금감원 신한카드 제재, 모바일 앱 인증 취약 인지하고 후속 조치 안 해 70명에 피해

Date

금융감독원이 모바일 앱 인증방법의 취약점을 인지하고도 적절한 후속 조치를 취하지 않아 고객에게 피해를 준 신한카드를 제재(制裁)했다고 공시했다.

 

신한카드

사진: 연합뉴스

 

지난 2021년 6월 신한카드는, 취약점 분석·평가 전문기관 A를 통해, 자사의 모바일 앱 “신한PayFAN”의 이용자 인증 등에 대한 취약점을 진단했다.

진단 후 전문기관 A는 타인 명의의 휴대폰으로 모바일 앱을 가입하기 위해 본인 인증을 할 경우, 휴대폰번호를 위·변조하는 수법으로 인증방법을 우회할 수 있다는 점을 발견하고 신한카드에 ‘SMS 인증 등을 활용한 추가인증 방법을 강구하도록 권고’했다.

그러나 신한카드는 이와 같은 권고를 인지하고서도 별도의 후속 조치를 취하지 않고, 기존의 모바일 앱 버전만 업그레이드한 뒤 2021년 10월 “신한pLay” 앱을 출시했다.

그 결과 2021년 11월 27일부터 2022년 4월 11일까지 성명불상자(姓名不詳者)가 불법 수집한 것으로 추정되는 고객정보를 도용하여 “신한pLay” 모바일 앱 가입시 유심(USIM)에서 자동 추출한 휴대폰 번호를 고객의 휴대폰 번호로 위·변조하여 본인인증을 우회함으로써 신한카드 고객 70명의 신용카드로 약 1억7500만원을 부정 사용하는 결과를 낳게 했다.

이에 금융감독원은 신한카드에게 기관주의와 함께 과태료 5000만원을 부과했다.

참고로 금융회사 등은 전자금융거래법 제21조 제2항과 전자금융감독규정 제7조 및 제37조에 따라, ‘전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 전자금융거래의 종류·성격·위험수준 등을 고려하여 안전한 인증방법을 사용하여야 한다.

 

 

English version>>

FSS sanctioned Shinhan Card, which damaged 70 customers by failing to follow up even though it was aware of the weaknesses of the mobile app certification method.

 

The Financial Supervisory Service (FSS) sanctioned Shinhan Card, which damaged customers by not taking follow-up measures even though it was aware of the weaknesses of the mobile app authentication method.

In June 2021, Shinhan Card diagnosed a vulnerabilities in the user authentication of its mobile app “Shinhan PayFAN” through a vulnerability analysis and evaluation agency A, which specializes in vulnerability analysis and evaluation.

After the diagnosis, Agency A found that when authenticating a person to sign up for the mobile app using a mobile phone belonging to another person, the authentication method can be bypassed by falsifying the mobile phone number, and recommended that Shinhan Card to devise an additional authentication method using SMS authentication.

However, Shinhan Card did not follow up on this recommendation and released the “Shinhan pLay” app in October 2021 after upgrading only the existing mobile app version without following up on the recommendation.

As a result, from November 27, 2021, to April 11, 2022, a person with an unknown name stole customer information allegedly collected illegally and falsified the mobile phone number automatically extracted from the USIM when signing up for the “Shinhan pLay” mobile app as the customer’s mobile phone number, bypassing identity verification, resulting in the unauthorized use of approximately KRW 175 million in credit cards of 70 Shinhan Card customers.

In response, the Financial Supervisory Service imposed a fine of 50 million won on Shinhan Card, along with institutional caution.

For reference, in accordance with Article 21 (2) of the Electronic Financial Transactions Act and Articles 7 and 37 of the Electronic Financial Supervisory Regulations, financial companies, etc. shall use a safe authentication method in consideration of the type, nature, and risk level of electronic financial transactions to ensure the safety and reliability of electronic financial transactions.

 

spot_imgspot_img

Popular

Share post:

Subscribe

More like this
Related

[블로그 – 상식 한방] 매파, 비둘기파, 올빼미파 차이 요약

①매파: 금리 인상 주장(하늘로 비상해 먹이를 공격하는 매의 습성을...

그래픽 뉴스: 미국 기준금리 세 번 연속 인하, 한미 간 금리 역전은 여전히 리스크

美 연방준비제도의 연방공개시장위원회가 올해 마지막 회의에서 기준금리를 0.25%p 인하했습니다. 12월...

AI 만평 – 2024. 12. 03. 법 위에 사는 욕심 과한 사람들

만평 - 2024. 12. 03. 법 위에 사는 욕심...

서울시 ‘외국인 가사관리사 시범사업’에 이어 ‘마을 버스 기사’도 ‘외국인’으로?

내년부터 사업 규모를 늘리겠다는 서울시의 '외국인 가사관리사 시범사업'에 여론은...

트럼프 美 제47대 대통령 선거 승리, 주류 언론의 예측처럼 박빙은 아니었다.

미국 공화당 대통령 후보 도널드 트럼프 전 대통령이 이번...

그데 뉴스: IMF 올해 마지막 경제 전망, 내년 우린 2.2%(직전 전망比 0.17%p↓), 세곈 3.2%(0.01%p↑) 성장

(그래픽·데이터 뉴스) 국제통화기금이 내년 우리나라의 경제 성장률을, 지난 4월...

Han Kang, the first Korean and Asian woman to win the Nobel Prize in Literature

Author Han Kang has been honored as the first...

그데뉴스: 통계로 살펴본 고령자 교통사고

(그래픽·데이터 뉴스) 최근 몇 년간 고령자(65세 이상) 교통사고가 크게...