• 정보보호학회지
• /
• 제23권6호
• /
• pp.41-48
• /
• 2013

전자금융 사기범이 전화, SMS, 이메일을 통하여 통신회사, 경찰청, 검찰청 및 금융감독당국 등을 사칭하여 피해자로 하여금 사칭기관의 위장 홈페이지로 유도하여 피해자의 금융 정보를 불법적으로 취득하여 피해자의 금융자산을 인출해나가는 금융 분야에서 발생하는 특수 사기범죄의 피해가 줄지 않고 있다. 이에 대한 대책으로 금융감독당국과 금융회사는 지연인출제도, 카드론 취급 강화, 공인인증서 재발급 및 사용절차 강화, 대포통장종합관리시스템 구축 및 홍보 강화를 하고 있지만 이들 방법은 전자금융사고 피해가 추정되는 고객뿐만 아니라 그렇지 않은 대다수 정상적인 전자금융거래 이용자에 대한 전자금융거래의 불편을 야기하고 있으며 전자금융사고 발생중의 실시간 이상증후 탐지를 반영하고 있지 않다. 본 논문에서는 금융회사 홈페이지에서의 전자금융거래 이용자의 접속행위, 공인인증서 사용행위, 온라인 송금행위 측면에서 거래행위를 분석하여 전자금융사고 혐의 이상증후에 대해 금융회사의 실시간적이고 능동적으로 대응하는 방안을 제시한다.

• 융합보안논문지
• /
• 제14권5호
• /
• pp.31-36
• /
• 2014

금융ISAC은 금융분야의 보안관제센터로서 금융사를 모니터링하고 보안서비스를 제공한다. 금융ISAC은 해킹이나 바이러스 등 외부공격에 대해서는 신속한 대응을 통해서 피해를 최소화하지만 내부공격에는 대처하지 못하는 문제가 있다. 최근 정보자원의 효율적 관리와 안정적 운영을 위하여 그리고 온라인 해킹범죄에 공동으로 대응하기 위하여 정보공유시스템에 대한 필요성이 국내외를 막론하고 날로 증가하고 있다. 본 논문에서는 금융ISAC에 개인정보 공유분석 센터를 병행 설치하여 보안서비스 제공뿐만이 아니라 개인정보가 유출되었을 시 유출된 정보로 인한 2차 피해를 방지할 수 있는 개선된 금융ISAC을 제안한다. 제안된 금융ISAC은 금융사 정보유출시 유출정보와 같은 아이디와 비밀번호가 사용되는 다른 금융사에 새로운 비밀번호를 생성하여 제공하고 금융정보가 유출되었을 경우에는 피싱 등에 주의하라는 경고를 한다.

• 정보보호학회논문지
• /
• 제24권6호
• /
• pp.1243-1261
• /
• 2014

전자금융사기의 방법이 나날이 진화하면서 금전적 피해도 함께 늘어나고 있다. 이에 따라 전자금융사기 예방서비스가 시행되고 있으나 여전히 피해가 발생되고 있는 상황이다. 본 연구는 실제 피해사례를 중심으로 전자금융사기 예방서비스의 한계를 분석하여, 그 개선방안을 제안하는 것을 목적으로 수행되었다. 예방서비스 시행 전후의 사고 사례를 분석한 결과, '스마트폰 앱 이용 사기'와 '전화 및 문자 이용 사기' 유형이 서비스 시행 이후에도 건수가 증가하였고, '스마트폰 앱 이용 사기' 유형은 피해금액도 증가한 것으로 확인되었다. 본 연구는 각 세부사례 분석을 통해 식별된 전자금융 예방서비스의 한계점을 보완하기 위해 전자금융사기 예방서비스와 유사하게 현재 시행중인 예방 관련 서비스/제도 및 기술적 인프라의 도입과 활용을 중심으로, 전자금융사기 예방서비스 자체를 개선하고, 현재 시행/논의 중인 다양한 정책을 종심방어적 관점에서 종합적으로 연계하는 방안에 대해 고찰하였다.

