Fiscon 2014최근 금융보안 관련 법적분쟁과 금융회사의...

2014. 9.

구태언 대표변호사테크앤로 법률사무소[email protected]

제8회 금융정보보호 컨퍼런스

강사 소개

구 태 언 변호사

제34회사법시험합격, 사법연수원제24기수료

서울중앙지방검찰청첨단범죄수사부검사

김앤장법률사무소변호사 (정보보호·부정조사팀장)

안전행정부·방송통신위원회·개인정보보호위원회·미래창조과학부·대검찰청디지털수사·특허정보원영업비밀보호센터등 자문변호사

금융보안연구원금융보안거버넌스자문위원회위원(2014-)

금융감독원금융감독자문위원회(금융IT분과) 위원(2014-)

2013 개인정보보호대상수상, 2012 정보보호대상수상

테크앤로 법률사무소 대표변호사

Santa Clara University Law School (Visiting Scholar)

고려대학교법과대학 (법학사),고려대학교정보보호대학원 (공학석사)



최근 금융보안 사고의 4대유형

4대금융보안사고

1 2

3 4

전자금융거래법상 명의도용 전자금융거래법상 전산망 침해

개인정보보호법령상 개인신용정보 유출 개인정보보호법령상 개인신용정보의 오남용

► 전자금융거래법 제9조 위반

► 접근매체의 위조, 변조 및 도용으로 발생한 사고

► 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서

발생한 금전적 사고(단, 금융회사의 부주의에 의하여 발생한

사고)

► 전자금융감독규정제3장(전자금융거래의안전성확보및이용자

보호) 제4절(정보기술부문)위반

► 해킹등으로인하여고객정보가유출된경우

► 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고,

정보주체의 개인정보에 대하여 개인정보처리자가 통제를

상실하거나 또는 권한 없는 자의 접근을 허용한 것

► 표준 개인정보 보호지침 제26조 각호

► 내부∙수탁사∙대리점 직원들에 의한 개인정보의 오남용

► 한 두건씩 정상적인 업무의 일환으로 개인정보를 조회하는

것처럼 꾸며 개인정보를 유출

► 법적합성 관점에서 최초 수집시의 목적, 보유 및 이용기간을

벗어난 개인정보의 처리

최근 새롭게 부각되는 금융보안 영역

전통적 금융보안 영역


점점 늘어나는 개인정보 유출 사고

2013. 3.

2013. 4.

2013. 5.

2013. 11.

2014. 1.

2014. 3.

3.20 전산대란

방송국, 은행 전산망 마비

정보유출규모 확인 불가

캐피탈 고객 대출정보 유출

고객 34,000여명의

신용정보, 개인정보 유출

손해보험사 고객정보 유출

H손보 고객 15만 명

M화재 고객 16만 명

시중은행 고객 대출정보 유출

A은행 103,000건

B은행 34,000건

카드3사 고객(신용)정보 유출

총 1억 400만 건

집단소송 중

이동통신사 고객정보 유출

1,200만 건 유출 후

텔레마케팅 업체에 판매

24

43

34


개인정보보호법령상 개인신용정보 유출

신용카드3사 개인정보 유출 사례


접근매체 위변조 등에 의한 금전사고

앱카드 명의 도용 사고

• 안드로이드폰 이용카드 고객에게서 스미싱을 통해 개인정보와 인증

서 정보를 빼내고 이를 아이폰용으로 개발된 앱카드 앱에서 구현된

본인 인증의 허점을 이용

• 아이폰에서 앱카드를 도용하여 발급받아 게임사이트에서 게임머니

결제를 통해 현금화



전자금융거래법상 명의도용 민사 책임

금융회사 또는 전자금융업자의 손해배상책임 근거 조항

제9조(금융회사 또는 전자금융업자의 책임)

① 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 사고로 인하여 이용자에게 손

해가 발생한 경우에는 그 손해를 배상할 책임을 진다.

