금액인증 및 보안

Internet Payment ServiceSimple & Secure

PayGate(Web Standard Payment Gateway)(Web Standard Payment Gateway)(Web Standard Payment Gateway)(Web Standard Payment Gateway)

2010. 1

Internet Payment ServiceSimple & Secure 2

금액인증금액인증금액인증금액인증(AA: Amount Authentication)(AA: Amount Authentication)(AA: Amount Authentication)(AA: Amount Authentication)

금액인증금액인증금액인증금액인증

신용카드 승인금액을 1회용 비밀번호로 이용하는 인증방식

HistoryHistoryHistoryHistory

2008년 초 페이게이트에서 금액인증 구조 고안

2009년 3월 모바일OK 신용카드 결제 표준 인증방식

제안 및 체택

2009년 11월 금액인증시스템 개발 완료

2009년 12월 상업서비스 적용


↓ 상품 확인 및 구매자 정보 입력 ↓ 약관 동의

↓ 카드정보입력

금액인증금액인증금액인증금액인증 절차절차절차절차


금액인증금액인증금액인증금액인증 절차절차절차절차

← AA Code 설명↓ 1차 승인금액 문자

(승인금액 확인 절차)

← 1차 승인금액을AA Code로 입력

← 결제 완료↓ 코드 확인


금액인증금액인증금액인증금액인증 옵션옵션옵션옵션

금액인증금액인증금액인증금액인증 시작시작시작시작 최저금액최저금액최저금액최저금액 설정옵션설정옵션설정옵션설정옵션

- 금액인증을 적용할 최저금액을 머천트가 지정 (Default:3,500원)

프로파일프로파일프로파일프로파일 DBDBDBDB이용이용이용이용 옵션옵션옵션옵션- 한번 인증 받은 User에 대한 프로파일 DB생성- 동일 User가 동일한 카드로 재 결재 시 금액인증 절차 생략- 프로파일 DB를 비교하여 기 인증된 User인지 확인

금액인증금액인증금액인증금액인증 확인확인확인확인 TimeoutTimeoutTimeoutTimeout- 금액인증을 확인 할 수 있는 기간을 머천트가 지정

(Default:20분)- 최대 1개월간 Timeout설정 가능

금액인증금액인증금액인증금액인증 Session Session Session Session 저장기능저장기능저장기능저장기능

- 금액인증 코드를 User가 Offline에서 확일 할 수 있도록세션저장기능 제공

- “나중에 확인하기” 버튼 클릭 시 세션링크를 User 메일로 전송- 유저는 브라우저를 닫고 금액인증 코드를 자유롭게 확인- 금액인증 코드 확인 후 세션링크를 클릭하여 결제를 이어 진행- 세션 Timeout은 사전 설정된 금액인증 Timeout 시간 내로 한정


해외사업자해외사업자해외사업자해외사업자 비교비교비교비교

이체된 금액을 인증 코드로 Alipay Site에입력하여 본인 확인 종료

확인된 인증코드를 PayPal Site에 추가 입력하여 본인 확인 종료

소비자는 자신의 은행에 문의하여 이체된

금액 확인

소비자는 자신의 카드 발행사에 문의하여

승인내역 확인 후 인증코드 확보

소비자가 입력한 계좌번호로 소액을 2회 이체신용카드 인증 시 Merchant 이름 앞에인증 코드 추가

중국중국중국중국 1111위위위위 결제대행결제대행결제대행결제대행 업체업체업체업체전세계전세계전세계전세계 1111위위위위 신용카드신용카드신용카드신용카드 결제결제결제결제 업체업체업체업체

