인디노트

[Kisa] 암호의 이해와 키 관리 실무 - 3일차 정보보안 Compliance 본문

인증기술

[Kisa] 암호의 이해와 키 관리 실무 - 3일차 정보보안 Compliance

인디개발자 2018. 5. 5. 13:46

정보보안 Compliance 의 과거와 현재


전자정부법 시행령 ( 2014. 12. 09 )에 따르면

제69조 (전자문서의 보관·유통 관련 보안조치) 
① 행정기관의 장은 정보통신망을 이용하여 전자문서를 보관·유통할 때에는 법 제56조제3항에 따라 국가정보원장이 안전성을 확인한 다음 각 호의 보안조치를 하여야 한다.
1. 국가정보원장이 개발하거나 안전성을 검증한 암호장치와 정보보호시스템의 도입·운용
2. 전자문서가 보관·유통되는 정보통신망에 대한 보안대책의 시행
② 행정기관의 장이 제1항의 보안조치를 이행하는 경우에는 미리 국가정보원장에게 보안성 검토를 요청하여야 한다.
③ 제1항 및 제2항에서 규정한 사항 외에 정보통신망을 이용한 전자문서의 보관·유통 관련 보안조치에 관하여 필요한 사항은 국가정보원장이 따로 지침으로 정할 수 있다.

공공기관에 들어가는 시스템은 인증 받아야 한다.


그렇다면 각 웹 브라우저 벤더가 개발 또는 탑재한 HTTPS 는 어떻게 할 것인가?
그들이 CC인증 받는가? 아니다.. 하지만 예외 조항을 두기 시작하면 끝이 없음.


전자금융감독규정


공인 인증서 - 37조

예전에는 반드시 공인 인증서를 사용하도록 되어 있었다.

그러는 와중에 천송이 코트 사건이 터져버렸다.

-> 공인인증서와 ActiveX 때문에 중국인들이 천송이 코트를 못사서 엄청난 피해를 입음.
다만 이것은 공인 인증서 문제는 아니고 그 쇼핑몰이 해외 PG 를 연동하지 않았던 이슈다.
해외 카드를 쓴다면 그 회사의 인증 Compliance 를 따른다. 
즉 해외 PG 를 연동하면 굳이 공인인증서 안써도 되는 거임.
물론 한국인이라면 해외에서 공인인증서 발급이 어려워 문제가 있었을 것이다.

 금융회사 또는 전자금융업자는 전자금융거래의 종류·성격·위험수준 등을 고려하여 안전한 인증방법을 사용하여야 한다.

-> 결론적으로 이렇게 수정되었다.
안전한 기준은? 결국 금융회사가 떠안게 된다.

그러나 사실상 페이팔 사고가 0.9% -> 0.3% 
한국은 0.0001% 정도...굉장히 안전한 편이다.

보안 프로그램

하나은행에서 가장 먼저 아이폰 출시와 함께 최초로 인터넷 뱅킹을 출시했다.
다만 그때 법 규정이 없어서 전자 금융 감독원에서 매우 당황하게 된다.

2011년 -
이제서야 '이용자 PC' 가 아니라 '전자적 장치' 로 명시하여 
보안 프로그램을 설치하도록 했다. 

그리고 현재는 이런 규정마저 삭제하여 보안 프로그램을 설치하던 말던 상관없고
대신 사고나면 너네 책임이라고 규정을 바꾸었다.

매체 분리의 법칙 - 34조
예전에는 스마트폰에 OTP 못 넣었다.

이제는 삭제되었고 MOTP 사용 가능해짐. 요새는 스마트폰에 스마트 OTP 사용 가능.


보안카드
예전에 파밍을 이용해 보안카드 몇개만 입력하라고 하고, 
해커는 원하는 보안카드 번호가 나올 때까지 계속 F5 를 입력해서 돈을 빼감.

그래서 규정이 새로 생겼다. 은행에서 한번 물어본 번호를 또 물어보라고

그런데 이후에 이걸 역이용한 메모리 해킹 사례가 발생.
해커가 보안 카드 번호를 가로챈 다음 사용자에게는 에러메시지 띄우고,
실제로 해당 보안 카드 번호를 이용해 돈을 빼감.

그래서 문구 삭제. 사고나면 너네 책임.


웹 어플리케이션 취약점 - 13조

2006년 -
SQL Injection, 업로드 취약점, Cookie Injection, XSS, BOF, 
부적절한 파라미터, 접근통제 취약점, 적절한 환경설정 취약점에 대해서 막으라고 나왔다.
매우 선구적인 사람들이었음. 그 당시에는 한글 문서도 없었고 아는 업체도 없었다.

2015년 -
알아서 해킹 공격에 노출 되지 않도록 대응 조치 해야한다고 수정 함.


홈페이지 관리 - 17조

2011년 - 
관리자 모드에 대한 인증 강화 ( 아이디 / 비밀번호 + 공인인증서 등 )

2015년 - 
공인인증서나 포트 관련 문구 삭제


보안성 심의 - 36조

2015년 - 공공기관은 보안성 심의 좀 면제되도록 수정
2015년 6월 - 자체 보안성 심의 후 결과 보고서를 금감원에 제출하도록 변경.



전자금융거래법

책임 - 9조

1차적으로 금융회사나 전자 금융업자의 책임

2015년 - 
고의나 중대한 과실이 있는 경우 
책임 전부나 일부를 이용자가 부담하게 할 수 있다.

왜냐하면 처음에는 은행에서 다 부담했지만 워낙 파밍이 기승을 부리자
캠페인도 많이 하고 노력해서 사용자에게 알렸음에도 
불구하고 보안카드 번호를 다 입력한 건 사용자 부주의로 볼 수 있음.


전기통신금융사기 피해 환급에 관한 특별법


환급
2014년 - 
ㆍ전기통신금융사기죄 신설 (10년이하 / 1억원 이하)
ㆍ온라인 대출 신청 및 저축상품 해지 시 
금융회사의 본인확인 의무화 (전화인증, 휴대폰 SMS)
ㆍ금융회사는 FDS를 통해 사기임을 탐지한 경우 이체/송금을 지연 및 일시 정지
ㆍ사기이용계좌(대포통장) 명의인에 대해 전자금융거래 제한

모든 전자금융 사기의 핵심에는 대포통장이 있다.


Compliance
많은 Compliance 가 있는데 지금은 가이드 하는 식이다.
하지만 결국 자율과 책임 위주로 가게 될 것이다.


반응형
Comments