Download presentation
Presentation is loading. Please wait.
1
전자금융서비스의 환경변화와 보안기술 동향 성 재 모 정보보안본부
2
목차 전자금융서비스 환경 변화 국내•외 전자금융 보안 동향 스마트폰 보안 현황 및 주요 이슈 4. 시사점
3
FFIEC (Federal Finance Institutions Examination Council, US)
1. 전자금융서비스 환경 변화 1. 전자금융 이란 ? BIS (Bank for International Settlements) e-finance(electronic banking) refers to the provision of retail and small value banking products and services through electronic channels FFIEC (Federal Finance Institutions Examination Council, US) - e-banking is defined as the automated delivery of new and traditional banking products and services directly to customers through electronic, interactive communication channels - Customers access e-banking services using an intelligent electronic device, such as a personal computer (PC), personal digital assistant (PDA), automated teller machine (ATM), kiosk, or Touch Tone telephone
4
1. 전자금융서비스 환경 변화 2. 전자금융거래 개요 - 전자금융거래는 사람의 대면없이 전자적인 방식에 의해 이루어지는 금융거래 금융회사 (은행, 증권사, 보험사, 카드사 등) 전자금융업자 (전자화폐, 선불지급수단 발행업자, PG 등) 제공 금융상품 및 서비스 전자 여·수신 전자 지급거래 전자 채권거래 전자 증권거래 전자 보험거래 전자적 장치 (CD/ATM, 컴퓨터, 전화, 스마트폰, 카드단말기 등) 이용 자동화된 방식(비대면, 비서면) 이용자
5
Increasing convenience Increasing profit
1. 전자금융서비스 환경 변화 3. 전자금융의 특징 Electronic Paperless Increasing IT’ role Open networks Increasing convenience Increasing profit Raising the risk on IT Security and customer protection 5 5
6
- 인터넷뱅킹, 모바일뱅킹, 텔레뱅킹, CD/ATM 등
1. 전자금융서비스 환경 변화 4. 전자금융서비스 유형 - 인터넷뱅킹, 모바일뱅킹, 텔레뱅킹, CD/ATM 등 금융회사 전자금융업자 금융회사 전자금융업자 이용자(지급인) 이용자(수취인) 결제중계시스템 ③금융거래정보 및 출금내역 전송 ⑨계좌조회 및 인출 ⑤입금처리 (계좌원장 등록) ⑥입금내역 전송 ②출금처리 (계좌원장) 인터넷 인터넷뱅킹 모바일뱅킹 CD/ATM 텔레뱅킹(ARS) 전용선 ①지급요청 ④금융거래정보 전송 및 입금 요청 ⑦입금내역 전송 ⑧ 처리결과 명세 계좌
7
6,390만명 인터넷뱅킹(모바일뱅킹 포함) 등록고객수, (2010. 9말 한국은행)
1. 전자금융서비스 환경 변화 5. 국내 전자금융 인프라 현황 77.2% of total households (약 3,600 만명) 초고속 가입자 97% of total population (약 4,800 만명) 모바일폰 이용자 30% of total population (약 1,500만명) 공인인증서 발급자 온라인 뱅킹 이용자 6,390만명 인터넷뱅킹(모바일뱅킹 포함) 등록고객수, ( 말 한국은행) 은행 1 Bank-1 은행 2 Bank-2 Bank-n 은행 17 ... 7
