Day 12: 전자금융거래법
목차
Day 12: 전자금융거래법 #
1. 전자금융거래법의 개요 #
1.1 전자금융거래법이란? #
정식 명칭: 전자금융거래법
전자금융거래의 법률관계를 명확히 하고 전자금융거래의 안전성과 신뢰성을 확보함으로써 전자금융업무의 건전한 발전과 이용자를 보호하기 위한 법률
1.2 제정 배경 #
- 2006년 4월 28일 제정
- 인터넷뱅킹, 모바일뱅킹 등 전자금융 서비스 확대
- 기존 금융 관련 법률로는 전자금융거래 규율에 한계
- 전자금융거래 이용자 보호 필요성 증대
1.3 적용 범위 #
적용 대상 #
전자금융거래를 하는 자:
- 금융기관 (은행, 증권사, 보험사 등)
- 전자금융업자 (간편결제, 전자지급 등)
- 전자금융보조업자 (PG사, VAN사 등)
전자금융거래의 정의 (법 제2조 제1호) #
금융기관 또는 전자금융업자가 전자적 장치를 통하여 금융상품 및 서비스를 제공하고, 이용자가 금융기관 또는 전자금융업자의 종사자와 직접 대면하거나 의사소통을 하지 아니하고 자동화된 방식으로 이를 이용하는 거래
예시:
- 인터넷뱅킹
- 모바일뱅킹
- ATM 거래
- 간편결제 (토스, 카카오페이 등)
- 전자지갑
1.4 개인정보보호법·정보통신망법과의 관계 #
- 전자금융거래법은 특별법
- 전자금융거래 관련 개인정보 처리는 전자금융거래법 우선 적용
- 전자금융거래법에 규정이 없는 사항은 개인정보보호법·정보통신망법 적용
2. 전자금융거래법의 주요 내용 #
2.1 법의 구조 #
전자금융거래법은 크게 7개 장으로 구성:
제1장 총칙
제2장 전자금융업
제3장 전자금융거래
제4장 전자지급수단
제5장 전자지급결제대행업 및 결제대금예치업
제6장 감독 및 검사
제7장 벌칙
2.2 보안 컨설팅 관점에서 중요한 조항 #
| 조항 | 내용 | 중요도 |
|---|---|---|
| 제6조 | 안전성 확보 의무 | ★★★ |
| 제9조 | 전자금융거래 기록의 생성 및 보존 | ★★★ |
| 제21조 | 접근 매체의 선정과 사용 및 관리 | ★★★ |
| 제21조의2 | 안전성 확보 의무 | ★★★ |
| 제22조 | 전자적 전송의 기록 및 보존 등 | ★★ |
| 제37조 | 지급정보의 위조·변조 금지 등 | ★★ |
3. 안전성 확보 의무 (법 제21조의2) #
3.1 안전성 확보 의무의 내용 #
금융기관 및 전자금융업자는 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 다음의 조치를 취해야 함:
(1) 전자금융거래의 안전성 확보 #
- 암호 기술 적용
- 전자적 침해행위 방지 및 탐지 시스템 구축
- 그 밖에 안전성 확보에 필요한 조치
(2) 이용자 정보의 안전성 확보 #
- 이용자의 개인정보 및 전자금융거래 정보의 유출·변조·훼손 방지
- 접근 통제 장치 설치·운영
- 그 밖에 이용자 정보 보호에 필요한 조치
3.2 구체적인 안전성 확보 조치 (시행령 제11조의2) #
(1) 정보기술부문 #
가. 접근 통제
- 전자금융거래 처리 시스템에 대한 접근 권한 부여 및 통제
- 관리자 및 업무 담당자의 업무 범위에 따른 권한 차등 부여
나. 암호화
- 이용자의 개인정보 및 거래정보 암호화
- 비밀번호, 계좌번호, 거래내역 등 주요 정보 암호화
다. 해킹 방지
- 침입차단시스템 (방화벽) 설치·운영
- 침입탐지시스템 (IDS) 또는 침입방지시스템 (IPS) 설치·운영
- 보안 취약점 점검 및 개선
라. 전산실 보안
- 전산실 등 물리적 접근 통제
마. 백업
- 전자금융거래 정보의 정기적인 백업
(2) 인력 및 조직 #
가. 보안 조직
- 정보보호 최고책임자(CISO) 지정
- 정보보호 전담 조직 구성
나. 교육
- 임직원에 대한 정기적인 보안 교육
다. 내부 통제
- 내부 통제 정책 및 절차 수립·시행
(3) 물리적 보안 #
가. 전산실 보안
- 출입 통제
- CCTV 설치
- 화재 감지·소화 설비
