|
보 도 자 료 |
’10.5.31(월) |
|
작 성 |
국무총리실 규제총괄정책관실 팀 장 권영상 사무관 신재광 (T. 2100- 2283) |
||
행정안전부 정보보호정책과 과장 장영환 (T. 2100- 3626) |
|||
금융위원회 은행과 과장 김근익 (T. 2156- 9810) 금감원 IT서비스실 부국장 최재환 (T. 3145- 7182) |
|||
방송통신위원회 인터넷정책과 과장 홍진배 (T. 750- 2730) |
|||
중소기업청 사무관 윤세명 (T. 070- 7706- 1625) |
|||
’10.5.31(월) 14:00 이후 사용 바랍니다. |
배 포 |
공보지원비서관실 과장 민용식 (Tel. 2100- 2106) |
총리실, ‘전자금융거래 인증방법의 안전성 가이드라인’ 확정 - 금융기관에게 인증방법 선택권 부여 - |
□ 국무총리실은 5.31(월) 금융위원회, 방송통신위원회 등 관계부처와 공동으로 전자금융거래시 공인인증서와 병행하여 사용할 수 있는 인증방법에 대한 안전성 가이드라인을 확정, 발표했다.
ㅇ 이로 인해 지난 4월부터 공인인증서를 사용하지 않고도 스마트폰을 이용한 30만원 미만의 소액결제가 가능하게 된 데 이어, 올 하반기부터는 e- 뱅킹과 30만원 이상의 전자결제에도 공인인증서 이외의 인증방법이 적용될 수 있게 되었다.
- 1 -
□ 이번 가이드라인은 전자금융거래시 적용될 인증방법이 갖추어야 할 기술적 안전성 요건을 규정한 것으로서 △이용자 확인, △서버인증, △통신채널 암호화, △거래내역의 위변조 방지, △거래 부인 방지 기능 등 5개 항목이 제시되었고,
ㅇ 금융기관 또는 전자금융업자가 각자의 거래유형이나 보안위험 등을 고려하여 안전한 인증서비스 제공을 위해 필요한 기술적 요건을 자율적으로 적용하도록 선택권을 부여했다.
□ 앞으로, 금융기관 또는 전자금융업자는 공인인증서를 사용하지 않고도 이용자 인증, 서버인증 및 통신채널 암호화 요건을 갖춘 경우에는 인증방법평가위원회의 안전성 평가를 거쳐 다양한 전자금융 서비스를 제공할 수 있게 되었다.
ㅇ 인증방법평가위원회는 금융감독원에 설치하되, 민간 전문가가 참여하고 세부 평가기준도 공개하는 등 객관적이고 투명하게 운영된다.
ㅇ 아울러, 금감원이 지정한 공인기관에서 기술검증을 받은 경우에는 인증방법평가위원회의 평가를 생략할 수 있도록 하는 한편, 평가를 거친 인증방법에 대해서는 금감원의 보안성 심의를 간소화 하기로 하였다.
□ 금융위와 금감원은 6월중에「전자금융 감독규정」및「전자금융 감독규정 시행규칙」개정을 마무리하고, 7월부터 금융기관 등이 요청하는 인증방법을 구체적으로 평가할 수 있도록 위원회 구성 등 본격적인 준비작업에 나설 계획이다.
□ ‘안전성 가이드라인’은 현행 공인인증서가 스마트폰 등 새로운 인터넷 환경에 적용되기 어렵고 사용절차도 복잡해, 다른 보안기술도 병행하여 사용할 수 있도록 지난 3.31 정부와 한나라당이 합의한 ‘전자금융거래시 공인인증서 의무사용 규제완화 방안’의 후속조치로 이루어졌다.
ㅇ 총리실은 당정협의 이후 전자금융거래 안전성 기준제정을 위한 민관협의체*를 구성하여 전문가 및 이해관계자의 의견수렴을 하였으며, 관계부처협의를 거쳐 이날「전자금융거래 인증방법의 안전성 가이드라인」을 최종 확정하였다.
