Last Updated on 6월 5th, 2023, By
 In AppSealing News, 앱실링 블로그

모바일 간편 결제는 사용 편의성과 쉬운 접근성으로 최근 가장 많이 사용되는 결제 방식이며 많은 기업이 모바일 간편결제 애플리케이션을 개발하고 서비스하고 있습니다. 하지만 동시에 해커들은 디바이스와 애플리케이션을 통해 데이터를 유출하고 악용할 수 있는 새로운 기회를 발견하게 되었습니다. 모바일 결제 환경에서 널리 퍼진 보안 문제를 고려하여 민감한 카드 정보가 유출되지 않도록 PCI(결제카드 산업) 보안 표준 위원회는 소프트웨어 개발자 및 디바이스 공급자들을 위한 모바일 결제 보안 표준을 만들었습니다. 모바일 결제 보안 표준 준수를 통해 기업들은 데이터 유출을 방지하고 이로 인해 발생할 수 있는 금전적 피해 또는 기업 평판에 손상이 가는 것을 사전에 방지할 수 있습니다. 해당 블로그는 이와 같은 피해를 방지할 수 있도록 알아야 할 모바일 결제 보안 표준에 대해 설명하고 있습니다.

모바일 결제 보안 표준

PCI DSS(결제카드 보안 표준)와 EMVCo는 결제 데이터 보호를 위한 표준을 제공하는 대표적인 컴플라이언스 기업입니다. 다음은 PCI DSS의 결제 보안 표준입니다.

1. PA-DSS(결제 애플리케이션 데이터 보안 표준)

해당 보안은 카드소지자의 데이터를 교환, 처리, 보관하는 모든 애플리케이션 및 소프트웨어에 적용됩니다. 해당 가이드라인의 더욱 상세한 정보는 여기서 확인 가능합니다.

2. PIN transaction security (PCI-PTS/ 거래 보안

POS에서 PIN을 활용하여 카드 소지자의 정보를 처리하는 모든 디바이스는 PTS 표준을 준수해야 합니다. PCI 보안표준위원회에서 승인된 기기를 확인해볼 수 있습니다.

3. P2PE(포인트간 암호화)

포인트간 암호화 표준은 공용네트워크를 통해 처리되는 데이터는 암호화되어야 한다고 명시합니다. PCI는 암호화 솔루션 추천 리스트를 제공하고 있습니다.

EMVCo는 스마트카드(IC카드)와 비접촉식 결제에 대한 사양을 개발해 안전한 결제를 촉진하는 국제 기구입니다. NFC기술은 모바일 기기와 POS를 연결하여 비접촉식 결제를 가능하게 해주는 대표적인 기술입니다. 스마트 카드와 연관된 모든 하드웨어 공급자와 소프트개발자는 EMVCo가 제시한 기술 사양을 준수해야만 하며 이러한 사양은 Visa 및 Mastercard와 같은 카드 기업들의 승인 프로세스와 다릅니다.

PCI모바일 결제 승인 보안 가이드라인 이해

모바일 애플리케이션 개발자는 필수적으로 결제 보안 표준을 준수해야 합니다. PCI 보안표준위원회의 핵심 목표는 거래 과정과 이와 관련된 모든 환경을 안전하게 보호하는 것입니다. 데이터를 모바일 디바이스에 일반 텍스트 형식으로 저장하게 된다면 데이터가 노출되어 공격에 취약하게 됩니다. PCI모바일 결제 승인 보안 가이드라인의 목표는 결제 데이터를 안전하게 보호하기 위해 애플리케이션 개발과 연관된 모든 이해관계자에게 데이터 처리의 올바른 방법을 교육하는 것입니다.

모바일 환경은 급속도로 발전하고 있으며 사이버 공격을 막기 위해서는 모바일 결제 보안 표준을 준수하는 것이 필수적입니다. 해당 표준은 데이터가 입력되고 보관되며 처리되는 방식과 함께 디바이스에서 데이터가 나가는 방식에도 초점을 맞추고 있습니다.

인앱 보안이 모바일 결제 보안표준을 준수하는데 어떻게 도움을 주는가?

인앱 보안은 “개발자를 위한 PCI모바일 결제 승인 보안 표준 가이드라인 섹션4”를 준수하는데 도움을 줍니다. 인앱 보안은 민감한 카드 데이터를 다루는데 더욱 안전한 환경을 조성합니다. 또한 가장 큰 이점 중 하나는 앱이 공격으로부터 스스로 보호할 수 있는 기능을 갖추고 있다는 것입니다. 인앱 보호는 상황 인식을 할 수 없는 방화벽을 포함하는 경계보안과는 다릅니다. RASP와 같은 인앱 보호는 배포모드에 따라 사용자 세션 종료나 앱 강제종료를 통해 공격 행위를 탐지하고 조치를 취합니다. 모바일 결제 애플리케이션에서 가장 흔하게 발생하는 보안 위협에는 멀웨어, 리버스 엔지니어링, 데이터 유출 그리고 템퍼링이 있습니다.

마치며

최근 연구에 따르면 모바일 결제 시장은 2027년까지 12조 6000억 달러까지 성장할 것으로 예상됩니다. 모바일 결제 시장은 꾸준히 성장하고 있지만, 보안 문제는 여전히 기업과 소비자 모두에게 위협이 되고 있습니다. 분실 또는 도난당한 디바이스, 피싱 사기, 공용네트워크, 사람의 실수 또는 안전하지 못한 비밀번호는 모바일 결제에 있어 문제가 될 수 있는 핵심 이슈입니다. PCI는 진화하는 위협 환경을 인식하여 모바일 결제 보안 지침을 발표하여 모든 이해관계자들이 안전한 솔루션을 구현하도록 했습니다. PCI 규정을 준수하는 것은 약한 보안으로 발생할 수 있는 발생하는 의도하지 않은 결과를 방지할 수 있습니다.

AppSealing은 Android, iOS 및 하이브리드 앱의 보안을 전문으로 하는 강력한 모바일 애플리케이션 보안 솔루션 제공 업체입니다. 게임, 핀테크, O2O 및 전자 상거래와 같은 산업 전반에 걸친 전문 지식을 갖춘 당사는 공격 벡터에 대한 위협 분석을 통해 인앱 확장 가능한 보호 기능을 제공합니다. 제로 코딩 기능을 특징으로하는 당사의 보안 솔루션은 타사 도구와 호환되며 데이터 도난, 변조 및 무단 액세스로부터 중요한 데이터를 쉽게 보호할 수 있습니다. 저희에게 연락하시고 보안 솔루션을 활용하여 악의적인 행위자로부터 애플리케이션을 보호하세요.

Dustin Hong
Dustin Hong
Dustin은 잉카엔트웍스의 앱실링 비즈니스 개발을 이끌고 있습니다. 그는 사이버 보안, IT, 컨텐츠 및 애플리케이션 보안 분야의 소프트웨어 개발과 혁신에 많은 관심을 가지고 있습니다. 또한 사이버 보안 세계에서 주요 사건의 대상, 이유 및 방법에 대해 다양한 사람들에게 공유하고 토론하는 것을 좋아합니다. 업계 동향 및 모범 사례에 대한 그의 견해는 기사, 백서에 실려있으며, 여러 보안 행사에서 유사 주제로 발표를 하였습니다.