고객 온라인 보안
피싱이란 피셔(Phisher)가 사기 목적으로 가짜 웹사이트나 이메일을 통해 사용자 이름, 비밀번호, 은행 계좌 번호, 신용카드 정보와 같은 민감한 개인 정보를 빼내기 위해 속임수를 사용하는 것을 말합니다. 피셔는 에바항공의 로고, 이미지, 가짜 이메일 주소를 사용하여 에바항공의 공식 웹사이트로 위장한 웹사이트를 만들어 인터넷 사용자가 진짜 웹사이트라고 믿도록 유인할 수 있습니다. 피셔가 사용하는 또 다른 방법은 이메일로, 트로이 목마 또는 이메일 속에 침투한 다른 바이러스를 통해 개인 정보를 온라인 거래 보안 부정하게 빼내려고 합니다.
피싱 피해를 막는 방법
문자, 숫자 및 특수 문자의 조합을 사용하십시오. 생년월일이나 예측하기 쉬운 숫자 등의 개인 데이터를 사용하지 마십시오. 다른 웹사이트에 동일한 비밀번호를 사용하지 마십시오.
-
온라인 거래 보안
- 다른 사람에게 비밀번호 공개하지 않기
비밀번호는 본인만 알고 있어야 합니다. 에바항공 직원은 비밀번호를 묻지 않으며 온라인 거래 보안 그러게 질문할 경우 사기일 수 있습니다.
- 의심스러운 이메일 및 웹사이트 무시하기
의심스러운 이메일에 제공된 링크를 따라가지 말고 신뢰할 수 없는 출처를 가진 이메일의 첨부 파일을 열거나 다운로드하지 마십시오. 에바항공은 이메일을 통해 고객 데이터를 업데이트하지 않습니다.
에바항공 웹사이트를 방문할 때는 브라우저의 주소 표시줄에 전체 주소(www.evaair.com)가 올바르게 표시되는지 항상 확인하시기 바랍니다. 의심스러운 웹사이트로 연결된 경우 다른 브라우저 창에 URL(http://www.evaair.com)을 입력하고 동일한지 확인하십시오.
- 상태 온라인 거래 보안 표시줄에 자물쇠 아이콘이 없는 경우 인터넷을 통해 개인 및 금융 정보를 전송하지 않기
웹 브라우저를 통해 기밀 데이터를 제출하기 전에 보안 웹사이트를 사용하고 있는지 항상 확인하십시오. 보안 연결이 설정되면 온라인 거래 보안 상태 표시줄 오른쪽에 작은 자물쇠 아이콘이 나타납니다.
전자거래의 보안 위험성
보안 위험에 대한 우려가 여전히 인터넷에서의 소비 활동을 위축시키고 있는 가운데, 4명 중 1명이 이러한 이유로 온라인 쇼핑을 이용하지 않는 것으로 밝혀졌다.
RSA Security에 의한 조사 결과를 통해, 5명 중 1명이 개인 신원절도(identity theft)와 피싱 사기(phishing attacks)에 대한 우려로 인터넷을 통한 은행거래를 거부하고 있는 것으로 나타났다.
“온라인 기업들이 소비자들과 보다 확실한 신뢰 관계를 구축하기 위해서는, 보다 많은 문제들이 해결되어야 한다. 보안 위협에 대한 우려가 높은 가운데, 이러한 위협을 다루고 있는 온라인 온라인 거래 보안 기업에 대한 소비자 신뢰도는 매우 낮은 편이다.”라고 RSA Security의 마케팅 부사장인 존 오랄(John Worrall)은 말했다.
1,000명을 대상으로 한 조사에서 18%의 성인만이 "온라인에서 개인정보가 안전하다"고 느끼고 있었다. 또한, 2004년 조사결과와 비교할 때 23%는 신원절도 부문에서 더욱 많이 불안해하고 있는 것으로 밝혀졌다. 응답자의 약 25%는 이러한 이유로 지난 해 온라인에서 이루어지는 거래의 양을 줄인 것으로 나타났다.
