2018.08.07

차세대 지불결제 보안 현황과 발전 방향

Ruston Miles | CSO
현재 지불결제 기술 분야가 진화하고 있다. 이는 확실한 사실이다. 하지만 비즈니스가 동시에 같은 속도로 결제 보안과 관련된 혁신을 수용하는 것이 아주 중요하다.
하드웨어 기반 POS 터미널과 인프라가 더 빠르고 개방적이며, 모바일과 소프트웨어를 지향하는 결제 솔루션으로 대체되고 있는 추세다. 고객에게는 편리함을, 그 과정에 비즈니스를 위한 수익을 창출시키는 혁신들이다.

신규 진입 업체들은 전통적인 결제 처리나 결제 보안에 대한 경험이 거의 없는 상태에서 이런 소프트웨어를 구현하고 있다. 이런 기업이 기존 결제 처리 업체를 위해 개발한 소프트웨어와 시스템은 기존 업체에게 생소할 수도 있는 개방형 운영체제와 인터넷 연결성 기술에 토대를 두고 있다. 동시에 계속 등장하고 있는 새로운 기술과 상호연결성 기술이 보안 팀에 압박감을 주고 있는 실정이다.

이런 점을 감안하면, 침해 사고가 놀랄 정도로 많이 발생하고 증가하는 것은 놀랄 일이 아니다.

지난 수개월 간 필자는 보안 컴플라이언스와 트렌드, 향후 변화에 대한 질문을 많이 받았다. 필자는 카드를 받는 비즈니스와 지불결제 솔루션 공급업체라면 모두 반드시 알아야 할 3가지 혁신적인 변화가 발생하고 있다고 판단한다.

인증 보안 솔루션 대 DIY 보안 컴플라이언스
가장 먼저 인식해야 할 사항은 보안 컴플라이언스의 솔루션화다. 꽤 오래 전 이런 변화가 시작됐지만, 현재 그 속도가 더 빨라지고 있다.

PCI DSS(Data Security Standard)는 카드를 받는 비즈니스가 연중 무휴 준수해야 하는 약 335가지의 보안 컨트롤이다. 대부분의 기업이 각 요건을 준수해 카드 소유주의 데이터 환경을 안전하게 만들기 위해 노력했다. 필자는 이를 DIY(Do It Yourself)형 보안 컴플라이언스로 부른다. DIY 컴플라이언스의 경우, 비즈니스는 각자 결제 솔루션을 구입해 구성하고, 네트워크 및 워크스테이션 보안에 최선의 노력을 경주한다.

그러나 결제 애플리케이션 또한 확인해야 한다. 결제 게이트웨이도 PCI를 준수하고, 여기에 부합하는 서비스 공급업체여야 한다. 인증된 결제 애플리케이션, 공급업체, 장치만으로 해결되지 않는 보안 문제가 존재할 수도 있다.

이에 많은 기업이 안전한 시스템으로 선전되는 결제 승인 시스템을 구입한다. 그러나 몇 달 이내에 이런 애플리케이션이 실행되는 네트워크와 워크스테이션을 안전하게 만들거나, 결제 게이트웨이에 보내기 전에 자사의 맞춤형 애플리케이션에 위치한 데이터를 안전하게 만들어야 한다는 점을 깨닫는다.

이는 아주 흔하고 불가피한 상황이다. 지금은 인증 P2PE(Point-to-point encryption)와 토큰화로 결제 애플리케이션과 카드 소유주의 데이터 환경을 안전하게 만들고, 상점의 보안 통제책과 범위를 줄여야 하고, 그럴 수 있는 시대이기 때문이다.

기업은 인증 P2PE와 토큰화를 도입 및 활용, 컴플라이언스 요구사항을 335개에서 약 35개의 보안 통제책으로 줄일 수 있다. 모든 규모의 기업에서 관리가 더욱 용이해진다는 의미다.

POS와 같은 결제 애플리케이션 및 소프트웨어 플랫폼 공급업체들이 이런 종류의 보안 기술을 제공하지 않는 경우가 많다. 소규모 상점들이 이를 요구하지 않기 때문이다. 그러나 이는 불행한 일이다. 이런 기술을 가장 절실히 필요로 하는 상점들은 방화벽과 보안 기술이 없고, 이를 구현한 경우에도 적절히 구성하지 못한 소규모 상점들이기 때문이다.

