UPDATE : 2020-07-03 17:55 (금)
모바일, 간편 결제 부상 속 더 커지는 결제 정보 유출 위험
상태바
모바일, 간편 결제 부상 속 더 커지는 결제 정보 유출 위험
  • 김혜진 기자
  • 승인 2016.01.26 16:00
  • 댓글 0
이 기사를 공유합니다

젬알토가 전세계 3700명 이상의 IT와 보안 전문가를 대상으로 수행한 모바일 결제 관련 설문 조사 결과를 발표했다.

이번 조사는 젬알토의 의뢰로 유명 보안 컨설팅 전문 기업인 포네몬 인스티튜트(Ponemon Institute)가 수행했다. 조사 결과 전 세계적인 열풍을 이어가고 있는 모바일, 간편 결제 수단에 대한 데이터 유출 우려가 있으며 새로운 보완책을 마련할 때라는 의견이 지배적인 것으로 나타났다.

최근 결제 업계는 데이터 유출 홍역을 앓고 있다. 이는 조사 결과에도 나타났다. 설문에 참여한 이중 결제 정보의 외부 유출 사건을 겪었다고 답한 비중은 54%였다. 이는 2년 전 조사와 비교할 때 네 배나 높은 수치다. 데이터 유출이 급증한 것은 결제 정보를 다루는 기업들의 보안 투자 방향과 보안 실태에 대한 응답에서 그 이유를 찾을 수 있다.

먼저 충격적인 실태로 꼽을 수 있는 것은 결제 정보가 어떤 시스템에 있는지 어느 저장소에 있는지 모른다고 답한 이의 비중이 55%에 이른다는 것이다. 결제 정보는 복잡한 경로를 따라 여러 시스템을 거치는데 데이터가 어디로 이동하고 저장되는지 투명하게 파악을 못하는 것이다.

다음으로 주목할 조사 내용은 결제 데이터에 대한 책임 주체다. 중앙집중적으로 CIO의 책임 아래 관리하는 곳은 28%였다. 결제 관련 부서에서 처리하는 곳은 26%, 규제 담당 부서가 맡는다는 곳은 19%, 보안 책임자(CISO)가 주체인 곳은 15%였다. 권장되는 관리 체계인 CISO 책임 아래 결제 정보 보안을 책임지는 곳은 많지 않았다.

이 밖에도 결제 정보 보호가 기업의 최우선 5가지 보안 목표 안에 든다고 답한 곳이 31%에 불과한 것도 눈길을 끈다.

결제 정보의 중요성을 알지만 충분한 자원을 투자하지 않는 것이다. 결제 정보는 여러 관계 기업을 오간다. 결제 과정의 특성에 따른 것이다. 응답자 중 59%가 그들이 관리하는 결제 정보에 외부 기업이 접근할 수 있도록 한다고 답했다.

문제는 접근 제어를 철저히 하는 곳이 많지 않다는 것이다. 34%만이 결제 정보 접근시 다중 인증을 적용한다고 답했다.

한편 PCI DSS의 중요성은 공감하지만 실제 자신이 몸담은 회사가 충분히 요건을 충족하지 않는다고 답한 이가 74%나 되는 것도 주목할 만하다. 참고로 결제 정보를 처리하다 보니 POS 단말기부터 은행까지 E2E(End to End) 암호화를 적용했다고 말한 곳은 44%였다.

장 프랑수아 슈라이버 젬알토 아이덴티티, 데이터, 소프트웨어 서비스 부문 부사장은 “이번 조사 결과는 결제 업계에 경종을 울렸다. 규제 준수에 만족할 것이 아니라 보안에 대해 처음부터 모든 것을 다시 생각해야 할 때다. 이번 조사 응답자 중 1/3 가량이 PCI DSS를 준수한다고 해서 결제 데이터의 안전성과 무결성을 보장할 수 있는 것은 아니라고 답했다. 데이터 유출은 회사의 평판, 고객과의 관계 모두에 손해를 끼친다. 모바일, 간편 결제 등 새로운 수단의 등장은 잠재적인 보안 위험을 더 키운다”고 말했다.

모바일, 간편 결제, 전자 지갑 등 새로운 결제 수단의 수용은 향후 2년간 두 배 가까이 늘 전망이다. 이번 조사에 응한 기업 평균 결제에서 모바일이 차지하는 비중은 9%다. 조사에 응한 전문가들은 향후 2년 이내 모바일 결제 비중이 18%로 높아질 것으로 예상했다.

응답자들은 그동안 결제 정보를 노리는 위협에 대응하는 데 쓰인 전통적인 방식으로는 새로운 결제 수단을 수용하는 데 한계가 있다고 보았다. 72%의 응답자는 새로운 결제 수단의 수용은 민감한 정보가 위험에 노출시키는 것과 같다고 여겼다. 54%의 응답자는 현재 보안 체계로 새로운 결제 플랫폼을 지원하는 데 어려움이 크다고 느끼고 있었다.

장 프랑수아 슈라이버 부사장은 “기업들은 새로운 결제 수단을 받아들이는 쪽으로 움직이고 있다. 이들 기업은 결제 정보를 보호할 수 있다고 믿지만 사실은 보안이 취약하다. 이번 조사 결과에 나타났듯이 결제 관련 기업의 보안 투자 우선 순위에 결제 정보 보호는 없다. 즉, 결제 정보 보호에 충분한 자원, 기술, 인력이 투입되지 않고 있다. 새로운 결제 수단은 거스를 수 없는 추세가 됐지만 실무를 맡은 담당자들은 새로운 결제 수단을 받아들일 준비가 안 됐다고 느낀다”고 말했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.