1. 접근매체의위조나 변조로 발생한 사고

2. 계약체결또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고

3. 전자금융거래를 위한 전자적 장치 또는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」

제2조제1항제1호에 따른 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한

접근매체의이용으로 발생한 사고

• 제9조 제1항 제3호 전자금융거래를 위한 전자적 장치 또는 정보통신망에 침입하여 거짓이나 그

밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고(개인정보유출, 피싱, 파밍, 공인

인증서 도용, 메모리 해킹 등)가 추가되어 금융기관의책임범위가확대되었음

1


금융회사 또는 전자금융업자의 면책 또는 감경 조항

제9조(금융회사 또는 전자금융업자의 책임)

② 제1항의 규정에 불구하고 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 경우

에는 그 책임의전부 또는 일부를 이용자가부담하게 할 수 있다.

1. 사고 발생에 있어서 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이

용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결한 경우 (중략)

③ 제2항 제1호의 규정에 따른 이용자의 고의나 중대한 과실은 대통령령이 정하는 범위 안에서 전자금

융거래에 관한 약관(이하 "약관"이라한다)에기재된 것에 한한다.

• 전자금융거래법은 이용자의 고의나 중대한 과실이 있으면 금융회사의 책임을 감면하는 규정을

두고, 이용자의 고의나 중대한 과실의 범위를 하위의 대통령령이 정하는 형식을 취함

전자금융거래법상 명의도용 민사 책임 1


금융회사 또는 전자금융업자의 면책 또는 감경 조항

시행령 제8조(고의나 중대한 과실의 범위) 법 제9조제3항에 따른 고의나 중대한 과실의 범위는 다음

각 호와 같다.

1. 이용자가 접근매체를 제3자에게 대여하거나 그 사용을 위임한 경우 또는 양도나 담보의 목적으로

제공한 경우

2. 제3자가 권한 없이 이용자의 접근매체를 이용하여 전자금융거래를 할 수 있음을 알았거나 쉽게 알

수 있었음에도불구하고 접근매체를 누설하거나노출 또는 방치한 경우

3. 금융회사 또는 전자금융업자가 법 제6조제1항에 따른 확인 외에 보안강화를 위하여 전자금융거래

시 요구하는 추가적인 보안조치를 이용자가 정당한 사유 없이 거부하여 법 제9조제1항제3호에 따

른 사고가 발생한 경우

4. 이용자가 제3호에 따른 추가적인 보안조치에 사용되는 매체·수단 또는 정보에 대하여 다음 각 목

의 어느 하나에 해당하는 행위를 하여 법 제9조제1항제3호에따른 사고가 발생한 경우

가. 누설·노출 또는 방치한 행위

나. 제3자에게대여하거나 그 사용을 위임한 행위 또는 양도나 담보의 목적으로 제공한 행위

• 제3호, 제4호를신설하여 금융회사 또는 전자금융업자의면책 또는 감경 범위를 넓힘

전자금융거래법상 명의도용 민사 책임 1


금융회사 또는 전자금융업자의 행정책임

금융회사의 부주의에 의하여 발생한 사고

• 금융회사의 부주의로 발생한 접근매체 위조, 변조 및 도용으로 발생한 사고, 해킹에 의한 고객정보

유출 등이 발생하였을때기관주의 및 임직원에 대한 주의적 경고 이상의 제재를 받을 수 있음

금융기관검사및제재에관한규정시행세칙 제46조(임직원 등에 대한 제재기준)

② 금융실명법을 위반한 행위 등 특정 위법․부당행위에 대한 제재는 별표 3의 금융업종별․위반유형별

제재양정기준에 의한다. 다만, 제1항 등 여타 제재기준을 참작하여 제재를 가중하거나 감경하는 등 제재수준을 정

할 수 있다. <개정 2010.1.5, 2010.8.31 2014.7.23.>

[별표3] 1-4. IT관련 법규 위반행위 1. 제재대상 <개정 2014.7.23.>

◦ 「전자금융거래법」,「전자금융감독규정」 및 동 규정 시행세칙을위반한 행위

가. IT사고중 다음 유형에 해당하는 사고가발생한 경우

• 유형 2 : (접근매체 위변조 등에 의한 금전사고: 「전자금융거래법」 제9조 위반) (단, 금융회사의 부주의에 의하여 발

생한사고에한함)