• 한국기술혁신학회:학술대회논문집
• /
• 한국기술혁신학회 2004년도 정기총회 및 추계학술대회 논문집
• /
• pp.239-244
• /
• 2004

피싱(Phishing)이란 '위장 홈페이지를 만들어 불특정 다수의 이메일 사용자에게 메일을 보내는 수법으로 수신자의 개인정보를 빼내 금융범죄에 악용하는 행위'를 말한다. 기존의 스팸메일 둥과 달리 피싱은 이메일 사용자에게 금융, 신용 피해를 줄 수 있어 개인에게 미치는 피해가 심각한 경우가 발생할 수 있다. 이에 대응하여, 미국에서는 'SB California SB 1386' 등의 법안을 제정하고, 'Coalition on Online Identity Theft' 등의 조직을 결성하는 등 피싱으로 인한 피해 예방 및 대처를 위해 적극적으로 노력하고 있다. 국내에서도 금융기관과 기업에서의 주의 메일 발송, 홈페이지에의 피싱 주의 안내문 게시 둥의 방법으로 대응하고 있으나, 피싱으로 인한 피해를 예방하기에는 미진한 것으로 여겨진다. 이에 본 고에서는 미국을 중심으로 한 피싱에 대한 피해.대응현황과 국내 대응방안에 대해 살펴본다.

• 정보보호학회지
• /
• 제32권3호
• /
• pp.11-18
• /
• 2022

COVID-19로 인해 증가된 사이버 활동과 함께 랜섬웨어 공격으로 인한 피해사례도 증가하였다. 랜섬웨어 공격자들은 2021년 새로 발견된 취약점을 악용하고, 기업을 대상으로 공격하여 2차 피해를 야기하였다. 세계 각국에서는 이러한 피해를 줄이기 위해 랜섬웨어 대응을 위한 정책을 발표하였다. 본 논문에서는 2021년 큰 피해를 유발한 주요 랜섬웨어 공격을 정리한다. 관련된 2021년과 2022년 상반기까지 발표된 랜섬웨어 대응 정책을 조사하고 공통된 특징점을 찾아 4가지 유형으로 분류한다. 각 유형별로 최근 세계 정부 및 기관에서 제시하는 랜섬웨어 대응 동향에 대해 살펴본다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2015년도 추계학술발표대회
• /
• pp.661-663
• /
• 2015

인터넷의 모바일화에 따른 스마트폰 이용자의 증가는 모바일 기반의 다양한 서비스가 개발 보급되는 환경을 제공하였다. 그 중에서도 모바일 폰을 사용한 결제 서비스는 결제의 편리성이라는 이점으로 활성화 되고 있지만, 편리한 만큼 보안의 취약성을 가질 수 있다는 단점이 있다. 특히, 초기에 모바일 기반 소액결제 서비스가 활성화 되면서, 스미싱으로 인한 이용자 피해가 사회문제로 대두되면서 이를 해결하기 위한 대안들이 제시되었다. 전자금융거래로 인한 금전적 피해는 카드사에서 이미 진행되고 있었으며, 최근에는 이용자의 피해를 최소화하기 위해서 은행, 증권사에도 이상금융거래 탐지 시스템(FDS) 구축을 규제하고 있다. 이에, 논문에서는 모바일 소액결제 서비스 환경에서의 이상금융거래 탐지를 위한 시스템 개발에 대한 연구 방향에 대해서 제시하고자 한다.

• 정보보호뉴스
• /
• 통권130호
• /
• pp.19-21
• /
• 2008

전 세계에서 우리나라처럼 전자금융거래 시스템이 발달한 나라는 없다고 해도 과언이 아니다. 물론 비대면 사이버 거래에 따른 위험은 항상 존재한다. 특히 최근처럼 각종 사이버 위협이 부각되고, 실제로 크고 작은 침해사고가 발생하는 상황에서 금융기관의 침해사고는 금전적 피해 이상으로 사회적 파장을 가져올 수 있다. 때문에 금융기관에서는 작은 위협 하나도 무시할 수 없는 상황이다. 그런 의미에서 이번 호에서는 금융기관이라는 특성 때문에 보다 더 전문적이고, 보다 더 책임감 있는 사람들을 만나봤다. 금융결제원 금융ISAC이 그들이다.