AlipayPayPal


인증인증인증인증 수단수단수단수단 비교비교비교비교

Platform 제한 없는 인증방식국내 및 국외 거래에 공통적용

인증방식

팝업구조 없음

Active X 등 Binary Plugin 이용 없음

금액인증금액인증금액인증금액인증

팝업구조로 인한 모바일 비적합성

해외 일부 카드사만 인증해외해외해외해외 안심클릭안심클릭안심클릭안심클릭

Active X기반 동작팝업구조로 인한 모바일 비적합성

국내 일부 카드사만 인증

국내국내국내국내 안심클릭안심클릭안심클릭안심클릭

Active X 또는 Flash 기반으로 동작Platform 제한적

해외거래 적용불가

국내 일부 카드사만 인증가능

ISPISPISPISP

카드번호, 카드비밀번호 앞2자리, 주민번호 뒤 7자리 인증지갑분실 시 비밀전호 2자리만으로

인증하는 낮은 단위의 인증

신용카드신용카드신용카드신용카드

비밀번호비밀번호비밀번호비밀번호 인증인증인증인증


금액인증금액인증금액인증금액인증 코드코드코드코드 확인확인확인확인 방식방식방식방식

SMS SMS SMS SMS 서비스서비스서비스서비스

카드사에서 제공하는 신용카드 사용내역 SMS 서비스 이용금액인증 코드를 수신한 SMS문자로 간편하게 확인 가능

카드사의카드사의카드사의카드사의 웹웹웹웹 페이지페이지페이지페이지

카드사 웹 페이지에서 로그인 후 승인내역 조회하여 인증 금액 확인

카드사의카드사의카드사의카드사의 TelemarketingTelemarketingTelemarketingTelemarketing카드사 콜 센터에 전화하여 승인내역 확인

EEEE---- mail mail mail mail 서비스서비스서비스서비스

카드사에서 발송하는 승인내역 E- mail로 확인

조회조회조회조회 전용전용전용전용 프로그램프로그램프로그램프로그램

카드사에서 제공하는 신용카드 조회 전용 프로그램으로 확인

발행사와발행사와발행사와발행사와 소지자간의소지자간의소지자간의소지자간의 상호상호상호상호 약정된약정된약정된약정된 개인정보개인정보개인정보개인정보 조회방식조회방식조회방식조회방식 이용이용이용이용

카드 발행사는 소지자에게 일정한 인증과정을 거친 후 개인정보에 속하는 승인내역을 안전하게 안내

� 카드 발행사와 소지자간의 승인내역 안내방식은 다양한 방식이 존재함


금액인증금액인증금액인증금액인증 장장장장////단점단점단점단점

장점장점장점장점

- 신용카드 승인금액을 이용한 인증방식으로 Platform제한 없는 본인 확인 가능

- 거래 금액이 클수록 난수 발생 범위가 넓어져 인증의 유효성이 강화됨

- 국내거래 및 해외 거래에 동일한 인증방식 적용 가능

단점단점단점단점

-국내에서는 생소한 인증방식으로 소비자 경험치 축적 필요


PayGatePayGatePayGatePayGate- Security -

안전한안전한안전한안전한 네트워크네트워크네트워크네트워크 구축구축구축구축

고객정보고객정보고객정보고객정보 보호정책보호정책보호정책보호정책 시스템시스템시스템시스템 구성구성구성구성

보안취약점보안취약점보안취약점보안취약점 관리정책관리정책관리정책관리정책 및및및및 기술기술기술기술 적용적용적용적용

강력한강력한강력한강력한 접근통제접근통제접근통제접근통제 정책정책정책정책 및및및및 기술기술기술기술 적용적용적용적용

모니터링모니터링모니터링모니터링 및및및및 테스트테스트테스트테스트

보안정책관리보안정책관리보안정책관리보안정책관리


페이게이트페이게이트페이게이트페이게이트 보안보안보안보안 – 안전한안전한안전한안전한 네트워크네트워크네트워크네트워크 구축구축구축구축 및및및및 유지유지유지유지

