게시일: 2024년 4월 15일
기고자: Josh Schneider, Ian Smalley
결제 보안이라고도 하는 트랜잭션 보안은 민감한 정보를 보호하고 고객 데이터의 안전한 전송을 보장하기 위해 비즈니스 거래 중 및 이후에 사용되는 관행, 프로토콜, 도구 및 기타 보안 조치의 범주를 의미합니다.
온라인 거래는 트랜잭션 보안에 고유한 문제를 안고 있지만, 온라인 및 오프라인 비즈니스 모두에서 소비자 신뢰를 구축하고 사기를 완화하며 규정 준수를 유지하는 데 매우 중요합니다.
전자 상거래 및 온라인 거래의 증가가 가속화됨에 따라 트랜잭션 보안은 금융 기관, 암호화폐 거래소, 소매업체 등 결제 및 귀중한 자산 이체를 처리하는 모든 비즈니스의 주요 관심사가 되었습니다. 다른 사용 사례로는 온라인 게임 마켓플레이스, ApplePay 및 Venmo와 같은 대체 결제 수단, 민감한 법률 문서 처리를 담당하는 모든 서비스(예: 온라인 세금 신고 서비스 또는 다양한 공식 정부 기관)를 들 수 있습니다.
사기 거래로 인한 재정적 손실을 방지하고 개인 데이터를 공유하는 고객 및 클라이언트에게 신뢰할 수 있는 사용자 경험을 제공하기 위해 일반적인 트랜잭션 보안 조치에는 최신 데이터 암호화, 다단계 인증(MFA) 및 디지털 서명이 포함됩니다. 이러한 보안 프로토콜은 관할 구역에 따라 많은 기업이 법적 책임을 질 수 있는 보안 침해로 인한 결제 사기 및 고객 데이터 도난의 위험을 완화합니다.
대부분의 트랜잭션 보안 조치는 거래 자체 중에 적용되지만, 트랜잭션 보안은 신용카드 번호 및 계좌 번호와 같이 조직 또는 비즈니스에 저장된 중요한 트랜잭션 데이터의 처리를 제어하는 내부 비즈니스 정책으로도 확장됩니다. 데이터베이스 보안에 투자하는 사이버 보안 전문가에게 거래 보안은 의심스러운 활동과 무단 거래가 있는지 온라인 거래를 실시간으로 모니터링할 뿐만 아니라 내부 보안 취약점을 사전에 파악하고 완화하는 것을 의미합니다. 최신 트랜잭션 보안 시스템 서비스 제공업체는 사용자 지정 가능한 알림 기능 및 기타 자동화를 통합하여 대규모의 안전한 거래를 촉진하는 경우가 많습니다.
AI의 발전은 업무를 정의하고 수행하는 방식은 물론, 업무를 수행하는 사람들을 지원하는 방식에도 변화를 가져오고 있습니다. HR 리더가 어떻게 AI를 적용하고 HR 및 인재 혁신을 주도하고 있는지 알아보세요.
IBM 뉴스레터 구독하기
트랜잭션 보안에 대한 위협은 종종 더 광범위한 사이버 보안 위협과 교차하거나 기여하는 경우가 많습니다. 다음은 가장 널리 퍼져 있는 트랜잭션 보안 위협을 간략한 목록으로 구성한 것입니다.
사이버 범죄자가 사기성 메시지를 사용해 표적을 조정하고 민감한 정보를 노출시키는 피싱 사기는 고객과 기업 모두에 위협이 됩니다. 피싱 사기는 소비자의 신용카드 정보를 직접 훔쳐 사기 거래에 사용하기 위해 소비자를 표적으로 삼는 경우가 많습니다. 또한 고객 결제 정보를 대량으로 탈취하기 위해 기업을 표적으로 삼을 수도 있습니다.
대면 거래에서는 일반적으로 실물 신용 카드가 필요하지만, 온라인 또는 전화를 통한 거래에는 신용카드 번호만 제시하면 되는 경우가 많습니다. 이러한 허점으로 인해 사기범이 훔친 신용카드 번호를 온라인 또는 전화 기반 거래에서 사용해 사기 거래를 하는 카드 미소지 사기가 발생할 수 있습니다. 고객은 실물 신용 카드를 계속 갖고 있으면서 카드 정보가 도난당했다는 사실을 전혀 알지 못할 수 있습니다.
피싱으로 인한 또 다른 위험은 계정 도용 사기입니다. 사기범은 피싱 또는 기타 수단을 사용하여 소비자의 뱅킹 또는 온라인 쇼핑 계정에 무단으로 액세스한 후 무단으로 구매를 진행할 수 있습니다.
