[ 지식 공유 ] 결제 보안 방법

실무에서 결제 서비스를 구현하면서 과연 현재 시스템에서 보안적으로 문제가 없는지 고민을 많이 하게 됐다.

그래서 일반적으로 결제 보안을 위해 사용하는 방법에 대해서 소개하고자 합니다.

 

보안 문제	해결 방법
요청 / 응답 도청	HTTPS 사용
데이터 조작	데이터 암호화 및 무결성 모니터링 사용
악의적인 공격 (MITM Attack)	SSL 및 인증서 사용
데이터 손실	여러 지역에 걸친 데이터베이스 복제 및 데이터 스냅샷 생성
분산 서비스 거부 공격 (DDoS)	네트워크에서 발생하는 트래픽 양을 제한하거나 방화벽을 통해 허용되지 않는 트래픽을 차단
카드 도난	실제 카드 정보를 대체하는 임시 카드 정보인 토큰을 생성해서 사용
PCI 규정 미준수	PCI 규정 준수를 통해 카드 정보를 안전하게 보호
사기	주소 검증, 카드 검증 값(CVV), 사용자 행동 분석 등

 

1. 요청 / 응답 도청

해커가 카드 결제 시스템과 상호작용하는 클라이언트와 서버 간의 통신을 가로채서 정보를 도용하거나 변경하는 공격이다.
방지하기 위해 SSL(Secure Socket Layer)과 같은 보안 프로토콜을 사용하는 것이 중요하다.

 

2. 데이터 조작

데이터를 수정, 변조 또는 삭제하여 데이터 무결성을 손상시켜 신뢰성 있는 정보를 제공하는 것을 방해한다.
방지하기 위해 데이터 전송시 암호화와 데이터의 변경이나 변조를 탐지하는 데이터 무결성 모니터링을 사용하여 보호 할 수 있다.

 

3. 악의적인 공격 (MITM Attack)

공격자가 통신하는 두 당사자 사이에 끼어들어 정보를 가로채고 조작하는 공격이다.
방지하기 위해 SSL 및 인증서를 사용하여 데이터 통신을 암호화하고, 인증서를 통해 웹 사이트의 신외성을 보장하여 데이터 보안을 강화한다.

 

4. 데이터 손실

데이터를 저장하고 있는 데이터베이스에 예기치 못한 문제로 인해 데이터 손실하는 경우이다.
방지하기 위해 여러 지역에 걸친 데이터베이스 복제 및 데이터 스냅샷 생성으로 언제든지 복구가 가능해야 된다.

 

5. 분산 서비스 공격 (DDoS)

DDoS는 하나 이상의 컴퓨터 네트워크를 이용하여 대상 서비스나 웹 사이트에 대한 서비스 거부를 초래하는 공격이다.
일반적으로 하나의 공격 타겟을 정하고 집중적으로 대량의 데이터 트래픽을 보내 과부하 상태에 빠뜨리는 방식으로 공격한다.
방지하기 위해 네트워크에서 발생하는 트래픽의 양을 제한하거나 방화벽을 사용한다.
트래픽 양 제한하는 방법은 HTTP(S) 요청에 대해 초당 최대 요청 수를 지정할 수 있다. 
방화벽은 네트워크 트래픽의 흐름을 제어하고 허용되지 않은 트래픽을 차단하는 역할을 한다.

 

6. 카드 도난

카드 도난으로 예기치 못한 카드 사용이 될 수 있다.
방지하기 위해 고객의 카드 정보를 저장하지 않고 실제 카드 정보를 대체하는 토큰을 사용하여 카드 도난이나 해킹으로부터 보호할 수 있다.
다만, 토큰화를 사용하는 경우에도 결제 정보를 안전하게 보호하기 위해서는 SSL 등의 암호화 기술을 이용하여 데이터를 보호하는 것이 중요하고 토큰 정보를 저장하는 DB에도 안전하게 보호되어야 한다.

 

7. PCI 규정 미준수

PCI는 카드 산업 데이터 보안 표준으로 크게 6가지 범주로 구성되어 있다.
1) 카드 정보를 보호하기 위한 방화벽 구성
2) 기본적인 암호화 요구사항
3) 강력한 비밀번호와 계정 관리 정책
4) 취약점 관리와 보안 정책 적용
5) 감사와 로깅 요구사항
6) 네트워크와 서버 보안 요구사항

이러한 요구사항들은 카드 결제 서비스 제공자와 상인들이 카드 정보를 안전하게 보호하기 위해 준수해야 하는 최소한의 보안 규정이다.

 

8. 사기

불법적인 방법으로 카드 정보를 획득하거나, 카드를 사용하여 범죄 행위를 일으키는 행위를 말한다.
방지하기 위해 사용자 주소 검증, 카드 검증 값 (CVV) 확인, 사용자 행동 분석 등을 통해 해결할 수 있다.