📘 제3장. 안전성 확보 및 이용자 보호
✅ 금융회사 전자금융업자에게 금융위가 정하는 안정성건정성 기준 준수(제21조)
- 금융회사 및 전자금융업자는 전자금융거래의 안전한 처리를 위해 ‘선량한 관리자로서의 주의’를 다해야 합니다.
- 인력, 시설, 장비, 인증방식 등 정보기술 부문에서 금융위원회가 정한 기준을 준수해야 합니다.
- 특정 기술 강제 금지: 특정 기술이나 서비스를 의무화해서는 안 되며, 보안·인증 기술 간 공정한 경쟁을 촉진해야 합니다.
- 정보기술부문 계획 수립 의무: 매년 계획을 수립해 대표이사의 서명을 받아 금융위원회에 제출해야 합니다.
💡 보안 인력 구성 원칙 ‘5·5·7 룰’
(회사 직원 1,000명, IT 예산 100억 기준)
- 전체 직원 중 5% 이상 IT 인력
- IT 인력 중 5% 이상 IT 보안 인력
- IT 예산의 7% 이상은 보안에 사용
✔ 공인인증서 의무 사용 폐지 (2015.03.18 시행)
✅ 정보보호최고책임자(CISO) 지정(제21조의 2)
- 일정 규모 이상의 금융회사 또는 전자금융업자는 정보보안을 총괄할 **정보보호최고책임자(CISO)**를 지정해야 합니다.
- 겸직 제한
- 총자산 10조원 이상 + 종업원 1,000명 이상인 경우
- CISO는 정보기술총괄책임자(CIO)와 겸직 불가
📌 CISO 주요 역할
- 정보보호 전략 및 계획 수립
- 전자금융거래 사고 대응
- 보안 인력 관리 및 전산 시설 보호
✅ 전자금융기반시설의 취약점 분석 평가(제21조의 3)
- 매년 전자금융기반시설에 대해 다음 항목을 평가하고, 결과를 금융위원회에 보고해야 합니다:
- 조직, 인력, 시설 등 내부통제체계
- 접근매체와 전자적 장치의 보안성
- 침해사고 대응 계획
- 전자금융보조업자 시스템 연계 안정성
- 평가 결과에 따라 보완계획 수립 및 이행 필수
- 자체 전담반 또는 금융보안원 등 외부 전문기관 활용 가능
✅ 전자적 침해행위 등의 금지(제21조의 4)
누구든지 다음과 같은 전자적 침해행위를 해서는 안 됩니다:
- 권한 없는 자의 시스템 접근
- 권한을 넘은 데이터 변경, 유출, 은닉 등
✅ 침해사고의 통지 및 대(제21조의 5~6)
- 전자금융기반시설에 사고 발생 시 금융위에 즉시 통보해야 함
- 금융위는 사고 대응을 위한 다음의 조치를 수행:
- 사고 정보 수집 및 전파
- 경보 발령 및 예보
- 긴급 조치
- 금융보안원 지정 및 통합 관제센터 운영 등
✅ 전자금융거래기록의 생성 및 보전(제22조)
보관기간은 거래 금액 및 내용에 따라 다릅니다:
| 1만원 미만 거래, 오류 정정 등 | 1년 |
| 금융회사와 동일정보를 보관하는 보조업자 | 3년 |
| 1만원 이상 거래, 거래종류 등 주요 기록 | 5년 |
- 보관 시 전자문서법 요건 충족 필수
- 파기 시 개인정보보호법에 따라 복원 불가능하게 삭제
✅금융회사 등의 전자금융거래 약관 공개, 명시, 설명의무(제24조)
- 전자금융 거래계약 체결 시, 약관을 명확히 제시 및 교부
- 변경 시 최소 1개월 전 고지
- 고객은 약관 시행일 전까지 계약 해지 가능
✅전자금융 거래정보의 제공 등(제26조)
- 이용자의 동의 없이 다음 정보를 누설 또는 제공 금지:
- 인적 사항
- 계좌 정보
- 접근매체 정보
- 거래 실적 등
✅이용자의 이의제기 또는 손해배상 처리를 위한 자체 분쟁처리 절차 마련(제27조)
- 금융회사 및 전자금융업자는 이의제기 및 피해 보상을 위한 내부 분쟁처리 절차를 갖춰야 함
- 이용자는 금감원, 소비자원 등을 통해 분쟁 신청 가능
- 접수 후 15일 이내 결과 통보 의무
📘 제4장. 전자금융업의 허가 및 등록
- 비금융사업자의 전자금융업 영위에 대한 규율체계 구축
> 전자금융업 영위시 금유위 허가 등록 후 영업하고 금감원이 감독 검사
> 최조 자본금 재무건전성 등 허가 및 등록 요건 설정
- 전자금융업무 유형
> 전자자금이체
> 전자화폐 발행 및 관리
> 직불전자지금수단 발행 및 관리
> 선불전자지급수단 발행 및 관리 : 금전적 가치가 전자적 방법으로 저장되어 발행된 증표/전표
- 스타벅스 상품권, 문화상품권 선불전자지급수단이 아니다.
- 비트코인은 전자화페 & 선불전자지급수단이 아니다, 결재 및 환불이 안된다.
> 전자지급결제대행(PG) : 지급결제겅보를 송신하거나 수신하는 것 또는 그 대가의 정산을 대항하거나 매개하는 것
> 결제대금예치(Escrow)
> 전자고지결제(EBPP)
# 전자금융업무 허가 및 등록 주요 요건
- 전문인력 : 2년 이상 경력 전산전문 5인 이상
- 물적설비 요건 : 전산기기 보유, 백업장치 구비, 프로그램 보유 등
- 주요출자자가 시청일 기준 최근 3년간 금융관계법령을 위반하여 벌금형 이상의 처벌을 받은 사실이 없을 것
※ 주요출자자 : 의결권 있는 발행주식 총수 또는 출자총액의 최대주주 및 그 최대주주의 특수관계인, 10% 이상 주주 등
📘 제5장. 전자금융업무의 감독
✅ 감독 및 검사(제39조)
- 금융감독원은 이 법에 의하여 금융회사 및 전자금융업자에 대하여 이 법의 준수 여부를 감독한다.
- 금융감독원장은 금융회사 및 전자금융업자에 대하여 재무상태를 검사한다.
- 검사결과는 금융위에 보고해야 한다.
✅ 금융회사 IT 경영실태평가
- 평가 부문 : IT감사, IT 경영, 시스템 개발 도입 유지보수, IT 서비스 제공 및 지원의 4개 부문을 1등급에서 5등급으로 평가
- 예외 : 전자금융업자는 IT 경영실태평가 대상이 아니다.
- 평가 결과 활용 :
1 등급 : IT 검사 면제, 기간 단축, 검사범위 축소 등
2 등급 : 검사기간 단축, 취약부문 위주 검사
3 등급 : 취약부문에 대하여 자체 개선 요구, 정상적인 검사 실시
4 등급 : 검사기간 확대, 약정서 또는 양해각서 체결
5 등급 : 즉각 개선조치 요구, 약정서 또는 양해각서 체결
- IT실태평가 결과는 경영실패평가 경영관리 항목의 최소 20% 이상 반영
- 4등급 이하일 때 일반부문 경영실태평가 2등급 이상 평가 불가능
📘 제6~7장. 보칙 및 벌칙, 부칙
- 보칙: 법 적용에 필요한 세부사항 정리
- 벌칙: 법 위반 시 처벌 조항
- 부칙: 법률 시행에 관한 사항 (시행일, 경과규정 등)
'Master's degree > 금융보안' 카테고리의 다른 글
| 2. 전자금융거래법(1) (2) | 2025.04.20 |
|---|---|
| 1. 금융 개요 (0) | 2025.04.20 |