• 유형 4 : (해킹에의한고객정보유출: 「전자금융감독규정」 제4절위반)

21


금융회사 및 전자금융업자의 사고보고의무

전자금융감독규정 제73조의 중대한 사고

전자금융거래법 제39조(감독 및 검사)

② 금융감독원장(「금융위원회의 설치 등에 관한 법률」 제29조제1항의 규정에 따른 "금융감독원장"을

말한다. 이하 같다)은 제1항의 규정에 따른 감독을 위하여 필요한 때에는 금융회사 또는 전자금융업자

로 하여금 그 업무 및 재무상태에 관한 보고를 하게 할 수 있다.

전자금융감독규정 제73조(정보기술부문 및 전자금융 사고보고)

① 금융회사 및 전자금융업자는 다음 각 호와 관련된 중대한 사고가 발생한 경우에는 지체 없이 금융위

원회 및 금융감독원장에게보고하여야한다.

3. 전자적 침해행위로 인해 정보처리시스템에 사고가 발생하거나 이로인해 이용자가 금전적 피해를 입

었다고 금융회사 또는 전자금융업자에게통지한 경우 <개정 2013.12.3>

4. 법 제9조제1항의규정에서 정하는 사고

전자금융감독규정시행세칙 제12조(정보기술부문 사고보고)

① 금융회사 및 전자금융업자는 규정 제73조에 따른 정보기술부문 및 전자금융 사고가 발생한 경우 별

지 제2호서식에따라 즉시 보고하여야한다. <개정 2014.3.31>

21


개인정보보호법령상 개인(신용)정보 유출책임 3

• 개인정보취급자에 의한 해킹(본사 직원 및 수탁업체 직원 여부 불문)

- 기업은 사용자 책임 및 형사책임 발생

- 민사책임 : 입증책임의 전환으로 기업이 승소하기 곤란

- 형사책임 : 기술적/관리적 보호조치 위반으로 형사처벌 가능성이 높음

• 개인정보취급자가 아닌 자에 의한 해킹

- 민사책임 : 사용자 책임이 인정될 가능성이 아주 높음

- 형사책임 : 기술적/관리적 보호조치 위반으로 평가받을 가능성이 아주 높음

내부자에 의한해킹

민사 책임

• 사용자 책임 – 본사 직원 및 수탁업체 직원 포함(정통망법 25조 5항)

• 입증책임의 전환(정통망법 32조) – 기업이 고의/과실이 없음을 입증해야

• 제공받은 제3자에 의한 침해

- 본사가 적정하게 개인정보를 제공하였는지가 책임 발생의 관건

형사 책임

• 고의에 의한 행위자는 행위책임으로서 본인이 형사처벌을 받게 됨

• 입건 대상자는 기업의 개인정보 담당 임직원(개인정보관리책임자에 국한되지 않음)

• 기술적/관리적 보호조치 위반에 의한 침해로 평가될 경우 “부작위”가 처벌되는 결과

기업의 책임


개인정보보호법령상 개인(신용)정보 오남용 책임 4

본사 직원에 의한 침해

• 수집, 이용, 제공, 파기, 보존 단계별 관련 법규 위반시

수탁업체에 의한 침해

• 본사를 위해 개인정보를 처리하는 과정에서 관련 법규 위반시

업무처리과정에서

개인정보 침해

민사 책임

• 사용자 책임 – 본사 직원 및 수탁업체 직원 포함(정통망법 25조 5항)

• 입증책임의 전환(정통망법 32조) – 기업이 고의/과실이 없음을 입증해야

• 제공받은 제3자에 의한 침해

- 본사가 적정하게 개인정보를 제공하였는지가 책임 발생의 관건

형사 책임

• 고의에 의한 행위자는 행위책임으로서 본인이 형사처벌을 받게 됨

• 법률의 부지는 정당한 변명이 되지 않음

• 입건 대상자는 기업의 개인정보 담당 임직원(개인정보관리책임자에 국한되지 않음)

• 기술적/관리적 보호조치 위반에 의한 침해로 평가될 경우 “부작위”가 처벌되는 결과

기업의 책임


수탁자의 정보유출∙오남용 시 위탁자의 법적 책임

민사책임

• 직원(수탁자포함)의개인정보침해시 위탁자의 사용자책임 발생(민법상부진정 연대책임)

• 입증책임의전환(개인정보보호법제39조,정보통신망법 32조) – 회사가 고의∙과실이없음을 입증해야

• 집단소송에 따른 거액의 손해배상책임 부담(한국소비자원의 집단분쟁 조정절차 개시, 개인정보분쟁조정위원회의

조정절차개시등)

• 회사는 민법 제756조제3항 또는 계약을 근거로 수탁자에게 구상 청구 가능

• 국가를 피고로 하여 국가배상을구하는 경우도 발생(감독부실책임)

43

형사책임

• 수탁자의 암호화 의무 등 보호조치 고시 위반 등 일정한경우 형사책임의발생

• 양벌규정으로인한 수탁자의형사책임발생 및 벌금의 부과

• 사안에 따라 위탁자도 부작위에 의한 공범 또는 방조범으로형사처벌 가능성


수탁자의 정보유출∙오남용 시 위탁자의 법적 책임

행정책임

기관에 대한 조치(카드 3사의 경우)

• 업무일부정지 3개월

- 「여신전문금융업법」 상 신용카드회원등 이용자정보의 대량유출

- 정지업무: 신용카드 업무 및 부대업무의 일부 정지

- 정지기간: 2014. 2. 17. ~ 2014. 5. 16.(3개월)

• 과태료 600만원 부과

- 「신용정보의 이용 및 보호에 관한 법률」상 과태료 부과대상인 신용정보전산시스템에 대한 안전보호대책 수립 및

운용소홀

임직원에 대한 조치

• 임원에 대한 제재 관련규정:여신전문금융업법 제53조, 금융기관검사및제재에관한규정 제18조

- 감독원장은 금융기관의 임원이 제재사유가 있는 경우에는 해임권고 및 업무집행 정지에 해당하는 조치를 취할 것을 금융위에

건의하여야 하며, 문책경고, 주의적 경고, 주의에 해당하는 조치를 취할 수 있음(규정 제18조)

• 직원에 대한 제재 관련규정: 금융기관검사및제재에 관한규정 제19조, 동규정 시행세칙 제45조

- 감독원장은 검사결과 금융기관의 직원이 제재사유에 해당되는 위법∙부당행위를 한 사실을 적출한 경우에는 당해 기관의

장에게 이를 통보하여 조치대상자 및 수준을 적의결정하여 조치하도록 의뢰(이하 ‘조치의뢰사항’)할 수 있음(시행세칙

제45조 제2항)

43


앱카드 명의 도용사고 시 법적 책임

신용카드 부정사용시 법적 책임(민사책임)

• 신용카드업자는 부정한 방법으로 얻은 신용카드의 정보를 이용한 신용카드의 사용에 대한

민사책임을부담

- 전자금융거래를 위한 전자적 장치에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의

이용으로 발생한 사고(개인정보유출, 피싱, 파밍, 공인인증서 도용, 메모리 해킹 등)로 이용자에게

발생한손해에대해책임을부담

- ‘신용카드회원등의 고의 또는 중대한 과실을 증명’하여야 그 책임의 전부 또는 일부를 신용카드회원이

지도록할 수 있으므로사실상신용카드회사가모든 책임을부담

- 결제대행업체(PG社)는 신용카드가맹점에 해당하고, ‘신용카드 가맹점의 고의 또는 중대한 과실을

증명”하여야 그 손실의 전부 또는 일부를 신용카드가맹점이 부담하도록 할 수 있으므로 사실상

신용카드회사가모든 책임을부담

출처: ‘최근 지급카드 이용현황 및 주요과제’, 한국은행, 2014. 8.

1



신용카드 부정사용시 법적 책임(형사책임)

• 개인정보의수탁자인 PG사에대한 관리감독의무

• 수탁자의 암호화 의무 등 보호조치 고시 위반 등 일정한경우 형사책임의발생

• 양벌규정으로인한 수탁자의형사책임발생 및 벌금의 부과

• 사안에 따라 위탁자도 부작위에 의한 공범 또는 방조범으로형사처벌 가능성

- 수탁자로 게재될 결제대행업체(PG社)가 개인(신용)정보보호 등 안전성확보조치를 소홀히 하였다는

사정을 알면서도 이에 대한 관리∙감독의무를 해태한 경우 또는 특정 범죄행위와 관련하여 공동정범 내지

방조범의지위가인정되는경우예외적으로형사책임(공범)이인정될수 있음

- 최근 PG사에 대한 IT부문 검사에서 나이스정보통신㈜, ㈜모빌리언스, 케이아이비넷㈜이 가맹점 관리

시스템 보안대책, 전산자료 유출방지 대책, 프로그램 변경통제 절차, 네트워크 접근통제 방법 불합리

등을이유로개선권고를받은바 있음

1



신용카드 부정사용시 법적 책임(행정책임)

• 신용카드업자는 금융회사의 부주의로 발생한 접근매체 위조, 변조 및 도용으로 발생한 사고 등에

대해 기관주의및 임직원에대한 주의적 경고 이상의 제재부담

- 「금융기관검사및제재에관한규정」제17조, 제18조 및 같은 규정 시행세칙 제46조 제2항

[별표3] 1-4. IT 관련 법규 위반행위 중 유형 2.의 금융회사의 부주의로 발생한 접근매체

위조, 변조 및 도용으로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나

처리과정에서 발생한 금전적 사고 등이 발생한 경우 사고 금액에 따라 기관주의 및

임직원에 대항 주의적 경고 이상의 제재를 받을 수 있음

1



신용카드 부정사용시 법적 책임(행정책임)

• 신용카드업자는 가맹점 관리에 관한 의무를 위반한 경우 과징금 5천만원 또는 업무정지 3개월의

제재를 받을 수 있음

- 여신전문금융업법 제24조 제7호, 같은 법 감독규정 제24조의6 제3항에 따른 가맹점

관리에 관한 의무를 위반한 경우, 같은 법 57조 제1항 제3호, 시행령 제21조 제1항

[별표2]에따라 과징금 5천만 원 또는 업무정지 3개월의제재를 받을 수 있음

- 다만, 부정거래 유형에 따라 신용카드사의 고의 또는 과실 즉, 책임있는 사고에 대하여만

책임을 부담하게 됨

여신전문금융업감독규정 제24조의6(가맹점 관리사항)

③법 제24조제7호에 따라 신용카드업자는 「신용정보의 이용 및 보호에 관한 법률」 제20조제1항에서 정하는 내부관리규정을

마련하고 신용카드가맹점으로 하여금 신용카드등의 거래에 의해 얻은 신용카드회원등의 제반 정보에 대한 제3자의 불법 접근 또는

제3자에게유출되는등의위험에대해처분∙소거또는폐기등기술적∙물리적보안대책을수립하도록하여야한다.

1


법정손해배상제도의 도입

법정손해배상의 청구 조항 신설(정보통신망법)

에서 청구 가능 : 손해액 입증 부담 경감(구체적인 금액은 법원이 결정). 징벌적 손해배상제도는

도입유보

: 고의 또는과실이없었음을입증하여야함

- 위법성, 인과관계는여전히요구

① 평소 기술적∙관리적 보호조치에 관한 이행 내

역 등 증적관리필수,② 신뢰도제고를위해 외부전문가에의한 검증필요,③ 수탁자리스크관리필요

정보통신망법 제32조의2(법정손해배상의 청구)

이용자는 다음 각 호의 모두에 해당하는 경우에는 대통령령으로 정하는 기간 내에 정보통신서비스 제공자등에게 제32

조에 따른 손해배상을 청구하는 대신 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있

다. 이 경우해당 정보통신서비스제공자등은고의 또는과실이없음을입증하지아니하면책임을면할수 없다.