• 정보보호학회지
• /
• 제21권7호
• /
• pp.53-61
• /
• 2011

최근 들어 초고속 인터넷서비스의 보편화, 무선통신망의 고속화 및 스마트폰 등 새로운 정보통신매체 등이 보급 활성화됨에 따라 인터넷 뱅킹, 사이버 트레이딩 등 전자금융서비스가 보편화되고 이용률이 해마다 급증하고 있다. 이처럼 전자금융의 대중화 및 활성화로 인해 전자금융사고에 의한 이용자의 금전적인 손실은 해당 금융기관의 신뢰도 하락과 경영상 피해 등 과거보다 더 심각한 영향을 줄 수 있다. 따라서 본 논문에서는 다변화하는 전자금융 환경에 대해 살펴보고 인터넷, 모바일 및 자동화기기 등 전자금융에서 발생한 또는 발생 기능한 보안위협을 분류함으로써 향후 이를 기반으로 전자금융 서비스 안전성 강화를 위한 대응 방안 연구에 기반이 되고자 한다.

• 한국인터넷방송통신학회논문지
• /
• 제16권6호
• /
• pp.255-264
• /
• 2016

정보통신기술의 급속한 발전으로 경제활동 분야에서 큰 변화를 가져오고 있으며 혁신적으로 변화하고 있는 것은 전자상거래라고 할 수 있다. 더불어 전자금융사기의 방법도 나날이 진화하면서 피해사례도 함께 늘어나고 있다. 이에 따라 전자금융 이상거래에 대한 분석 및 탐지가 되고 있으나 여전히 피해가 발생되고 있는 상황이다. 본 연구에서는 금융환경, 금융 IT 환경, 금융 IT보안 환경과 법제도적인 변화의 특성을 분석하고 현재 금융기관에서 운영되는 이상금융거래 탐지시스템의 한계점을 보완하기 위하여 효과적인 전자금융 이상거래 분석 및 탐지 관리 체계와 외부기관과의 정보공유 및 개인정보 수집 및 활용에 대한 고려사항을 제안하고자 한다.

• 정보보호학회지
• /
• 제18권5호
• /
• pp.49-61
• /
• 2008

IT기술의 변화에 따라 금융기관의 정보보호 또한 안정성을 보장하면서도 새로운 비즈니스모델에 적합한 보안대책이 요구되고 있다. 금융 어플리케이션의 보안은 정보의 기밀성, 무결성, 가용성을 만족하는 안전하고 신뢰할 수 있는 시스템과 네트워크, 그리고 보안사고에 큰 비중을 차지하고 있는 내부 사용자에 대한 적절한 권한 부여와 접근통제가 요구되어진다. 정당한 사용자가 접근하여 발생하는 보안 문제, 즉 내부자에 의한 악의적인 행위나 오용, 실수 등에 의한 기업의 피해는 외부자에 의한 의도적인 공격보다 피해 규모가 크다. 따라서 정당한 사용자로 인증을 받았다고 할지라도 업무처리에 있어서 필요한 최소한의 권한만을 부여하는 것이 필요한 것이다. 이를 위해 금융기관에 적합한 접근통제가 필요하다. 역할기반 접근통제는 적용범위가 제한적인 강제적 접근통제와 분산된 보안관리로 중앙에서 통제가 어려운 자율적 접근통제의 단점을 보완하고, 실제 업무처리에 적합한 특성을 갖는다. 하지만 기존 역할기반 접근통제를 금융기관의 다양한 금융 어플리케이션에 적용하면 다음과 같은 문제가 발생할 수 있다. 첫째, 금융 어플리케이션에서 사용되는 역할 추출 및 관리가 어렵다. 둘째, 다양한 비즈니스모델이 원하는 직무분리가 복잡하고 어렵다. 셋째, 악의적인 내부 사용자가 역할을 변조하여 과도한 권한을 가질 수 있다. 따라서 본 논문에서는 기존의 역할기반 접근통제에 인사정보 연동을 통한 효율적인 역할 추출 및 분류방안과 역할관리, 직무분리의 세분화 그리고 역할의 안전한 관리를 위해 X.509기반의 권한관리 기반구조(PMI)를 이용한 권한관리 기술을 금융 어플리케이션 환경에 효율적으로 적용하는 방안을 제시한다.