EMV가 온라인 전자 상거래 트랜잭션의 안전을 책임질 수 있는가?

거두절미하고, 그렇지 않습니다. 칩이 내장되어 있어 긁지 않는 신용 카드인 EMV는 (직접 대면 방식의) 신용 카드 사기를 막는 견고한 장벽입니다.   그러나 EMV와 관계가 없고 사이버 보안 위협이 계속해서 확산되는 비대면(CNP: Card-Not-Present) 전자 상거래 트랜잭션(예: 온라인 전자 상거래)의 고객 환경은 EMV 덕을 보는 소매점의 고객 환경만큼 안전하고 편리해질 수 없습니다.

오히려, 대면 사기의 기회가 줄어들면 온라인 사기가 극적으로 증가할 것입니다. 실제로 Javelin Strategy and Research에서 조사한 데이터에 따르면 2018년까지 CNP 사기는 PoS(Point of Sale) 사기보다 거의 4배 더 높은 비율로 발생하여 온라인상에서 190억 달러라는 엄청난 피해액을 야기할 것이라고 합니다.

Aite Group에서 RSA를 위해 실시한 연구 결과를 보면 CNP 환경을 보호하기 위해 판매업체와 발급사가 사용할 수 있는 솔루션의 종류가 매우 다양하기 때문에 계층화된 접근 방식으로 각자 필요한 영역을 방어해야 한다는 것을 알 수 있습니다.

CNP 사기

발급사:

 

    • CNP 트랜잭션에 대한 위험 기반 인증에 투자. CNP 사기는 더 이상 판매업체만의 문제가 아닙니다. 미국에서 3-D Secure 채택이 증가하고, 일관적인 카드 소유자 환경을 보장해야 한다는 경쟁적 압박이 가해진 덕에 발급사에서도 효과적인 CNP 위험 진단에 대한 책임을 떠안게 되었습니다. 앞으로 3-D Secure 트랜잭션의 양이 증가함에 따라 관련된 사기로 인해 발급사가 져야 할 책임도 늘어날 것입니다. 위험 기반 인증을 사용하면 거짓 양성(false positive) 비율과 고객 환경에 미치는 영향을 최소화하면서 트랜잭션 위험을 제대로 진단할 수 있습니다.

 

  • 토큰화 수용. 판매업체 데이터 침해는 수그러들 기미가 보이지 않습니다. 안전한 카드 환경을 조성하는 최고의 방법은 중요한 데이터를 판매업체의 시스템에서 없애 불가피한 침해 발생 시 카드 소유자가 보호받을 수 있도록 하는 것입니다.

 

판매업체:

 

    • 동작 분석에 투자. 온라인 채널과 모바일 채널 내에서 동작 분석은 최종 사용자에게 아무런 영향을 미치지 않으며 임박한 공격이나 진행 중인 공격의 지표가 되는 패턴을 가장 효과적으로 탐지할 수 있는 방법입니다.

 

  • 사기 평가 시스템 활용. 온라인 판매에 유용한 이러한 툴을 구축하면 각 판매를 근본적으로 “평가”하여 위험 수준을 결정할 수 있습니다. 메트릭과 데이터 요소를 합쳐 IP 필터링, 지리적 위치, 프록시 탐지, 판매 임계값 및 기타 요인을 포함하여 점수를 산정하는 사기 평가 툴은 고위험의 사기성 판매를 식별하고 피하는 데 도움이 되는 유용한 툴입니다.

 

 

  • 토큰화 수용. 현재의 위협 환경은 공격자의 시스템 침투가 시간 문제라고 가정해야 할 만큼 위험합니다. 뉴스 헤드라인에 오르고 싶지 않다면 공격자가 침투하더라도 중요한 데이터를 가져갈 수 없도록 만드는 것이 가장 좋은 방법입니다.

 

 

  • 3DS 2.0 계획. 정적 암호를 완전하고 총체적으로 없애는 것을 목표로 하는 업계의 움직임이 2016년에도 계속됨에 따라 기존의 3DS 표준이 곧 “3DS 2.0”으로 바뀔 것입니다. 주요 업계 이해 관계자와의 협력 하에 개발 중인 이 2.0 버전에는 보다 원활한 사용자 환경을 위해 지능형 인텔리전트 위험 기반 인증을 사용해야 하는 요건이 포함될 것입니다.

 

사용 편의성과 보안 간의 절충은 피할 수 없습니다.  위험보다는 보상에 더 큰 무게를 두기 위해 보안을 일정 부분 포기하고 최종 사용자의 편리를 추구하는 것은 각자의 결정입니다. 이는 온라인 쇼핑이나 실제 매장에서의 소매 거래에도 마찬가지로 적용됩니다. 그러나 온라인 또는 소매 채널을 사용하는 고객을 보호하고자 한다면 현재의 기술을 통해서도 고객의 온라인 또는 소매 트랜잭션을 보호할 수 있을 뿐 아니라 고객이 다시 돌아올 만큼 편리하고 믿을 수 있는 환경을 보장할 수 있습니다.

RSA Fraud and Risk Intelligence 솔루션에 대한 자세한 내용을 보려면 @RSAFraud를 팔로우하십시오.

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments