앱을 목표로 삼는 사이버 범죄

결제 관련 웹 사이트 (pymnts [dot] com)에서 “Cybercriminals Targeting Apps”를 옮겼습니다.    

                      

                             

은행 도둑이 얼굴을 가리고 총과 화약을 가지고 금고로 가는 것은, 정말 지난 날의 이야기입니다. 현재, 그들이 필요로 하는 것은 편안한 의자와 피씨 (PC) 하나면 충분합니다. 올해 초에 사이버 범죄자들이 방글라데시의 센트럴 은행 (central bank)으로부터 팔천 백만 달러 ($81 million)를 훔쳤습니다: 그리고 그 돈과 함께 스위프트 세계 결제 네트워크 (SWIFT global payments network)가 만 천명의 사용자와 함께 일구어낸 신용도 훔쳤습니다. 결제 네트워크는 반드시 들어오는 디지털 위협과 싸울 새로운 방법을 찾아야 합니다. 사기 탐지 회사인 포터 (Forter)와 함께 PYMNTS가 한 연구에 따르면, 미국내에서 2015년 3월에서 2016년 3월에 이르는 사이에 사기가 137 퍼센트 증가했다고 합니다. 방글라데시의 센트럴 뱅크 사건 이후, 파이낸셜 타임즈에 따르면, 에쿠아도르, 필리핀, 그리고 베트남에 있는 은행들에 대한 공격이 일어났다고 합니다. 스위프트 (SWIFT)는 네트워크 회원들이 보안에 더 신경쓰라고 합니다: “목표가 된 고객들에게는 하나의 공통점이 있는데, 그들은 그들 지역의 보안에 있어 특별히 취약했습니다”. 스위프트나 혹은 개인 간 송금 앱과 같은 결제 네트워크를 위한 인증 방법은 아직도 완전히 안전한 것은 아닙니다 (“Authentication methods for payments networks, such as SWIFT, or P2P money transfer apps are still not completely secure”). 심지어 암호화된 정보를 보내고 받는 은행들도 그들의 정보에 접근하기 위해서는 신원 확인/인증을 해야하며, 이들 방식중의 어떤 부분들은 취약합니다. 고담 디지털 사이언스라는 사이버 보안 회사를 설립한 공동 창립자 중의 한명인 클락-솔트 (J. Clarke-Salt)씨는 말하기를, 방글라데시의 센트럴 은행 사건의 공격자들은 약점을 이용했다고 하며, 그 약점이란 기관이 스위프트를 위한 다른 보호 (“institutions use different protections for SWIFT”)를 사용한다는 것입니다. 그리고, 사이버 범죄자들은, 덜 복잡한 보안 시스템을 지닌 규모가 작은 금융 기관을 공격합니다. 큰 기관일수록, 보안을 층층이 쌓으며, 수동화 보다는 자동화 되었을 수 있습니다. 어떤 기관들은 물리적인 방해물 – 네크워크 접근을 위해서는 관문이 딸린 방 같은 것 말입니다. 팔로 알토에 있는 녹녹 랩스 (Nok Nok Labs)의 상품 부문 부사장인 돌라키아 (R. Dholakia)씨는 생각하기를, 스위프트 공격자들은 방글라데시나 유크레인같은 약한 네트워크를 지닌 장소에서 접근할 수 있었을 것이라고 보며, 거기에서 네트워크안에서 법적인 실체들인 것처럼 가장했을 것이라고 합니다. 돌라키아씨는 말하기를, 공격자들은 갈수록 정교해지며 더 빠른 속도로 기존의 방어를 뚫고 들어간다고 합니다. “이러한 공격자들 중 많은 이들의 공통점은 손상된 혹은 강탈된 자격증 (credentials)을 이용하여 이들은 법적인 실체로 가장합니다”. 사이버 범죄자들의 주 목적은 돈을 훔치는 것이며, 이것은 소비자의 신원/신분을 훔쳐서 달성됩니다. EMV 결제는 범죄자가 가짜 신용카드를 사용하거나 결제 단말기 소프트웨어로 해킹하여 훔치는 것을 어렵게 만들려고 애씁니다. 그럼에도, 범죄자들은 “카드가 없어도 되는 거래”를 악용하여 방법을 찾아냅니다: 예를 들어, 온라인으로 결제한다든지 혹은 전화로 결제하는 것 등입니다. 사이비 범죄자들은 이제, 훔친 사용자의 자격증을 안전하게 하려는 의도에서 웹이나 모바일의 앱을 목표로 삼고 있습니다: 앱을 위한 복잡한 인증 시스템은 사용자들에게는 저해 요소이며, 회사들은 복잡하고 귀찮은 인증에 의지하려 하지 않습니다 (“Complex authentication systems for apps are a disincentive for users, and companies don’t want to resort to cumbersome authentication”). 비자 베리파이드 (Visa Verified)는, 제 3자에 의한 인증을 위한 다른 페이지로 사용자들을 데려가는 시스템을 시험했으나, HPE 보안 회사의 정보 보안 부문의 글로벌 상품 매니저인 코나누르 (S. Konanur)씨에 따르면 상황은 이렇습니다: “그 절차는 그다지 효과가 없었는데, 그 이유는 유통/소매상들이 고객을 위해서 좋지 않다고 생각했기 때문에, 시작하지 못했습니다”. 바스코 정보 보안 (Vasco Data Security)의 최고 전략 경영자인 클레멘트 (S. Clements)씨는 말하기를, 모바일 맬웨어 (mobile malware)가 은행과 모바일 앱 가운데 작년에 세 배나 증가했다고 합니다: “해커는 온라인 뱅킹 앱을 반대로 엔지니어링합니다 – 그것을 베끼고 그리고 비공식적인 스토어에 올립니다. 특히 중국에서는 마치 진짜 앱인 것처럼 소비자를 속이고, 신원/신분을 훔쳐가는 것입니다”. 그러나 핀테크 스타트업 회사들과 경쟁하는 은행들은 앱을 보안 시스템을 설치하는 것을 마지못해 할지도 모릅니다 – 그것이 사용자의 경험을 딴 곳으로 돌릴지도 모르기 때문입니다 (“But banks that are competing with FinTech startups will be reluctant to employ secure systems for apps that might detract from the user experience”).      