1.1.1.1. 방화벽방화벽방화벽방화벽 설치설치설치설치 및및및및 유지유지유지유지

방화벽방화벽방화벽방화벽 구성기준구성기준구성기준구성기준 수립수립수립수립 및및및및 유지유지유지유지

- Bugwilla와 Sharepoint를 이용하여 방화벽 설정 변경사항에 대한 변화관리 수행- Sharepoint Knowledge Management System을 이용하여 최신 네트워크 구성도 유지

- 외부 인터넷과 내부 시스템 사이에 DMZ Network 운용- 각 네트워크 구성요소에 대한 조직, 역할 및 책임 정의- 모든 서비스, 프로토콜, 포트 사용에 대한 문서화- 6개월마다 정기적으로 방화벽 룰셋 검토

방화벽방화벽방화벽방화벽 및및및및 라우터라우터라우터라우터 구성구성구성구성

- Inbound/Outbound 트래픽을 동시에 제어- 무선 네트워크와 내부 시스템 사이에 방화벽 설치 운용



내부내부내부내부 시스템에시스템에시스템에시스템에 대한대한대한대한 외부자의외부자의외부자의외부자의 직접접근제한직접접근제한직접접근제한직접접근제한

- 외부자의 이용가능 프로토콜을 HTTP, HTTPS, SSH로 제한- 모든 트래픽은 DMZ 네트워크를 거치도록 구성- DB Server는 DMZ와는 분리된 내부 네트워크에 위치시킴- NAT 주소 변환 구성 적용

개인방화벽개인방화벽개인방화벽개인방화벽 설치설치설치설치

---- 내부사용자내부사용자내부사용자내부사용자

> 모든 내부 사용자의 개인PC에 개인 방화벽 활성화> 모든 내부 서버 시스템에 호스트 방화벽 설치> AD Policy를 통해 허가 받지 않은 개인이 임의로 방화벽을설정 및 해제 할 수 없도록 구성

---- 외부사용자외부사용자외부사용자외부사용자

> 개인방화벽 활성화 방법 안내



2.2.2.2. 안전한안전한안전한안전한 시스템시스템시스템시스템 구성구성구성구성

벤더제공벤더제공벤더제공벤더제공 디폴트디폴트디폴트디폴트 값값값값 변경변경변경변경 이용이용이용이용

- SNMP Community String이나 기본 패스워드 사전 변경 설치- 무선 환경에 대한 디폴트 값 변경 이용

시스템시스템시스템시스템 설정설정설정설정 기준기준기준기준 수립하여수립하여수립하여수립하여 운용운용운용운용

- 알려진 보안취약점(SANS, NIST, CIS등의 권고사항)을 검토하여 내부 시스템에 적합한 기준 수립

- 시스템 설정 기준에 부합하게 각 시스템 설정- 서버 당 하나의 중요 기능만을 구현- 모든 불필요 서비스나 프로토콜 사용제한 설정 또는 삭제- 오용방지를 위한 보안 파라미터 설정

모든모든모든모든 전송전송전송전송 데이터에데이터에데이터에데이터에 대해대해대해대해 암호화암호화암호화암호화 적용적용적용적용

- SSH- IPSec- SSL/TLS


페이게이트페이게이트페이게이트페이게이트 보안보안보안보안 – 고객정보고객정보고객정보고객정보 보호정책보호정책보호정책보호정책 시스템시스템시스템시스템 구성구성구성구성1.1.1.1. 저장된저장된저장된저장된 고객정보고객정보고객정보고객정보 보호정책보호정책보호정책보호정책 및및및및 시스템시스템시스템시스템 구성구성구성구성

고객고객고객고객 개인정보는개인정보는개인정보는개인정보는 최소범위에서최소범위에서최소범위에서최소범위에서 저장저장저장저장- 법적,제도적 요구사항을 감안하여, 최소 범위에서 저장하는 정책 유지- 데이터 폐기 규정에 따른 자동삭제 프로그램 운용

