Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
테크앤로법률사무소/ 서울종로구종로1 교보생명빌딩15층/ 전화02-2010-8840 / 팩스02-2010-8985 / contact@teknlaw.com 
구태언 
Taeeon.koo@teknlaw.com 
테크앤로법률사...
연사소개 
구태언변호사 
제34회사법시험합격, 사법연수원제24기수료 
서울중앙지방검찰청첨단범죄수사부검사 
김앤장법률사무소변호사(정보보호·부정조사팀장) 
안전행정부·방송통신위원회·개인정보보호위원회·미래창조과학부·대검찰청디...
금융위원회의금융규제∙제도의개선∙지원추진 
전자금융거래의핵심인전자상거래분야에집중하여관련제도의개선을추진 
14. 5. 20. 
전자상거래카드결제시공인인증서사용의무폐지 
14. 7. 28., 9.23. 
전자상거래결제간편화방...
전자금융거래법개정내용과 
금융회사의책임
일정규모이상대형금융회사및전자금융업자인경우정보보호최고책임자의겸직제한 
전자금융보조업자가업무를제3자에게재위탁하는것을원칙적으로금지 
정보보호및IT보안의중요성을감안하여형벌등의제재수준을상향조정 
징벌적과징금제도도입 
금...
개정전자금융거래법주요내용(2014. 10. 15.) 
지급효력지연조치의의무화 
•전자적장치를이용한실시간자금이체시착오등에따라의도하지않은계좌에잘못이체한경우이를돌려받기위한절차의어려움을감안하여,이용자가원하는경우전자자금이체의거래...
정보보호최고책임자겸직제한 
•총자산,종업원수등을감안하여일정규모이상의대형금융회사또는전자금융업자의경우정보보호최고책임자의겸직을제한함으로써전자금융업무및정보기술부문보안의독립성과책임성을확보함(제21조의2제3항신설,시행일:2015....
정보를타인에게제공/누설또는목적외사용행위에대한벌칙강화 
•접근권한을가지지아니한자의데이터유출행위및전자금융거래업무를수행함에있어알게된정보를타인에게제공‧누설하거나업무상목적외에사용하는행위에대한벌칙(10년이하의징역또는1억원이하의벌금...
전자금융거래법제9조의손해배상책임 
금융회사또는전자금융업자의손해배상책임근거조항 
제9조(금융회사또는전자금융업자의책임) 
①금융회사또는전자금융업자는다음각호의어느하나에해당하는사고로인하여이용자에게손해가발생한경우에는그손해를배상할...
전자금융거래법제9조의손해배상책임 
금융회사또는전자금융업자의면책또는감경조항 
제9조(금융회사또는전자금융업자의책임) 
②제1항의규정에불구하고금융회사또는전자금융업자는다음각호의어느하나에해당하는경우에는그책임의전부또는일부를이용자가...
개인정보유출사고 
2013. 3. 
2013. 4. 
2013. 5. 
2013. 11. 
2014. 1. 
2014. 3. 
3.20 전산대란 
방송국, 은행전산망마비 
정보유출규모확인불가 
IBK직원정보유출적발 
고...
금융회사또는전자금융업자의책임 
책임의증가 
•개인정보유출사고의규모/빈도는계속증가하는추세 
금융회사등의책임성강조 
•2015.4.16.시행전금법은금융회사가공인인증서이외의보안수단을자율적으로결정할수있게함 
금융기관등에부여...
이상금융거래탐지시스템과 
기술적, 법률적대응
FDS 개요 
컴퓨팅운영환경과보안위협 
시스템콜인터페이스(System call interface) 
인증기술 
암호통신 
전자서명 
키보드보안 
백신 
방화벽 
피싱 
탐지 
전자금융 
서비스 
프로그램 
운영 
시스템...
FDS 개요 
FDS 수집정보의유형 
금융거래유형정보 
•거래정보(거래패턴, 거래성향등) 
사고유형정보 
•유관기관 
•국내외동향수집 
•악성코드분석(포렌식조사, 분석) 
이용자매체환경정보 
•인터넷뱅킹 
•스마트폰뱅킹...
