스미싱 제도와 소액결제 제도의 현황 조사 및 소액결제 피해를 줄이기 위한 법·제도 연구 A Survey of Regulations on Smishing and Mobile Micropayment and a Research of Regulations and Laws for Reducing Monetary Damages in Mobile Micropayment원문보기
스마트폰의 보급으로 인하여 문자메세지를 활용하는 스미싱이 급증하고 있으며, 그로 인한 금전적 피해가 크게 증가하고 있다. 본 논문에서는 이러한 피해를 줄이기 위하여, 스미싱 및 스미싱과 관련된 모바일 소액결제에 관련된 제도들의 현황을 살펴본다. 현황 조사 결과 제도적인 노력을 통해서 스미싱 억제는 잘 되고 있지만, 소액결제의 피해는 증가하고 있다는 점을 파악하여 모바일 소액결제 시스템의 보안 강화에 대한 의무 제도의 부재, 소액결제 피해 발생 시 소액결제 참여자(이동통신사, 콘텐츠제공자, 결제대행사) 간 피해보상 주체에 대한 모호성 등과 같은 한계점을 식별하였다. 이러한 한계점을 해결하기 위해서 소액결제 시스템의 보안을 강화하고 의무화 할 수 있도록 소액 결제 사업자에 대한 정보보안 평가제도, 소액결제 피해 발생 시 손해배상 책임자에 대한 구체적 명시 제도 및 법안을 제안한다.
스마트폰의 보급으로 인하여 문자메세지를 활용하는 스미싱이 급증하고 있으며, 그로 인한 금전적 피해가 크게 증가하고 있다. 본 논문에서는 이러한 피해를 줄이기 위하여, 스미싱 및 스미싱과 관련된 모바일 소액결제에 관련된 제도들의 현황을 살펴본다. 현황 조사 결과 제도적인 노력을 통해서 스미싱 억제는 잘 되고 있지만, 소액결제의 피해는 증가하고 있다는 점을 파악하여 모바일 소액결제 시스템의 보안 강화에 대한 의무 제도의 부재, 소액결제 피해 발생 시 소액결제 참여자(이동통신사, 콘텐츠제공자, 결제대행사) 간 피해보상 주체에 대한 모호성 등과 같은 한계점을 식별하였다. 이러한 한계점을 해결하기 위해서 소액결제 시스템의 보안을 강화하고 의무화 할 수 있도록 소액 결제 사업자에 대한 정보보안 평가제도, 소액결제 피해 발생 시 손해배상 책임자에 대한 구체적 명시 제도 및 법안을 제안한다.
With the rapid increase in mobile device users, there are many cyber attacks using SMS messages to infect the mobile device. The monetary demage from those attacks are also increasing. Since those demage are generally related to mobile micropayement systems, we study the details of the incidents on ...
With the rapid increase in mobile device users, there are many cyber attacks using SMS messages to infect the mobile device. The monetary demage from those attacks are also increasing. Since those demage are generally related to mobile micropayement systems, we study the details of the incidents on smishing and mobile micropayment. We have identified several limitations of current regulations and laws of them. Thus, we propose new regulations and laws to reduce the financial demage from simishing and to strengthen the security and responsibility of the mobile network operator, payment gateway, and content providers who are participating in the structure of a mobile micropayment systems, such as a regulation for information security evaluation system, several laws for compensation of financial demage within mobile micropayement system.
With the rapid increase in mobile device users, there are many cyber attacks using SMS messages to infect the mobile device. The monetary demage from those attacks are also increasing. Since those demage are generally related to mobile micropayement systems, we study the details of the incidents on smishing and mobile micropayment. We have identified several limitations of current regulations and laws of them. Thus, we propose new regulations and laws to reduce the financial demage from simishing and to strengthen the security and responsibility of the mobile network operator, payment gateway, and content providers who are participating in the structure of a mobile micropayment systems, such as a regulation for information security evaluation system, several laws for compensation of financial demage within mobile micropayement system.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
따라서 본 논문에서는 스미싱으로 인한 소액결제 피해를 막기 위해 소액결제지불구조 상 취약점을 보안할 수 있는 새로운 제도 및 법을 제안한다. 제안하는 제도는 소액결제 지불구조를 고려하여 통신과금서비스제공자(이동통신사, 결제대행사) 및 콘텐츠제공자들에게 스미싱으로 인한 소액결제 피해 사고 예방 및 피해발생 시 손해배상 책임을 구체화하는 법안과 제도를 제안한다.