* 금융위‧금감원‧행안부‧방통위‧중기청, 학계‧정보보호 전문가, 은행‧전자결제업자
※ 붙임 : 전자금융거래시 인증방법에 대한 가이드라인
- 2 -
[붙임]
전자금융거래시 인증방법에 대한 가이드라인 |
1. 기본원칙
□ 동 가이드라인은 「전자금융거래시 공인인증서 사용의무 규제완화 방안」발표(3.31)에 따라, 금융기관과 전자금융업자가 자율적으로 인증방법을 선택할 수 있도록 공인인증서와 동등한 수준의 안전성 기준을 제시함
o 금융감독기관은 금융기관과 전자금융업자가 전자금융거래에 적합한 인증방법을 인증방법에 관한 기술중립성의 원칙에 입각하여 자율적으로 선택할 수 있도록 노력하여야 함
o 금융기관과 전자금융업자는 전자금융거래 이용자가 안전하고 편리하게 전자금융 서비스에 접근할 수 있도록 전자금융거래별 보안위험(Risk) 요인에 대한 분석에 따라 다양한 인증방법을 제공할 수 있음
□ 금융기관 또는 전자금융업자는 공인인증서 외의 인증방법을 사용하고자 하는 경우, 거래의 유형 등을 고려한 적정한 인증방법을 선택하여 인증방법평가위원회에 평가를 요청
- 3 -
2. 기술적 요건
□ 인증방법평가위원회는 다음의 기술적 요건들을 고려하여 인증방법의 안전성을 평가하되,
ㅇ 전자금융거래의 유형, 거래한도 등에 따라 위의 기술적 요건들을 선택적으로 적용
① (이용자 인증) 금융기관 또는 전자금융업자는 전자금융거래 제공시 정당한 이용자 여부를 식별 및 인증할 수 있어야 함
② (서버 인증) 금융기관 또는 전자금융업자는 이용자가 서버(정보처리시스템)에 접속한 경우 정당한 금융기관 등의 여부를 이용자가 식별 및 인증할 수 있도록 하여야 함
③ (통신채널의 암호화) 금융기관 또는 전자금융업자는 이용자와 서버간의 전자금융거래내역 등 중요정보가 유출되지 않도록 암호화를 통한 비밀성‧무결성을 제공하여야 함
④ (거래내역의 무결성) 금융기관 또는 전자금융업자는 해당 전자금융거래내역의 위조‧변조 여부를 확인할 수 있어야 함
⑤ (거래내역의 부인방지) 금융기관 또는 전자금융업자는 정당한 전자금융거래 사실을 이용자 및 금융기관이 부인할 수 없는 수단을 제공할 수 있어야함
※(예시) 금융기관 또는 전자금융업자는 이용자 인증, 서버인증 및 통신채널 암호화의 요건을 갖춘경우, 거래한도 등을 정하여 인증방법평위원회의 평가를 받아 금융거래를 할 수 있다.
- 4 -
3. 인증방법평가위원회 설치‧운영
□「전자금융감독규정」 제7조제2항에 따라 민간전문가 등으로 구성된 인증방법평가위원회를 금융감독원에 설치
ㅇ 위원회는 금융기관 등이 평가를 요청한 인증방법에 대해 동 가이드라인의 반영 여부를 판단
* 금융기관 또는 전자금융업자가 인증방법에 대해 인증방법평가위원회의 판단을 거친 경우에는 금감원의 보안성 심의에 있어서 인증방법에 관한 부분은 심의 절차를 생략할 수 있다.
ㅇ 위원회는 전자금융거래 유형별 보안강도, 신규 인증방법에 대한 보안등급 등 세부평가기준을 마련, 공개하여야 함
□ 위원회는 인증방법의 기술적인 내용에 대한 객관적인 평가를 위해 공인된 기관의 검증결과를 활용할 수 있음
* 단, 이 경우 금융기관 등이 금융감독원장이 인정한 기관의 검증을 받은 경우에는 인증방법평가위원회의 평가를 생략할 수 있다.
□ 기타 위원회 운영에 관한 세부사항은 금융감독원장이 정함
- 5 -