금융감독원이 모바일 앱 인증방법의 취약점을 인지하고도 적절한 후속 조치를 취하지 않아 고객에게 피해를 준 신한카드를 제재(制裁)했다고 공시했다.

사진: 연합뉴스

지난 2021년 6월 신한카드는, 취약점 분석·평가 전문기관 A를 통해, 자사의 모바일 앱 “신한PayFAN”의 이용자 인증 등에 대한 취약점을 진단했다.

진단 후 전문기관 A는 타인 명의의 휴대폰으로 모바일 앱을 가입하기 위해 본인 인증을 할 경우, 휴대폰번호를 위·변조하는 수법으로 인증방법을 우회할 수 있다는 점을 발견하고 신한카드에 ‘SMS 인증 등을 활용한 추가인증 방법을 강구하도록 권고’했다.

그러나 신한카드는 이와 같은 권고를 인지하고서도 별도의 후속 조치를 취하지 않고, 기존의 모바일 앱 버전만 업그레이드한 뒤 2021년 10월 “신한pLay” 앱을 출시했다.

그 결과 2021년 11월 27일부터 2022년 4월 11일까지 성명불상자(姓名不詳者)가 불법 수집한 것으로 추정되는 고객정보를 도용하여 “신한pLay” 모바일 앱 가입시 유심(USIM)에서 자동 추출한 휴대폰 번호를 고객의 휴대폰 번호로 위·변조하여 본인인증을 우회함으로써 신한카드 고객 70명의 신용카드로 약 1억7500만원을 부정 사용하는 결과를 낳게 했다.

이에 금융감독원은 신한카드에게 기관주의와 함께 과태료 5000만원을 부과했다.

참고로 금융회사 등은 전자금융거래법 제21조 제2항과 전자금융감독규정 제7조 및 제37조에 따라, ‘전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 전자금융거래의 종류·성격·위험수준 등을 고려하여 안전한 인증방법을 사용하여야 한다.

English version>>

FSS sanctioned Shinhan Card, which damaged 70 customers by failing to follow up even though it was aware of the weaknesses of the mobile app certification method.

The Financial Supervisory Service (FSS) sanctioned Shinhan Card, which damaged customers by not taking follow-up measures even though it was aware of the weaknesses of the mobile app authentication method.

In June 2021, Shinhan Card diagnosed a vulnerabilities in the user authentication of its mobile app “Shinhan PayFAN” through a vulnerability analysis and evaluation agency A, which specializes in vulnerability analysis and evaluation.

After the diagnosis, Agency A found that when authenticating a person to sign up for the mobile app using a mobile phone belonging to another person, the authentication method can be bypassed by falsifying the mobile phone number, and recommended that Shinhan Card to devise an additional authentication method using SMS authentication.

However, Shinhan Card did not follow up on this recommendation and released the “Shinhan pLay” app in October 2021 after upgrading only the existing mobile app version without following up on the recommendation.

As a result, from November 27, 2021, to April 11, 2022, a person with an unknown name stole customer information allegedly collected illegally and falsified the mobile phone number automatically extracted from the USIM when signing up for the “Shinhan pLay” mobile app as the customer’s mobile phone number, bypassing identity verification, resulting in the unauthorized use of approximately KRW 175 million in credit cards of 70 Shinhan Card customers.

In response, the Financial Supervisory Service imposed a fine of 50 million won on Shinhan Card, along with institutional caution.

For reference, in accordance with Article 21 (2) of the Electronic Financial Transactions Act and Articles 7 and 37 of the Electronic Financial Supervisory Regulations, financial companies, etc. shall use a safe authentication method in consideration of the type, nature, and risk level of electronic financial transactions to ensure the safety and reliability of electronic financial transactions.