1. 정보통신서비스제공자등이고의또는과실로이 장의규정을위반한경우

2. 개인정보가분실·도난·누출된경우

① 법원은 제1항에 따른 청구가 있는 경우에 변론전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상

당한손해액을인정할수 있다.

43



비금융회사의 금융결제 시장 진출

비금융회사에 의한 전자지급결제서비스 성장

• 전자지급결제서비스중 비금융회사의서비스 비중은 건수 대비 62%,금액대비 0.5%차지

- 금융위는 2014. 7. 28. “전자상거래 결제 간편화 방안”을 통해 해외의 Paypal,

Alipay등과같은 간편한 ‘신결제서비스’를 도입할 수 있도록 여건을 마련하도록 함

- 카카오페이와같은 비금융회사의금융시장 진입이 확대되는 추세

출처: ‘금융IT감독∙검사 방향 및 주요 현안사항’, 금융감독원, 2014. 7.


전자금융거래시 명의 도용사고 급증 예상

최근 신용카드 도용사고의 급증

• 2013년카드 부정사용은 5만6000여건,부정사용액도 291억원(2010년대비 1.7배증가)

- 카드위변조(2만1000건, 2010년대비 96%증가)

- 카드정보도용(2만건, 2010년대비 276%증가)

• 과거는 타인의 개인정보를 도용해 실물신용카드를발급받아 결제하거나현금을 인출하였음

- 현재는 타인의 개인정보를도용해 앱카드(앱형모바일카드)를발급받아 부정사용을함

- 문자메시지에 있는 인터넷 주소를 클릭하면 악성코드가 설치되어 개인∙금융정보가

빠져나감(스마트폰스미싱 방식)

- 빼낸 개인정보를이용하여 다른 스마트폰에앱카드를 개설하고 이를 결제에 사용

전자상거래 결제 간편화 방안(2014. 7. 28.)

• 전자상거래 결제 간편화 방안의 후속조치로 다양한 결제방법(PG사가 카드정보를 저장하는 방식 등)이 도입될 예정

• 간편결제방식은금융회사와전자금융업자의새로운 RISK이자개선과제로대두

출처: ‘최근 지급카드 이용현황 및 주요과제’, 한국은행, 2014. 8.



점점 더 강화되고 있는 규제환경

신용카드 사태 이후 국회 차원 관여, 주무부처별 규제 강화 경쟁


점점 더 강화되고 있는 규제환경

최근 개정된 관련 법령의 주요 내용

법 명 개정일 주요내용 시행일

개인정보보호법

’13.8.6.

① 주민등록번호 처리 원칙적 금지

② 주민등록번호가 분실 등 발생시 5억원 이하의 과징금

③ 안행부장관, 대표자, 책임 있는 임원 징계 권고

’14.8.7.(6개월간계도기간)

’14.3.24.• 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손되지 아니하도록

암호화 조치

’16.1.1.

정보통신망법 ’14.5.2.

① 개인정보 유출기업 처벌 강화

② 개인정보 관련 법정 손해배상제도 도입

③ 개인정보 누출 시 신고, 통지 강화

④ 개인정보 사전 유출 방지 및 파기 조치 강화

⑤ 영리 목적의 광고성 정보 전송 제한

’14.11.29.