8
1. 전자금융서비스 환경 변화 6. 전자금융서비스 현황
o /4분기 인터넷뱅킹 이용건수(일평균 기준) 3,401만건, 이용금액은 28조 5,389억원 o 모바일 뱅킹 등록고객수 1,432만명을 기록하였고, 특히 스마트폰 기반 모바일뱅킹 등록 고객수 137만명 (한국은행, ) 금융서비스 전달채널별 업무처리비중 (입출금 및 자금이체 거래기준) (단위 : %) 구 분 대면거래 (창구거래) 비 대 면 거 래 합 계 CD/ATM 텔레뱅킹 인터넷뱅킹 월중 19.7 80.3 43.5 11.4 25.4 100.0 월중 19.5 80.5 42.5 10.9 27.1 월중 17.8 82.2 42.0 11.2 29.0 월중 14.7 85.3 39.2 13.1 32.9 월중 14.3 85.7 39.3 12.5 33.9 월중 13.6 86.4 38.0 12.2 36.2 월중 13.7 86.3 36.7 37.4 월중 13.8 86.2 39.5 33.6 월중 13.3 86.7 39.6 13.0 34.1 월중 38.3 35.4
9
1. 전자금융서비스 환경 변화 7. 환경 변화 주요 특징 USER ■ IT환경 및 전자금융서비스 사용의 보편화
■ PC기반 금융서비스 외의 다양한 채널의 금융서비스 수요증가 Infrastructure ■ 무선통신기술 발전에 따른 인터넷 사용 접근성 증가 (Wi-Fi, 3G, Bluetooth) ■ Handhold Device 보급확산 (Smart Phone, e-Book, Tablet PC) ■ Home Network 서비스 질 향상 (VOIP, IPTV) Business ■ 양방향 서비스를 활용한 사업모델 추진 (Consumer Provider) ■ 다양한 IT채널에 금융서비스를 제공하여 비즈니스 기회 향상
10
2. 국내•외 전자금융 보안 동향 1. 국외 금융보안 현황(1/4) 1. 국외 금융보안 현황(1/3) 해외 금융보안관련 법제도
- 미국의 금융보안 관련 IT 컴플라이언스 규제명칭 규제목적 대상기관 규제 내용 벌칙 SOX 금융기관 회계투명성 상장회사 모든 문서와 이메일 보관 및 설명 책임 5천만 달러 벌금과 20년간 구금형 GLBA 금융소비자 개인정보보호 금융기관에서의 개인정보의 유출 방지 벌금과 5년의 구금형 SB1386 캘리포니아 주민과 거래관계에 있는 비공개 개인정보의 보호와 침해사실의 고지 피해를 입은 고객과의 민사소송 SEC 17a-4 금융부문 리스크 관리 증권회사 6년간 고객과의 교신내역 보관 규정되지 않은 벌금과 구금형 NASD Rules 3010 and 3110 규정되지 않은 벌금 USA Patriot Act 자금세탁방지 미국 광의의 금융기관 테러자금 목적의 돈세탁 방지 정보제공요구 벌금 및 구금형 미국은 다양한 규모와 유형의 금융기관에 대해 연방차원 혹은 주차원, 정부 차원 혹은 민간 자율규제 등을 가지고 있으며, 국제 금융보안 IT 컴플라이언스로는 대표적으로 BASEL-II와 PCI DSS(Payment Card Industry Data Security Standard)가 존재 해외 금융보안관련 법제도
11
2. 국내•외 전자금융 보안 동향 1. 국외 금융보안 현황(2/4) - 미국 전자금융관련 감독기관
미국의 전자금융관련 감독기관으로는 FFIEC(연방 금융기관 검사위원회, Federal Financial Institutions Examination Council)가 존재하며, 인터넷 뱅킹 관련 가이드라인으로 아래의 두 가지를 제시하고 있다. FDIC FRB OCC OTS NCUA 연방예금 보험공사 연방준비 은행 통화 감독청 저축기관 신용조합 소비자보호 T/F 검사인력교육 정보공유 보고업무 감독업무 감시체계 FFIEC Guidance FFIEC가 작성한 미국 은행들의 인터넷 뱅킹에서 Authentication 방법 가이드라인 제공 OCC 67 Federal Register 34992 FFIEC 산하 미국통화감독청(OCC)은 인터넷뱅킹과 같은 전자기술을 이용한 업무처리에 있어서 National Bank의 안전성을 유지하기 위한 정의, 권한, 법률에 관한 명시 < 미국 인터넷 뱅킹 관련 가이드 라인 > < 미국 금융기관 감독체제 >
