신용카드 보안이란?

신용카드 보안은 기업이 IT 환경 내에서 처리하거나 저장하는 신용카드 정보를 보호하기 위해 의존하는 일련의 프로토콜, 기술 및 모범 사례입니다. 온라인 쇼핑을 위한 비접촉식 결제 및 카드 미발행 거래와 같은 트렌드로 인해 신용카드 사기 및 기타 유형의 금융 범죄가 증가하고 있습니다. 신용카드 보안 솔루션은 기업이 민감한 재무 정보를 보호하고, 신용카드 데이터 손실을 방어하며, 신용카드 사기를 예방하고, 규제 벌금 및 법적 조치, 매출/평판/고객의 신뢰 저하 등 부정적인 결과를 방지하는 데 도움이 됩니다.

신용카드 보안은 신용카드를 처리하는 리테일 기업과 기업은 물론 신용카드 발급사, 금융 기관, Visa, Mastercard, Discover, American Express를 비롯한 주요 신용카드 회사에게 중요한 관심사입니다. 새로운 카드에는 신용카드 보안을 개선하기 위해 설계된 EMV 칩과 같은 보안 기능이 있지만 범죄자들은 신용카드 계좌 번호를 훔치고 사기성 신용카드 거래를 수행하는 새로운 방법을 끊임없이 찾고 있습니다.

• 카드 미소지 사기. 신용카드 보안에 대한 가장 빠르게 증가하는 위협 중 하나인 카드 미소재 사기는 범죄자가 훔친 신용카드 정보를 사용하여 전화를 통해 온라인 구매를 하거나 구매할 때 발생합니다.
• 스키밍 사기. 범죄자들은 고객이나 직원이 신용카드를 훔칠 때 계정 정보를 훔치기 위해 POS 디바이스에 스키머를 배치하는 경우가 많습니다. 스키밍은 온라인 거래에서도 발생할 수 있습니다. 예를 들어, Magecart 공격 은 이커머스 플랫폼의 써드파티 취약점을 악용해 공격자가 브라우저 내의 결제 페이지에 악성 코드를 삽입할 수 있도록 합니다. 사이트 방문자가 결제 카드 세부 정보를 입력하면 악성 코드는 해당 정보를 스키밍해 공격자가 제어하는 도메인으로 보냅니다.
• 피싱. 이러한 공격에서 사기범은 정상적인 연락처, 회사 또는 서비스로 가장하고 소비자가 신용카드 번호와 기타 민감한 정보를 공개하도록 유도합니다.
• 애플리케이션 사기. 이러한 형태의 신원 도용에서 범죄자는 훔친 정보를 사용하여 다른 사람의 이름으로 신용카드를 신청할 수 있습니다. 이러한 종류의 사기는 피해자가 신용 보고서를 확인하거나 신용 점수의 변화를 통지할 때까지 탐지되지 않을 수 있습니다.
• 데이터 유출. 공격자가 기업의 IT 환경에 성공적으로 접속할 수 있게 되면 주민등록번호, 직불카드 또는 신용카드 번호, CVV 또는 CID 번호 등 개인 식별 정보가 포함된 대량의 고객 데이터를 다운로드할 수 있습니다. 이 데이터는 카드 뒷면의 3~4자리 숫자입니다.

신용카드 보안 및 사기 방어는 일반적으로 사기 및 기타 위협을 예방, 탐지, 대응하는 멀티레이어 접근 방식을 포함합니다.