5명 중 2명 꼴로 응답자들은 온라인 기업에 개인정보를 제공하는 것을 거부하고 있었으며, 반 이상의 응답자들이 기존의 ID와 패스워드를 이용한 보안체계가 충분치 않다고 느끼는 것으로 나타났다.
3분의 2의 응답자들은 전자정보 접근을 위해 5개 미만의 패스워드를 사용하고 있다고 인정했고, 15%의 응답자들은 모든 온라인 거래에 하나의 패스워드를 이용하고 있다고 응답했다.
“기존의 패스워드를 더 나은 인증방법으로 대체하려는 움직임이 온라인 거래 보안 광범위하게 나타나고 있다. 이를 통해, 소비자들이 우려하는 신원절도 등에 대해 적절히 대처해 나갈 수 있을 것이다.”라고 오랄은 말했다.
거래 및 결제 보안 솔루션
결제 처리는 모든 금융 서비스 제공업체와 판매자의 생명선입니다. 소비자 데이터 보안 없이는 은행 내 네트워크 결제나 ACH 전송, 수표 교환, 온라인 거래 보안 온라인 거래 보안 모바일 결제, 신용 카드 거래의 무결성을 보장할 수 없습니다. 처리 방법과 관계없이, 특히 거래의 금전적 가치가 높은 경우 안전하고 신속하게 지불과 이체를 처리할 수 있어야 합니다.
다행히도 신뢰할 수 있는 거래 및 결제 보안 솔루션인 탈레스의 HSM(하드웨어 보안 모듈)을 사용하는 조직은 이처럼 중요한 사용 사례에 대응할 수 있습니다. 탈레스 솔루션은 매일 전 세계에서 1조 달러 이상을 보호하는 데 사용되고 있습니다.
금융, 결제 HSM의 선도업체인 탈레스의 거래 보안 솔루션은 신용, 온라인 거래 보안 직불, 전자 지갑 및 칩 카드, 인터넷 결제 애플리케이션, 웹 기반 개인 식별 번호(PIN) 전송 등에 필요한 결제 처리 환경의 필요 요건을 지원하도록 설계되었습니다.
거래 및 결제 보안 HSM
탈레스 결제 HSM
탈레스 결제 HSM은 고성능 네트워크 연결 하드웨어 보안 모듈(HSM)로, 금융 거래를 보호하도록 설계되었습니다.
탈레스 PIN Delivery
수상 경력이 빛나는 탈레스의 PIN 관리 플랫폼인 탈레스 PIN Delivery는 PIN을 안전하게 전송하고 PIN 우편물이 고객에게 전달되는 중에 발생하는 사기 위험을 낮추도록 설계되었습니다.
온라인 거래 보안
잠깐! 현재 Internet Explorer 8이하 버전을 이용중이십니다. 최신 브라우저(Browser) 사용을 권장드립니다!
- 최형주 기자
- 승인 2020.05.13 10:57
- 댓글 0
공정거래위원회를 사칭해 전자상거래 위반 통지로 위장한 악성 이메일가 유포되고 있다. 보안 기업 안랩은 최근 공정거래위원회를 사칭한 온라인 거래 보안 메일로 감염PC의 정보를 유출하는 ‘비다르(Vidar) 악성코드’ 유포 사례를 발견하고 중소상공인들의 주의가 필요하다고 밝혔다.
유포되고 있는 악성 메일은 ‘김OO 사무관’이라는 가짜 발신자 이름으로 ‘[공정거래위원회]전자상거래 위반행위 조사통지서’라는 제목의 메일을 무작위로 발송하고 있다. 본문에는 부당 전자상거래 신고가 제기되어 조사를 실시할 예정이라며, 첨부 파일 문서에 서명을 기재할 것을 요구하며 파일 실행을 유도한다.