12
Customer Verification
2. 국내•외 전자금융 보안 동향 1. 국외 금융보안 현황(3/4) 1. 국외 금융보안 현황(1/3) - Authentication in an Internet Banking Environment 고객과 은행 사이트의 상호 인증을 권고 SSL등의 암호화된 통신 기술을 이용한 디지털 인증서나 디지털 이미지와 같은 shared secrets 인증 방식을 포함 Mutual Authentication 2가지 이상의 factor를 포함하는 Multifactor Authetication Out-of-band를 활용한 Two channel Authentication Internet Protocol Address(IPA) Location과 Geo-Location 방식 Multifactor 제공한 정보와 trusted third party sources의 정보가 일치 하는가의 여부를 통해 고객을 검증하는 Positive Verification ZIP code, 지역번호 등과 같이 논리적인 정보의 일치 여부를 통해 고객을 검증하는 Logical Verification Applicant가 제공한 정보와 Fraud databases의 정보가 일치 하지 않는가의 여부를 통해 고객을 검증하는 Negative Verification Customer Verification
13
2. 국내•외 전자금융 보안 동향 1. 국외 금융보안 현황(4/4) 1. 국외 금융보안 현황(1/3)
Bank of America(BOA)와 US Bank 인터넷뱅킹 서비스는 각각 ID와 비밀번호 외에 Sitekey와 ID shield라는 문답식 로그인 인증 방식을 제공 계좌이체 시에는 BOA가 SMS OTP와 카드 OTP서비스인 SafePass, Citi Bank는 이메일을 통한 안전한 인증 코드(Secure Authorization Code) 서비스로 이중 팩터 인증방식 제공 - 그 외에도 BOA에서는 평가판 백신을 제공하며, 이용자가 선택적으로 사용할 수 있음 구 분 주요 내용 SSL 지원 여부 EV SSL Multi-OS 지원 여부 Windows 계열, Mac OS X Multi-Browser 지원 여부 PC의 경우, Internet Explorer 7.0 이상, Firefox 3이상, Chrome 3.0이상 MAC의 경우, Safari 3.0이상, Firefox 3이상, Chrome 4.0이상 인증서 지원 여부 사설/공인인증서를 사용하지 않음
14
2. 국내•외 전자금융 보안 동향 2. 국내 금융보안 현황(1/4) 관련법률 전자금융거래법
정보통신망 이용 촉진 및 정보보호 등에 관한 법률 정보통신기반보호법 신용정보 보호법 금융실명거래 및 비밀보장에 관한 법률 규정 전자금융감독규정 및 시행세칙 은행감독규정 및 시행세칙
15
2. 국내•외 전자금융 보안 동향 2. 국내 금융보안 현황(2/4)
o 2007년 1월 전자금융거래법 시행, 전자금융감독규정, 시행세칙 등 전자금융거래 관련 법률 및 규정을 통한 다양한 보안 요구사항들을 규정 규정 내용 전자금융감독규정 시행세칙 제29조(전자금융거래시 준수사항)2항1호 전화 등 거래수단 성격상 암호화가 불가능한 경우를 제외한 전자금융거래는 암호화 통신을 할 것(다만 전용선을 사용하는 경우로서 보안성심의를 받은 경우에는 그러하지 아니한다) 전자금융감독규정 시행세칙 제29조(전자금융거래시 준수사항)2항3호 이용자PC에서의 정보유출을 방지하기 위해 이용자의 접속 시 우선적으로 이용자PC에 개인용 침입차단시스템, 키보드해킹방지 프로그램 등의 보안프로그램을 설치할 것(다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램 해제 가능) 전자금융감독규정 제7조(공인인증서 사용기준) 모든 전자금융거래에 있어 전자서명법에 의한 공인인증서를 사용하여야 한다. 다만 기술적/제도적으로 공인인증서 적용이 곤란한 전자금융거래로 감독원장이 정하는 경우에는 그러하지 아니하다
