[TECH] 핀테크 앱의 PCI SSC 보안 요구사항
안녕하세요 LIAPP TEAM입니다.
핀테크 앱의 보안 문제가 전 세계 각 분야의 뜨거운 화두로 부상하고 있습니다. 금융서비스의 첨단화와 IT 비금융권의 지급결제가 활발해짐에 따라 핀테크 앱에 대한 기대감이 높아지고 있지만, 개인정보 유출 사고의 빈도 또한 증가하고 있습니다. 그러므로 핀테크 앱 사용자의 개인정보 노출에 대한 우려를 덜기 위해 핀테크 기업은 무분별한 책임 회피적 태도에서 벗어나 안전성을 담보로 보안을 강화하기 위해 최선을 다해야 합니다.
이러한 이유로 핀테크 기업 보안 표준으로써 지불카드 산업 데이터보안 표준(PCI-DSS, Payment Card Industry Data Security Standard)이 떠오르고 있습니다. 이는 VISA, MasterCard, American Express, DISCOVER, JCB International의 5개 다국적 카드 결제 브랜드가 지불 카드 산업 보안 표준 위원회(Payment Card Industry Security Standards Council, 이하 PCI SSC)를 설립하여 지불결제 관련 개인정보보호를 목적으로 만든 것으로 카드 소유자 데이터와 민감 인증 데이터를 보호하기 위한 기술적 요구사항을 규정한 것입니다.
이러한 PCI SSC의 각각의 요구사항은 여러 가지 세부 요건으로 구성되어 있으며, 이는 핀테크 서비스를 제공하는 기업이 신용카드 정보를 불필요하게 저장하지 않도록 필요한 경우에만 정보를 암호화하여 저장해 개인정보 보안을 강화하도록 명시하고 있습니다.
핀테크 앱의 보안 문제가 전 세계 각 분야의 뜨거운 화두로 부상하고 있습니다. 금융서비스의 첨단화와 IT 비금융권의 지급결제가 활발해짐에 따라 핀테크 앱에 대한 기대감이 높아지고 있지만, 개인정보 유출 사고의 빈도 또한 증가하고 있습니다. 그러므로 핀테크 앱 사용자의 개인정보 노출에 대한 우려를 덜기 위해 핀테크 기업은 무분별한 책임 회피적 태도에서 벗어나 안전성을 담보로 보안을 강화하기 위해 최선을 다해야 합니다.
이러한 이유로 핀테크 기업 보안 표준으로써 지불카드 산업 데이터보안 표준(PCI-DSS, Payment Card Industry Data Security Standard)이 떠오르고 있습니다. 이는 VISA, MasterCard, American Express, DISCOVER, JCB International의 5개 다국적 카드 결제 브랜드가 지불 카드 산업 보안 표준 위원회(Payment Card Industry Security Standards Council, 이하 PCI SSC)를 설립하여 지불결제 관련 개인정보보호를 목적으로 만든 것으로 카드 소유자 데이터와 민감 인증 데이터를 보호하기 위한 기술적 요구사항을 규정한 것입니다.
이러한 PCI SSC의 각각의 요구사항은 여러 가지 세부 요건으로 구성되어 있으며, 이는 핀테크 서비스를 제공하는 기업이 신용카드 정보를 불필요하게 저장하지 않도록 필요한 경우에만 정보를 암호화하여 저장해 개인정보 보안을 강화하도록 명시하고 있습니다.
이번 콘텐츠는 PCI SSC가 모바일 카드 결제 시스템 보안을 위해 별도로 발행한 PCI Mobile Payment Acceptance Security Guidelines의 각 항목에 대한 이해를 돕기 위해 작성되었습니다. 또한, PCI 규정을 준수하기 위해 항목마다 적용할 수 있는 LIAPP의 보안 기능을 함께 소개하여 핀테크 앱을 강력하게 보호하는 방법을 알려드립니다.
LIAPP Auth
4.2 Create server-side controls and report unauthorized access
모바일 앱에 허가되지 않은 접근 시도나 비정상적인 행동을 탐지, 보고하고 접속을 중단할 수 있는 전체적인 결제 승인 솔루션 개발을 권고하는 항목입니다. 이는 LIAPP의 LIAPP Auth 기능으로 앱 서버로 직접 접속하는 우회 접속을 차단하고, 비정상적인 경로로 앱이 실행되지 않도록 설정할 수 있습니다.
