earticle

영어

Due to the frequent leakage of personal financial information, 'side-channel attacks' -invasion of information through analysis of sound, electricity, electromagnetic waves and time difference- is gaining attention. In Korea, there have been discussions regarding this issue since the 1990s and such attacks are prepared for, but problems remain as evolved attack methods continue to arise. This research defines side-channel attacks as cracking of the encryption key of security modules by acquiring, processing and analyzing leaked information. Attacks are categorized as processing-leaked-information-type and acquiring-leaked-information-type, based on how the leaked information is utilized. The latter is subdivided into direct-acquirement-type and medium-acquirement-type, based on whether the information can be acquired directly through the five senses etc. This research focuses on the U.S., Europe and Japan regarding technical and legal countermeasures. Especially about legal measures, the penal remedy under the Criminal Code and special criminal laws are analyzed via the categorization of side-channel attacks used above. Civil wise, the 'Personal Information Protection Act' and the 'Use and Protection of Credit Information Act' are also considered, and the newly-established 'statutory damages' is reviewed. The need for business suspension and punitive damages for personal financial data leakage is also mentioned. Side-channel attacks are hazardous as they can be used in not only finance, but also other fields such as home-network systems, smart-cars and internet of things. As analyzing the concept of side-channel attacks and categorizing them, this research hopes to contribute in reinforcing current countermeasures and establishing a recurrence prevention system to prevent and restrict leakage of personal financial information.

한국어

최근 대규모의 개인금융정보 유출이 잇따라 발생하면서 소리, 전력, 전자파, 시차 등의 분석을 통해 정보를 침해하는 ‘부채널 공격’에 대한 관심이 증대하고 있다. 이에 대해 우리나라에서도 1990년대부터 논의되어 지속적으로 대비하고 있 으나 더욱 진화된 부채널 공격방식이 나타나고 있어 여전히 문제점이 남아 있다. 누수정보를 획득, 가공 및 분석하여 보안모듈의 암호키를 크래킹하는 것을 부 채널 공격으로 정의하고, 누수정보의 활용 양태에 따라 누수정보가공형과 누수 정보획득형으로 공격 유형을 나누었다. 후자의 경우 오감 등에 의한 직접 획득 가능여부에 따라 직접획득형과 매개획득형으로 더 세분하였다. 이하에서는 기술적 및 법적 대응책에 관해 미국, 유럽, 일본을 중심으로 외국 의 예를 살폈으며, 특히 법적 대응책에 관해서는 앞서 살핀 부채널 공격의 유형 론에 입각하여 형법과 여러 특별법의 형사상 구제수단을 분석하고, 민사상 구제 수단으로는 개인정보보호법과 신용정보보호법도 추가하여 신설된 법정손해배상 에 대해서도 검토하였다. 개인금융정보의 침해 시 영업정지 조치와 징벌적 손해 배상의 필요성도 지적하였다. 금융뿐만 아니라 홈네트워크 시스템, 스마트카드, 사물인터넷 등 다른 분야에 도 부채널 공격이 활용될 수 있어 그 위험성이 크다. 본 연구를 통해 부채널 공 격의 개념과 그 유형을 분석하고 이를 바탕으로 기술적 및 법적 대응책을 살핌 으로써 기존 대응책을 강화하고, 장기적 관점에서의 재발 방지체계를 확립하여 개인금융정보 유출을 예방ㆍ제재에 기여할 수 있기를 바란다.