[비즈한국] 國內第一大行動通訊運營商SK電信017670發生大規模資訊洩露事故,金融界也因此進入緊急狀態。金融監管部門在事故發生後立即要求金融公司預防二次傷害,並與相關機構召開檢查會議以評估局勢。與此同時,各金融公司透過官網和應用程式向消費者釋出了應對指南,但值得注意的是,每家公司提出的方案各不相同。經過對商業銀行、地方銀行、網際網路銀行等主要銀行的應對指南進行排查發現,有的機構詳細介紹了自家的安全服務,但也有部分機構甚至連相關通告都未釋出。

SKT駭客事件的負面影響迅速波及金融界。如果洩露的USIM(使用者識別模組)資訊和個人資訊被惡意利用,可能會導致他人透過盜取金融資產造成二次傷害。4月30日,金融監管部門與金融安全院、信用資訊院、金融結算院等相關機構共同成立了緊急應對總部並展開行動。金融委員會委員長金秉煥在7日的月度座談會上表示:“目前尚未收到金融領域受損案例的報告。”
監管部門要求金融公司在手機金融APP使用者的裝置資訊發生變更時,必須進行額外認證,或加強異常金融交易檢測系統(FDS)的監控。對於僅透過手機本人認證和簡訊認證的服務,將追加額外認證要求。針對金融消費者,監管部門建議加入“攔截非面對面開戶及信貸交易”的服務。
在金融監管部門進行預先防範的同時,各金融公司也向使用SKT的使用者釋出了駭客應對指南。4月28日至30日,各金融公司透過各自平臺釋出了應對方案。調查主要銀行(商業銀行、地方銀行、網際網路銀行)官網的結果顯示,部分銀行詳細說明了可用的安全服務或駭客受損應對方法,而有的銀行甚至未釋出任何公告,反映出銀行界的安全意識參差不齊。
商業銀行(KB國民銀行、韓亞銀行、新韓銀行、友利銀行、iM銀行)以及NH農協銀行、IBK企業銀行大多先解釋了“非面對面安心攔截”(開戶、信貸交易)功能,隨後介紹了各自的安全服務。儘管指引內容相似,但推薦的安全服務等級存在差異。例如,國民銀行、農協銀行等僅侷限於引導開通“非面對面安心攔截”或“禁止移動OTP(一次性密碼)簽發”,而部分銀行則透過推薦其強化安全服務來防止駭客入侵。
iM銀行和企業銀行提出了僅能在特定5個地區進行非面對面金融交易的功能(分別為“基於地址的登入限制服務”、“電子金融使用位置設定”)。在這種情況下,不僅是海外,即便是國內,如果不在使用者設定的區域內,登入或使用電子金融功能都將受到限制,從而可以攔截駭客攻擊嘗試。韓亞銀行則在APP選單內顯示特定國家的匯率,提出了可透過區分真實金融APP與釣魚APP的“防釣魚匯率影象服務”。

在地方銀行(慶南銀行、光州銀行、釜山銀行、全北銀行、濟州銀行)中,可以見到未釋出受損預防指南或僅停留在形式化說明的案例。JB金融控股旗下的全北銀行雖然釋出了預防守則,但內容僅為“更換USIM”、“隨時確認SKT公告”,並未提及任何金融安全服務。其關聯公司光州銀行甚至沒有針對SKT使用者釋出事故預防指南。
也有銀行選擇直接引用外部內容代替自行說明。BNK金融控股旗下的釜山銀行在4月28日給SKT客戶的指南中表示:“僅憑通訊商認證無法進行金融交易,我們透過FDS和額外認證程式安全保護資產”,並囑咐使用者“注意不要將賬號、密碼、證書、身份證件等洩露給第三方”,同時附上了SKT的公告連結。
在3家網際網路銀行(Kakao Bank、K-Bank、Toss Bank)中,只有Toss Bank沒有釋出針對SKT客戶的指南。使用相同平臺的Toss證券也一樣。不過,使用SKT網路的廉價移動通訊(MVNO)子公司Toss Mobile釋出了USIM保護服務加入公告。Kakao Bank和K-Bank則透過簡短的指南,建議使用者採取防名義冒用和開啟安心攔截服務。
對於各金融公司在SKT駭客事件中應對水平不一的現象,銀行界相關人士表示:“雖然資訊洩露事故引發了巨大擔憂,但國內金融業的資訊保安水平處於較高水平。由於本人認證程式嚴格,即便客戶不單獨加入安全服務,冒用名義或駭客攻擊也不容易成功。在事故發生前,在金融監管部門主導下已經推行了非面對面信貸交易及開戶安心攔截服務,這也可能是部分銀行縮減預防指南的原因。”
然而,考慮到存在金融脆弱群體,有人指出部分銀行的安逸態度令人遺憾。事實上,“信貸交易安心攔截服務”的60歲以上高齡使用者加入率最高,達到53%,顯示出該群體對名義冒用造成的損失憂心忡忡。此前在金融監管部門的檢查會議上,金融委員會秘書長權大榮曾表示:“如果SKT駭客事故演變為金融安全事故,不僅會造成嚴重損失,還可能引發社會不安”,並要求“要細緻應對,確保高齡人群等安全死角不被忽視”。