• 암호화. 기업은 SSL 및 TLS와 같은 프로토콜로 데이터를 암호화함으로써 가로채기나 변조에 대한 두려움 없이 결제 데이터를 안전하게 전송할 수 있습니다.
• 토큰화: 신용카드 정보를 전송할 때 토큰화는 민감한 카드 정보를 결제 프로세서만 올바르게 읽을 수 있는 무작위 숫자 및 문자 문자열(토큰이라고 함)로 대체하는 프로세스입니다. 토큰화는 신용카드 보안과 이커머스 거래를 강화하는 동시에 규제 및 업계 표준을 준수하는 데 따르는 비용과 복잡성을 줄여줍니다.
• 인증: 단일 팩터, 이중 인증 또는 MFA(Multi-Factor Authentication)를 사용하면 결제를 위해 신용카드를 제시하는 개인이 실제로 승인된 사용자가 되도록 할 수 있습니다. MFA는 비밀번호, PIN, 일회용 코드, 생체 인식 데이터, 보안 질문, 물리적 토큰 등 두 가지 이상의 인증 유형을 사용합니다.
• 침입 탐지 및 방지 시스템. 이러한 기술은 고객 행동을 모니터링하고, 트랜잭션 패턴을 식별하고, 비정상을 탐지해 사기 거래를 인식하고 차단합니다. 이러한 솔루션은 잠재적인 사기를 탐지할 때 트랜잭션을 차단하거나 추가 인증 조치가 필요할 수 있습니다.
• PCI DSS 규정 준수. PCI DSS(Payment Card Industry Data Security Standard)는 고객 데이터를 보호하고 데이터 유출 리스크를 줄이기 위한 일련의 표준을 설명합니다. PCI DSS 표준을 준수하는 기업은 신용카드 정보를 안전하게 처리, 저장, 전송할 수 있습니다.
• 방화벽 및 네트워크 보안. 방화벽과 기타 네트워크 및 웹 보안 기술은 IT 환경에 접속하려는 멀웨어 및 공격자와 같은 외부 위협을 차단해 신용카드 보안을 개선하는 데 도움이 됩니다. 방화벽은 트래픽을 스캔 및 모니터링하고 보안 정책을 적용해 잠재적인 위협을 차단합니다. 침입 탐지 및 방지 시스템은 가능한 침입을 식별하고 네트워크 활동을 지속적으로 모니터링합니다. 세그멘테이션 및 마이크로세그멘테이션 솔루션은 IT 네트워크와 자산을 더 작은 단위로 분할해 사이버 공격의 잠재적인 '폭발 반경'을 제한합니다.
• 클라이언트측 보호. 클라이언트측 보호는 Magecart, 웹 스키밍, 폼재킹과 같은 클라이언트측 공격을 방지할 수 있습니다.
• 데이터 손실 차단(DLP): DLP 솔루션은 신용카드 데이터와 같은 민감한 정보가 악의적이거나 의도치 않게 유출, 노출 또는 도난되지 않도록 보호합니다. DLP 솔루션은 맥락 스캐닝 및 콘텐츠 검사를 사용해 네트워크에서 들어오고 나가는 데이터를 검색하고 카드 소유자 정보, 개인 식별 정보(PII) 및 기타 민감한 데이터를 포함하는 트래픽을 차단합니다.
• 보안 업데이트. 공격자가 소프트웨어, 하드웨어, 운영 체제의 취약점, 버그, 보안 문제를 악용하지 못하도록 하려면 취약점 수정, 패치 적용, 보안 업데이트 구현을 정기적으로 일관되게 유지하는 것이 필수적입니다.

API(Application Programming Interface)는 신용카드 보안과 관련해 체인에서 가장 취약한 고리인 경우가 많습니다. API는 애플리케이션이 서로 통신하고 데이터와 기능을 공유할 수 있도록 하는 소프트웨어 프로그램 또는 코드 비트입니다. 신용카드 데이터와 같은 민감한 데이터를 공유하는 데 더 많은 API가 구축되고 사용됨에 따라 기업은 더 많은 리스크를 초래합니다. 이러한 보안 격차는 공격자가 API 및 연결된 시스템에 무단으로 접속할 수 있는 문을 열어줍니다. 이러한 데이터 유출로 인해 고객의 신용카드 데이터가 유출되거나 도난당할 수 있습니다.

가장 중요한 것은 사용 중인 API 보안 기능이 PCI DSS를 준수하는지 확인하는 것입니다. 이를 통해 신용카드 데이터 처리에 대한 모범 사례를 직접 따르는 솔루션이라는 확신을 가질 수 있습니다. 필요한 보안 솔루션을 결정하기 위해 가장 먼저 염두에 두어야 할 사항은 API 보호  보안에 대한 멀티레이어 접근 방식이 필요하다는 것입니다. API Gateway는 적절한 백엔드 서비스 및 프론트엔드 엔드포인트에 대한 권한을 확인하고 호출을 라우팅하는 동시에 전송률 제한 및 스로틀링을 적용해 API 남용을 방지하는 데 도움이 될 수 있습니다. 보안팀은 암호화, 인증 및 권한 확인 기술, 웹 애플리케이션 방화벽, OpenAPI 보안 체계, API를 발견하고 취약점을 식별하기 위한 툴을 구축해야 할 수도 있습니다. 그러나 API Gateway 보안은 OWASP API Security 상위 10대 리스크에 포함된 공격 유형을 차단하기에 충분하지 않습니다. 첫째, 기업은 API의 전체 인벤토리를 확보해야 하며, 이러한 API에 신용카드 정보와 같은 민감한 데이터가 포함되어 있는지 여부에 따라 레이블을 지정할 수 있어야 합니다. 그런 다음 행동 애널리틱스를 사용해 모든 API 활동을 모니터링해 해당 API가 예상된 방식으로 데이터를 공유하고 비정상적인 행동을 알리는지 확인해야 합니다.