미래에는 소규모 상점들에 판매되는 솔루션이 P2PE 및 토큰화를 지원할 것으로 예상한다. DIY형 컴플라이언스를 관리할 수 없는 상점들이 대부분이기 때문이다. 그러나 지금도 인증 솔루션을 구입할 수 있다.

결제 보안 솔루션에서 가장 중요한 '단어'는 '솔루션'이다. 안전한 장치나 애플리케이션은 필수 사항이다. 그러나 이와 동시에 인증된 솔루션이어야 한다. 솔루션을 구성하는 모든 구성 요소와 애플리케이션, 공급업체, 장치가 독립적으로 평가되어 리스트에 등록되어 있어야 한다.

또한 자격을 갖춘 전문 솔루션 평가자가 모든 구성 요소가 통합된 완전한 솔루션을 다시 평가해야 한다. 상점이 좋은 보안 구성 요소를 구입했음에도 불구하고 침해 사고가 발생하는 경우가 많다. 보안 구성 요소가 적절히 통합 및 구성되어 있지 않기 때문에 일어나는 일이다.

이 경우, 시스템과 요주의 데이터가 여전히 취약한 상태로 노출되기 때문이다. PCI P2PE 같은 인증 및 검증된 PCI 솔루션은 적절한 통제책, 구성, 컴플라이언스를 제공할 수 있다.

결제 보안 및 컴플라이언스 분야에서 솔루션화 개념이 비상하기 시작했다. 카드 데이터 스토리지의 토큰화는 크게 보편화됐다. 지난 5년 간 등장한 새로운 결제 솔루션의 경우, 모두 최신 토큰 스토리지를 지원한다. PCI 인증 P2PE 도입 또한 트렌드가 되고 있다. 필자가 설립한 업체인 블루핀(Bluefin)은 80종이 넘는 P2PE 연결 결제 게이트웨이, 결제 프로세서, 결제 소프트웨어 플랫폼을 갖고 있다.

전세계 기업들이 아키텍처의 핵심 포인트 솔루션 구현에 개발업체들을 활용하고 있다. 보안 및 컴플라이언스 분야에서 이런 변화가 발생한 것을 기쁘게 생각한다. 비유하자면, UPS와 페덱스도 자사가 사용할 화물 배달 트럭을 제조하지 않는다. 트럭이 비즈니스 모델에 아주 중요하기는 하지만, UPS와 페덱스는 주문 충족 및 물류 사업을 하는 회사들이기 때문이다. 두 회사는 자신이 가장 잘 하는 일을 하고, 나머지는 파트너에게 맡긴다.

즉시 연결해 사용할 수 있는 인증 솔루션이 증가하고 있다. 이는 보안 담당자가 결제 카드 데이터는 물론 PII(개인 식별 정보)와 지적 재산권, 영업 비밀 같은 주요 요소의 보안에 초점을 맞추도록 시간을 벌어줘 업무 효율성과 효과성을 높이도록 도와주는 솔루션이다. 여기에서 '인증'이라는 단어를 여러 차례 강조하고 있다. 평가자가 인증하고, PCI에 리스트로 등록된 솔루션이어야 한다. 그렇지 않으면 솔루션 공급업체의 말과 평판만 믿어야 하기 때문이다.

PCI SPoC 솔루션 및 3DS SDK 제품 리스트
토큰화와 P2PE가 전부가 아니다. PCI SSC(Security Standards Council)는 최근 2개 보안 솔루션 및 제품 인증 분야를 공표했다. SPoC 솔루션과 3DS SKD 제품들이 여기에 해당된다. 새로운 분야이기 때문에 아직 리스트에 등록된 공급업체들이 없다. 그러나 가까운 장래에 인증 리스트가 출현할 전망이다. 이런 솔루션을 감사할 자격을 갖춘 PCI 평가자들이 많이 있다.