이를 해결하기 위해서 콘텐츠사업자를 규제 및 관리 감독을 강화하여, 불법·부당행위를 하지 못하도록 강제하였다. 또한 소액결제 관련 요금 청구 시 세부내역 표시 방법을 개선하여 사용자의 의식 및 인지를 강화하고자 하였다.
해커들의 대표적인 목적은 스마트폰의 정보 탈취3) 또는 소액결제를 통한 금전적 이득 취득 등이 될 수 있다. 본 논문에서는 금전적 이득을 목적으로 하는 경우를 주로 다룬다. 금전적 이득을 목적으로 하는 경우에는 스미싱 공격을 활용하여 피해자 스마트폰을 감염시킨 후 모바일 소액결제를 활용하는 수법이 널리 사용된다[14].
본 논문에서는 정보통신망법 제60조(손해배상 등)에 4항을 신설하여 통신과금서비스제공자에게 손해배상에 책임을 묻도록 한다. 아래는 제안하는 예시이다.
이를 해결하기 위해여 여러 제도 및 법안들이 제안되었고, 이를 통하여 상당 부분의 스미싱 건수가 줄어드는 효과를 보았다. 본 논문에서는 현 스미싱 제도를 분석하고, 그 한계점을 살펴보았다. 스미싱 피해건수 감소에도 불구하고, 스미싱 피해액이 증가하는 문제점을 인식하고, 이를 해결하기 위해서 소액결제와 관련된 문제점을 살펴보았다.
본 논문에서는 현 스미싱 제도에 대한 현황과 함께 스미싱의 금전적 피해와 관련이 있는 소액결제 관련 현황을 살펴본다. 스미싱 관련 사이버 사고를 해결하기 위한 기술적, 법률적, 제도적인 노력으로 스미싱 탐지 건수가 감소함(스미싱 건수 2014년 4천917건에서 2015년 1천120건으로 피해건수가 대폭 감소 [9])에도 불구하고 같은 기간 스미싱 사고로 인한 피해금액이 증가(스미싱 피해금액 2014년 3억4천만 원에서 17억 4천만 원으로 5배 이상 증가[9])하고 있는 문제점을 파악하고 이를 해결하기 위한 해결방안을 제시한다.
제안하는 제도는 소액결제 지불구조를 고려하여 통신과금서비스제공자(이동통신사, 결제대행사) 및 콘텐츠제공자들에게 스미싱으로 인한 소액결제 피해 사고 예방 및 피해발생 시 손해배상 책임을 구체화하는 법안과 제도를 제안한다. 소액결제 구조의 보안을 강화하여 스미싱으로 인한 금전적 피해를 최소화하고자 한다.
소액결제의 피해를 줄이기 위해서 [27]에서 소액결제 시스템이 가진 구조적 취약점을 분석하고 이를 해결할 수 있도록 기존 표준결제창 개선 방안을 연구하였다. 또한 [28]에서는 휴대폰 결제 서비스와 관련된 제도적 문제점을 분석하였다.
본 논문에서는 현 스미싱 제도를 분석하고, 그 한계점을 살펴보았다. 스미싱 피해건수 감소에도 불구하고, 스미싱 피해액이 증가하는 문제점을 인식하고, 이를 해결하기 위해서 소액결제와 관련된 문제점을 살펴보았다. 스미싱으로 인한 소액결제 피해를 예방하고, 피해액을 줄이고자, 본 논문에서는 소액결제 시스템의 보안을 강화하고, 의무화할 수 있는 소액결제 사업자에 대한 정보보안 평가제도, 소액결제 피해 발생 시 손해배상 책임자 구체적 명시의 제도 및 법안을 제안한다.