악성 메일에 첨부된 ‘전산 및 비전산자료 보존 요청서.zip’이라는 압축파일을 해제하면 ‘전산 및 비전산자료 보존 요청서_20200506(꼭 자료 보존해주세요)’와 ‘전산 및 비전산자료 보존 요청서_20200506(꼭 자료 보존해주세요)1’이라는 이름의 파일이 나타난다.
해당 파일들은 각각 PDF 파일과 한글 문서파일의 아이콘을 사용하고 있지만 실제로는 악성코드를 포함한 실행파일(.exe)이다. 파일이 실행되면 온라인 거래 보안 PC는 암호화폐 지갑 정보, 메신저 계정정보, 인터넷 브라우저 정보 등을 유출하는 ‘비다르(Vidar) 악성코드’에 감염된다.
안랩은 이같은 피해를 줄이기 위해 ▲이메일 발신자 확인 및 출처 불분명 메일의 첨부파일/URL 실행금지 ▲‘파일 확장명’ 숨기기 설정 해제 ▲OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW등 프로그램 최신 보안 패치 적용 ▲백신 최신버전 유지 및 실시간 감시 기능 온라인 거래 보안 활성화 등의 보안 수칙을 지켜줄 것을 강조했다.
안랩 분석팀 연구원은 “최긍 악성 피싱 메일 공격 수법이 발신자의 이름을 바꾸고, 기관 로고를 첨부하는 등 치밀하고 교묘해지고 있다”며, “만약 유사한 내용의 메일을 수신했다면 발신자 메일주소를 반드시 체크하고 첨부된 파일은 실행하지 않고 삭제해야 한다”고 전했다.
간편결제 안착을 위한 몇몇 보안 선결조건
그동안 간편결제를 구현하는데 발목을 잡고 있었던 대부분 규제가 풀리면서 관련 업계가 들썩이고 있다.
LG CNS가 스마트폰과 연동한 결제수단인 '엠페이'와 카카오 플랫폼을 온라인 거래 보안 연동한 '카카오 페이'를 선보일 계획이라는 소식이 알려진 가운데 이동통신사, 결제대행(PG)사 등도 앞다퉈 간편결제 수단을 내놓고 있다.
사용자 입장에서는 취향에 따라 기존보다 다양하고, 편리한 결제수단을 활용할 수 있게 됐다는 점에서는 환영할만한 일이다. 그러나 기존 액티브X 기반 공인인증서를 활용한 결제방식이 갖고 있었던 것 이상으로 보안성을 강화해야한다는 숙제가 남아있다. 다시 보안 문제를 차분하게 논의할 시점이 된 것이다.
금융감독원, 보안업계, 학계, PG사 등 전문가들에 따르면 간편결제 체계 아래 핵심적인 보안 논의는 온라인 이상거래탐지시스템(FDS) 강화, 땜질식 처방이 아닌 전체 결제 프로세스 상 보안성 강화로 요약된다.
먼저 온라인 상 FDS 강화는 새로운 간편결제 시장에서 필수사항으로 손꼽히고 있다.
기존 신용카드사들이 오프라인 결제 환경에서 주로 적용했던 FDS는 크게 두 가지 방법을 활용한다. 스코어링 기반과 룰 기반 정책이다. PG사 페이게이트 이동산 이사에 따르면 현재 비자카드는 '비자 사이버소스 DM', 마스터카드는 '마스터카드 데이터캐시'라는 서비스를 통해 FDS를 구현하고 있다.
이 중 스코어링은 거래 패턴이 정상적인 거래와 다를 경우 사례에 따라 점수를 매겨 일정 점수가 넘어가면 거래가 이뤄지지 않도록 하는 방식이다. 룰 방식은 예를 들어 70대 할아버지가 새벽에 게임 아이템을 구매한다던가 똑같은 IP로 서로 다른 카드로 결제가 온라인 거래 보안 이뤄질 경우 거래 자체를 막는 방법이다.
이와 관련 금감원 IT감독국 IT보안실 관계자는 국내에서 직접 결제를 확인하는 오프라인 거래와 달리 온라인에서 이뤄지는 비대면 거래의 경우 카드사들이 온라인쪽에서도 여러 사고이력 패턴을 분석해서 녹여내는 노력이 이뤄져야 할 것이라고 말했다.