PCI 웹사이트는 "SPoC(Software-Based PIN Entry on COTS)는 보안 PIN 입력 애플리케이션과 SCRP(Secure Card Reader for PIN)를 사용, 상점의 소비자 장치에 PIN을 입력해 EMV 접촉 및 무접촉 거래를 할 수 있도록 지원하는 솔루션이다. 3DS SDK는 카드 소유주를 인증할 수 있도록 상점의 모바일 애플리케이션에 탑재된 소프트웨어이다. 3DS 리퀘스터 애플리케이션(3DS Requestor Application)에 포함되어 있는 구성 요소이며, 3DS 서버 및 액세스 컨트롤 서버를 대신해 3DS 관련 기능을 수행한다. 여기의 리스트는 상점들이 3DS SDK 제품 선택 때 사용할 수 있는 자료다"라고 설명한다.

유럽 같이 EMV PIN이 필수인 시장에서 반드시 사용해야 하는 것이 SPoC이다. 이런 솔루션을 이용할 경우, 상점들은 저렴한 dip 리더를 통해 EMV 거래를 승인할 수 있고, 휴대 장치에서 입력한 PIN을 승인할 수 있다. PIN은 SCRP 내부에서 해석이 된다. 따라서 모든 것이 안전하다.

PIC의 CTO 트로이 리치는 3DS SDK 표준 및 인증 프로그램과 관련해, "표준은 우수한 소프트웨어 보안을 촉진, EMVCo 사양이 추구하는 안전한 모바일 인증을 지원하는 데 목적이 있다. 이런 요구 사항으로 무결성 보호, 데이터 보호, 암호화의 적절한 사용, 취약점 관리, 구현 관련 가이드 등의 보안 목적을 달성할 수 있다. 이는 3DS SDK 제품들이 구체적인 대상이다"고 설명했다.

곧 구현될 무접촉 결제 보안
무접촉 결제 보안 실현도 멀지 않았다. 무접촉 결제(Contactless Payments)는 다음 PIC 표준 및 솔루션이 될 전망이다. PCI SSC는 이와 관련, "PIC SSC는 상점의 COTS(Commercial off-the-shelf) 전화기나 태블릿에서 무접촉 결제를 승인할 수 있는 보안 표준을 개발하기 시작했다"고 발표했다.

트로이 리치는 "상점의 COTS 장치에서 다른 동글이나 리더기 없이, COTS 전화기와 태블릿에 기본 장착된 NFC 기능을 이용해 무접촉 결제를 승인하는 솔루션에 대한 보안 요구 사항을 개발하는 데 목적이 있다"고 덧붙였다.

앞서 휴대용 장치에 PIN을 입력하는 SPoC 솔루션에 대해 언급한 바 있다. PCI SSC는 이를 한 단계 더 발전시켜, 상점들의 COTS 및 태블릿 기반 무접촉 EMV를 안전하게 만드는 새로운 표준과 솔루션을 구현하려 시도하는 것이다.

미국의 경우, 무접촉 카드를 발행하지 않는 금융기관들이 많다. 그러나 발행과 장치의 기능, 표준 개발 등을 감안했을 때, 2018년 말부터 2019년 사이에 큰 변화가 있을 것으로 예상된다.

지금은 지갑에 무접촉 지원 카드가 없는 사람이 대부분일 것이다. 그러나 2019년에는 이런 카드를 하나 이상 갖게 될 것이다. 여기에 더해, 소비자용 스마트폰에서는 꽤 오래 전부터 관련 기능을 지원했었다.

P2PE와 토큰화가 여전히 '선택 사항'이기는 하지만, 이들 솔루션이 빠르게 베스트 프랙티스로 자리를 잡고 있으며, 많은 RFP에서 요구되고 있다. 공급업체는 이런 트렌드를 따라잡으려 애를 쓰고 있다.