FDS 개요 
수집정보: 이용자프로파일 
이용자프로파일 
이용자정보 
거래 
정보 
장치 
정보 
거래금액 
거래시간 
… 
… 
… 
성별 
나이 
위치 
MAC 
이용자의환경및거래유형정보등을일정기간이상수집/축적하여...
FDS 개요 
FDS 도입 
사용자구간에집중된보안대책의한계 
계층적보안(LayeredSecurity)방안으로부정거래모니터링필요 
실시간분석을통해고객의금융거래(Transaction)내역보호필요 
정보수집 
정보가공 
...
FDS 구성및주요기능 
FDS 구성요소및주요기능 
다양하게수집된정보를종합적으로분석하여이상금융거래유무를판별 
4가지기능(정보수집,분석및탐지,대응,관리/운영및감사)이상호호환또는연동되도록구성
전자금융거래사고에대한기술적/관리적대응 
전자금융거래의사고분석∙대응 
•이상금융거래탐지시스템(FDS)등보안시스템을이용하여사고의사전예방 
•제출할증거를검증하기위한디지털포렌식 
•보안시스템(FDS,PC지정,보안관제등)의로그분...
탈공인인증서및안전한본인인증방법필요 
•정보통신망법은이미이용자의주민등록번호를사용하지아니하고본인을확인하는대체수단을도입 
•금융회사의경우는휴대폰인증등의방법을사용 
•신용카드본인인증의법적효력부여필요 
•실물카드의발급시카드배송직...
개정법령에대한대응 
•CISO의겸직제한및회사조직의재구성 
•안전성/신뢰성확보방안강구 
•원칙적제3자에대한업무위탁금지 
전자금융거래사고에대한법률적대응 
손해배상책임에대한대응 
•사실상금융회사등은무과실책임에준하는책임부담 
...
개인정보관련법령의개정필요성 
•FDS의원활한운용은금융거래정보,이용자정보,디바이스정보,위치정보수집이전제 
•현행개인정보보호법,위치정보보호법,정보통신망법등에서는정보의수집을제한 
전자금융거래법상금융회사등의의무를이행할수있도록...
Q & A 
테크앤로법률사무소/ 서울종로구종로1 교보생명빌딩15층/ 전화02-2010-8840 / 팩스02-2010-8985 / contact@teknlaw.com
감사합니다 
테크앤로법률사무소/ 서울종로구종로1 교보생명빌딩15층/ 전화02-2010-8840 / 팩스02-2010-8985 / contact@teknlaw.com 
구태언 
테크앤로법률사무소대표변호사
Prochain SlideShare
Chargement dans…5
×

Fds산업포럼 발족식 발표자료 구태언 변호사

2 706 vues

Publié le

FDS 산업포럼 기조 연설

Publié dans : Droit
  • Soyez le premier à commenter

Fds산업포럼 발족식 발표자료 구태언 변호사

  1. 1. 테크앤로법률사무소/ 서울종로구종로1 교보생명빌딩15층/ 전화02-2010-8840 / 팩스02-2010-8985 / contact@teknlaw.com 구태언 Taeeon.koo@teknlaw.com 테크앤로법률사무소대표변호사 개정전자금융거래법의이해와FDS 대응전략
  2. 2. 연사소개 구태언변호사 제34회사법시험합격, 사법연수원제24기수료 서울중앙지방검찰청첨단범죄수사부검사 김앤장법률사무소변호사(정보보호·부정조사팀장) 안전행정부·방송통신위원회·개인정보보호위원회·미래창조과학부·대검찰청디지털수사·특허정보원영업비밀보호센터등자문변호사 금융보안연구원금융보안거버넌스자문위원회위원(2014-) 금융감독원금융감독자문위원회(금융IT분과) 위원(2014-) 2013 개인정보보호대상수상, 2012 정보보호대상수상 테크앤로법률사무소대표변호사 Santa Clara University Law School (Visiting Scholar) 고려대학교법과대학(법학사),고려대학교정보보호대학원(공학석사)
