2015.12.11

일부 기업 모바일 앱, 암호화 없이 지불카드 정보 전송

Jeremy Kirk | IDG News Service
기업의 모바일 앱이 암호화되지 않은 채 지불카드 정보를 전송하는 것으로 파악됐다.



일부 기업들은 전송 중에 지불카드 정보를 암호화하지 못해 사용자를 위험에 빠뜨릴 수 있음을 알고는 자사 모바일 앱에 신속하게 암호화를 추가했다.

클라우드 및 모바일 보안 업체인 완더라(Wandera)에 따르면, 이 앱들은 인터넷으로 전송될 때 데이터를 스크램블하는 암호화 프로토콜인 SSL/TLS(Secure Sockets Layer/Transport Layer Security)를 사용하지 않았다.

"많은 데이터 침해 사고와 그로 인한 손해에 대해 이미 언론에 보도됐기 때문에, 데이터를 전송할 때 민감한 트래픽을 암호화하도록 기본적인 예방조치를 하지 못한다고 생각하기는 어렵다"고 완더라의 제품 담당 시니어 매니저인 마이클 J 코빙턴은 밝혔다.

데이터 침해는 기업에 비용을 초래할 수 있으며 타깃, 홈데포 등 유통기업에서 발생한 사고 이후 지불카드 정보를 얼마나 잘 보호하느냐는 매우 큰 문제가 됐다.

완더라는 자사 블로그에서 16개 기업 중 이지젯(easyJet), 클리턴레일웨이(Chiltern Railways), 샌디에고동물원(San Diego Zoo), CN타워(CN Tower), 에어링구스(Aer Lingus) 등 5개 기업의 문제를 해결했다고 이 회사 대변인은 9일 밝혔다. 이들 기업 모두는 완더라로부터 문제가 있다고 통보받았다.

완더라는 자사 모바일 보안 앱과 게이트웨이 기술을 사용해 고객사의 트래픽 흐름을 분석하면서 문제를 발견했다.

로그인 인증 정보, 개인정보, 지불카드 데이터 등의 정보를 전송할 때 SSL/TLS를 사용하는 것은 공격에 대해 데이터를 보호하기 위한 표준적인 방법이다. 암호화된 연결은 일반적으로 자물쇠 아이콘과 http에 의한 브라우저 URL에서 표시된다.

데이터를 암호화하지 않으면 같은 네트워크에 있는, 특히 공용 와이파이 핫스팟에 있는 누군가가 트래픽을 수집하고 텍스트 형식으로 정보를 볼 수 있었다.

코뷘톤는 주 사이트가 암호화를 사용하고 있던 어떤 경우에 말했지만 모바일 브라우저나 응용 프로그램을 사용하는 경우 동일한 서비스가 보호되지 않았다.

모바일 앱은 종종 백엔드 서비스에 여러 연결이 모두 동일한 보호 수준으로 처리해야 할 때가 있다고 코빙턴은 전했다. ciokr@idg.co.kr



2015.12.11

일부 기업 모바일 앱, 암호화 없이 지불카드 정보 전송

Jeremy Kirk | IDG News Service
기업의 모바일 앱이 암호화되지 않은 채 지불카드 정보를 전송하는 것으로 파악됐다.



일부 기업들은 전송 중에 지불카드 정보를 암호화하지 못해 사용자를 위험에 빠뜨릴 수 있음을 알고는 자사 모바일 앱에 신속하게 암호화를 추가했다.

클라우드 및 모바일 보안 업체인 완더라(Wandera)에 따르면, 이 앱들은 인터넷으로 전송될 때 데이터를 스크램블하는 암호화 프로토콜인 SSL/TLS(Secure Sockets Layer/Transport Layer Security)를 사용하지 않았다.

"많은 데이터 침해 사고와 그로 인한 손해에 대해 이미 언론에 보도됐기 때문에, 데이터를 전송할 때 민감한 트래픽을 암호화하도록 기본적인 예방조치를 하지 못한다고 생각하기는 어렵다"고 완더라의 제품 담당 시니어 매니저인 마이클 J 코빙턴은 밝혔다.

데이터 침해는 기업에 비용을 초래할 수 있으며 타깃, 홈데포 등 유통기업에서 발생한 사고 이후 지불카드 정보를 얼마나 잘 보호하느냐는 매우 큰 문제가 됐다.

완더라는 자사 블로그에서 16개 기업 중 이지젯(easyJet), 클리턴레일웨이(Chiltern Railways), 샌디에고동물원(San Diego Zoo), CN타워(CN Tower), 에어링구스(Aer Lingus) 등 5개 기업의 문제를 해결했다고 이 회사 대변인은 9일 밝혔다. 이들 기업 모두는 완더라로부터 문제가 있다고 통보받았다.

완더라는 자사 모바일 보안 앱과 게이트웨이 기술을 사용해 고객사의 트래픽 흐름을 분석하면서 문제를 발견했다.

로그인 인증 정보, 개인정보, 지불카드 데이터 등의 정보를 전송할 때 SSL/TLS를 사용하는 것은 공격에 대해 데이터를 보호하기 위한 표준적인 방법이다. 암호화된 연결은 일반적으로 자물쇠 아이콘과 http에 의한 브라우저 URL에서 표시된다.

데이터를 암호화하지 않으면 같은 네트워크에 있는, 특히 공용 와이파이 핫스팟에 있는 누군가가 트래픽을 수집하고 텍스트 형식으로 정보를 볼 수 있었다.

코뷘톤는 주 사이트가 암호화를 사용하고 있던 어떤 경우에 말했지만 모바일 브라우저나 응용 프로그램을 사용하는 경우 동일한 서비스가 보호되지 않았다.

모바일 앱은 종종 백엔드 서비스에 여러 연결이 모두 동일한 보호 수준으로 처리해야 할 때가 있다고 코빙턴은 전했다. ciokr@idg.co.kr

X