PCI DSS v4: 결제 통합으로 인한 웹 스키밍 위협 파악하기
추가 편집 및 해설: 갈 메이리(Gal Meiri), 에밀리 라이언스(Emily Lyons)
Executive Summary
결제 프로세스는 디지털 커머스의 결제 단계에 필수적인 요소입니다. 민감한 고객 신용카드 정보를 취급하는 온라인 프로세스에는 Payment Card Industry Security Standards Council이 규정한 엄격한 보안 의무가 따릅니다.
최신 버전의PCI DSS v4.0(Payment Card Industry Data Security Standard)에는 웹 스키밍 공격을 비롯한 클라이언트 측 위협을 방어하기 위한 추가적인 요구사항이 포함되어 있습니다.
여러 기업들은 새로운 PCI DSS v4 요구사항의 준수와 관련된 보안 의무 및 리스크를 방어하기 위해 운영 업무에 써드파티 결제 서비스 공급업체를 통합하고 있습니다.
이 블로그 게시물에서는 다양한 결제 서비스 공급업체 통합 모델을 알아보고, 각 모델에 따른 고유한 클라이언트 측 리스크를 살펴보고, 기업이 이러한 써드파티 공급업체에 PCI DSS 의무를 분산했음에도 불구하고 여전히 웹 스키밍 위협에 취약한 이유를 평가합니다.
결제 통합 이해하기
결제 통합은 온라인에서 결제 카드를 수락하는 기업에 필수적인 요소입니다. 디지털 커머스 결제 프로세스의 중요한 연결 지점인 결제 통합은 결제 카드 세부 정보를 승인하거나 결제 방법을 웹사이트에 직접 통합해 거래를 처리할 수 있는 메커니즘을 제공합니다.
여기에는 퍼스트 파티 프로세서를 통합하거나 써드파티 판매자 서비스 게이트웨이를 활용하는 과정이 포함될 수 있으며, 이 경우 iframe을 도입하거나 결제 완료를 위해 최종 사용자를 해당 사이트로 리디렉션할 수 있습니다.
웹 스키밍 공격 - 클라이언트 측 신용 카드 데이터 처리에 대한 주요 위협
웹 스키밍 공격은 해커가 직접적으로 또는 써드파티 공급업체를 통해 디지털 커머스 웹사이트에 악성 자바스크립트 코드를 삽입하는 형태의 사이버 공격을 말합니다. 이러한 공격의 궁극적인 목표는 신용카드 번호와 개인 결제 세부 정보 등의 민감한 사용자 데이터를 유출 시키고 탈취하는 것입니다.
사이버 커뮤니티는 2016년 약 6000개의 디지털 커머스 플랫폼이 웹 스키밍 공격의 희생양이 될 수 있다는 보고서 를 통해 이러한 공격을 처음 널리 알리기 시작했습니다. 그 이후 웹 스키밍 기법으로 디지털 커머스 플랫폼이 감염되었다는 보고가 꾸준히 이어지고 있습니다.
가장 최근 보고서 에서는 지속적인 Magecart 스타일의 웹 스키밍 캠페인으로 인해 수만 명에 달하는 온라인 쇼핑객의 개인 및 금융 정보가 도난 및 악용되거나 다크웹에서 판매될 리스크에 처했음을 알 수 있습니다.
클라이언트 측 결제 공급업체 통합 모델
직접 신용 카드 처리
이 모델은 웹사이트 소유자가 전반적인 결제 경험을 관리합니다. 결제 페이지에 포함된 결제 양식은 사용자가 입력한 신용카드 및 청구 정보를 수집합니다. 주문이 완료되면 데이터는 일반적으로 결제 서비스 공급업체의 API를 통해 웹사이트 서버로 곧바로 전송 및 처리됩니다.
Iframe 기반의 통합
이 방식은 웹사이트 소유자와 써드파티 결제 공급업체가 결제 프로세스에 대한 책임을 공유합니다. 웹사이트의 결제 페이지에 삽입된 iframe은 결제 공급업체가 소유한 도메인에서 로드되는 결제 양식을 호스팅합니다. 사용자가 구매를 완료하면 신용 카드 및 청구 세부 정보가 iframe에서 결제 공급업체의 서버로 직접 전송되어 거래가 완료됩니다.