16
2. 국내•외 전자금융 보안 동향 2. 국내 금융보안 현황(3/4) ▶ 보안프로그램 사용 – 금융정보 유출, 분석 어려움
O 계좌비밀번호, 공인인증서 비밀번호 입력 보호 → 키보드해킹방지프로그램 O 이용자 본인임을 증명 (PKI) → 공인인증서 프로그램 O 전자금융거래 데이터를 암호화 → 웹 암ㆍ복호화 프로그램 O 각종 바이러스, 웜 차단 및 이용자 정보의 외부 전송 금지 → 개인침입차단시스템, 백신프로그램 인터넷뱅킹 이용자 ▶ 보안프로그램 미사용 – 금융정보 유출, 분석 용이
17
2. 국내•외 전자금융 보안 동향 2. 국내 금융보안 현황(4/4) 전자금융거래법 제9조 (금융기관의 무과실 책임)
전자금융업 관리·감독 및 전자금융이용자보호를 위해 해킹·추심 등에 대해 전자금융이용자의 고의·과실을 입증할 수 없는 경우 전자금융업자가 손실을 부담해야 한다. 금융 기업의 과중한 부담 및 보안 약화 금융기관 무과실 책임원칙을 악용한 사전 공모 공격 존재 수사권 없는 금융기관의 이용자 고의 사실 입증 방법 부재 이용자의 정보 위험 증가 및 개인 PC 보안 약화 이용자들의 도덕적 해이(Moral Hazard) 발생으로 본인 PC의 개인정보 관리에 소홀히 하게 될 위험이 상존함 금융기관은 책임을 피하기 위해 이용자들에게 Active-X 보안모듈 설치를 강제할 수 밖에 없는 상황임 전자금융거래법에 대한 금융기관의 대응책 전자금융거래법 무과실 책임 조항에 의한 금융기관 및 이용자의 보안이 약화될 위험성이 존재하므로, 금융기관에서는 아래와 같은 기능들이 요구된다. 보안 노력 증명을 통한 책임감면 시스템 금융기관이 적절한 수준의 보안 노력을 기울였을 경우 합리적 수준에서 책임을 감면할 수 있는 완충 시스템 필요 조사권 부여 개인정보분쟁조정위원회 등 적절한 주체에 조사권을 부여하여, 객관적 사건 조사를 통한 과실입증방법 고려 금융기관 디지털 포렌식 활성화 이용자 과실이나 공모 행위의 입증을 위한 증거 수집 및 분석을 위해 금융기관의 디지털 포렌식 기술 및 인력 도입 노력이 요구됨
18
3. 스마트폰 보안 현황 및 주요 이슈 1. 스마트폰 주요 특징 □ 스마트폰이란 ?
o 다양한 운영체제를 가진 단말기에 이용자가 필요한 어플케이션을 자유롭게 설치할 수 있으며, 음성통신 기능을 추가한 디바이스를 “스마트폰”이라 함 o 휴대폰과 개인휴대단말기(personal digital assistant; PDA)의 장점을 결합하여 휴대폰 기능에 일정관리, 인터넷 접속 등의 데이터 통신기능을 통합한 것 □ 주요 특징 o 개방성 : 한국형 표준 모바일 플랫폼인 위피(WIPI - Wireless Internet Platform for Interoperability)의 탑재 의무화가 폐지( 월)된 이후 Open Platform의 적용 및 활성화의 확대로 누구든지 서비스 제작과 제공이 가능함 o PC와 유사한 환경 : PC Sync(예. ActiveSync)가 활성화되어, PC의 컨텐츠 등이 스마트폰에도 이용될 수 있음 o 다양한 네트워크 인터페이스 : 기존의 이동통신 네트워크를 제공하면서 근거리 통신을 위한 블루투스 및 인터넷 접속을 위한 WiFi, WiBro등을 지원함
19
3. 스마트폰 보안 현황 및 주요 이슈 2. 스마트폰 운영 환경 【 스마트폰 】 ㅇ USIM정보(휴대폰) ㅇ 무선인터넷