BEC 사기는 피싱 사기가 성공했을 때 일반적으로 발생하는 결과이기도 합니다. 사이버 범죄자가 손상된 비즈니스 이메일 계정에 대한 액세스 권한을 확보하면 권한이 있는 직원이나 공급업체를 사칭하여 사기성 송금을 요청할 수 있습니다.
피싱 공격 성공으로 인한 또 다른 위험인 SIF는 사기범이 실제 도난당한 개인 식별 정보(PII)를 조합하여 나중에 결제할 의사가 없이 신용 또는 외상으로 제품을 구매하는 결제 불이행 사기와 같은 다양한 사기 활동을 위해 조작된 신원을 생성하는 사기의 한 유형입니다.
잘 알려진 사이버 공격의 한 형태인 MITM 공격에서 해커는 사적인 관계를 맺고 있다고 믿는 두 당사자 사이에 은밀하게 자리잡습니다. 공격자는 전송된 데이터를 조작하거나, 단순히 도청하여 두 사람 사이에 공유되는 개인 결제 정보를 훔치려고 시도할 수 있습니다.
새로운 기술이 지속적으로 발전하고 사이버 범죄자들의 공격 전략이 끊임없이 진화함에 따라 전문가들은 사용 가능한 모든 경로를 통해 트랜잭션 보안을 개선하기 위해 끊임없이 노력하고 있습니다. 다음은 트랜잭션 보안을 강화하는 가장 일반적인 몇 가지 방법입니다.
데이터 프라이버시의 중추인 기업과 고객은 거래 중과 거래 후에 민감한 정보를 보호하기 위해 데이터 암호화를 사용합니다. 보안 소켓 계층(SSL) 및 전송 계층 보안(TLS)과 같이 일반적으로 사용되는 암호화 표준은 무단 액세스, 변조 및 도난을 방지하기 위해 온라인 트랜잭션 중에 자주 사용됩니다.
토큰화는 신용카드 번호와 같은 민감한 고객 데이터를 사기 거래에 사용하거나 원래 결제 정보를 리버스 엔지니어링할 수 없는 고유 토큰으로 대체하는 프로세스입니다. 그런 다음 이 토큰은 안전한 토큰 보관소에 저장된 원래 결제 정보를 참조하는 데 사용됩니다. 토큰화는 데이터 침해와 관련된 위험을 줄이고 토큰 자체가 잘못된 사람의 손에 들어가더라도 쓸모가 없기 때문에 규정 준수를 단순화합니다.
트랜잭션 보안의 기본 형태인 인증 관행은 인터넷 시대보다 훨씬 이전부터 존재했습니다. 과거에는 판매자가 개인 수표를 받기 전에 사진이 부착된 신분증을 요구하는 정도였지만, 최근에는 디지털 인증 수단이 더욱 정교해졌습니다. 단일 인증(SFA)은 비밀번호나 PIN 같은 한 가지 형태의 신원 확인이 필요하고, 이중 인증(2FA)은 등록된 장치 또는 이메일로 전송되는 일회용 비밀번호 같은 추가 형태의 신원 확인이 필요합니다. 다른 표준 인증 방법으로는 신용카드 결제 시 카드 인증 값(CVV) 요구, 생체 인증(얼굴 인식 또는 지문 스캔 등) 등이 있습니다.
보안 결제 게이트웨이는 강력한 트랜잭션 보안을 구축하고 고객 신뢰를 구축 및 유지하는 데 중요한 역할을 합니다. 이러한 게이트웨이를 통해 고객, 비즈니스, 결제 처리자 또는 매입 은행 간의 거래 처리가 가능합니다. 보안 결제 게이트웨이는 종종 암호화, 토큰화 및 인증을 포함한 다양한 트랜잭션 보안 기술을 결합하여 데이터 보안을 보장합니다.
지불 카드 산업 데이터 보안 표준(PCI-DSS)(ibm.com 외부 링크)는 결제 업계 이해관계자들의 글로벌 포럼인 지불 카드 업계 보안 표준 위원회(PCI SSC)에서 개발한 일련의 트랜잭션 보안 표준입니다.
전 세계적으로 안전한 결제를 위한 데이터 보안 표준 및 리소스의 채택을 촉진하기 위해 개발된 PCI DSS 규정 준수는 기업이 고객 데이터를 안전하게 유지하면서 규정 요구 사항을 충족할 수 있도록 지원합니다.