현명한 기업은 PCI 인증 솔루션을 구현하거나, 이와 관련해 제휴를 한다. 상점이나 서비스 공급업체는 이런 변화에 늦게 대처해서는 안 된다. 솔루션화와 데이터 디밸류에이션(data devaluation)에 관심을 기울여야 할 시기이다. 컴플라이언스에 있어 100% DIY 방식을 사용하고 있다면 시간과 돈을 낭비하거나, 침해 위험에 노출될 수밖에 없다. editor@itworld.co.kr  

2018.08.07

차세대 지불결제 보안 현황과 발전 방향

Ruston Miles | CSO
현재 지불결제 기술 분야가 진화하고 있다. 이는 확실한 사실이다. 하지만 비즈니스가 동시에 같은 속도로 결제 보안과 관련된 혁신을 수용하는 것이 아주 중요하다.
하드웨어 기반 POS 터미널과 인프라가 더 빠르고 개방적이며, 모바일과 소프트웨어를 지향하는 결제 솔루션으로 대체되고 있는 추세다. 고객에게는 편리함을, 그 과정에 비즈니스를 위한 수익을 창출시키는 혁신들이다.

신규 진입 업체들은 전통적인 결제 처리나 결제 보안에 대한 경험이 거의 없는 상태에서 이런 소프트웨어를 구현하고 있다. 이런 기업이 기존 결제 처리 업체를 위해 개발한 소프트웨어와 시스템은 기존 업체에게 생소할 수도 있는 개방형 운영체제와 인터넷 연결성 기술에 토대를 두고 있다. 동시에 계속 등장하고 있는 새로운 기술과 상호연결성 기술이 보안 팀에 압박감을 주고 있는 실정이다.

이런 점을 감안하면, 침해 사고가 놀랄 정도로 많이 발생하고 증가하는 것은 놀랄 일이 아니다.

지난 수개월 간 필자는 보안 컴플라이언스와 트렌드, 향후 변화에 대한 질문을 많이 받았다. 필자는 카드를 받는 비즈니스와 지불결제 솔루션 공급업체라면 모두 반드시 알아야 할 3가지 혁신적인 변화가 발생하고 있다고 판단한다.

인증 보안 솔루션 대 DIY 보안 컴플라이언스
가장 먼저 인식해야 할 사항은 보안 컴플라이언스의 솔루션화다. 꽤 오래 전 이런 변화가 시작됐지만, 현재 그 속도가 더 빨라지고 있다.

PCI DSS(Data Security Standard)는 카드를 받는 비즈니스가 연중 무휴 준수해야 하는 약 335가지의 보안 컨트롤이다. 대부분의 기업이 각 요건을 준수해 카드 소유주의 데이터 환경을 안전하게 만들기 위해 노력했다. 필자는 이를 DIY(Do It Yourself)형 보안 컴플라이언스로 부른다. DIY 컴플라이언스의 경우, 비즈니스는 각자 결제 솔루션을 구입해 구성하고, 네트워크 및 워크스테이션 보안에 최선의 노력을 경주한다.

그러나 결제 애플리케이션 또한 확인해야 한다. 결제 게이트웨이도 PCI를 준수하고, 여기에 부합하는 서비스 공급업체여야 한다. 인증된 결제 애플리케이션, 공급업체, 장치만으로 해결되지 않는 보안 문제가 존재할 수도 있다.

이에 많은 기업이 안전한 시스템으로 선전되는 결제 승인 시스템을 구입한다. 그러나 몇 달 이내에 이런 애플리케이션이 실행되는 네트워크와 워크스테이션을 안전하게 만들거나, 결제 게이트웨이에 보내기 전에 자사의 맞춤형 애플리케이션에 위치한 데이터를 안전하게 만들어야 한다는 점을 깨닫는다.

이는 아주 흔하고 불가피한 상황이다. 지금은 인증 P2PE(Point-to-point encryption)와 토큰화로 결제 애플리케이션과 카드 소유주의 데이터 환경을 안전하게 만들고, 상점의 보안 통제책과 범위를 줄여야 하고, 그럴 수 있는 시대이기 때문이다.

기업은 인증 P2PE와 토큰화를 도입 및 활용, 컴플라이언스 요구사항을 335개에서 약 35개의 보안 통제책으로 줄일 수 있다. 모든 규모의 기업에서 관리가 더욱 용이해진다는 의미다.

POS와 같은 결제 애플리케이션 및 소프트웨어 플랫폼 공급업체들이 이런 종류의 보안 기술을 제공하지 않는 경우가 많다. 소규모 상점들이 이를 요구하지 않기 때문이다. 그러나 이는 불행한 일이다. 이런 기술을 가장 절실히 필요로 하는 상점들은 방화벽과 보안 기술이 없고, 이를 구현한 경우에도 적절히 구성하지 못한 소규모 상점들이기 때문이다.