                 

***    

모바일 결제 관련 웹 사이트 (mobilepaymentstoday [dot] com)에서 “Kohl’s Pay is here”을 옮겼습니다. 원문은 10월 5일 게재되었습니다.     

                            

                               

여기 또 다른 ‘페이 (Pay)’가 출시되었습니다. 수요일에 콜이 발표하기를 ‘콜스 페이 (Kohl’s Pay)’를 전국적으로 출시했다고 합니다: 콜스 페이는 선택 사항으로써 모바일 결제인데, 회사의 모바일 앱에 유통/소매상의 사적인-라벨 신용 카드가 통합된 것입니다. 콜스 페이는 소비자들에게 다음과 같은 부가적인 편리함을 제공합니다: 소비자가 계산대에서 단 하나의 거래라도 지불/결제를 할 때, 콜스 오퍼 (Kohl’s offers), 콜스 캐쉬 (Kohl’s Cash), 그리고 예스2유 리워드 (Yes2You Rewards)를 적용해줍니다. 콜 회사의 최고 기술 경영자인 라부 (R. Lavu)씨가 이렇게 말합니다: “콜스 페이는 지불/결제 경험을 간소화함으로써 저희 콜스 차지 (Kohl’s Charge) 고객들에게 진정으로 편리함이 무엇인지 알려드리려 합니다 – 다가오는 휴가철에 상점에서 쇼핑을 하는 것이 정말 더 쉬워졌습니다. 저희는 고객들이 좋아하는 놀라운 – 콜스 캐쉬와 예스2유 리워드 로열티 프로그램과 같은 – 저축 기회와 모든 모바일 기기에서 콜스 차지를 이용하여 결제할 수 있는 것을 다 모아서 가치와 편의성을 결합시켰습니다”. 콜스는 애플 페이와 함께 원-탭 접근을 사용하는 첫번째 유통 회사였습니다 (“Kohl’s earlier this year became the first retailer to use this one-tap approach with Apple Pay”). 상점에서 콜스 페이를 사용하려면, 고객은 그들의 iOS 기기나 혹은 안드로이드 기기에 설치된 콜스의 앱 (app) 안에서 콜스 차지 정보와 콜스 페이를 저장해야 합니다. 계산대에서 구매한 물품을 위하여 지불하려면, 고객은 콜스의 앱을 작동시키고 콜스 페이를 선택 메뉴에서 선택하여 콜스 페이 큐알 코드 리더기 (Kohl’s Pay QR code reader)를 작동시킵니다. 매장의 판매 시점에서 고객의 기기에 큐알 코드가 나타나면, 그들의 모바일 기기를 사용하여 코드를 스캔할 수 있고, 제공되는 저축과 콜스 캐쉬를 적용하고 그런 후 콜스 페이를 사용하여 거래를 완전히 끝내기 위하여 ‘승인 (approve)’을 두드립니다. 시스템은 월마트 페이와 비슷합니다.