카카오페이 금감원 제재 내용(21.5.3.)
카카오페이는 전자금융거래법의 적용을 받는 전금업자로 분류된다. 이에 따라 최근 금융감독원의 검사를 받고 아래 전금업법 위반 사항에 대해 최종적으로6,960만원의 과태료를 부과 받았다.
우리가 느끼는 카카오페이는 카카오톡을 기반으로 하기때문에 거래금액 및 거래 고객이 상당히 많을 것으로 예상되는데, 아래 지적내용중 망분리 이행 위반 건은 뭔가 문제가 있어 보인다. 전금업법 내용이 이해하기 쉽지 만은 안지만 망분리는 거래정보 및 개인정보 보호 등을 위해 필요성이 있는 조치다.
가. 전자금융거래 안전성 확보의무 위반
(1) 클라우드컴퓨팅서비스 이용절차 등 수행 위반
회사는 OOOO.O.O. ~ OOOO.O.O. 기간 중 OOOO 시스템을 OOO의 OOOO 클라우드 환경에서 사용하고 있었음에도 <비중요 정보처리시스템 지정절차> 또는 <클라우드 이용 절차>를 수행하지 않은 사실이 있음
(2) 내부 업무용시스템, 정보처리시스템 등의 망분리 이행 위반
1 회사는 OOOO.O.O. ~ OOOO.O.O. 기간 중 내부통신망에 연결된 본사 임직원의 업무 단말기와 내부 업무용시스템에 대해 망분리 이행을 완료하지 않고 인터넷 등 외부통신망과 연결하여 운영하는 등 외부통신망과 분리·차단 및 접속을 금지하지 않았고
2 회사 전산실 내에 위치한 일부 정보처리시스템(OO·OO·OO 등의 업무처리 및 OO OOOOO OO 서버)에 대해서 인터넷(OO, OO, OOO, OOO 등의 이미지CDN, OO·OO OOOOO 등 홈페이지) 등 외부통신망과 물리적으로 분리하지 않았으며
3 회사 전산실의 정보처리시스템(OOOOOOOO)에 개발 목적으로 직접 접속하는 단말기에 대해서 인터넷 등 외부통신망과 물리적으로 분리하지 않고 연결하여 운영하였으며
4 클라우드 제공자(OOO)의 정보처리시스템(OO, OO·OO·OO 설정 관리콘솔)에 운영, 개발, 보안 목적으로 직접 접속하는 회사의 단말기에 대해서도 인터넷 등 외부통신망으로부터 물리적으로 분리하지 않고 연결하여 운영한 사실이 있음
(3) 홈페이지 등 공개용 웹서버 관리 대책 이행 위반
1 OOOO.O.O. ~ OOOO.O.O. 기간 중, OOO 클라우드의 공개용 웹서버(OOOO OOO 홈페이지)를 내부통신망과 분리하여 내부통신망과 외부통신망 사이의 독립된 통신망 (DMZ구간)에 설치하지 아니하고 내부통신망에 설치하면서 웹 접근제어 수단(침입탐지 시스템의 웹접근제어 규칙 등)으로 보호하지 않았고
2 회사 전산실 및 클라우드의 공개용 웹서버(OO, OOOO, OOOO 홈페이지 공개용 웹서버 등)에서 시험·개발도구(gcc, g++, make 등)의 사용을 제한하지 않고 운영하였으며
3 DMZ구간 내의 공개용 웹서버(OO·OOOO 홈페이지)의 거래로그에 이용자 OOOO 및 OOOOOO를 저장하여 관리하면서 암호화하지 않은 사실이 있음
(4) 프로그램 및 전산원장 관리통제 위반
1 OOOO.O.O. ~ OOOO.O.O. 기간 중 전산원장 변경내용의 정당여부에 대해 내부감사 등 제3자의 승인없이 책임자의 승인만을 통해 변경을 실시하였고, 전산원장의 중요작업에 대한 책임자의 이중확인 및 일괄작업 수행자의 주요업무 관련 행위에 대한 책임자의 모니터링을 수행하지 않았으며,
2 OOOO.O.O. ~ OOOO.O.O. 기간 중 프로그램 반출 및 운영시스템 등록을 해당 프로 그램 담당 개발자가 직접 배포한 사실이 있음
나. 전자금융거래 변경약관 게시 및 이용자 통지 위반
회사는 OOOO.O.O. ‘OOOOO 이용약관’(이하 ‘약관’)을 제정한 이후 현재까지 총 O차례 약관을 변경하면서,
변경된 약관을 전자적 장치에 지연 게시(O회)하거나, 통지기한 내에 이용자에게 통지하지 아니한(O회) 사실이 있음
다. 전자금융거래 약관 보고 위반
회사는 OOOO.O.O. ‘OOOOO 이용약관’(이하 ‘약관’)을 제정한 이후 현재까지 총 O차례 약관을 변경하면서
제정 약관은 시행일(OOOO.O.O.)로부터 O일 후에 지연하여 보고(OOOO.O.O.)하였고, 약관개정시행일이 OOOO.O.O. 등 약관(O건)은 보고하지 않은 사실이 있음
