셀프 카메라를 사용한 트랜잭션 서명

돈을 훔치는 트로이 목마는 이제 없습니다. 아직도 온라인 뱅킹 포털에 로그인해 지불 트랜잭션을 수행하고 전화로 알림을 받아 트랜잭션 세부 정보를 확인하고 승인을 누르고 계십니까? 아니면, 마지막으로 물리적인 하드웨어 디바이스를 사용해 트랜잭션에 대한 서명을 해야 했던 때가 언제입니까?

은행에 가서 고액의 지불 트랜잭션을 요청하면 은행 직원이 트랜잭션 요청의 요약본을 출력하여 고객에게 확인하도록 하는 통상적인 절차가 이루어집니다. 고객은 이를 검토한 후 은행 직원에게 지불 트랜잭션을 계속 진행하라고 말하기만 하면 됩니다.   은행에서는 고객이 검증했으니 은행의 밀실에 숨어 있던 누군가가 트랜잭션 요청을 가로채 자금을 다른 계좌로 이체할 일은 없을 것이라는 예상을 바탕으로 트랜잭션을 계속합니다.   온라인 뱅킹에서는 이 트랜잭션 검증 프로세스가 정교한 트로이 목마에서 기인하는 사기 위험을 완화하는 중요한 단계입니다.   국가에 따라 온라인 뱅킹 환경에서 아웃오브밴드(Out-of-Band) 트랜잭션 검증 및 암호화 서명 프로세스를 통해 지불 트랜잭션을 수행하는 것이 일상적일 수도 있고,   이 추가 단계를 전혀 사용하지 않을 수도 있습니다. 이미 요청한 지불 트랜잭션을 이행하기 위해 트랜잭션 세부 정보를 검증하는 추가 단계를 완료해야 한다는 것이 어떤 국가에서는 이해가 되지 않는 일입니다.

얼마 전 네덜란드에 도착한 후 암스테르담에서 첫 커피를 마시고 우버를 잡는 데 필요한 시간도 확인할 겸 카페에 들렀습니다. 자리에 앉아 한 모금 마셨을 때, 근처에서 노트북 컴퓨터를 서둘러 펼치더니 지갑에서 인증 하드웨어를 꺼내는 여성을 봤습니다.   온라인 뱅킹을 통해 지불하려는 듯 추가 하드웨어 디바이스에 번호를 찍어가면서 트랜잭션 요건을 충족하고 있었습니다. 회색의 트랜잭션 서명 디바이스가 최신 iPhone 6 플러스와 대조를 이뤘습니다.   저는 그 여성분이 어째서 휴대폰으로 트랜잭션 프로세스를 완료하지 않는지 궁금했습니다.

어쨌든 돈이 관련된 문제이니, 온라인 뱅킹을 통한 지불 환경은 더 쉽고 안전해져야 합니다. Zeus 및 Citadel부터 Tinba에 이르기까지 멀웨어(malware) Flavor가 영토를 넓혀가는 동안 은밀한 트로이 목마로 인해 프로세스가 은행이 원하는 만큼 쉽지 않아졌습니다.  금융 기관은 편의성과 보안 사이의 오랜 줄다리기를 지켜보면서 수문장 역할을 해야 합니다.  MITB(Man-in-the-Browser) 트로이 목마는 트랜잭션 데이터를 백그라운드에서 조작하고 자금을 운반 계정으로 보내 간단한 지불 트랜잭션을 완료하려는 최종 사용자를 은밀하게 방해합니다. 피해자는 이 사실을 알지 못합니다.

이와 같이 돈을 훔치는 트로이 목마로 인한 위험을 완화할 목적으로 일부 은행에서는 MITB 공격을 차단하는 계층화된 트랜잭션 보호 접근 방식을 도입했습니다.   경각심이 고취되면서 보안 성숙도를 높이기로 결정한 금융 기관도 있지만 보다 엄격한 제어를 요구하는 PSD2와 같은 규정을 충족하는 데 그치는 금융 기관도 있습니다.   궁극적으로는 규정을 충족하는 것은 물론 최종 사용자 기대치를 이해하는 수준의 제어를 갖추어야 합니다. 즉, 원활한 트랜잭션 환경, 자금의 안전을 보장하는 보안 제어 및 직관적인 사용자 설계 흐름을 통한 편의성과 같은 기대치를 충족할 수 있어야 합니다.  보안과 별개로 서비스를 사용하는 사용자의 만족도를 높은 수준으로 유지하려면 사용자 환경 및 원활한 전환이 중요합니다.

인쇄
 

생체 인식과 쌍을 이뤄 부상하는 모바일 스마트폰 기술을 활용하면 최종 사용자의 기대치에 쉽게 부응할 수 있습니다. Goode Intelligence에서 말하듯, ‘생체 인식은 취약한 암호 및 PIN 인증을 대체하고, 스마트 디바이스에 편리하면서도 강력한 인증 솔루션을 제공해야 하는 모바일 인증 딜레마를 해결하는 두 가지 문제에 대한 믿을 수 있는 해결책’입니다.   금융 기관에서는 Mobile Software Development Kit를 사용하여 뱅킹 애플리케이션을 강력하고 투명한 다단계 위험 기반 인증으로 감싸고 트랜잭션 세부 정보 검증 및 암호화 서명을 함께 사용하여 트랜잭션 무결성을 유지할 수 있습니다.  지문 및 셀프 카메라 기반 안문(EyePrint) 등과 같은 Mobile SDK 내장형 생체 인식을 사용하면 사용자가 쉽게 인증할 수 있습니다.  Mobile SDK를 활용하면 트랜잭션 서명 시 무결성을 보장하고, 암호화 서명을 사용하며, 결제 트랜잭션의 신뢰성을 확인할 수 있으므로 지능형 금융 멀웨어 공격에서 비롯되는 부정 행위를 방지할 수 있습니다.

은행의 모바일 애플리케이션에 이러한 유형의 보안이 구축되면 최종 사용자가 상당한 이점을 얻습니다. 지불 트랜잭션을 수행하면 푸시 알림이 휴대폰에 전송되고 수취인 및 지불 세부 정보를 확인하라는 요청이 표시됩니다. 승인을 누르기만 하면 트랜잭션이 암호화되어 서명됩니다.   위험 수준에 따라 사용자는 셀프 카메라를 찍거나 지문을 사용하여 인증하며 지불 트랜잭션은 안전하게 완료됩니다.

편의성과 보안 사이의 균형을 잡는 게임은 끝나지 않겠지만 소비자는 둘 다를 가질 수 있고 또 그럴 자격이 있습니다. 금융 기관에서 암호화되어 서명된 지불 트랜잭션 검증 프로세스와 후속 생체 인식 인증을 모바일에 최적화된 하나의 단순한 디바이스 워크플로우에 통합하면 최종 사용자는 불필요한 트랜잭션 서명 하드웨어를 소지하는 번거로움을 해결하고, 은행은 부정 행위를 완화하고 고객의 보안을 유지할 수 있습니다.

No Comments