미래에는 소규모 상점들에 판매되는 솔루션이 P2PE 및 토큰화를 지원할 것으로 예상한다. DIY형 컴플라이언스를 관리할 수 없는 상점들이 대부분이기 때문이다. 그러나 지금도 인증 솔루션을 구입할 수 있다.

결제 보안 솔루션에서 가장 중요한 '단어'는 '솔루션'이다. 안전한 장치나 애플리케이션은 필수 사항이다. 그러나 이와 동시에 인증된 솔루션이어야 한다. 솔루션을 구성하는 모든 구성 요소와 애플리케이션, 공급업체, 장치가 독립적으로 평가되어 리스트에 등록되어 있어야 한다.

또한 자격을 갖춘 전문 솔루션 평가자가 모든 구성 요소가 통합된 완전한 솔루션을 다시 평가해야 한다. 상점이 좋은 보안 구성 요소를 구입했음에도 불구하고 침해 사고가 발생하는 경우가 많다. 보안 구성 요소가 적절히 통합 및 구성되어 있지 않기 때문에 일어나는 일이다.

이 경우, 시스템과 요주의 데이터가 여전히 취약한 상태로 노출되기 때문이다. PCI P2PE 같은 인증 및 검증된 PCI 솔루션은 적절한 통제책, 구성, 컴플라이언스를 제공할 수 있다.

결제 보안 및 컴플라이언스 분야에서 솔루션화 개념이 비상하기 시작했다. 카드 데이터 스토리지의 토큰화는 크게 보편화됐다. 지난 5년 간 등장한 새로운 결제 솔루션의 경우, 모두 최신 토큰 스토리지를 지원한다. PCI 인증 P2PE 도입 또한 트렌드가 되고 있다. 필자가 설립한 업체인 블루핀(Bluefin)은 80종이 넘는 P2PE 연결 결제 게이트웨이, 결제 프로세서, 결제 소프트웨어 플랫폼을 갖고 있다.

전세계 기업들이 아키텍처의 핵심 포인트 솔루션 구현에 개발업체들을 활용하고 있다. 보안 및 컴플라이언스 분야에서 이런 변화가 발생한 것을 기쁘게 생각한다. 비유하자면, UPS와 페덱스도 자사가 사용할 화물 배달 트럭을 제조하지 않는다. 트럭이 비즈니스 모델에 아주 중요하기는 하지만, UPS와 페덱스는 주문 충족 및 물류 사업을 하는 회사들이기 때문이다. 두 회사는 자신이 가장 잘 하는 일을 하고, 나머지는 파트너에게 맡긴다.

즉시 연결해 사용할 수 있는 인증 솔루션이 증가하고 있다. 이는 보안 담당자가 결제 카드 데이터는 물론 PII(개인 식별 정보)와 지적 재산권, 영업 비밀 같은 주요 요소의 보안에 초점을 맞추도록 시간을 벌어줘 업무 효율성과 효과성을 높이도록 도와주는 솔루션이다. 여기에서 '인증'이라는 단어를 여러 차례 강조하고 있다. 평가자가 인증하고, PCI에 리스트로 등록된 솔루션이어야 한다. 그렇지 않으면 솔루션 공급업체의 말과 평판만 믿어야 하기 때문이다.

PCI SPoC 솔루션 및 3DS SDK 제품 리스트
토큰화와 P2PE가 전부가 아니다. PCI SSC(Security Standards Council)는 최근 2개 보안 솔루션 및 제품 인증 분야를 공표했다. SPoC 솔루션과 3DS SKD 제품들이 여기에 해당된다. 새로운 분야이기 때문에 아직 리스트에 등록된 공급업체들이 없다. 그러나 가까운 장래에 인증 리스트가 출현할 전망이다. 이런 솔루션을 감사할 자격을 갖춘 PCI 평가자들이 많이 있다.