이동통신사 서비스 【 무선인터넷 Device 】 ㅇ Device 정보 ㅇ 무선인터넷 이동통신사 네 트 워 크 인터넷 HSDPA WCDMA WiFi WiBro WiFi Wi-Fi Direct 전용 APP, 브라우저(뱅킹 전용 포함) 전용APP 브라우져 브라우져 Open Platform USIM Card Open/Close Platform PC
20
3. 스마트폰 보안 현황 및 주요 이슈 3. 스마트폰 종류 □ 주요 스마트폰 종류
o 초기에는 "Nokia社의 Symbian", "Rim社의 Blackberry", "Palm社의 PalmOS" 등이 스마트폰 기능을 구현하여 출시하였고, 최근 국내에 거론되는 3가지 스마트폰은 “Apple社의 IPhone OS(OS X)", "구글社의 Android", "Microsoft社의 Windows Mobile"로 구분되어 질 수 있음 Apple iPhone OS(OS X) Android Windows Mobile
21
3. 스마트폰 보안 현황 및 주요 이슈 4. 스마트폰의 확산
전체 휴대폰 시장에서 스마트 폰 비중이 2012년 40%까지 증가 예상 < 가트너 1분기 조사 > 모바일, 가상화, 클라우드, 개방화, 사용자 지향적 트랜드 및 정보보안 기술 융합이 미래 IT 사회를 급격히 변화시킬 것 Neil MacDonald, Gartner, 2010
22
3. 스마트폰 보안 현황 및 주요 이슈 5. 휴대폰 보안 현황 WIPI Platform 폐쇄형 플랫폼, 통신, 마켓, SDK
폐쇄형 환경 승인된 사용자 승인되지 않은 사용자 WIPI Platform 폐쇄형 플랫폼, 통신, 마켓, SDK 국내의 경우, 악성코드 유출 및 바이러스에 의한 피해 사례 보고된바 없음 QPST등 퀄컴 CDMA CPU 탑재된 일부 휴대폰의 경우, 사용자가 임의로 휴대폰 파일 시스템 접근가능
23
3. 스마트폰 보안 현황 및 주요 이슈 6. 스마트폰 보안 위협(1/2) - 오픈 플랫폼기반 스마트폰 이용자 수 증가
개방형 환경 위협 Windows Mobile, Mac OS X, Linux 등 - 오픈 플랫폼기반 스마트폰 이용자 수 증가 WiFi, WiBRO 서비스 확대, 무선 Full Browsing 서비스 확대 전반적인 휴대폰 단말기의 성능향상 개방형 OS , OpenMarket를 통한 자유로운 소프트웨어 개발 및 배포 위협 증가
24
Platform 공격 스마트폰 OS 및 플랫폼 상의 취약점 혹은 고유의 기능적 특징으로 인한 파생 공격
3. 스마트폰 보안 현황 및 주요 이슈 6. 스마트폰 보안 위협(2/2) 바이러스 및 악성코드 키보드 해킹 SMS 후킹 프로세스 및 메모리(덤프) 해킹 Platform 공격 스마트폰 OS 및 플랫폼 상의 취약점 혹은 고유의 기능적 특징으로 인한 파생 공격 피싱 프로그램 데이터 파일 및 실행 파일 변조 역공학 DoS 및 DDoS Application 공격 바이러스와는 달리 사용자가 인지하고 있는 실행 애플리케이션에 의한 공격 스마트폰 내부 스토리지 파일 시스템 접근 및 추출 활성 및 삭제된 기밀정보 추출 Storage 공격 스마트폰에 내장 /외장 메모리에 탭재된 파일시스템접근 및 기밀정보 추출 공격
25
3. 스마트폰 보안 현황 및 주요 이슈 7. 스마트폰 보안 위협 대응 기술 Platform 위협대응
안티 바이러스 프로그램 탑재 허가된 소프트웨어 실행을 위한 코드 서명 사용자 입력 데이터 보호를 위한 암호화 적용 (H/W 및 S/W Layer) 프로세스 및 메모리 접근 API 탐지 및 제어 Platform 위협대응 안티 리버싱(Anti-Reversing)기술 적용 검증된 암호 알고리즘 사용 Application 위협 대응 개인정보 및 기밀정보 유출 방지를 위한 암호화 적용 사용된 기밀정보 완전삭제(Wiping) 수행 Storage 위협대응
26
3. 스마트폰 보안 현황 및 주요 이슈 8. 주요 이슈 - 시스템 Unlock (1/3) Unlock 이란?
