울지않는벌새 : Security, Movie & Society

전자금융사기 예방서비스 시행 안내 (2013.9.26)

벌새::Security

2012년 중순경부터 국내 인터넷뱅킹 사용자를 노리는 악성코드가 무차별적으로 유포됨과 함께 점점 교묘하게 진화하여 금융 피해가 발생함에 따라 2013년 9월 26일부터 "전자금융사기 예방서비스"가 전면 시행되었습니다.

출처 : 신한은행(http://www.shinhan.com)

이번에 의무적으로 시행되는 전자금융사기 예방서비스는 보이스피싱을 통한 금전 피해 예방 및 악성코드 감염을 통해 피싱 사이트에 접속하여 금융 정보를 입력하여 금전 피해를 당하는 고객을 예방하기 위하여 현재의 본인 확인 절차를 강화한 서비스를 의미합니다.

 

[전자금융사기 예방서비스 대상]

 

1. 공인인증서 (재)발급 및 타행(타기관) 공인인증서 등록시

 

2. 인터넷뱅킹(스마트폰뱅킹 포함)을 통해 300만원 이상(ID별 1일 누적 기준) 이체 거래시

 

전자금융사기 예방서비스는 공인인증서 (재)발급 또는 타행(기관) 공인인증서를 등록할 때, 인터넷뱅킹 또는 스마트폰뱅킹을 통해 1일 기준으로 300만원 이상을 이체할 때 반드시 추가 본인 인증 절차를 거쳐야 합니다.

 

추가 본인 인증 방식은 3가지로 제시되어 있으며 사용자는 그 중 1개 방식을 선택하여 인증을 한 후 이체가 가능하며, 특히 공인인증서 (재)발급 및 타행(타기관) 공인인증서 등록시에는 OTP(One-Time Password) 사용자의 경우에도 반드시 추가 본인 인증을 해야합니다.

  1. 단말기 지정 서비스(PC 또는 스마트폰을 최대 5대까지 지정 가능)를 이용하여 지정된 단말기를 통해 추가 인증없이 이용 가능
  2. 은행을 방문하여 OTP(One-Time Password) 발급을 통해 추가 본인 인증없이 이체 거래 가능(※ 공인인증서 (재)발급 및 타행(타기관) 공인인증서 등록시에는 추가 본인 인증 필요)
  3. 추가 본인 인증(고객 정보에 등록된 전화번호를 통한 ARS 또는 SMS 문자 인증) 후 이체 가능

또한 해외 체류 및 해외 거주자가 300만원 이상 이체를 할 경우에는 다음과 같은 규정이 추가되었습니다.

  • 인터넷뱅킹 이체시 "해외 출국 확인"을 선택하여 연결되는 "법무부 출입국관리사무소 시스템"을 통해 출국 사실이 확인되면 별도의 추가 본인 인증없이 이체 가능
  • 해외 출국시에는 공인인증서를 USB에 저장하여 출국
  • 해외 출국시에는 단말기 지정 서비스, 인터넷뱅킹 전화승인 서비스 신청 고객은 서비스 해지 후 출국(단, 해외에서 추가 본인 인증이 가능한 경우 제외)

위와 같은 전자금융사기 예방서비스가 2013년 9월 26일부터 전면 시행됨에 따라 인터넷뱅킹을 통해 300만원 이상 이체를 원하는 사용자는 각 금융사 인터넷뱅킹 사이트에서 추가적인 안내를 통해 본인 인증을 하시기 바랍니다.

 

  계좌 이체 정보를 변경하는 인터넷뱅킹 악성코드 주의 (2013.9.17)

 

하지만 최근 인터넷뱅킹 악성코드에 감염된 PC 중 진화된 메모리 해킹 방식을 통해 사용자가 계좌 이체를 위해 입력한 계좌 번호, 이름, 금액을 이체 완료 시점에서 변경하는 방식으로 피해자가 직접 익명의 계좌에 이체를 하는 방식이 등장하였습니다.

 

이런 경우에는 전자금융사기 예방서비스를 통한 추가적인 본인 인증 절차를 거쳐도 본인이 범죄자의 계좌에 직접 송금하게 되는 것이므로 이번에 시행되는 추가 본인 인증 절차가 무력화된 상태로 볼 수 있습니다.

 

또한 감염된 PC로 300만원 이상이 아닌 190만원, 290만원씩으로 이체 금액을 조작하여 계좌 이체를 하도록 할 경우에는 추가적인 본인 인증 절차가 필요없다는 점에서 여전히 인터넷뱅킹 악성코드로부터 자유로울 수 없다는 점을 명심하시기 바랍니다.

최근 인터넷뱅킹을 통한 계좌 이체시에는 신한은행의 경우 이체 정보란에 붉은색으로 박스 처리를 통해 시각적으로 사용자가 입력한 "입금은행 계좌", "받는분"이 정확한지 강조하고 있습니다.

 

이는 앞서 언급한 계좌 이체 정보를 사용자 몰래 변경하는 인터넷뱅킹 악성코드 감염에 대한 예방 차원에서 이루어지고 있는 것으로 보이므로, 계좌 이체 과정에서는 끝까지 계좌 정보를 확인하여 만약 자신이 입력한 정보와 다른 계좌로 이체가 이루어진 경우에는 즉시 은행에 전화하여 피해를 예방하시기 바랍니다.

 

  <중앙일보> 고객 과실로 피싱당해도 은행이 30% 배상 판결 (2013.7.19)

 

참고로 현재 법적으로 피싱(Phishing) 범죄에 속아 공인인증서 번호를 모두 입력하여 금전적 피해를 당할 경우 은행은 고객에게 피해액의 30%까지만 손해배상을 한다는 판결이 내려진 상태입니다.

 

그러므로 소액결제(30만원) 피해와는 다르게 인터넷뱅킹 금전를 당한 경우에는 법적 보호를 받기 매우 어려울 수 있으므로 사용자가 능동적으로 인터넷뱅킹 악성코드에 감염되지 않도록 하시기 바랍니다.

 

  업데이트 : 네이버 클리너(Naver Cleaner) 호스트 변조 알림 기능 추가 (2013.9.12)

 

마지막으로 개인적으로 추천해 드리는 인터넷뱅킹 악성코드 감염으로부터 예방하기 위한 방법으로 링크를 통해 제시된 4가지 방법을 꼭 지키시길 바랍니다.