하루 300만원 이상 온라인 금융거래, 9월 26일부터 본인확인 두 번 한다

오는 26일부터 하루 300만원 이상 온라인 금융거래 시 본인확인 절차를 이중으로 거쳐야 한다. 해킹 피해 등을 줄이기 위한 금융기관 전산망 분리작업도 본격적으로 시작된다.

금융위원회는 금융감독원 경철청과 함께 보이스피싱 방지 종합대책의 일환으로 전자금융사기 예방서비스를 전면 시행한다고 16일 밝혔다.

서비스 대상은 카드사와 보험사를 제외한 은행·증권·저축은행·신협·우체국·새마을금고·수협 고객이다. 이에 따라 고객들은 하루에 300만원 이상(1일 누적)을 이체하려면 공인인증서 외에도 휴대전화 문자메시지(SMS)나 자동응답전화(ARS)로 본인인증을 해야 한다.

그동안은 공인인증서와 보안카드 번호만 있으면 손쉽게 금융거래를 할 수 있었다. 손쉽게 돈을 인출할 수 있어 보이스피싱이나 파밍(컴퓨터에 악성코드를 심은 후 금융정보를 빼내는 방식)으로 인한 피해도 매년 5000건 이상 발생했다. 하지만 예방서비스가 시행되면 사기범이 금융정보를 탈취하더라도 확인절차를 한 번 더 거쳐야 하기 때문에 무단 이체를 막을 수 있다.

다만 고객이 본인인증을 두 번이나 하는 번거로움을 줄일 수 있도록 자주 쓰는 단말기를 지정할 수 있게 했다.

인터넷뱅킹 이용 시 PC, 태블릿PC, 휴대전화 등을 사전에 지정하는 방식으로 지정된 단말기에서는 추가 인증 없이 인터넷뱅킹을 이용할 수 있다. 금융사로부터 발급받은 일회용 비밀번호(OTP)를 사용할 때도 추가인증 절차가 생략된다.

금융위는 금융사의 업무용 컴퓨터 인터넷망 접근과 외부메일을 차단하도록 하는 내용의 ‘금융전산 망 분리 가이드라인’도 배포했다. 인터넷이 되는 컴퓨터는 업무망 접근을 원천적으로 막고, 문서를 통한 외부유출을 막기 위해 문서편집도 못하게 했다. 다만 망 분리를 통한 업무 불편을 줄이기 위해 중계서버 등을 통해 파일 송수신을 가능하게 했다.

금융전산 보안강화 종합대책을 시행하기 위해 ‘전자금융감독규정’ 개정안도 규정이 변경된다. 총자산 2조원, 종업원 수 300명 이상 금융사는 정보보호최고책임자(CISO)가 내·외부 전문가와 함께 자체 전담반을 꾸려 매년 전산 관련 취약점을 분석하도록 했다.

진삼열 기자 samuel@kmib.co.kr