나. 중요 문서 관리
- 중요 문서의 안전한 보관 및 파기
4. 전자금융거래 기록의 생성 및 보존 (법 제22조) #
4.1 기록 생성 의무 #
금융기관 및 전자금융업자는 전자금융거래에 관한 기록을 생성하여야 함
기록 대상:
- 거래 내용
- 전자적 전송·처리 기록
4.2 기록 보존 의무 #
보존 기간 #
5년간 보존 (법 제22조 제1항)
보존 대상 #
- 거래 지시에 관한 기록: 거래 계좌번호, 거래 종류 및 금액, 거래 상대방 등
- 전자적 전송에 관한 기록: 전송 시간, 송수신자 등
- 그 밖에 전자금융거래의 안전성과 신뢰성 확보에 필요한 기록
기록 관리 #
- 위·변조 방지 조치
- 안전한 보관
- 이용자 요구 시 제공 (열람권 보장)
4.3 이용자의 거래 지시 확인 의무 #
금융기관 및 전자금융업자는 이용자로부터 거래 지시를 받은 경우, 그 내용을 이용자에게 알려야 함
통지 방법:
- SMS
- 이메일
- 앱 푸시 알림
- 기타 전자적 방법
통지 내용:
- 거래 내용
- 거래 금액
- 거래 일시
5. 접근 매체 (법 제2조 제10호, 제21조) #
5.1 접근 매체의 정의 #
접근 매체: 전자금융거래에 있어서 거래 지시를 하거나 이용자 및 거래 내용의 진실성과 정확성을 확보하기 위하여 사용되는 수단 또는 정보
예시:
- 신용카드, 체크카드
- 전자식 카드 (IC 카드)
- 공동인증서 (구 공인인증서)
- OTP (One-Time Password)
- 비밀번호
- 생체정보
5.2 접근 매체의 선정 (법 제21조 제1항) #
금융기관 및 전자금융업자는 안전성과 신뢰성이 확보될 수 있도록 접근 매체를 선정·관리해야 함
안전성 확보 방법:
- 2개 이상의 접근 매체 조합 (이중 인증)
- 예: 비밀번호 + OTP
- 예: 공동인증서 + 비밀번호
- 생체정보 등 위조·변조가 어려운 매체 사용
5.3 접근 매체의 위·변조 방지 의무 (법 제21조 제2항) #
금융기관 및 전자금융업자는 접근 매체의 위조나 변조를 방지하기 위한 적절한 조치를 취해야 함
조치 예시:
- 암호화
- 전자 서명
- OTP와 같은 일회용 비밀번호
5.4 접근 매체의 사용 및 관리 (법 제21조 제3항~제5항) #
이용자의 의무 #
- 접근 매체를 안전하게 관리
- 제3자에게 대여·양도 금지
금융기관·전자금융업자의 의무 #
- 접근 매체 발급 시 안전한 관리 방법 안내
- 접근 매체 분실·도난 신고 접수 체계 마련
5.5 접근 매체 분실·도난 시 대응 #
이용자의 신고 #
- 분실·도난 즉시 금융기관에 신고
금융기관의 조치 #
- 신고 접수 즉시 해당 접근 매체 사용 정지
- 부정 사용 방지 조치
6. 사고 발생 시 책임 (법 제9조, 제10조) #
6.1 금융기관·전자금융업자의 책임 (법 제9조) #
원칙: 무과실 책임 #
금융기관 또는 전자금융업자는 접근 매체의 위조나 변조로 발생한 사고에 대해 책임을 짐
즉, 이용자의 과실이 없으면 금융기관이 책임
예외 #
다음의 경우 책임 면제:
- 사고 발생이 이용자의 고의나 중대한 과실로 발생한 경우
- 법인이 아닌 이용자가 제3자에게 접근 매체를 대여하거나 사용을 위임한 경우 또는 양도나 담보 목적으로 제공한 경우
6.2 이용자의 책임 (법 제10조) #
이용자의 과실 #
이용자가 접근 매체를 제3자에게 대여·양도하거나 사용을 위임한 경우 → 이용자가 책임
이용자의 경과실 #
이용자에게 경과실이 있는 경우 → 금융기관과 책임을 분담할 수 있음 (약관으로 정함)
예시:
- 비밀번호를 타인이 쉽게 알 수 있는 정보로 설정
- 접근 매체를 타인이 쉽게 접근할 수 있는 곳에 보관
6.3 책임의 한도 (법 제9조 제2항) #
금융기관 또는 전자금융업자가 책임을 지는 경우, 사고 발생 시점의 손해액을 기준으로 배상
7. 전자금융감독규정 (금융감독원 규정) #
7.1 전자금융감독규정이란? #
금융감독원이 제정한 금융기관의 전자금융업무 감독을 위한 세부 규정
7.2 주요 내용 #
(1) 정보보호 최고책임자(CISO) 지정 #
- 금융기관은 CISO 지정 의무
- 임원급 이상
(2) 정보보호 조직 #
- 정보보호 전담 조직 구성
(3) 전자금융사고 대응 #
- 전자금융사고 대응 절차 수립
- 모의훈련 정기 실시
(4) 보안성 심의 #
- 신규 전자금융서비스 도입 시 보안성 심의
(5) 정기 점검 #
- 취약점 진단 정기 실시
- 모의해킹 실시
(6) 개인정보 보호 #
- 개인정보 암호화 의무
- 개인정보 접근 통제
8. 보안 컨설팅 관점의 시사점 #
8.1 금융권 보안 컨설팅의 특징 #
금융권은 타 산업 대비 보안 요구 수준이 매우 높음:
- 법적 규제 강화 (전자금융거래법, 전자금융감독규정)
- 금융감독원의 엄격한 감독
- 높은 보안 사고 위험
8.2 금융권 컨설팅 시 중점 사항 #
(1) 법규 준수 (Compliance) #
- 전자금융거래법
- 전자금융감독규정
- 개인정보보호법
(2) 접근 매체 보안 #
- 이중 인증 구현
- OTP, 생체인증 등 도입
(3) 거래 기록 관리 #
- 5년간 보존
- 위·변조 방지
(4) 침해사고 대응 체계 #
- 24시간 모니터링
- 사고 대응팀 구성
(5) 정기 보안 점검 #
- 취약점 진단 (분기 1회 이상)
- 모의해킹 (연 1회 이상)
8.3 금융권 보안 인증 #
금융권에서 요구하는 주요 보안 인증:
- ISMS-P (정보보호 및 개인정보보호 관리체계)
- ISO 27001 (정보보호 관리체계 국제 표준)
- PCI-DSS (신용카드 정보보호 표준)
9. 실무 사례 #
사례 1: 인터넷뱅킹 보안 강화 #
상황: 은행의 인터넷뱅킹 서비스
적용 법률:
- 전자금융거래법
- 전자금융감독규정
보안 조치:
- 접근 매체: 공동인증서 + OTP 이중 인증
- 암호화: SSL/TLS 통신 암호화, 개인정보 DB 암호화
- 거래 기록: 5년간 보존, 로그 위·변조 방지
- 침해 탐지: IPS, 이상 거래 탐지 시스템 (FDS)
- 정기 점검: 분기별 취약점 진단, 연 1회 모의해킹
사례 2: 간편결제 서비스 #
상황: 간편결제 앱 (예: 토스, 카카오페이)
적용 법률:
- 전자금융거래법 (전자금융업자)
보안 조치:
- 접근 매체: 생체인증 (지문, 얼굴 인식) + 비밀번호
- 거래 알림: 거래 발생 시 즉시 SMS 또는 푸시 알림
- 이상 거래 탐지: AI 기반 이상 거래 탐지
- 개인정보 보호: 신용카드 번호 등 암호화
사례 3: 전자금융사고 대응 #
상황: ATM 스키밍 사고 발생
대응:
- 사고 인지 즉시 해당 ATM 사용 정지
- 영향받은 고객 파악
- 고객에게 즉시 통지 및 카드 재발급 안내
- 금융감독원에 보고
- 피해 고객 보상
- 재발 방지 대책 수립 (ATM 보안 강화)
10. 체크리스트 #
- 전자금융거래 안전성 확보 조치를 하고 있는가?
- 암호화를 적용하고 있는가?
- 침입차단·탐지 시스템을 설치·운영하는가?
- 전자금융거래 기록을 5년간 보존하는가?
- 이용자에게 거래 지시 내용을 통지하는가?
- 접근 매체를 안전하게 선정·관리하는가?
- 이중 인증을 적용하는가?
- 접근 매체 분실·도난 신고 체계가 있는가?
- CISO를 지정했는가?
- 정기적인 취약점 진단·모의해킹을 실시하는가?
학습 정리 #
오늘 학습한 핵심 내용:
- 전자금융거래법은 전자금융거래의 안전성과 이용자 보호를 위한 법률
- 금융기관·전자금융업자는 안전성 확보 의무 (암호화, 침해 방지, 접근 통제 등)
- 전자금융거래 기록을 5년간 보존
- 접근 매체는 안전성 확보를 위해 이중 인증 권장
- 접근 매체 위·변조 사고 발생 시 금융기관이 책임 (무과실 책임)
- 전자금융감독규정에 따라 CISO 지정, 정기 점검 등 의무
- 금융권은 보안 요구 수준이 매우 높음
다음 학습 주제 #
Day 13: 신용정보법 - 신용정보의 이용 및 보호에 관한 법률