스미싱 피해건수 감소에도 불구하고, 스미싱 피해액이 증가하는 문제점을 인식하고, 이를 해결하기 위해서 소액결제와 관련된 문제점을 살펴보았다. 스미싱으로 인한 소액결제 피해를 예방하고, 피해액을 줄이고자, 본 논문에서는 소액결제 시스템의 보안을 강화하고, 의무화할 수 있는 소액결제 사업자에 대한 정보보안 평가제도, 소액결제 피해 발생 시 손해배상 책임자 구체적 명시의 제도 및 법안을 제안한다. 이를 통해 향후 소액결제로 인한 피해금액을 줄이고 피해구제가 쉬워지기를 기대한다.
2014년 미래창조과학부에서는 이동통신사, 인터넷 포털, 웹하드 등 3개 분야에 대해서 시범적으로 홈페이지 보안취약점 점검을 수행하고 그 결과를 언론에 발표한 적이 있다[33]. 이러한 시범적 점검을 넘어서 정기적으로 제도화하여 취약점을 점검하는 방안을 제안한다. 정부가 정기적으로 소액결제와 관련된 사업자들(통신과금서비스제공자 및 콘텐츠제공자)에 대한 홈페이지 보안취약점 점검을 수행하고 평가하여 그 결과에 따라 징벌적 벌금 혹은 상금을 주는 제도를 제안한다.
제안 방법
4.2.1 절에서 언급한 바와 같이 통신과금서비스 기본약관을 개정하는 것만으로는 통신과금서비스제공자에게 스미싱으로 인한 소액결제 피해에 대한 법적인 과실 책임을 부여하는데 부족하기 때문에 관련 법안을 개정도 함께 제안한다.
이에, 공격자들은 해킹을 통해 개인정보(이름, 생년월일, 주민등록번호 등)를 활용5)하여 피해자의 아이디를 추가 생성하였다. ② 공격자가 새롭게 생성한 LG U+ 아이디를 활용하여 휴대폰소액결제차단을 해제하고 휴대폰소액결제 한도를 최대치인 50만원으로 상향 조정하였다. LG U+와 달리 SKT와 KT의 경우에는 개인당 하나의 아이디만을 생성할 수 있기 때문에 이러한 문제점은 발견되지 않았다[30].
이러한 문제점의 원인으로 소액결제 시스템의 보안 의무화 제도의 부재 및 모바일 소액결제 피해 발생 시 손해배상 책임 주체의 모호함을 꼽을 수 있다. 관련하여 2016년 12월~2017년 2월까지 걸쳐서 발생한 쿠팡-LG U+의 스미싱 사고 사례를 중심으로 살펴보았다. 이 사고는 이통통신사(LG U+), 홈페이지의 취약점 존재 및 콘텐츠제공사(쿠팡) 홈페이지의 환불 절차상 현금화 가능 취약점 등에 의하여 발생하였다.
또한, 이동통신사에 대한 책임을 부여하기 위해서 통신과금서비스이용약관 LG U+예시를 참고하여 수정된 약관을 아래와 같은 예시로 제안한다.
본 절에서는 최근 2년간(2014년~2015년) 월별 스미싱 탐지 건수[15]를 참고하여 시기별 스미싱 제도와 법 현황을 살펴본다(Table 1. 및 Fig.
[29]는 모바일 소액결제 피해 발생 시 소비자와 다수의 사업자(콘텐츠제공자, 결제대행사, 이동통신사)가 참여하고 있어 소액결제 피해 발생 시 책임 부담의 주체가 불명확하다고 언급하고 있다. 소비자의 과실에 의해 피해가 발생한 경우를 제외하고는 통신과금서비스제공자 측에게 무과실책임을 부과하도록하는 법률 개정안을 제안하였다. 하지만 [29]에서 제안하는 방법에도 불구하고 통신과금서비스제공자는 이동통신사와 결제대행사 두 사업자를 모두 함께 지칭하는 단어로 여전히 피해 발생 시 두 사업자 간 손해배상에 대한 책임 주체가 불명확한 문제점이 남아있다.
소액결제 피해액을 줄이기 위해서는 스미싱 억제하는 노력뿐만 아니라, 소액결제 참여 사업자들의 시스템 취약점으로 인한 문제를 해결해야하므로 사업자의 소액결제 관련 시스템에 대한 보안성을 의무 및 강화할 수 있는 제도를 제안한다. 또한 보안성 강화의 의무를 좀 더 강하게 부여하고, 피해자를 구제하기 위해서, 소액결제 피해사고 발생 시 사업자 간 책임소지를 명확히 할 수 있는 제도/법안을 제안한다.