간편결제를 도입한다고 하더라도 당분간 페이팔, 아마존 원클릭과 같은 서비스가 바로 국내에 도입되기는 어려울 것으로 보인다. 보안성 때문이다.
금감원 관계자는 페이팔의 경우에도 비대면 거래를 하는 과정에서 여러 건 사고가 났던 것으로 파악하고 있다며 단순히 ID와 비밀번호를 넣는 방식은 간편결제라고 하더라도 허용하기 어렵다고 잘라 말했다.
페이팔은 보안사고가 날 경우 보험을 통해 사용자들에 대한 피해보상을 수행하고 있다. 미국 등 해외 결제 업체들도 간편결제를 도입하면서 이런 방식을 쓰고 있다. 이밖에 결제가 이뤄지는 시간을 2일~3일로 늦춰 문제가 없는지 확인하는 등 방식이 적용되고 있다. 국내에서도 쉽고 편리한 결제가 도입되면 이런 방식들을 고려해 볼 수 있다.
새로운 간편결제 방식들이 등장하고 있는 시점에서 몇 개 솔루션이 아니라 하나의 프로세스로 보안에 접근해야 한다는 주장도 나오고 있다. 더 큰 그림을 봐야한다는 것이다.
보안회사 좋을 김영혁 상무는 새롭게 도입되는 간편결제가 간편한 것은 맞지만 얼마나 안전한가는 기존 보안 체계와는 달리 전체 시스템을 개선해야 하는 문제라 쉽지 않다며 기존에 카드사, 온라인 쇼핑몰 등 마켓, PG사, 실제 물건을 소비자들에게 전달하는 유통업체 등이 모두 하나의 프로세스를 통해 보안성을 유지하는 방향성을 유지할 필요가 있다고 밝혔다.
김 상무는 이와 함께 에스크로 서비스를 간편결제를 중심으로 신용카드, 계좌이체 등 전반에 도입할 필요가 있다는 의견을 냈다. 에스크로는 페이팔, 알리페이 등이 적용하고 있는 국내 PG사들이 일부 시범도입하고 있는 서비스로 소비자와 판매자 사이에 제3의 기관이 결제금을 예치하고 있다가 소비자가 물건을 받았을 경우에 실제 거래가 성사되도록 하는 방식이다.
기존 계좌이체, 신용카드 결제의 경우 결제를 하는 소비자에 대해서는 인증을 하지만 실제 돈을 받는 상대방에 대한 인증은 이뤄지지 않았다. 예를 들어 온라인 쇼핑몰 사업자를 가장한 해커나 사기범들에게 돈을 송금하는 것을 막기 위해 이러한 방법을 활용할 수 있다는 것이다.
-
2014.08.20 2014.08.20 2014.08.20 2014.08.20
그러나 에스크로가 도입되기 위해서는 중간에서 해당 업무를 수행해야 하는 PG사 등이 위험부담을 떠안아야 하는데다가 실시간 거래와 달리 온라인 쇼핑몰 등 가맹점들이 더 비싼 수수료를 물어야 하고, 거래가 지연되는 등 현실적인 문제로 인해 도입이 쉽지는 않을 전망이다.
고려대 정보보호학과 이경호 교수는 애플이 아이폰5S에서부터 근거리무선통신(NFC)칩과 지문인식을 결합한 신용카드 결제방식을 선보이고 온라인 거래 보안 있고, 기존 은행, 카드사, PG사는 물론 스마트폰 제조사, 이동통신회사가 주도권 싸움을 하고 있는 결제시장에서 보다 구체적인 로드맵을 마련하는 것이 보안에 선행돼야 한다고 강조했다. 전체적인 간편결제 환경에 대한 교통정리를 하고 그에 따라 기존 결제 시장에서와 같은 땜질식 처방이 아니라 프로세스로 보안에 접근해야 한다는 주장이다.
0 개 댓글