2.10.4 전자거래 및 핀테크 보안

2. 보호대책 요구사항 > 2.10 시스템 및 서비스 보안관리 > 2.10.4 전자거래 및 핀테크 보안

항목		상세내용
2.10.4	전자거래 및 핀테크 보안	전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작•사기 등의 침해사고 예방을 위해 인증•암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검하여야 한다.
주요 확인사항		ㆍ전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립•이행하고 있는가? ㆍ전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 송•수신되는 관련 정보의 보호를 위한 대책을 수립•이행하고 안전성을 점검하고 있는가?
관련 법규		ㆍ개인정보보호법 시행령 제30조(개인정보의 안전성 확보 조치) ㆍ전자금융거래법 제21조(안전성의 확보의무)

 

● 중요사안

- 전자(상)거래사업자는 전자(상)거래의 안정성과 신뢰성을 확보하기 위하여 전자(상)거래이용자의 개인정보, 영업비밀, 결제정보 수집, 저장관리, 파기 등의 과정에서의 침해사고를 예방하기 위한 보호대책(인증, 암호화, 접근통제 등)을 수립하여 이행하여야 한다.
- 전자(상)거래사업자와 전자결제사업자간에 송•수신되는 결제관련 정보의 유출, 조작, 사기 등의 침해사고로 인한 거래당사자간 피해가 발생하지 않도록 적절한 보호대책을 수립하여 이행하여야 한다.
- 시스템관리자 및 보안관리자는 SSL/TLS를 적용하거나 관련 솔루션을 도입할 시에 제품이 표준에 맞게 구현되었는지와 상호 호환성을 보장하는지 및 검증된 제품인지, 오픈소스를 이용하는지 등을 확인해야 한다.
  > RSA 서명키를 가지는 모든 서버 인증서는 반드시 1024bit 이상의 키를 가지기를 권고한다.
  > 대부분의 SSL/TLS에서 서버 인증은 필수사항이며, 클라이언트 인증은 선택사항이다.
  > 클라이언트 인증이 반드시 필요한 서버에서는 반드시 클라이언트 인증을 해야한다.
  > 해쉬함수 : SHA-2

 

● 운영현황

- 전자금융거래의 안전성을 보장하기 위하여 전자(상)거래에 필요한 관련 법률을 고려한 보호대책을 수립•이행하고 있음
  > 전자문서 및 전자거래 기본법
  > 전자상거래 등에서의 소비자 보호에 관한 법률
  > 전자금융거래법
  > 신용정보법
  > 개인정보보호법 등
- 정보통신망을 통해 개인정보를 송•수신하는 경우 안전한 암호화 알고리즘을 통해 거래전문상의 개인정보, 중요정보 등 결제관련 정보를 암호화하고 있음
- 관련 법률에 따라 거래기록을 최대 0년간 보존하고, 보존기간이 만료된 경우 복구할 수 없는 방법으로 완전 파기하고 있음

 

● 기록(증적자료)

- 전자(상)거래 및 핀테크 서비스 보호대책 문서
- 결제시스템 보안성 검토 결과
- 암호화 알고리즘 적용 현황

 

● 주요 결함사례

- 전자거래의 신뢰성과 안전성을 보장할 수 있는 전송구간 암호화 또는 관련 솔루션을 도입할 시 표준에 맞지 않거나 취약한 암호화 알고리즘을 사용하는 경우
- 결제시스템 등 외부 시스템과 연계하는 경우 송•수신되는 관련 정보의 보호를 위한 보안성 검토 등 안전성을 점검하지 않은 경우
- 전자결재대행업체(PG)와 위탁 계약을 맺고 있으나 적절한 인증 및 접근제한 없이 특정 URL을 통해 결재 관련 정보가 모두 평문으로 전송되는 경우
- 전자결재대행업체(PG)와 외부 연계 시스템이 전용망으로 연결되어있으나 해당 연계 시스템에서 내부 업무 시스템으로의 접근이 침입차단시스템 등으로 적절히 통제되고 있지 않은 경우