스마트폰 출시 시에 탑재되어 있는 제조사 펌웨어 S/W를 변조하여 사용자 등이 조작한 새로운 펌웨어로 교체하는 작업 Unlock의 목적 시스템 보안 해제 - mp3 벨소리 변경 Lock 해제, 시스템 파일 변경 Lock 해제, … Pre-installed S/W 삭제 - 스마트폰 메모리 확보 상용프로그램 무단 배포 - 상용프로그램을 포함한 펌웨어 제작 배포 앱스토어 S/W의 비인가 설치 - 앱스토어를 거치지 않고 상용프로그램 설치 스마트폰 보안에 가장 큰 영향을 미치는 공격
27
3. 스마트폰 보안 현황 및 주요 이슈 8. 주요 이슈 - 시스템 Unlock (2/3)
정식 펌웨어 파일을 커스텀 펌웨어 파일(Jail Break된 펌웨어)로 바꿔주는 툴 ‘정식 iPhone(혹은 iPod Touch)로부터의 탈옥’ 다양한 커스텀 펌웨어 제작 툴 존재(Pwnage Tool, QuickFreedom 등) JailBreak된 iPhone을 대상으로 하는 악성코드 발견 (2010년) 현재 iPhone(iPod Touch)의 root 계정의 패스워드는 디폴트 패스워드이며 널리 알려져 있고, 상당수의 사용자가 해킹OS를 탑재하여 사용함으로 SSH등을 이용하여 root 권한획득이 가능함
28
<gdb에서 Jailbreak 탐지 루틴 검색 화면>
2. 스마트폰 보안 현황 및 주요 이슈 8.`주요 이슈 - 시스템 Unlock (3/3) 역공학 및 기타 우회 방법을 사용하여 어플리케이션의 탐지 루틴을 우회하여 실행시키는 방법이 유포되고 있음 어플리케이션의 동작할 때의 메모리상에서의 루틴을 해석하여 해당 어플리케이션의 Jailbreak를 탐지하는 함수 등을 검색한 후 수정 및 변경함으로써 탐지 루틴을 우회가 가능함 <아이폰 gdb 디버깅 화면 > <gdb에서 Jailbreak 탐지 루틴 검색 화면>
29
금융기관 등이 금융감독원장이 인정한 기관의 검증을 받은 경우, 인증방법평가위원회의 평가를 생략할 수 있다.
3. 스마트폰 보안 현황 및 주요 이슈 9. 주요 이슈 - 공인인증서 대체 기술 스마트폰 확산과 전자금융 서비스에서 공인인증서 이용여부를 둘러싼 논란 이후, 방송통신위원회, 국무총리실, 금융위원회 등 관계부처 공동,『전자금융거래 인증방법의 안전성 가이드라인』확정 발표 전자금융거래 인증방법의 안전성 가이드라인 「전자금융감독규정」 제7조제2항의 인증방법평가위원회는 아래 기술적 요건들을 고려하여 인증방법의 안전성 평가 전자금융거래시 적용될 인증방법이 갖추어야 할 기술적 안전성 요건 규정 이용자 확인 서버인증 통신채널 암호화 거래내역의 위변조 방지 거래부인방지 기능 금융기관 또는 전자금융업자는 공인인증서 사용하지 않고 인용자 인증, 서버인증 및 통신채널 암호화 요건을 갖춘 경우, 인증방법평가위원회의 안전성 평가를 거쳐 다양한 전자금융 서비스 제공 가능 인증방법평가위원회 「전자금융감독규정」 제7조제2항, 민간전문가 등으로 구성된 위원회를 금융감독원에 설치 7월부터 금융기관이 요청하는 인증방법을 구체적으로 평가할 수 있도록 위원회 구성 예정 금융감독원에 설치, 민간전문가 참여 및 세부평가기준 공개 금융기관 등이 금융감독원장이 인정한 기관의 검증을 받은 경우, 인증방법평가위원회의 평가를 생략할 수 있다. 출처 : 방송통신위원회, ‘전자금융거래 인증방법의 안전성 가이드라인’확정 보도자료, 29
30
3. 스마트폰 보안 현황 및 주요 이슈 10. 클라우드 관련 금융보안 고려사항
데스크톱 클라우드 금융거래 시 키보드보안 솔루션 및 DRM 솔루션에서의 호환성 문제 키보드보안솔루션 E2E의 범위 재조정 (단말을 포함한 E2E 기능) 방화벽제품의 Block 기반 정책 문제점 (가상화 Agent 연결차단문제) 인증서 저장위치(인증서의 서버저장에 따른 위협 및 HSM 드라이버 미지원 문제)
31
4. 시사점 다양한 신기술과 전자금융서비스 융합에 따른 충분한 보안성 확보 필요
- 국내 전자금융 환경에 맞는 보안기술 연구•개발 환경 구축 - 최신 기술의 특징에 따른 변화된 환경의 취약성 분석 기술 확보 - 사용자의 편의성과 안전성을 고려한 다양한 응융 기술 연구
32
감사합니다.
Similar presentations