온라인·모바일 결제 까다로워진다
페이지 정보
작성자 작성일 13-04-10 06:39본문
금융위원회는 최근 해킹으로 인한 비씨·KB국민카드 부정결제사고를 계기로 관계기관과 합동으로 온라인결제 전반에 대한 대책 마련에 착수했다고 밝혔다.
아울러 일반적인 모바일 금융거래의 보안위협도 증가함에 따라 모바일을 통한 온라인결제 보안강화방안도 추진하고 있다.
금융위는 지난해 11월 사고 직후 비씨·KB국민카드사에 대해 현장점검을 실시하였고, 경찰청(사이버수사대)에 수사를 의뢰했다.
사고 원인은 고객PC 해킹을 통해 획득한 신용카드정보로 온라인 게임 사이트 등에서 부정결제된 것으로, 온라인결제 시스템 자체가 해킹된 것이 아니라고 경찰청 발표를 인용해 금융위가 밝혔다.
금융위에 따르면 지난해 11월 2~6일 총 230개 카드에서 약 1억 7000만원의 피해가 발생했다.
다음은 금융위가 밝힌 온라인결제 보안강화 추진방향이다.
온라인결제 사고 방지를 위해 부정결제가 빈번하게 발생하는 사이트 거래에서의 본인인증과 부정방지 모니터링을 강화하고 모바일상의 본인인증도 강화하는 게 골자다.
첫째, 게임 사이트 온라인결제 인증 강화다.
해킹을 통해 획득한 카드정보를 이용하여 게임 사이트에서 온라인 소액결제(30만원 미만) 피해가 빈번하게 발생하는 점을 고려해, 게임 사이트에서는 유출된 정보만으로 온라인결제가 불가능하도록 5월부터 추가인증을 의무화하기로 했다.
현재 안전결제는 ISP인증서와 비밀번호, 안심클릭은 카드정보와 비밀번호 등이 필요하다.
|
대 상 |
30만원 미만 결제 시 |
30만원 이상 결제 시 |
|
게임 사이트 (아이템 거래 포함) |
①공인인증서 또는 ②휴대폰문자인증 중 선택 의무화 |
공인인증서와 휴대폰문자인증을 모두 의무화 |
둘째, 부정사용방지시스템(FDS) 모니터링 확대다.
현재 카드사들은 자체 부정사용방지시스템(FDS)을 통해 온라인게임 사이트만 모니터링하고 있으며, 특히 환금성이 높아 부정결제 위험이 많은 파일(동영상 등) 공유 사이트, 포인트 충전 사이트 등은 모니터링 대상에서 제외되고 있다.
이를 개선하기 위해 6월부터 부정사용방지시스템의 모니터링 대상을 파일 공유 사이트와 포인트 충전 사이트 등으로 확대하기로 했다.
또한, 신종 부정결제행위를 주기적으로 모니터링하여 시스템에서 해당 행위 탐지가 가능하도록 시스템을 보완하기로 했다.
셋째, 모바일결제서비스 인증 강화다.
현재는 PC와는 달리 모바일에서 온라인결제용 신용카드 등록시 카드번호, 비밀번호, CVC번호, 유효기간 등 카드 정보 이외 추가인증 절차가 없어 타인에 의한 등록이 가능하였지만, 5월부터는 카드정보만으로 모바일결제서비스 등록이 불가능하도록 모바일에 저장된 공인인증서 또는 휴대폰문자를 통한 추가인증을 의무화하기로 했다.
넷째, 앱 위변조 방지를 위한 금융앱스토어 서비스 개설이다.
일부 앱스토어에서 정상적인 금융앱을 위장한 피싱앱이 발견되어 금융정보 유출로 인한 금전적 피해가 발생할 우려가 있어, 안전한 모바일 금융거래를 위해 금융기관 통합 앱스토어를 구축하여 피싱앱의 등록·유통을 원천 차단하기로 했다.
특히 금융앱에 적합한 별도의 검증기준을 마련하고, 앱의 위변조 여부를 상시 점검하여 모바일 금융거래시 불안감을 해소할 방침이다.
다섯째, 모바일단말기 지정이다.
현재는 PC대비 보안수준이 취약한 모바일단말기 해킹 시 공인인증서, 보안카드번호 등이 유출될 수 있어 추가 피해가 우려되고, 또 이용자는 거래전용PC를 지정할 수 있지만, 모바일단말기는 별도의 지정절차가 없어 어느 단말기에서나 부정이체가 발생 가능하다.
이러한 점을 고려해 이용자가 미리 등록한 모바일단말기에서만 인터넷뱅킹, 트레이딩 등의 금융거래가 가능하도록 4분기 추진할 예정이다.
여섯째, 공인인증서 발급 및 이용 안전성 강화다.
현재 공인인증서는 불법 획득한 금융정보만으로 재발급이 가능하고, 편의상 PC에 저장할 경우 해킹 시 유출 가능한 점을 고려해 9월부터는 금융기관에 한해 공인인증서 재발급시 지정된 PC를 이용하거나, 미지정 PC에서는 추가 인증을 의무화하기로 했다.
추가 인증 방법은 ① 휴대폰문자(SMS) 인증, ② 2채널 인증(인터넷뱅킹 이용 중인 PC채널 외에 유선전화 등 다른 채널을 통해 인증), ③ 영업점 방문(1회용 비밀번호를 발급받아 인증) 등이다.
아울러 공인인증서의 무단 유출을 방지할 수 있는 안전한 저장매체(보안토큰)의 보급·활성화를 추진키로 했다.
참고로 현행 IC카드형, USB형 보안토큰 이외에 휴대전화 유심(USIM) 형태의 보안토큰을 5월부터 보급할 예정이다.
일곱째, 금융보안 전문가 양성 및 교육 프로그램 강화다.
온라인결제 체계의 보안취약점 분석 및 대응방안 마련을 위한 금융보안전문가 부족과 교육 프로그램이 미흡한 현실을 고려해 고용계약형 석사과정(고려대)을 지속 운영하고, 금융권 임직원의 정보보안 역량 제고를 위한 교육 강화를 연중 추진키로 했다.김판용기자