중요한중요한중요한중요한 개인인증개인인증개인인증개인인증 데이터를데이터를데이터를데이터를 저장하지저장하지저장하지저장하지 않음않음않음않음- 데이터 수신 후 삭제하는 경우, 복구 불가능하도록 삭제

(Random 정보로 7번 Overwriting한 후 삭제)

중요중요중요중요 개인정보개인정보개인정보개인정보 마스킹하여마스킹하여마스킹하여마스킹하여 표시표시표시표시

고객정보고객정보고객정보고객정보 암호화암호화암호화암호화- AES256 알고리즘으로 고객정보 암호화하여 DB저장- 개인정보 자동검색 프로그램 운용모든 네트워크 장비 및 서버의 로그에 대해 고객정보 존재 여부 확인모든 운용자 개인 PC에 개인정보 존재여부 확인

- 고객정보 백업 시 암호화하여 백업

암호화에암호화에암호화에암호화에 사용되는사용되는사용되는사용되는 키는키는키는키는 안전하게안전하게안전하게안전하게 보호보호보호보호- HSM장비에 암호화 키 보관- 암호화키에 대한 접근 시 2인 이상 이중 통제함- 암호화키는 매년 변경


페이게이트페이게이트페이게이트페이게이트 보안보안보안보안 – 고객정보고객정보고객정보고객정보 보호정책보호정책보호정책보호정책 시스템시스템시스템시스템 구성구성구성구성

2.2.2.2. 공중망을공중망을공중망을공중망을 통한통한통한통한 고객정보고객정보고객정보고객정보 전송전송전송전송 시시시시 암호화암호화암호화암호화

SSL/TLS SSL/TLS SSL/TLS SSL/TLS 보안보안보안보안 프로토콜프로토콜프로토콜프로토콜 적용적용적용적용

- 신뢰할 수 있는 CA로 부터 인증서 발급받아 적용- EV(Extended Validation) Certificate 적용- SSLv3/TLSv1로 한정하여 안전한 S니 프로토콜 사용- 강력한 보안비도의 Symmetric Algorithm사용최소 128bit이상의 키 길이RC4처럼 알려진 취약한 알고리즘 사용 배제

안전한안전한안전한안전한 무선네트워크무선네트워크무선네트워크무선네트워크 암호화암호화암호화암호화 적용적용적용적용

- WPA/WPA2 무선보안 프로토콜 적용

일반일반일반일반 메세징메세징메세징메세징 기술을기술을기술을기술을 통한통한통한통한 고객정보고객정보고객정보고객정보 전송제한전송제한전송제한전송제한 설정설정설정설정

- E- Mail을 통한 발송 시 자동 필터링


페이게이트페이게이트페이게이트페이게이트 보안보안보안보안 – 보안취약점보안취약점보안취약점보안취약점 관리정책관리정책관리정책관리정책 및및및및 기술기술기술기술 적용적용적용적용

1. 1. 1. 1. 안티바이러스안티바이러스안티바이러스안티바이러스

내부사용자내부사용자내부사용자내부사용자- 운영자 PC에 안티바이러스 소프트웨어 적용- 바이러스 감염가능한 서버시스템에 안티바이러스 소프트웨어 적용- 안티바이러스 감사로그 생성하여 중앙 집중 감시

외부사용자외부사용자외부사용자외부사용자- 안티바이러스 소프트웨어 설치 방법 안내함

2. 2. 2. 2. 보안업데이트보안업데이트보안업데이트보안업데이트

내부시스템내부시스템내부시스템내부시스템- 모든 시스템과 소프트웨어는 30일 이내 벤더제공 최신 보안패치 설치함- 새로운 보안취약점 식별을 위해, 보안메일 가입하고, 페이게이트 시스템 적용 대상 취약점은 시스템 설정기준 문서에 반영

외부외부외부외부 사용자사용자사용자사용자 시스템시스템시스템시스템- 보안패치 방법 안내

3. 3. 3. 3. 소프트웨어소프트웨어소프트웨어소프트웨어 개발개발개발개발 라이프사이클라이프사이클라이프사이클라이프사이클 전반에전반에전반에전반에 정보보호정보보호정보보호정보보호 관련관련관련관련 사항사항사항사항 통합통합통합통합

