금감원 신한카드 제재, 모바일 앱 인증 취약 인지하고 후속 조치 안 해 70명에 피해

Date

금융감독원이 모바일 앱 인증방법의 취약점을 인지하고도 적절한 후속 조치를 취하지 않아 고객에게 피해를 준 신한카드를 제재(制裁)했다고 공시했다.

 

신한카드

사진: 연합뉴스

 

지난 2021년 6월 신한카드는, 취약점 분석·평가 전문기관 A를 통해, 자사의 모바일 앱 “신한PayFAN”의 이용자 인증 등에 대한 취약점을 진단했다.

진단 후 전문기관 A는 타인 명의의 휴대폰으로 모바일 앱을 가입하기 위해 본인 인증을 할 경우, 휴대폰번호를 위·변조하는 수법으로 인증방법을 우회할 수 있다는 점을 발견하고 신한카드에 ‘SMS 인증 등을 활용한 추가인증 방법을 강구하도록 권고’했다.

그러나 신한카드는 이와 같은 권고를 인지하고서도 별도의 후속 조치를 취하지 않고, 기존의 모바일 앱 버전만 업그레이드한 뒤 2021년 10월 “신한pLay” 앱을 출시했다.

그 결과 2021년 11월 27일부터 2022년 4월 11일까지 성명불상자(姓名不詳者)가 불법 수집한 것으로 추정되는 고객정보를 도용하여 “신한pLay” 모바일 앱 가입시 유심(USIM)에서 자동 추출한 휴대폰 번호를 고객의 휴대폰 번호로 위·변조하여 본인인증을 우회함으로써 신한카드 고객 70명의 신용카드로 약 1억7500만원을 부정 사용하는 결과를 낳게 했다.

이에 금융감독원은 신한카드에게 기관주의와 함께 과태료 5000만원을 부과했다.

참고로 금융회사 등은 전자금융거래법 제21조 제2항과 전자금융감독규정 제7조 및 제37조에 따라, ‘전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 전자금융거래의 종류·성격·위험수준 등을 고려하여 안전한 인증방법을 사용하여야 한다.

 

 

English version>>

FSS sanctioned Shinhan Card, which damaged 70 customers by failing to follow up even though it was aware of the weaknesses of the mobile app certification method.

 

The Financial Supervisory Service (FSS) sanctioned Shinhan Card, which damaged customers by not taking follow-up measures even though it was aware of the weaknesses of the mobile app authentication method.

In June 2021, Shinhan Card diagnosed a vulnerabilities in the user authentication of its mobile app “Shinhan PayFAN” through a vulnerability analysis and evaluation agency A, which specializes in vulnerability analysis and evaluation.

After the diagnosis, Agency A found that when authenticating a person to sign up for the mobile app using a mobile phone belonging to another person, the authentication method can be bypassed by falsifying the mobile phone number, and recommended that Shinhan Card to devise an additional authentication method using SMS authentication.

However, Shinhan Card did not follow up on this recommendation and released the “Shinhan pLay” app in October 2021 after upgrading only the existing mobile app version without following up on the recommendation.

As a result, from November 27, 2021, to April 11, 2022, a person with an unknown name stole customer information allegedly collected illegally and falsified the mobile phone number automatically extracted from the USIM when signing up for the “Shinhan pLay” mobile app as the customer’s mobile phone number, bypassing identity verification, resulting in the unauthorized use of approximately KRW 175 million in credit cards of 70 Shinhan Card customers.

In response, the Financial Supervisory Service imposed a fine of 50 million won on Shinhan Card, along with institutional caution.

For reference, in accordance with Article 21 (2) of the Electronic Financial Transactions Act and Articles 7 and 37 of the Electronic Financial Supervisory Regulations, financial companies, etc. shall use a safe authentication method in consideration of the type, nature, and risk level of electronic financial transactions to ensure the safety and reliability of electronic financial transactions.

 

spot_imgspot_img

Popular

Share post:

Subscribe

More like this
Related

트럼프 美 제47대 대통령 선거 승리, 주류 언론의 예측처럼 박빙은 아니었다.

미국 공화당 대통령 후보 도널드 트럼프 전 대통령이 이번...

그데 뉴스: IMF 올해 마지막 경제 전망, 내년 우린 2.2%(직전 전망比 0.17%p↓), 세곈 3.2%(0.01%p↑) 성장

(그래픽·데이터 뉴스) 국제통화기금이 내년 우리나라의 경제 성장률을, 지난 4월...

그데뉴스: 통계로 살펴본 고령자 교통사고

(그래픽·데이터 뉴스) 최근 몇 년간 고령자(65세 이상) 교통사고가 크게...

President Yoon may Exercise Veto over Two Special Prosecutor Bills and the Local Currency Bill

President Yoon hinted that he may Exercise his Veto...

여객선社, 전기차 충전율 50% 넘으면 선적 제한? 이게 최선인가?

충전율이 50%가 넘는 전기차는 여객선 선적이 제한될 수 있습니다. 국내...

최근 2년간 음주운전 적발 13만 건, 코로나19 前인 2019年 수준으로 복귀, 처벌이 약해서?

코로나19로 감소했던 음주운전 적발 건수, 최근 2년간 코로나19 발생...

심하면 음주운전만큼 위험하다는 선팅, 그러나 국민 안전을 완전 자율에 맡긴 정부와 국회

심하면 음주운전만큼 위험하다는 자동차 선팅, 관련 법령(도로교통법, 자동차관리법)들 간 규제...

그데 뉴스: 우리나라 뉴스 신뢰도 1위는 2년 연속 MBC, 꼴지는 4년 연속 조선일보

(그래픽·데이터 뉴스) 로이터저널리즘연구소에 따르면, 우리나라 언론 매체 중 MBC의...