연속숫자( 1234 ) 등과 같이 타인이 알기 쉬운 번호를 사용해서는 안 되며 수시로 변경해야 합니다. < 아이폰의 암호 잠금 > < 안드로이드의 패턴 잠금 > (10/12)
10 출처가 불분명하거나 보안설정 없는 무선랜(Wi-Fi)사용 시 주의하기 o 개인정보 등을 요구하는 민감한 서비스를 이용할 경우 출처가 불분명하거나 보안설정 없는 무선랜(Wi-Fi)은 사용하지 말고 이동통신망(3G 등)을 이용하세요. - 최근 무선랜(Wi-Fi)의 확산으로 커피숍, 백화점 등의 공개된 장소에서 무료 또는 저렴한 비용으로 무선인터넷 사용이 가능하지만, 암호설정 없는 무선랜이나, 악의적인 목적 으로 설치된 무선랜을 이용하는 경우 개인정보가 노출될 수 있습니다 - 금융회사가 제공하는 전자금융서비스는 이용자의 스마트폰에서 금융회사 서버까지 암호화하여 정보도청에 대응하는 한편, 일회용비밀번호(OTP) 발생기, 휴대폰 문자통보 서비스(SMS), 피싱* 방지서비스 등 다양한 보안수단을 제공하고 있습니다. * 피싱(Phishing) : 프라이버시(Privacy)와 낚시(Fishing)의 합성어로서, 이메일, 인터넷, 휴대폰, 메신저 등을 이용 하여 기관 홈페이지나 인물로 사칭하여 개인정보를 불법적으로 획득하는 행위 - 일반 이용자가 현재 접속 중인 무선랜(Wi-Fi)이 안전한지를 확인하기가 어렵기 때문에 로그인이 필요한 서비스, 개인정보 등을 요구하는 민감한 서비스를 이용하는 경우에는 이동통신망(3G 등)으로 이용할 것을 권장합니다. < 아이폰의 무선랜 끄기 > < 안드로이드의 무선랜 끄기 > 이동통신망(3G 등)을 이용할 경우 데이터통화료가 발생할 수 있으므로 전용요금제를 이용 하거나 민감한 정보를 요구하는 서비스를 이용할 경우에 한정하여 사용 (11/12)
o 블루투스나 무선랜(Wi-Fi)은 평상시에는 꺼두고 필요할 때만 사용하세요. - 바이러스 등 악성프로그램의 감염 가능성을 줄여 주고 불필요한 배터리의 소모를 막을수 있기 때문에 평상시에는 꺼두고 필요할 때만 사용하는 것을 권장합니다. < 아이폰의 블루투스 끄기 > < 안드로이드의 블루투스 끄기 > - 블루투스, 무선랜(Wi-Fi)기능을 공공장소에서 사용할 경우 악의적인 무선단말 및 무선공유기 접속을 통해 개인정보가 유출될 수 있으므로 사용에 유의해야 합니다. 참고문헌 o 인터넷뱅킹 이용고객 유의사항 (금융감독원, 09.6월) o 스마트폰 전자금융서비스 안전대책 (금융감독원, 10.1월) o 스마트폰 이용자 10대 안전수칙 (방송통신위원회, 10.2월) (12/12)