운영시스템 적용 전 반드시 OWASP 취약점 테스트 수행개발, 테스트 및 운영환경 문리하고 직무 분리함운영데이터를 테스트나 개발을 위해 사용하지 않음

코드작성자 외 제 3자에 의해 코드리뷰를 받고 경영자 승인을 거침

4. 4. 4. 4. 변화관리변화관리변화관리변화관리 시스템에시스템에시스템에시스템에 의해의해의해의해 시스템시스템시스템시스템 구성요소구성요소구성요소구성요소 변경변경변경변경 시시시시 통제통제통제통제


페이게이트페이게이트페이게이트페이게이트 보안보안보안보안 – 보안취약점보안취약점보안취약점보안취약점 관리정책관리정책관리정책관리정책 및및및및 기술기술기술기술 적용적용적용적용

5. OWASP 5. OWASP 5. OWASP 5. OWASP 취약점취약점취약점취약점 대응대응대응대응

2004,2007, 2010의 발표된 취약점에 대해서 모두 대응

개발 소스코드 리뷰 등을 통해 취약점 확인 및 디버깅

6. 6. 6. 6. 웹방화벽웹방화벽웹방화벽웹방화벽 설치설치설치설치

7. 7. 7. 7. 웹웹웹웹 어플리케이션어플리케이션어플리케이션어플리케이션 취약점취약점취약점취약점 검사를검사를검사를검사를 위해위해위해위해 NessusNessusNessusNessus등의등의등의등의 보안측정보안측정보안측정보안측정 도구로도구로도구로도구로 취약점취약점취약점취약점 검토검토검토검토

8. Anti 8. Anti 8. Anti 8. Anti KeyloggerKeyloggerKeyloggerKeyloggerJAVA Script 기반의 스크린 키보드 적용

9. JAVA Script 9. JAVA Script 9. JAVA Script 9. JAVA Script 보안보안보안보안JAVA Script 무결성 확인을 위한 코드 삽입JAVA Script 의 일부를 서버에서 필요 시 동적으로 로딩하여 사용자바스크립트의 주요 소스를 세션정보와 연계하여 Static하게 재사용 불가하도록 구성

10. 10. 10. 10. 피싱피싱피싱피싱 방지를방지를방지를방지를 위한위한위한위한 조치조치조치조치

EVCert 적용고액 거래에 대한 다 채널 인증 적용

11. 11. 11. 11. 부인부인부인부인 방지방지방지방지 방안방안방안방안 적용적용적용적용신용카드 금액인증 적용


페이게이트페이게이트페이게이트페이게이트 보안보안보안보안 – 접근통제접근통제접근통제접근통제 정책정책정책정책 및및및및 기술기술기술기술 적용적용적용적용

1. 1. 1. 1. 업무상업무상업무상업무상 필요가필요가필요가필요가 있는있는있는있는 경우에만경우에만경우에만경우에만 개인정보개인정보개인정보개인정보 접근접근접근접근 허용허용허용허용

Default Deny 설정사용자 ID는 직무수행에 필요한 최소권한으로 제한

2. 2. 2. 2. 사용자사용자사용자사용자 별별별별 고유고유고유고유 ID ID ID ID 부여부여부여부여Directory Server를 통해 고유Id부여 및 통제ID의 인증은 Password 인증을 기본으로 함사용자 별 Certificate 발급, Private Key는 USB 보안토큰에 저장주요 서버 로그인 시 사용자 Certificate 인증으로 접근통제

3. 3. 3. 3. 물리적물리적물리적물리적 접근접근접근접근 통제통제통제통제

DVR 등을 통한 감시모든 네트워크 잭에 대한 접근 통제 적용

개인정보를 저장한 물리적 매체에 대한 복구 불가능한 방법으로 파기

(문서파쇄기, DeGausser 이용)


페이게이트페이게이트페이게이트페이게이트 보안보안보안보안 – 모니터링모니터링모니터링모니터링 및및및및 테스트테스트테스트테스트

1. 1. 1. 1. 모든모든모든모든 접근접근접근접근 추적추적추적추적 및및및및 감시감시감시감시모든 접근시도에 대해 개별 사용자를 연관할 수 있는 프로세스를 수립

자동화된 감사추적 기능을 구현

로그시간의 정확성을 기하기 위해 모든 시스템에 NTP 시간동기화 설정

감사로그에 대한 무결성 검증을 위한 소프트웨어 설치 운영

모든 로그는 중안집중 관리 및 매일 점검 됨

로그 기록은 최소 1년간 보관

2. 2. 2. 2. 보안시스템보안시스템보안시스템보안시스템 및및및및 프로세스에프로세스에프로세스에프로세스에 대한대한대한대한 정기적정기적정기적정기적 시험시험시험시험 실시실시실시실시

분기별 1회 무선보안 취약점 스캐닝정기적으로 네트워크 취약점 스캐닝 실시

- Nessus 등의 툴을 이용하여 취약점 스캐닝 실시- Nessus Plugin은 최신으로 유지정기적으로 침투시험 실시

- 알려진 모든 해킹기법을 이용하여, 외부 침투시험 실시- 상용ASV Scan업체를 이용

IPS 설치 운영시스템 파일 무결성 감시 소프트웨어 운용


페이게이트페이게이트페이게이트페이게이트 보안보안보안보안 ---- 보안정책관리보안정책관리보안정책관리보안정책관리

1.1.1.1. 정보보호정보보호정보보호정보보호 정책의정책의정책의정책의 수립수립수립수립, , , , 공표공표공표공표, , , , 유지관리유지관리유지관리유지관리 및및및및 배포를배포를배포를배포를 내부내부내부내부 업무프로세스에업무프로세스에업무프로세스에업무프로세스에 반영반영반영반영

2.2.2.2. 직원들이직원들이직원들이직원들이 사용하는사용하는사용하는사용하는 중요중요중요중요 기술에기술에기술에기술에 대한대한대한대한 사용정책사용정책사용정책사용정책 제정제정제정제정 및및및및 통제통제통제통제

3.3.3.3. 모든모든모든모든 직원과직원과직원과직원과 계약업체의계약업체의계약업체의계약업체의 정보보호정보보호정보보호정보보호 관련관련관련관련 책임을책임을책임을책임을 명확히명확히명확히명확히 규정함규정함규정함규정함

4.4.4.4. 직원별직원별직원별직원별 정보보호정보보호정보보호정보보호 관리관리관리관리 책임책임책임책임 할당할당할당할당

5.5.5.5. 정보보호정보보호정보보호정보보호 교육교육교육교육 정기적정기적정기적정기적 실시실시실시실시

6.6.6.6. 침해사고침해사고침해사고침해사고 발생발생발생발생 시시시시 대응계획대응계획대응계획대응계획 수립수립수립수립

24시간 당직제도 운영당직 매뉴얼 운용


금액인증금액인증금액인증금액인증 사용사용사용사용 예예예예

㈜북센: m.mobibook.co.kr

㈜알라딘커뮤니케이션: m.aladdin.co.kr

금액인증금액인증금액인증금액인증 Screen ShotScreen ShotScreen ShotScreen Shot

신용카드 금액인증 : http:/ / durl.kr/ 92uv

해외 신용카드 결제(금액인증): http:/ / durl.kr/ 92uq


㈜㈜㈜㈜페이게이트페이게이트페이게이트페이게이트

1998년 설립

웹표준 결제 및 해외결제 주력

www.paygate.net

[email protected]

02- 2140- 2700

Documents

금액인증 및 보안