이러한 문제점을 해결하기 위해서 소액결제로 인한 피해 발생 시 각 사업자에게 자신의 시스템의 보안 문제로 인한 피해가 아님을 입증할 책임을 부여하고, 입증 가능한 경우에만 손해배상 책임이 없도록 하는 방안을 제안한다. 만약 소액결제와 관련된 모든 사업자가 자신의 시스템으로 인한 피해 사례가 아님을 입증할 수 있다면 최종 책임은 사용자에게 있으며, 이때는 사용자가 피해보상을 받을 수 없도록 한다.
이러한 시범적 점검을 넘어서 정기적으로 제도화하여 취약점을 점검하는 방안을 제안한다. 정부가 정기적으로 소액결제와 관련된 사업자들(통신과금서비스제공자 및 콘텐츠제공자)에 대한 홈페이지 보안취약점 점검을 수행하고 평가하여 그 결과에 따라 징벌적 벌금 혹은 상금을 주는 제도를 제안한다. 이는 공공기관에 대한 정보보호실태평가[2]와 유사한 제도이다.
4장에서는 스미싱 및 소액결제 관련 제도에 대한 한계점을 살펴보고 5장에서는 이러한 한계점을 해결할 수 있는 방법을 제안한다. 제안하는 방안은 크게 사업자 간 시스템의 보안성을 강화할 수 있는 제도와 소액결제 피해 발생 시 피해자 혹은 사업자 간 책임을 명확히 하는 제도 및 법안으로 구성된다. 그리고 마지막으로 6장에서는 결론을 제시한다.
따라서 본 논문에서는 스미싱으로 인한 소액결제 피해를 막기 위해 소액결제지불구조 상 취약점을 보안할 수 있는 새로운 제도 및 법을 제안한다. 제안하는 제도는 소액결제 지불구조를 고려하여 통신과금서비스제공자(이동통신사, 결제대행사) 및 콘텐츠제공자들에게 스미싱으로 인한 소액결제 피해 사고 예방 및 피해발생 시 손해배상 책임을 구체화하는 법안과 제도를 제안한다. 소액결제 구조의 보안을 강화하여 스미싱으로 인한 금전적 피해를 최소화하고자 한다.
(2) 쿠팡(콘텐츠제공자)의 취약한 시스템: ① 가짜 아이디 무한대 생성할 수 있는 문제점이 있었으며, ② 환불 시 타명의의 계좌로 환불할 수 있는 취약점이 존재하였다. 해커들은 피해자의 명의로 소액결제를 진행 후 쿠팡의 환불 절차를 악용하여 대포통장을 활용한 현금화를 시도하였다.
성능/효과
(1) LG U+(이동통신사) 홈페이지의 취약점: 개인당 2개 이상의 아이디를 생성할 수 있는 취약점이 있었다. 이에, 공격자들은 해킹을 통해 개인정보(이름, 생년월일, 주민등록번호 등)를 활용5)하여 피해자의 아이디를 추가 생성하였다.
(2) 쿠팡(콘텐츠제공자)의 취약한 시스템: ① 가짜 아이디 무한대 생성할 수 있는 문제점이 있었으며, ② 환불 시 타명의의 계좌로 환불할 수 있는 취약점이 존재하였다. 해커들은 피해자의 명의로 소액결제를 진행 후 쿠팡의 환불 절차를 악용하여 대포통장을 활용한 현금화를 시도하였다.
3.1절에서 알 수 있듯이 스미싱 억제 제도를 통해 스미싱 탐지 건수가 크게 줄어들었다(2014년 4,917건에서 2015년 1,120건으로 대폭 감소[9]). 하지만, 2014년에서 2015년까지 스미싱으로 인한 피해금액은 3억 4천만 원에서 17억 4천만 원으로 5배 이상 증가하였으며, 건 당 피해액도 2014년 10만원에서 2015년 160만원으로 크게 증가하였다[9].