전사적 대응체계 구축

법적 분쟁 준비 체계 수립 시 고려사항

법령을 철저히 준수하고 이를 다하였다는 점을 잘 입증하는 것이 법률적 대응

법 위반 사실에 대해서는 인정하나, 법 준수를 위한

충분한 노력을 입증할 경우에는 법적 책임을 감경받을

수 있음

(참고) 개인정보보호법제39조(손해배상책임)

②개인정보처리자가이 법에따른의무를준수하고, 상당한주의와감독을

게을리하지아니한경우에는개인정보의분실·도난·유출·변조또는

훼손으로인한손해배상책임을감경받을수 있음

개인정보처리자 등은 위법행위를 사전에 막기

위해 법령·내규에서 정한 의무를 다하여야 함

(참고) 개인정보보호법제29조(안전조치의무)

개인정보처리자는개인정보가분실·도난·유출·변조또는훼손되지

아니하도록내부관리계획수립, 접속기록보관등 대통령령으로

정하는바에따라안전성확보에필요한기술적·관리적및 물리적

조치를하여야한다.

선관주의의무 적극적 항변

법적분쟁 준비 체계 수립& 운영

• 보안사고발생으로인한법적소송대응시, 정보보호관련

법·제도에서요구하는선관주의의무에따른감독책임을

충분히하였음을적극적으로항변할수있도록상시적인

법적분쟁준비체계를수립및운영할필요

• 사고발생전관리감독정책&프로그램을준비

• 구축된프로그램은사고를적절히방지할수 있어야함

• 계열사의규모와정서를고려하여각종교육등으로공식화

• 관리감독수준은관련업계의기준을충족또는능가하여야함

• 지속적으로충실하게집행, 업데이트되어야함


사전 컴플라이언스

이행 확보 관점의 관리체계 구축

교육실시, 접근통제 등 관련 법규정 준수를 입증할 증적 상시 확보 체계 구축



법령 준수 관점의 정보보호 관리체계 구축

법령의 요구사항이 일선 조직에 분담되도록 정책∙지침 정비



준법 여부 확인을 내부 감사와 외부 감사의 병행

내부 자율 감사와 외부 전문가에 의한 감사를 병행하는 이중 이행감사 체계 구축

외부감사내부감사

Risk

►업무처리 과정상 부지불식 중에 존재하는 불법적 실무관행 진단 및 시정

√ IT 컴플라이언스 업무의 법적합성 확보차원으로 확대

► 기업의 개인정보는 보안 위협이 아닌 중요한 자산으로 인식 전환

[상시적/효율적 감사 가능]

[팀/부서 단위의 컴플라이언스]

[유사시 외부 신뢰도 낮음]

[사후 대응]

시사점

[수집과 이용과정의 투명성]

[거버넌스 관점의 컴플라이언스]

[유사시 객관성 확보]

[사전 예방]


사후 입증책임

전자금융거래의 사고 분석∙대응 방법

• 디지털 포렌식 프로세스를 적용하여 대외 제출 증거(파일)검증

• 사고분석 보고서 : 기술적∙관리적원익 분석 및 대응 보고서 작성. 증적 정보 채증

- 보안시스템(FDS, PC,보안관제 등)의로그 분석

- 각종 시스템/OS/DB및 장비 로그 분석

• 사고분석 감정서

- 대외 제출 증거 감정서 작성. 기술적 원인 분석, 관리적 책임주체, 피해액∙배상액등을 감정

• 사고 분석 및 대응 법률 자문

• 증적 정보 채증, 사고분석, 감정, 법률자문, 기술지원 등의 통합적 대응이 필요


명의도용 관련 대응방안

전자상거래시 안전한 본인인증 및 결제 방법 채택

• 정보통신망법 상의 정보통신서비스제공자는 이미 이용자의 주민등록번호를 사용하지 아니하고

본인을 확인하는 방법인 대체수단을 도입하였음

• 금융회사의 경우는 공인인증서를 활용한 본인인증 본인을 확인하는 방법이 없어 휴대폰

인증 등의 방법을 사용하고있음

• 신용카드 본인인증의법적 효력 부여 필요

• 실물카드의 발급 시 카드 배송직원이 신분증의 발급기관(운전면허증), 발급날짜(주민등록

증) 등의 추가적인 정보를 수집하여 본인을 확인하고있음

• 카드번호, 유효기간, CVC값 및 비밀번호의 앞 2자리 입력으로 본인 인증을 받는 경우 상대

적 안전성

• 여신전문금융업법 또는 전자금융거래법을 개정하여 본인인증(부인방지) 효력을 부여할 필

요(신용카드회사의인증기관화)

