최근 결제 수단이 현금에서 온라인 금융거래로 옮겨가면서 제3자 지급결제 서비스 제공자(TPP) 이용 비중이 늘어날것으로 보입니다. 이에 따라 보안 위험도 함께 커지고 있습니다.
특히, 클라우드상의 문서에 금융 결제 정보를 저장할 경우 보안상 큰 위험이 따르기 때문에 정보보안 관리 시스템이 결제 정보를 제대로 모니터링하고 보호하는 것이 보안을 유지하는데 매우 중요합니다.
제3자결제(서드파티결제)란 무엇인가요?
제3자결제는 온라인 결제 수단을 이용하는 것을 말합니다. 이러한 유형의 결제 옵션은 사람들이 신용카드를 사용해 온라인 판매자로부터 구매를 할 수 있습니다. 과거에는 현금이나 직불 카드를 사용해 구매하는 경우가 많았지만, 제3자 결제 이용이 늘어나면서 결제 환경이 바뀌고 있는 추세입니다.
제3자 결제를 이용하는 것도 일종의 금융 거래이기 때문에 거래 정보에 대한 보안 대책이 필요합니다. 보안 시스템의 핵심은 상황을 모니터링하고 평가하기 위해 지속적인 전략이 필요합니다. 이것을 위험 및 규정 준수 관리 프로세스라고 합니다. 제3자 결제를 통해 거래하는 온라인 소매업체는 온라인 사기에 더욱 취약합니다. 정보보호관리체계(ISMS)가 제대로 작동하지 않으면 결제 정보가 기록된 문서는 보안상 큰 위험이 될 수 있습니다.
제3자결제의 보안 리스크
신뢰할 수 있는 제3자 지급결제 서비스 제공자(TPP, Third Party Providers)는 이용자의 신용 카드 정보와 개인 및 금융 데이터를 저장하거나 사용자 대신 거래를 처리할 수 있습니다. 또한 민감한 정보를 보호하기 위해 별도 기관을 통해 추가적인 보안 조치를 취할 수도 있습니다. 소비자가 은행 및 신용카드사에 대한 계정과 링크를 만들 수 있습니다만, 제3자 결제 서비스 제공업체는 대부분은 카드사와 금융기관으로부터 사용자를 대신해 결제를 처리할 수 있도록 승인 받았으며, 제공업체는 고객과 가맹점 모두를 보호하기 위해 행동강령(Code of Conduct)을 작성합니다.
예를 들어, 페이팔(PayPal)은 신용카드 회사와 ‘사기 및 보안방지’에 대한 약관이 있어 승인되지 않은 거래 및 결제 위협으로 부터 거래를 보호합니다. 넷킬러(Netkiller)와 같이 ISO 27001 및 정보보호관리체계(ISMS)를 가진 기업은 제3자가 회사의 정보 보안 관리 시스템을 객관적으로 감사했음을 나타냅니다.
보안 리스크 방지
제3자결제 서비스 제공업체(TPP)가 직면한 가장 근본적인 보안 문제는 해킹 위협입니다. 2013년 페이팔(PayPal)은 최대 1억 4,300만 명의 고객 정보가 유출된 것이 연방 통상 위원회(Federal Trade Commission)의 조사 과정에서 밝혀졌습니다. 따라서, TPP 제공자의 가장 중요한 보안 대책은 민감한 정보를 암호화 하는것입니다.
금융 정보가 얼마나 노출되고 악용될 수 있는지 확인하려면 최근 은행을 대상으로 한 데이터 유출 피해 사례만 살펴보면 금방 알 수 있습니다. TPP가 점점 더 대중화됨에 따라 이러한 데이터 유출이 증가할 가능성은 더욱 높아 질 것입니다. 따라서, TPP는 사용자 데이터의 저장 방법과 저장 위치에 대해 인지하고 있어야 합니다.
결론
IT 보안 취약성은 모든 기업의 중요한 문제로 남아 있습니다. IT 보안 시스템이 구축된 기업이라도 피싱 메일과 소셜 엔지니어링(Social Engineering)에 취약할 수 있습니다. 비즈니스와 자산을 보호하기 위해 사전에 예방 조치를 취하고 모든 사용자에게 투명하고 안전한 환경을 구축하세요. IT 보안을 통해 비즈니스와 사용자 신뢰도를 크게 높일 수 있을 것입니다.