Day 12: 전자금융거래법

1. 전자금융거래법의 개요

1.1 전자금융거래법이란?

정식 명칭: 전자금융거래법

전자금융거래의 법률관계를 명확히 하고 전자금융거래의 안전성과 신뢰성을 확보함으로써 전자금융업무의 건전한 발전이용자를 보호하기 위한 법률

1.2 제정 배경

  • 2006년 4월 28일 제정
  • 인터넷뱅킹, 모바일뱅킹 등 전자금융 서비스 확대
  • 기존 금융 관련 법률로는 전자금융거래 규율에 한계
  • 전자금융거래 이용자 보호 필요성 증대

1.3 적용 범위

적용 대상

전자금융거래를 하는 자:

  • 금융기관 (은행, 증권사, 보험사 등)
  • 전자금융업자 (간편결제, 전자지급 등)
  • 전자금융보조업자 (PG사, VAN사 등)

전자금융거래의 정의 (법 제2조 제1호)

금융기관 또는 전자금융업자가 전자적 장치를 통하여 금융상품 및 서비스를 제공하고, 이용자가 금융기관 또는 전자금융업자의 종사자와 직접 대면하거나 의사소통을 하지 아니하고 자동화된 방식으로 이를 이용하는 거래

예시:

  • 인터넷뱅킹
  • 모바일뱅킹
  • ATM 거래
  • 간편결제 (토스, 카카오페이 등)
  • 전자지갑

1.4 개인정보보호법·정보통신망법과의 관계

  • 전자금융거래법은 특별법
  • 전자금융거래 관련 개인정보 처리는 전자금융거래법 우선 적용
  • 전자금융거래법에 규정이 없는 사항은 개인정보보호법·정보통신망법 적용

2. 전자금융거래법의 주요 내용

2.1 법의 구조

전자금융거래법은 크게 7개 장으로 구성:

1234567

2.2 보안 컨설팅 관점에서 중요한 조항

조항내용중요도
제6조안전성 확보 의무★★★
제9조전자금융거래 기록의 생성 및 보존★★★
제21조접근 매체의 선정과 사용 및 관리★★★
제21조의2안전성 확보 의무★★★
제22조전자적 전송의 기록 및 보존 등★★
제37조지급정보의 위조·변조 금지 등★★

3. 안전성 확보 의무 (법 제21조의2)

3.1 안전성 확보 의무의 내용

금융기관 및 전자금융업자는 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 다음의 조치를 취해야 함:

(1) 전자금융거래의 안전성 확보

  • 암호 기술 적용
  • 전자적 침해행위 방지 및 탐지 시스템 구축
  • 그 밖에 안전성 확보에 필요한 조치

(2) 이용자 정보의 안전성 확보

  • 이용자의 개인정보 및 전자금융거래 정보의 유출·변조·훼손 방지
  • 접근 통제 장치 설치·운영
  • 그 밖에 이용자 정보 보호에 필요한 조치

3.2 구체적인 안전성 확보 조치 (시행령 제11조의2)

(1) 정보기술부문

가. 접근 통제

  • 전자금융거래 처리 시스템에 대한 접근 권한 부여 및 통제
  • 관리자 및 업무 담당자의 업무 범위에 따른 권한 차등 부여

나. 암호화

  • 이용자의 개인정보 및 거래정보 암호화
  • 비밀번호, 계좌번호, 거래내역 등 주요 정보 암호화

다. 해킹 방지

  • 침입차단시스템 (방화벽) 설치·운영
  • 침입탐지시스템 (IDS) 또는 침입방지시스템 (IPS) 설치·운영
  • 보안 취약점 점검 및 개선

라. 전산실 보안

  • 전산실 등 물리적 접근 통제

마. 백업

  • 전자금융거래 정보의 정기적인 백업

(2) 인력 및 조직

가. 보안 조직

  • 정보보호 최고책임자(CISO) 지정
  • 정보보호 전담 조직 구성

나. 교육

  • 임직원에 대한 정기적인 보안 교육

다. 내부 통제

  • 내부 통제 정책 및 절차 수립·시행

(3) 물리적 보안

가. 전산실 보안

  • 출입 통제
  • CCTV 설치
  • 화재 감지·소화 설비

나. 중요 문서 관리

  • 중요 문서의 안전한 보관 및 파기

4. 전자금융거래 기록의 생성 및 보존 (법 제22조)

4.1 기록 생성 의무

금융기관 및 전자금융업자는 전자금융거래에 관한 기록을 생성하여야 함

기록 대상:

  • 거래 내용
  • 전자적 전송·처리 기록

4.2 기록 보존 의무

보존 기간

5년간 보존 (법 제22조 제1항)