• NFC 장착 신용카드의 인증 및 결제방법 등이 개발될 경우 간편하면서도 어떤 결제방법보

다 안전한 전자금융결제가능


명의도용 관련 대응방안

온라인 FDS강화

• 오프라인 FDS가아닌 온라인 FDS 서비스 개발 필요

- 카드사의 경우 오프라인 카드 사용에 대한 FDS 구축은 잘 되어 있는 반면, 온라인은 거의 갖추지 못하고

있음

- 금융감독당국은 ‘전자금융감독규정 시행세칙’을 개정하여 내∙외국인 구분없이 온라인 카드 결제 때 공인

인증서를의무적으로사용하는제도를폐지

- 감독당국은이를 통해각 금융기관이자율적으로대체수단을개발해보안기술을발전시키길기대

- 온라인 FDS서비스등이그 대안이될 것

- FDS는최근발생한앱카드부정사용을탐지하여그 효과를입증

• FDS는전금융권으로확대

- 금융위원회 2014. 6. 금융회사 정보기술(IT) 부문 보호업무 이행지침에 ‘이상금융거래 탐지시스템 구축

∙운영’을포함

- 공인인증서,개인방화벽,보안카드, OTP등 인터넷뱅킹보안솔루션의무력화하는공격이늘어남

- 현재시중은행 18곳중 KB국민은행,신한은행,부산은행 3곳만이 FDS구축


개인정보보호 관련 대응방안

금융당국도 개인정보보호의 주관기관 – 검사, 제재로 연결

• 개인정보보호법/정보통신망법 상 개인정보보호 규정은 사실 그동안 금융회사에는 엄격히 적용되

지 않았음

• 그러나 이번 신용카드 3사 유출을 계기로 국가적으로 개인정보보호를 강화하는 방향과 금융위/

금감원이 독자적으로 개인정보보호를 관장하자는 방향이 맞물려 금융위도 개인정보보호법상 고

지/동의 원칙을 구현할 예정

• 금융위원회와 금융감독원은 2014. 4. 11. ‘금융분야 개인정보 유출 재발방지 종합대책’의 후속

조치 이행계획 점검을 위한 2차 회의에서 카드신청서 정보 수집 제한 및 양식 간소화 등에 대한

진행상황을점검하기도 하였음



금융기관 검사 및 제재규정 시행세칙 개정(2014. 7. 23.)

출처: 국민일보 14. 4. 23. 기사



개인정보보호도 중요한 컴플라이언스 과제

• 정보침해 뿐만 아니라 마케팅 등 개인정보의 동의 없는 이용시 CISO/CPO/준법감시인등에게

강력한 문책 예정

• 금융회사 보안담당자들도 이제 개인정보보호 법령의 고지/동의 원칙 등 모든 법리를 잘 파악하여

대비할 필요



현업의 업무가 개인정보 보호 법령에 위반되지 않도록 조치

개인정보 Life-Cycle 보호대책

개인정보기술적/관리적 보호대책

개인정보 유출 점검

개인정보 오남용 점검

최적화된

개인정보보호

체계 수립

개인정보 관련 일선 업무 처리의 법적합성 진단

• 관련법규정상요구되는항목의일상적점검

• 업무처리과정상부지불식중에존재하는불법적실무관행 진단및 시정

• 부적절한업무처리시적절한제재에대한 근거규정도입

개인정보 처리 시스템의 보안 강화

• 접근권한의적절한설정, 접근기록의점검및 백업 등 기술적/관리적

보호조치관련 고시상요구사항준수

• 접근통제시스템, 비밀번호/금융정보암호화등 보안의강화

• 적절한패치 도입등 시스템보안의최신상태 유지

본사 및 협력업체 교육과 점검 강화

전략-정책-규정-지침-절차-서식의 검토


Q & A