PCI DSS 규정을 준수하기 위해 기업은 다음을 수행해야 합니다.
- 보안 네트워크 및 시스템 구축 및 유지 관리: 카드 소유자 데이터를 보호하기 위해 방화벽 구성을 설치하고 유지 관리합니다. 시스템 비밀번호 및 기타 보안 매개변수에 대해 공급업체 제공 기본값을 사용하지 않습니다.
- 카드 소지자 데이터 보호: 개방형 공용 네트워크에서 카드 소지자 데이터 전송을 암호화합니다.
- 취약성 관리 프로그램 유지 관리: 보안 시스템 및 애플리케이션을 개발 및 유지 관리하고, 정기적으로 업데이트되는 안티바이러스 소프트웨어 또는 프로그램을 사용하여 맬웨어로부터 모든 시스템을 보호합니다.
- 강력한 액세스 제어 조치 구현: 시스템 구성 요소에 대한 액세스를 식별하고 인증합니다. 카드 소유자 데이터에 대한 물리적 액세스를 제한하고 비즈니스 기반, 알아야 할 필요 요건에 따라 카드 소유자 데이터에 대한 내부 액세스를 제한합니다.
- 정기적인 네트워크 모니터링 및 테스트: 보안 시스템 및 프로세스에 대한 정기적인 테스트를 통해 네트워크 리소스 및 카드 소유자 데이터에 대한 모든 액세스를 추적하고 모니터링합니다.
- 정보 보안 정책 유지 관리: 모든 직원을 대상으로 정보 보안을 다루는 정책을 유지 관리합니다.
CICS라고도 불리는 IBM CICS 트랜잭션 서버는 하이브리드 아키텍처에서 트랜잭션 엔터프라이즈 애플리케이션을 호스팅하는 데 사용되는 세계적 수준의 안전하고 강력한 혼합 언어 애플리케이션 서버 플랫폼입니다.
미션 크리티컬 애플리케이션을 실행하기 위해 매우 안전하고 확장 가능한 운영 체제를 사용하세요. IBM z/OS는 강력한 보안과 안정성이 필요한 연속 대용량 작업에 적합한 IBM Z 메인프레임용 운영 체제(OS)입니다. IBM z/OS를 사용하면 비즈니스 혁신을 주도하고 혁신을 가속화할 수 있습니다.
IBM Consulting과 함께 비즈니스 목표를 가속화하고 달성하세요. 핵심 비즈니스 프로세스 및 플랫폼 전략에 신기술을 내장하고 운영함으로써 기술 관리를 단순화하고 비용을 절감하는 용도에 맞게 구축된 애플리케이션 현대화를 제공할 수 있도록 지원합니다.
사기가 발생하기 전에 관리하고 예방하여 사용자, 자산 및 데이터 보호 IBM Security는 사기 방지 노력을 간소화하고 사용자 여정 전반에 걸쳐 원활하고 지속적인 인증을 제공하는 디지털 ID 신뢰를 구축하여 긍정적인 사용자 경험을 창출하도록 지원합니다.
트랜잭션 관리는 트랜잭션 관리 소프트웨어가 주어진 트랜잭션을 감독, 조정 및 실행하는 데이터베이스 관리 시스템(DBMS)의 통합 프로세스입니다.
트랜잭션 처리 시스템(TPS)은 비즈니스 거래 중에 고객 및 비즈니스 데이터의 수집과 검색을 관리하기 위해 사용되는 데이터 관리 정보 처리 소프트웨어의 일종입니다.
다중 인증(MFA)은 사용자가 본인의 신원을 증명하기 위해 비밀번호, 임시 비밀번호 등 2가지 증거를 제공해야 하는 신원 확인 방법을 말합니다.
데이터베이스 보안은 데이터베이스 기밀성, 무결성 및 가용성을 설정하고 보존하기 위해 설계된 다양한 도구, 제어 및 조치를 의미합니다. 기밀성은 대부분의 데이터 유출 사고에서 가장 많이 침해되는 요소입니다.
데이터 유출은 권한이 없는 당사자가 개인 데이터(주민등록번호, 은행 계좌 번호, 의료 데이터) 또는 기업 데이터(고객 데이터 기록, 지적 재산, 재무 정보)를 포함한 민감한 데이터 또는 기밀 정보에 액세스하는 모든 보안 사고를 말합니다.
사이버 보안은 사이버 공격을 방지하거나 그 영향을 완화하기 위한 모든 기술, 조치 또는 관행을 말합니다.