  3. 3. 금융위원회의금융규제∙제도의개선∙지원추진 전자금융거래의핵심인전자상거래분야에집중하여관련제도의개선을추진 14. 5. 20. 전자상거래카드결제시공인인증서사용의무폐지 14. 7. 28., 9.23. 전자상거래결제간편화방안마련발표 14. 9. 30. 전자금융거래상특정기술및인증방법강제금지(전자금융거래법일부개정) 14. 10. 1. 카드정보저장지급결제대행업체(PG) 기준발표(여신협회) 등
  4. 4. 전자금융거래법개정내용과 금융회사의책임
  5. 5. 일정규모이상대형금융회사및전자금융업자인경우정보보호최고책임자의겸직제한 전자금융보조업자가업무를제3자에게재위탁하는것을원칙적으로금지 정보보호및IT보안의중요성을감안하여형벌등의제재수준을상향조정 징벌적과징금제도도입 금융회사가자율적으로금융보안수단을결정할수있게함 이용자의선택에따른전자자금이체의지급효력지연조치의의무화 보존기간이경과한전자금융거래기록에대한파기의무부여 전자금융거래법일부개정법률안제안이유
  6. 6. 개정전자금융거래법주요내용(2014. 10. 15.) 지급효력지연조치의의무화 •전자적장치를이용한실시간자금이체시착오등에따라의도하지않은계좌에잘못이체한경우이를돌려받기위한절차의어려움을감안하여,이용자가원하는경우전자자금이체의거래지시를하는때로부터일정시간이경과한후지급효력이발생하도록하는조치를금융회사등이취하도록의무화함(제13조제2항신설,시행일:2015.10.16.). 공인인증서외자율적보안수단결정 •공인인증서사용을강제하는근거로작용할수있는규정을보완하여금융회사가자율적으로금융보안수단을결정할수있도록함(제21조제2항및제3항,시행일:2015.4.16.) 불필요한거래기록파기 •전자금융거래기록이불필요하게되는경우에는이를파기(신용정보는「신용정보의이용및보호에관한법률」의규정에따름)하도록함(제22조제2항,시행일:2015.4.16.).
  7. 7. 정보보호최고책임자겸직제한 •총자산,종업원수등을감안하여일정규모이상의대형금융회사또는전자금융업자의경우정보보호최고책임자의겸직을제한함으로써전자금융업무및정보기술부문보안의독립성과책임성을확보함(제21조의2제3항신설,시행일:2015.4.16.). 개정전자금융거래법주요내용(2014. 10. 15.) 제3자에대한업무위탁금지 •정보기술부문의정보보호관련업무를위탁받은전자금융보조업자는전자금융거래정보의보호및안전한처리를저해하지아니하는범위내에서금융위원회가인정하는경우를제외하고는해당업무를제3자에게재위탁하는것을금지함(제40조제6항신설,시행일:2015.4.16.). 거래정보의목적외사용시과징금부과 •전자금융거래정보를제공․누설하거나업무상목적외에사용한경우에대한과징금(50억원이하)부과규정을신설함(제46조제1항신설,시행일:2015.4.16.).
  8. 8. 정보를타인에게제공/누설또는목적외사용행위에대한벌칙강화 •접근권한을가지지아니한자의데이터유출행위및전자금융거래업무를수행함에있어알게된정보를타인에게제공‧누설하거나업무상목적외에사용하는행위에대한벌칙(10년이하의징역또는1억원이하의벌금)을강화함(제49조제1항,시행일:2015.4.16.). 안전성/신뢰성확보의무미이행시과태료부과 •금융회사등이전자금융거래의안전성과신뢰성을확보하기위한의무를이행하지않을경우등에대한과태료(5천만원이하)부과규정을신설함(제51조제1항,시행일:2015.4.16.). 개정전자금융거래법주요내용(2014. 10. 15.)
