[정부부처 자료] 전체
| 제목 | 전자금융시스템에 대한 안전성 확보를 위한 「전자 금융 종합 안전기준」 수립 | ||
|---|---|---|---|
| 기관명 | 금감원 | 작성일자 | 2000 . 09 . 19 |
|
◇ 주요내용 ◇
┌──────────────────────────────────┐
│□ 금융감독원은 전자금융시스템에 대한 안전성 확보를 위하여 「전자금 │
│ 융 종합 안전기준」을 수립하고, 이를 전 금융기관에 통보하여 전자금│
│ 융시스템 개발시 활용토록 할 예정임. │
│ o 인터넷 뱅킹, 사이버 증권 등 전자 금융의 확대에 따른 전산보안사고 │
│ 발생 가능성이 높아지고 있으므로 이를 예방하여 고객들의 전자금융거│
│ 래 정보를 보호하기 위하여 은행, 증권, 보험 등 주요 금융기관의 보 │
│ 안 담당자들로 「사이버금융 안전대책반」을 구성, 전자금융에 대한 │
│ 전반적인 보안취약점을 분석하고, 각 업무별로 적용 가능한 보안 기준│
│ 을 정의한 후 전 금융기관 보안담당자들에 대한 공청회를 거쳐 마련. │
│□ 동 기준은 전자금융거래에서 발생될 수 있는 고객비밀번호 유출 방지 │
│ 를 위한 암호화, 고객 및 거래 금융기관 상호 확인 및 거래 내용에 대│
│ 한 부인을 방지하기 위한 전자 인증서 사용, 홈페이지 및 내부 보관 │
│ 고객정보 보호를 위한 침입차단시스템 설치 운영 등 전자금융거래 전 │
│ 반에 걸친 내용을 담고 있음. │
│ o 이에 따라 전자금융시스템의 안전성이 크게 증가되어 고객들이 안심하│
│ 고 이용토록 함으로써 전자금융거래의 활성화가 기대됨. │
│□ 또한 금융감독원은 국·내외 해킹, 바이러스, 전산보안사고 등에 대한│
│ 지속적인 분석을 통하여 적절한 대책을 수립, 금융기관에 제공함으로 │
│ 써 전자금융거래의 안전성을 높여나갈 계획이며, │
│ 아울러 Tiger Team에 의한 상시 Monitoring을 강화하기 위하여 담당자│
│ 에 대한 전문 연수를 실시하고 있음. │
└──────────────────────────────────┘
□ 인터넷 뱅킹, 사이버 Trading
- 모든 금융거래 정보 암호화 통신
- 거래 당사자 확인 및 거래사실 부인 방지를 위하여 전자 서명법에 의한 인증서 사용
- 고객 PC에서의 비밀번호 유출 방지에 대비하여 일회용 비밀번호 사용 또는 PC용 침입차단시스템 사용
* 일회용 비밀번호(OTP)는 은행의 경우 100만원이상 거래시, 증권의 경우 세션 단위로 사용하되 100만원 미만은 각 행 자율적 시행
□ 무선전화를 이용한 금융거래
- 모든 거래 정보 암호화 통신
- 거래 당사자 확인을 위한 계좌번호 및 계좌비밀번호 사용, 향후 전자인증서 사용 예정
- 중계 기관에서 금융거래내용 해독 및 기록 금지
□ 전자지불시스템
- 모든 거래 정보 암호화 통신
- 거래 당사자 확인을 위한 전자 인증서 사용
- 전자지불 중계기관에서의 금융거래정보 해독 및 기록 금지
- 금융기관과 전자지불 중계기관과의 접속은 전용회선 사용
□ 내부 서버시스템
- 침입차단시스템(Firewall) 설치
o 비 인가자의 접속을 차단하여 해킹 방지
- 침입탐지 시스템 설치
o 불법 접근에 대한 탐지 및 자동 차단
□ 보관중인 고객정보 보호
- 고객의 계좌, 이체, 통신용 비밀번호 암호화 보관
o 내부 직원에 의한 유출 방지
□ 거래 정보 기록· 보관
- 모든 금융거래정보는 Logging을 실시하고, 이에 대한 Back-up 및 소산관리
o 거래 사실 증명, 장애 발생시 복구가 가능 기간동안 보관
□ 사용자 - ID 및 고객비밀번호
- 사용자 - ID와 비밀번호는 상이하여야 함.
- 통신용 비밀번호와 계좌용 비밀번호는 상이하여야 함.
- 비밀번호는 4자리 이상으로 하되, 일련숫자, 주민등록 번호 등 유추 가능 번호의 사용은 금지
□ 아웃소싱
- 아웃소싱 수행업체 및 전산설비의 적정성
o 전산설비, 전산프로그램, 안전대책
o 인력, 재무상황
- 금융정보의 무결성 유지 및 정보유출 방지 대책
- 아웃소싱 업체의 서비스 중단에 대비한 비상대책
- 아웃소싱 수행업체 통제, 책임 의무
- 아웃소싱 수행업체에 대한 감독, 검사
|