후속연구
소액결제 피해액을 줄이기 위해서는 스미싱 억제하는 노력뿐만 아니라, 소액결제 참여 사업자들의 시스템 취약점으로 인한 문제를 해결해야하므로 사업자의 소액결제 관련 시스템에 대한 보안성을 의무 및 강화할 수 있는 제도를 제안한다. 또한 보안성 강화의 의무를 좀 더 강하게 부여하고, 피해자를 구제하기 위해서, 소액결제 피해사고 발생 시 사업자 간 책임소지를 명확히 할 수 있는 제도/법안을 제안한다.
스미싱으로 인한 소액결제 피해를 예방하고, 피해액을 줄이고자, 본 논문에서는 소액결제 시스템의 보안을 강화하고, 의무화할 수 있는 소액결제 사업자에 대한 정보보안 평가제도, 소액결제 피해 발생 시 손해배상 책임자 구체적 명시의 제도 및 법안을 제안한다. 이를 통해 향후 소액결제로 인한 피해금액을 줄이고 피해구제가 쉬워지기를 기대한다.
질의응답
핵심어
질문
논문에서 추출한 답변
스미싱이란 무엇인가?
스미싱은 문자 메시지(SMS)와 Phising의 합성어로 문자 메시지를 활용한 사이버 사기 중 하나이다[10].
모바일 기기를 대상으로 하는 사이버 공격 방법에는 무엇이 있는가?
이와 함께 모바일 기기를 대상으로 하는 사이버 공격들이 증가하고 있다. 이러한 사이버 공격 방법은 해킹 E-mail 전송, 사설앱 마켓 등록 등 여러 가지가 있으며1), 이 중에 문자메시지를 활용하는 원격 공격인 스미싱이 2012년도 이후로 활발히 일어나고 있다2)[2]. 스미싱을 이용하는 해커들의 목적은 주로 정보탈취 또는 금전적 이득에 있다.
스미싱 과정은 어떻게 되는가?
스미싱 과정은 다음과 같다. ① 해커가 피해자에게 악성앱(코드) 설치 URL이 담긴 문자 메시지를 전송한다. ② 피해자가 (부주의하게) URL 클릭하여 악성앱 다운로드한다. ③ 피해자가 다운로드한 악성앱을 (부주의하게) 설치하여 스마트폰 감염된다. 스마트폰이 감염되고 나서는 해커는 자신이 원하는 바를 마음대로 수행할 수 있게 된다. 해커들의 대표적인 목적은 스마트폰의 정보 탈취3) 또는 소액결제를 통한 금전적 이득 취득 등이 될 수 있다.
참고문헌 (33)
Etoday News, "Smartphone penetration rate 91% 'Finance in the hand'," http://www.etoday.co.kr/news/section/newsview.php?idxno1441840, Jan. 2017
National Information Security White Paper, http://isis.kisa.or.kr/ebook/download_pdf/2016.pdf, Apr. 2016
Yonhap News, "KT homepage hacking...12 million personal information leaked," http://www.yonhapnews.co.kr/society/2014/03/06/0702000000AKR20140306149651065.HTML, Mar. 2014
MoneyToday News, "12.3 million personal information leaked from mobile network operator such as LG U+ and SKT," http://news.mt.co.kr/mtview.php?no2014031111001655436, Mar. 2014
Yonhap News, "Smartphone released after next month should have a built-in anti-smishing app," http://www.yonhapnews.co.kr/economy/2014/08/28/0303000000AKR20140828063100017.HTML Aug. 2014
Electronic News, "From today, displaying the [Web] on a SMS message when the message is sent from Internet," http://www.etnews.com/20140720000011, Jul, 2014
Kyeonggi ilbo news, "In Smishing.Pharming.Phishing area, 1,395 billion financial damages for three years," http://www.kyeonggi.com/?modnews&actarticleView&idxno1230305, Aug. 2016
KISA, "A guide book for preventing and responding to the Smishing attack," https://www.boho.or.kr/download.do?pathtemp&namesmishing.pdf&orgName%EC%8A%A4%EB%AF%B8%EC%8B%B1%EC%98%88%EB%B0%A9%EB%B0%8F%EB%8C%80%EC%9D%91%EA%B0%80%EC%9D%B4%EB%93%9C.pdf, Mar. 2015
Yongdae Kim (Ahnlab), "Cyber Security Threats and responses for Mobilephone," Proceedings of the Mobile Infomation Security Conference (MISCON) 2015, Feb. 2015
YTN News, "Kim Sang-ryul, the senior secretary to the President for educational affair, was subjected to smishing attacks," http://ytn.co.kr/_ln/0101_201503171658263049, Mar. 2015
CNN News, "North Korea hacked govern ment officials' smartphones, South Kore a says," http://edition.cnn.com/2016/03/08/asia/south-korea-smartphone-hack/index.html, Mar. 2016
https://en.wikipedia.org/wiki/SMS_phishing
iNews News, "The number of smishing attack is decreasing," http://news.inews24.com/php/news_view.php?g_serial934649&g_menu020200, Dec. 2015
Boannews News, "Starting from the 16th, blocking the phone number change for smishing," http://www.boannews.com/media/view.asp?idx45948, Apr. 2015