보존 대상

  1. 거래 지시에 관한 기록: 거래 계좌번호, 거래 종류 및 금액, 거래 상대방 등
  2. 전자적 전송에 관한 기록: 전송 시간, 송수신자 등
  3. 그 밖에 전자금융거래의 안전성과 신뢰성 확보에 필요한 기록

기록 관리

  • 위·변조 방지 조치
  • 안전한 보관
  • 이용자 요구 시 제공 (열람권 보장)

4.3 이용자의 거래 지시 확인 의무

금융기관 및 전자금융업자는 이용자로부터 거래 지시를 받은 경우, 그 내용을 이용자에게 알려야

통지 방법:

  • SMS
  • 이메일
  • 앱 푸시 알림
  • 기타 전자적 방법

통지 내용:

  • 거래 내용
  • 거래 금액
  • 거래 일시

5. 접근 매체 (법 제2조 제10호, 제21조)

5.1 접근 매체의 정의

접근 매체: 전자금융거래에 있어서 거래 지시를 하거나 이용자 및 거래 내용의 진실성과 정확성을 확보하기 위하여 사용되는 수단 또는 정보

예시:

  • 신용카드, 체크카드
  • 전자식 카드 (IC 카드)
  • 공동인증서 (구 공인인증서)
  • OTP (One-Time Password)
  • 비밀번호
  • 생체정보

5.2 접근 매체의 선정 (법 제21조 제1항)

금융기관 및 전자금융업자는 안전성과 신뢰성이 확보될 수 있도록 접근 매체를 선정·관리해야 함

안전성 확보 방법:

  • 2개 이상의 접근 매체 조합 (이중 인증)
    • 예: 비밀번호 + OTP
    • 예: 공동인증서 + 비밀번호
  • 생체정보 등 위조·변조가 어려운 매체 사용

5.3 접근 매체의 위·변조 방지 의무 (법 제21조 제2항)

금융기관 및 전자금융업자는 접근 매체의 위조나 변조를 방지하기 위한 적절한 조치를 취해야 함

조치 예시:

  • 암호화
  • 전자 서명
  • OTP와 같은 일회용 비밀번호

5.4 접근 매체의 사용 및 관리 (법 제21조 제3항~제5항)

이용자의 의무

  • 접근 매체를 안전하게 관리
  • 제3자에게 대여·양도 금지

금융기관·전자금융업자의 의무

  • 접근 매체 발급 시 안전한 관리 방법 안내
  • 접근 매체 분실·도난 신고 접수 체계 마련

5.5 접근 매체 분실·도난 시 대응

이용자의 신고

  • 분실·도난 즉시 금융기관에 신고

금융기관의 조치

  • 신고 접수 즉시 해당 접근 매체 사용 정지
  • 부정 사용 방지 조치

6. 사고 발생 시 책임 (법 제9조, 제10조)

6.1 금융기관·전자금융업자의 책임 (법 제9조)

원칙: 무과실 책임

금융기관 또는 전자금융업자는 접근 매체의 위조나 변조로 발생한 사고에 대해 책임을 짐

즉, 이용자의 과실이 없으면 금융기관이 책임

예외

다음의 경우 책임 면제:

  1. 사고 발생이 이용자의 고의나 중대한 과실로 발생한 경우
  2. 법인이 아닌 이용자제3자에게 접근 매체를 대여하거나 사용을 위임한 경우 또는 양도나 담보 목적으로 제공한 경우

6.2 이용자의 책임 (법 제10조)

이용자의 과실

이용자가 접근 매체를 제3자에게 대여·양도하거나 사용을 위임한 경우 → 이용자가 책임

이용자의 경과실

이용자에게 경과실이 있는 경우 → 금융기관과 책임을 분담할 수 있음 (약관으로 정함)

예시:

  • 비밀번호를 타인이 쉽게 알 수 있는 정보로 설정
  • 접근 매체를 타인이 쉽게 접근할 수 있는 곳에 보관

6.3 책임의 한도 (법 제9조 제2항)

금융기관 또는 전자금융업자가 책임을 지는 경우, 사고 발생 시점의 손해액을 기준으로 배상

7. 전자금융감독규정 (금융감독원 규정)

7.1 전자금융감독규정이란?