리디렉션 모델
이 방식 역시 웹사이트 소유자와 결제 공급업체가 역할을 공유합니다. 웹사이트 소유자는 신용 카드 데이터 수집을 제외한 결제의 모든 측면을 감독합니다. 주문이 접수되면 사용자는 결제 공급업체가 소유한 별도의 페이지로 리디렉션됩니다.
이 페이지에서 사용자는 신용카드 및 청구 정보를 입력합니다. 결제는 결제 공급업체 측에서 처리되며, 사용자는 이후 원래 웹사이트로 다시 리디렉션됩니다.
결제 공급업체 모델과 관련된 클라이언트 측 리스크
기본적인 웹 스키밍 위협
신용카드 직접 처리 모델의 경우 Magecart와 같은 웹 스키밍 공격을 비교적 간단하게 구축할 수 있습니다. 이 공격은 웹사이트의 결제 페이지에 악성 스크립트를 배포합니다.
사용자가 결제 필드에 신용 카드 정보를 입력하면 악성 스크립트가 데이터를 캡처합니다. 그런 다음 공격자가 제어하는 도메인으로 민감한 정보를 전송해 사기 활동을 위한 발판을 마련합니다.
정교한 가짜 양식 공격
웹 스키밍의 복잡한 변종 중 하나는 "가짜 양식" 공격입니다. 여기서는 기본 웹 스키밍 모델과 마찬가지로 결제 페이지에서 악성 스크립트가 실행됩니다. 하지만 이 스크립트는 iframe에 삽입되거나 결제 공급업체의 사이트로 연결되는 방식으로 진짜 결제 양식을 숨기고 이를 가짜 양식으로 대체합니다(그림).
사용자는 이러한 속임수를 인지하지 못하고 신용카드 정보를 입력하게 됩니다. 그러면 악성 스크립트는 이 데이터를 수집해 공격자가 제어하는 도메인으로 전송한 다음 사기 목적으로 사용합니다. 이후 스크립트는 일반적으로 오류 메시지를 표시하고 실제 결제 양식을 표시해 사용자가 세부 정보를 다시 입력하도록 유도합니다.
그림: 가짜 양식 공격에서 스키머는 원본 양식 요소를 숨기고 이를 대체하는 가짜 요소를 표시합니다
Akamai는 최근 웹 스키밍 공격에서 이 기법이 유행하는 것을 확인했습니다. 공격자들은 더욱 정교한 기술을 활용해 악성 코드를 눈에 띄지 않게 숨기고, 콘텐츠 보안 정책과 같은 예방적 보안 조치를 우회해 새로운 피해자를 노려 민감한 데이터의 유출을 극대화하고 있습니다.
결론
웹 스키밍 공격자들은 시간이 갈수록 더욱 정교해지고 있으며, 퍼스트 파티 및 써드파티 결제 프로세스를 모두 악용해 클라이언트 측에서 결제 카드 데이터를 포함한 최종 사용자 정보를 훔칠 새로운 방법을 찾고 있습니다.
어떤 결제 통합 방식을 선택하든, 디지털 결제 프로세스를 사용하는 기업은 이러한 공격의 피해자가 될 리스크가 있습니다. PCI 컴플라이언스를 결제 공급업체에 전적으로 위임한다 해도 데이터 유출에 대한 책임에서 완전히 벗어날 수는 없습니다. 결제 카드 정보를 처리하는 기업은 컴플라이언스를 넘어 이러한 위협을 효과적으로 차단하고 온라인 트랜잭션을 안전하게 유지하기 위한 강력한 보안 조치를 구축해야 합니다.
Akamai가 지원하는 방법
Akamai Client-Side Protection & Compliance 는 최종 사용자 데이터 유출을 방지하고 자바스크립트 위협으로부터 웹사이트를 보호합니다. 악성 스크립트 동작을 탐지하고 보안 팀이 유해한 활동을 실시간으로 방어할 수 있게 실행 가능한 알림을 제공하도록 설계되었습니다.
특별히 설계된 PCI DSS v4.0 컴플라이언스 기능을 갖춘 Client-side Protection & Compliance는 웹 스키밍 공격으로부터 결제 카드 데이터를 보호하기 위한 새로운 스크립트 보안 요구사항을 준수하록 지원합니다.