Boannews News, "Emergency response sy stem for malicious app infections on smartphone," http://www.boannews.com/media/view.asp?idx48006&kind2, Sep. 2015
Newsis News, "Banks should pay damages from hacking, phishing, smishing,,, the revised e-commercial terms and conditions of the Fair Trade Commission," http://www.newsis.com/view/?idNISX20170124_0014661503, Jan. 2017
Free Trade Commissions, "Agreement on using electronic financial transactions," 10028, Jan. 2017
The DigitalTimes News, "Electronic financial hacking damage compensation becomes easy... The bank's responsibility for proving," http://www.dt.co.kr/contents.html?article_no2017032902100151800001, Mar. 2017
Chosun Biz News, "Hacking, phising, pharming demage from 'bank account'...," http://biz.chosun.com/site/data/html_dir/2017/03/13/2017031300984.html, Mar. 2017
Si-young Lee, Hee-Soo Kang, and Jong-Sub Moon, "A Study on Smishing Block of Android Platform Environment," Jounal of The Korea Institute of Information Security & Cryptology, 24(5), pp. 975-985, Oct. 2014
Choon Kyoung Joo and Ji Won Yoon, "Discrimination of SPAM and prevention of smishing by sending personally identified SMS(For financial sector)," Journal of The Korea Institute of Information Security & Cryptology, 24(4), pp. 645-653, Aug, 2014
Seolah Je, Vu Long Nguyen, and Souhwan Jung, "Design and Implementation of Verification System for Malicious URL and Modified APK File on Clould Platform," Journal of The Korea Institute of Information Security & Cryptology, 26(4), pp. 921-928, Aug, 2016
Youngho Jeong, Kukheon Lee, and Sangjin Lee, "Designing SMS Phishing Profiling Model," Journal of The Korea Institute of Information Security & Cryptology, 25(2), pp. 293-302, Apr. 2015
ZDNet Korea News, "Blocking Micropayment illegal fraud," http://www.zdnet.co.kr/news/news_view.asp?artice_id20141125110622, Nov. 2014
Kwang Sun Park and Sang-jin Lee, "A Study on Structural Vulnerability of MobilePhone Micropayment System And Improvement of Standard Payment Module for User Protection," Journal of the Korea Institute of Information Security & Cryptology, 23(6), pp. 1007-1015, Dec. 2013
Seok-il Ryu, "A research for the problem of mobile micropayment and improvement plan," Korea Consumer Agency, Report 11-09, pp. 1-50, Sep. 2011
Min-a Kim and Hee-ju Park, "A study on consumer protection measures of mobile micropayments," Report 13-14, Korea Consumer Agency, Dec. 2013
IT Chosun News, "It's your fault"...Coupang vs LG U+, shifting responsibility to others," http://it.chosun.com/news/article.html?no2830545, Feb. 2017
Edaily News, smishing incident damege, why was there a lot of LG-U+ user's micro payment cases?," http://www.edaily.co.kr/news/NewsRead.edy?SCDJE41&newsid04546086615828880&DCDA00504, Feb. 2017
Korean National Police Agency Cyber Bureau, "Telecommunications fraud (Smishing) damage remedies," http://cyber.go.kr/mobile/sub/sub_08_g.jsp
Hankyung News, "Ministry of Science, ICT, and Future Planning, A Report for Homepage Vulnerability of Mobile Network Operators, Web-portal, and Web-hard," http://news.hankyung.com/article/201401081788g, Jan. 2014
※ AI-Helper는 부적절한 답변을 할 수 있습니다.