금융감독원이 제정한 금융기관의 전자금융업무 감독을 위한 세부 규정

7.2 주요 내용

(1) 정보보호 최고책임자(CISO) 지정

  • 금융기관은 CISO 지정 의무
  • 임원급 이상

(2) 정보보호 조직

  • 정보보호 전담 조직 구성

(3) 전자금융사고 대응

  • 전자금융사고 대응 절차 수립
  • 모의훈련 정기 실시

(4) 보안성 심의

  • 신규 전자금융서비스 도입 시 보안성 심의

(5) 정기 점검

  • 취약점 진단 정기 실시
  • 모의해킹 실시

(6) 개인정보 보호

  • 개인정보 암호화 의무
  • 개인정보 접근 통제

8. 보안 컨설팅 관점의 시사점

8.1 금융권 보안 컨설팅의 특징

금융권은 타 산업 대비 보안 요구 수준이 매우 높음:

  • 법적 규제 강화 (전자금융거래법, 전자금융감독규정)
  • 금융감독원의 엄격한 감독
  • 높은 보안 사고 위험

8.2 금융권 컨설팅 시 중점 사항

(1) 법규 준수 (Compliance)

  • 전자금융거래법
  • 전자금융감독규정
  • 개인정보보호법

(2) 접근 매체 보안

  • 이중 인증 구현
  • OTP, 생체인증 등 도입

(3) 거래 기록 관리

  • 5년간 보존
  • 위·변조 방지

(4) 침해사고 대응 체계

  • 24시간 모니터링
  • 사고 대응팀 구성

(5) 정기 보안 점검

  • 취약점 진단 (분기 1회 이상)
  • 모의해킹 (연 1회 이상)

8.3 금융권 보안 인증

금융권에서 요구하는 주요 보안 인증:

  • ISMS-P (정보보호 및 개인정보보호 관리체계)
  • ISO 27001 (정보보호 관리체계 국제 표준)
  • PCI-DSS (신용카드 정보보호 표준)

9. 실무 사례

사례 1: 인터넷뱅킹 보안 강화

상황: 은행의 인터넷뱅킹 서비스

적용 법률:

  • 전자금융거래법
  • 전자금융감독규정

보안 조치:

  1. 접근 매체: 공동인증서 + OTP 이중 인증
  2. 암호화: SSL/TLS 통신 암호화, 개인정보 DB 암호화
  3. 거래 기록: 5년간 보존, 로그 위·변조 방지
  4. 침해 탐지: IPS, 이상 거래 탐지 시스템 (FDS)
  5. 정기 점검: 분기별 취약점 진단, 연 1회 모의해킹

사례 2: 간편결제 서비스

상황: 간편결제 앱 (예: 토스, 카카오페이)

적용 법률:

  • 전자금융거래법 (전자금융업자)

보안 조치:

  1. 접근 매체: 생체인증 (지문, 얼굴 인식) + 비밀번호
  2. 거래 알림: 거래 발생 시 즉시 SMS 또는 푸시 알림
  3. 이상 거래 탐지: AI 기반 이상 거래 탐지
  4. 개인정보 보호: 신용카드 번호 등 암호화

사례 3: 전자금융사고 대응

상황: ATM 스키밍 사고 발생

대응:

  1. 사고 인지 즉시 해당 ATM 사용 정지
  2. 영향받은 고객 파악
  3. 고객에게 즉시 통지 및 카드 재발급 안내
  4. 금융감독원에 보고
  5. 피해 고객 보상
  6. 재발 방지 대책 수립 (ATM 보안 강화)

10. 체크리스트

  • 전자금융거래 안전성 확보 조치를 하고 있는가?
  • 암호화를 적용하고 있는가?
  • 침입차단·탐지 시스템을 설치·운영하는가?
  • 전자금융거래 기록을 5년간 보존하는가?
  • 이용자에게 거래 지시 내용을 통지하는가?
  • 접근 매체를 안전하게 선정·관리하는가?
  • 이중 인증을 적용하는가?
  • 접근 매체 분실·도난 신고 체계가 있는가?
  • CISO를 지정했는가?
  • 정기적인 취약점 진단·모의해킹을 실시하는가?

학습 정리

오늘 학습한 핵심 내용:

  • 전자금융거래법은 전자금융거래의 안전성과 이용자 보호를 위한 법률
  • 금융기관·전자금융업자는 안전성 확보 의무 (암호화, 침해 방지, 접근 통제 등)
  • 전자금융거래 기록을 5년간 보존
  • 접근 매체는 안전성 확보를 위해 이중 인증 권장
  • 접근 매체 위·변조 사고 발생 시 금융기관이 책임 (무과실 책임)
  • 전자금융감독규정에 따라 CISO 지정, 정기 점검 등 의무
  • 금융권은 보안 요구 수준이 매우 높음

다음 학습 주제

Day 13: 신용정보법 - 신용정보의 이용 및 보호에 관한 법률