  9. 9. 전자금융거래법제9조의손해배상책임 금융회사또는전자금융업자의손해배상책임근거조항 제9조(금융회사또는전자금융업자의책임) ①금융회사또는전자금융업자는다음각호의어느하나에해당하는사고로인하여이용자에게손해가발생한경우에는그손해를배상할책임을진다. 1.접근매체의위조나변조로발생한사고 2.계약체결또는거래지시의전자적전송이나처리과정에서발생한사고 3.전자금융거래를위한전자적장치또는「정보통신망이용촉진및정보보호등에관한법률」 제2조제1항제1호에따른정보통신망에침입하여거짓이나그밖의부정한방법으로획득한접근매체의이용으로발생한사고 •제9조제1항제3호전자금융거래를위한전자적장치또는정보통신망에침입하여거짓이나그밖의부정한방법으로획득한접근매체의이용으로발생한사고(개인정보유출,피싱,파밍, 공인인증서도용,메모리해킹등)가추가되어금융기관의책임범위가확대
  10. 10. 전자금융거래법제9조의손해배상책임 금융회사또는전자금융업자의면책또는감경조항 제9조(금융회사또는전자금융업자의책임) ②제1항의규정에불구하고금융회사또는전자금융업자는다음각호의어느하나에해당하는경우에는그책임의전부또는일부를이용자가부담하게할수있다. 1.사고발생에있어서이용자의고의나중대한과실이있는경우로서그책임의전부또는일부를이용자의부담으로할수있다는취지의약정을미리이용자와체결한경우(중략) ③제2항제1호의규정에따른이용자의고의나중대한과실은대통령령이정하는범위안에서전자금융거래에관한약관(이하"약관"이라한다)에기재된것에한한다. •이용자의고의나중대한과실이있으면금융회사의책임을감면하는규정 •시행령:‘이용자의컴퓨터가해킹등사고로인하여접근매체가외부에유출’됨에따라발생한손해도이용자의고의/중대한과실이없으면금융회사가책임 •금융회사또는전자금융업자에대한무과실책임에준하는엄격한책임
  11. 11. 개인정보유출사고 2013. 3. 2013. 4. 2013. 5. 2013. 11. 2014. 1. 2014. 3. 3.20 전산대란 방송국, 은행전산망마비 정보유출규모확인불가 IBK직원정보유출적발 고객8,000여명의 신용정보, 개인정보유출시도 손보사개인정보유출 한화손보고객16만명 메리츠화재고객16만명 은행대출정보유출 한국SC은행103,000건 한국씨티은행34,000건 카드3사유출사건 총1억400만건 집단소송중 해킹프로그램 1,200만건유출후 텔레마케팅업체에판매 2차피해사례확인
  12. 12. 금융회사또는전자금융업자의책임 책임의증가 •개인정보유출사고의규모/빈도는계속증가하는추세 금융회사등의책임성강조 •2015.4.16.시행전금법은금융회사가공인인증서이외의보안수단을자율적으로결정할수있게함 금융기관등에부여된자율성만큼법적책임역시증가 •금융기관은피해자의고의/중과실이있는경우면책가능(전자금융거래법제9조) 고의/중과실은대통령령에규정된것에한정되므로,규정형식상금융기관등의책임은이미무과실책임에가까움 체계적인이상금융거래탐지시스템의구축필요성대두
  13. 13. 이상금융거래탐지시스템과 기술적, 법률적대응
  14. 14. FDS 개요 컴퓨팅운영환경과보안위협 시스템콜인터페이스(System call interface) 인증기술 암호통신 전자서명 키보드보안 백신 방화벽 피싱 탐지 전자금융 서비스 프로그램 운영 시스템커널 악성코드 악성코드 취약성(Exploitable Flow) PC환경 SW보안 모바일 환경 ???