LIAPP Root/Jailbroken 및 Virtual Machine Device 탐지 및 차단
4.3 Prevent escalation of privileges
해당 항목은 루팅, 탈옥된 디바이스에서 앱 실행을 차단하고, 위험이 감지될 경우 알람이나 경고 메시지 송출로 보안을 강화할 것을 권고합니다. 모바일 해킹은 주로 허가되지 않은 접속을 차단하지 않아 발생하며, LIAPP을 통해 루팅, 탈옥된 디바이스, OS가 변조된 디바이스, 가상 머신에서 미허가된 접근을 탐지해 알람을 송출하고 앱 실행 및 접근을 강력하게 차단할 수 있습니다.
LIAPP Anti-Tampering, Anti-Debugging 그리고 Anti- Repackaging
4.7 Harden the application
이 항목은 애플리케이션 강화 사항으로, 모바일 앱에 사용자가 의도하지 않은 액세스나 악성코드 삽입을 막고 Reverse Engineering을 통한 앱 위/변조 방지(Anti-Tempering)를 권고합니다. LIAPP은 중요 소스코드를 암호화함으로써 Decompile이나 Reverse engineering을 통한 분석을 방지하며 Anti-Debugging 기능으로 앱 실행 중 동적 분석을 막고, 앱의 변조 징후까지 탐지해 앱의 위변조를 원천 차단합니다. 또한 앱에서 사용하는 중요 정보 파일을 보호하여 악의적으로 재배포되는 행위는 Anti-Repackaging 차단 기능을 통해 막을 수 있습니다.
LIAPP Realtime Hacking Tools Registration
4.10 Protect against known vulnerabilities
해당 항목은 모바일 디바이스와 앱이 패치를 통해 항상 최신 버전으로 유지되어야 함을 권고하고 있습니다.
이에 LIAPP은 기존에 알려진 해킹 기법을 강력히 차단할 수 있으며, 직접 해킹 툴을 등록하여 최신 보안 취약점을 해결할 수 있습니다. 특히, LIAPP의 프리미엄 플랜인 LIAPP Enterprise와 LIAPP For Game은 고객사 전용 서버와 모니터링 대시보드를 제공하여 앱 접속자 수, 해킹 발생률과 해킹 종류를 실시간 리포팅할 수 있습니다.
또한 안티 디버깅, 무결성 변조 탐지, 가상머신 탐지, 해킹 툴 탐지, 관리자 권한 탐지 등 각 기능의 사용 여부를 사용자가 ON/MONITOR/OFF 버튼으로 즉시 변경할 수 있습니다.
PCI SSC의 보안 규정 준수는 단순히 개인정보 유출을 막는 것으로 그치지 않습니다. 핀테크 앱의 신뢰도를 높이고, 이 신뢰도는 핀테크 서비스의 평판 향상으로 이어집니다. 특히, 핀테크 앱을 통한 모바일 결제가 점차 결제 산업에서 중심적인 역할을 함에 따라 관련 규정 준수는 이제 필수적인 요소로 자리 잡아가고 있습니다. PCI SSC의 규정을 준수하는 것은 처음에는 어려운 것처럼 보일 수 있으나, LIAPP과 같은 모바일 보안 서비스를 통해 보다 쉽고 간편하게 보안 기능을 적용할 수 있습니다.
핀테크 앱을 이미 출시하셨거나 준비하고 계신다면 이번 기회에 LIAPP을 통해 모바일 앱 보안 정책을 강화해보시는 것이 어떠실까요? 저희 LIAPP팀은 앱 출시를 약 한 달 앞둔 시점에 미리 보안을 강화해 마켓에 배포하시는 일정을 권장해 드리며, 앞으로 LIAPP과 함께 글로벌 시장에서 고공 질주하는 핀테크 앱 서비스가 되시길 바라겠습니다.
[자료 출처]
https://www.pcisecuritystandards.org/pci_security/
https://www.pcisecuritystandards.org/about_us/
PCI Mobile Payment Acceptance Security Guidelines / PCI Mobile Payment Acceptance Security Guidelines for Developers.pdf
LIAPP, 최상의 서비스만을 제공합니다.
핀테크 앱을 이미 출시하셨거나 준비하고 계신다면 이번 기회에 LIAPP을 통해 모바일 앱 보안 정책을 강화해보시는 것이 어떠실까요? 저희 LIAPP팀은 앱 출시를 약 한 달 앞둔 시점에 미리 보안을 강화해 마켓에 배포하시는 일정을 권장해 드리며, 앞으로 LIAPP과 함께 글로벌 시장에서 고공 질주하는 핀테크 앱 서비스가 되시길 바라겠습니다.
[자료 출처]
https://www.pcisecuritystandards.org/pci_security/
https://www.pcisecuritystandards.org/about_us/
PCI Mobile Payment Acceptance Security Guidelines / PCI Mobile Payment Acceptance Security Guidelines for Developers.pdf
LIAPP, 최상의 서비스만을 제공합니다.