PCI 웹사이트는 "SPoC(Software-Based PIN Entry on COTS)는 보안 PIN 입력 애플리케이션과 SCRP(Secure Card Reader for PIN)를 사용, 상점의 소비자 장치에 PIN을 입력해 EMV 접촉 및 무접촉 거래를 할 수 있도록 지원하는 솔루션이다. 3DS SDK는 카드 소유주를 인증할 수 있도록 상점의 모바일 애플리케이션에 탑재된 소프트웨어이다. 3DS 리퀘스터 애플리케이션(3DS Requestor Application)에 포함되어 있는 구성 요소이며, 3DS 서버 및 액세스 컨트롤 서버를 대신해 3DS 관련 기능을 수행한다. 여기의 리스트는 상점들이 3DS SDK 제품 선택 때 사용할 수 있는 자료다"라고 설명한다.

유럽 같이 EMV PIN이 필수인 시장에서 반드시 사용해야 하는 것이 SPoC이다. 이런 솔루션을 이용할 경우, 상점들은 저렴한 dip 리더를 통해 EMV 거래를 승인할 수 있고, 휴대 장치에서 입력한 PIN을 승인할 수 있다. PIN은 SCRP 내부에서 해석이 된다. 따라서 모든 것이 안전하다.

PIC의 CTO 트로이 리치는 3DS SDK 표준 및 인증 프로그램과 관련해, "표준은 우수한 소프트웨어 보안을 촉진, EMVCo 사양이 추구하는 안전한 모바일 인증을 지원하는 데 목적이 있다. 이런 요구 사항으로 무결성 보호, 데이터 보호, 암호화의 적절한 사용, 취약점 관리, 구현 관련 가이드 등의 보안 목적을 달성할 수 있다. 이는 3DS SDK 제품들이 구체적인 대상이다"고 설명했다.

곧 구현될 무접촉 결제 보안
무접촉 결제 보안 실현도 멀지 않았다. 무접촉 결제(Contactless Payments)는 다음 PIC 표준 및 솔루션이 될 전망이다. PCI SSC는 이와 관련, "PIC SSC는 상점의 COTS(Commercial off-the-shelf) 전화기나 태블릿에서 무접촉 결제를 승인할 수 있는 보안 표준을 개발하기 시작했다"고 발표했다.

트로이 리치는 "상점의 COTS 장치에서 다른 동글이나 리더기 없이, COTS 전화기와 태블릿에 기본 장착된 NFC 기능을 이용해 무접촉 결제를 승인하는 솔루션에 대한 보안 요구 사항을 개발하는 데 목적이 있다"고 덧붙였다.

앞서 휴대용 장치에 PIN을 입력하는 SPoC 솔루션에 대해 언급한 바 있다. PCI SSC는 이를 한 단계 더 발전시켜, 상점들의 COTS 및 태블릿 기반 무접촉 EMV를 안전하게 만드는 새로운 표준과 솔루션을 구현하려 시도하는 것이다.

미국의 경우, 무접촉 카드를 발행하지 않는 금융기관들이 많다. 그러나 발행과 장치의 기능, 표준 개발 등을 감안했을 때, 2018년 말부터 2019년 사이에 큰 변화가 있을 것으로 예상된다.

지금은 지갑에 무접촉 지원 카드가 없는 사람이 대부분일 것이다. 그러나 2019년에는 이런 카드를 하나 이상 갖게 될 것이다. 여기에 더해, 소비자용 스마트폰에서는 꽤 오래 전부터 관련 기능을 지원했었다.

P2PE와 토큰화가 여전히 '선택 사항'이기는 하지만, 이들 솔루션이 빠르게 베스트 프랙티스로 자리를 잡고 있으며, 많은 RFP에서 요구되고 있다. 공급업체는 이런 트렌드를 따라잡으려 애를 쓰고 있다.

현명한 기업은 PCI 인증 솔루션을 구현하거나, 이와 관련해 제휴를 한다. 상점이나 서비스 공급업체는 이런 변화에 늦게 대처해서는 안 된다. 솔루션화와 데이터 디밸류에이션(data devaluation)에 관심을 기울여야 할 시기이다. 컴플라이언스에 있어 100% DIY 방식을 사용하고 있다면 시간과 돈을 낭비하거나, 침해 위험에 노출될 수밖에 없다. editor@itworld.co.kr  

X