  15. 15. FDS 개요 FDS 수집정보의유형 금융거래유형정보 •거래정보(거래패턴, 거래성향등) 사고유형정보 •유관기관 •국내외동향수집 •악성코드분석(포렌식조사, 분석) 이용자매체환경정보 •인터넷뱅킹 •스마트폰뱅킹 •PDA/VM뱅킹
  16. 16. FDS 개요 수집정보: 이용자프로파일 이용자프로파일 이용자정보 거래 정보 장치 정보 거래금액 거래시간 … … … 성별 나이 위치 MAC 이용자의환경및거래유형정보등을일정기간이상수집/축적하여이용자전자금융거래특징을통계적으로작성한정보
  17. 17. FDS 개요 FDS 도입 사용자구간에집중된보안대책의한계 계층적보안(LayeredSecurity)방안으로부정거래모니터링필요 실시간분석을통해고객의금융거래(Transaction)내역보호필요 정보수집 정보가공 정보축약 부정행위 분석탐지 보고조치 모니터링단계 탐지단계 대응단계
  18. 18. FDS 구성및주요기능 FDS 구성요소및주요기능 다양하게수집된정보를종합적으로분석하여이상금융거래유무를판별 4가지기능(정보수집,분석및탐지,대응,관리/운영및감사)이상호호환또는연동되도록구성
  19. 19. 전자금융거래사고에대한기술적/관리적대응 전자금융거래의사고분석∙대응 •이상금융거래탐지시스템(FDS)등보안시스템을이용하여사고의사전예방 •제출할증거를검증하기위한디지털포렌식 •보안시스템(FDS,PC지정,보안관제등)의로그분석 •기술적원인분석,관리적책임주체,피해액등을감정하는사고분석‘감정서’작성 •증적정보채증,사고분석,감정,법률자문,기술지원등의통합적대응 평소지속적으로전자금융보호를위한관리∙감독여부가핵심 •사고발생전관리감독정책&프로그램준비 •사고를적절히방지할수있는프로그램 •계열사의규모와정서를고려하여각종교육등으로공식화 •관리감독수준은관련업계의기준을충족또는능가하여야함 •지속적으로충실하게집행,업데이트
  20. 20. 탈공인인증서및안전한본인인증방법필요 •정보통신망법은이미이용자의주민등록번호를사용하지아니하고본인을확인하는대체수단을도입 •금융회사의경우는휴대폰인증등의방법을사용 •신용카드본인인증의법적효력부여필요 •실물카드의발급시카드배송직원이신분증의발급기관(운전면허증),발급날짜(주민등록증)등의추가적인정보를수집하여본인확인 •카드번호,유효기간,CVC값및비밀번호의앞2자리입력으로본인인증을받는경우상대적안전성 •여신전문금융업법또는전자금융거래법을개정하여본인인증(부인방지)효력을부여할필요(신용카드회사의인증기관화) •NFC장착신용카드의인증및결제방법등이개발될경우간편하면서도어떤결제방법보다안전한전자금융결제가능 전자금융거래사고에대한기술적/관리적대응
  21. 21. 개정법령에대한대응 •CISO의겸직제한및회사조직의재구성 •안전성/신뢰성확보방안강구 •원칙적제3자에대한업무위탁금지 전자금융거래사고에대한법률적대응 손해배상책임에대한대응 •사실상금융회사등은무과실책임에준하는책임부담 •공인인증서외의인증수단을자율적으로활용할수있는반면,그에대한책임부담 기술적/관리적대응을통한사전예방이곧법률적대응
  22. 22. 개인정보관련법령의개정필요성 •FDS의원활한운용은금융거래정보,이용자정보,디바이스정보,위치정보수집이전제 •현행개인정보보호법,위치정보보호법,정보통신망법등에서는정보의수집을제한 전자금융거래법상금융회사등의의무를이행할수있도록정보수집관련법령의통일적인개정이필요 개인정보등의활용에관한입법적제언
  23. 23. Q & A 테크앤로법률사무소/ 서울종로구종로1 교보생명빌딩15층/ 전화02-2010-8840 / 팩스02-2010-8985 / contact@teknlaw.com
  24. 24. 감사합니다 테크앤로법률사무소/ 서울종로구종로1 교보생명빌딩15층/ 전화02-2010-8840 / 팩스02-2010-8985 / contact@teknlaw.com 구태언 테크앤로법률사무소대표변호사

×