Offcanvas

검색|인터넷 / 모바일 / 보안 / 비즈니스|경제 / 애플리케이션 / 통신|네트워크

일부 기업 모바일 앱, 암호화 없이 지불카드 정보 전송

2015.12.11 Jeremy Kirk   |  IDG News Service
기업의 모바일 앱이 암호화되지 않은 채 지불카드 정보를 전송하는 것으로 파악됐다.



일부 기업들은 전송 중에 지불카드 정보를 암호화하지 못해 사용자를 위험에 빠뜨릴 수 있음을 알고는 자사 모바일 앱에 신속하게 암호화를 추가했다.

클라우드 및 모바일 보안 업체인 완더라(Wandera)에 따르면, 이 앱들은 인터넷으로 전송될 때 데이터를 스크램블하는 암호화 프로토콜인 SSL/TLS(Secure Sockets Layer/Transport Layer Security)를 사용하지 않았다.

"많은 데이터 침해 사고와 그로 인한 손해에 대해 이미 언론에 보도됐기 때문에, 데이터를 전송할 때 민감한 트래픽을 암호화하도록 기본적인 예방조치를 하지 못한다고 생각하기는 어렵다"고 완더라의 제품 담당 시니어 매니저인 마이클 J 코빙턴은 밝혔다.

데이터 침해는 기업에 비용을 초래할 수 있으며 타깃, 홈데포 등 유통기업에서 발생한 사고 이후 지불카드 정보를 얼마나 잘 보호하느냐는 매우 큰 문제가 됐다.

완더라는 자사 블로그에서 16개 기업 중 이지젯(easyJet), 클리턴레일웨이(Chiltern Railways), 샌디에고동물원(San Diego Zoo), CN타워(CN Tower), 에어링구스(Aer Lingus) 등 5개 기업의 문제를 해결했다고 이 회사 대변인은 9일 밝혔다. 이들 기업 모두는 완더라로부터 문제가 있다고 통보받았다.

완더라는 자사 모바일 보안 앱과 게이트웨이 기술을 사용해 고객사의 트래픽 흐름을 분석하면서 문제를 발견했다.

로그인 인증 정보, 개인정보, 지불카드 데이터 등의 정보를 전송할 때 SSL/TLS를 사용하는 것은 공격에 대해 데이터를 보호하기 위한 표준적인 방법이다. 암호화된 연결은 일반적으로 자물쇠 아이콘과 http에 의한 브라우저 URL에서 표시된다.

데이터를 암호화하지 않으면 같은 네트워크에 있는, 특히 공용 와이파이 핫스팟에 있는 누군가가 트래픽을 수집하고 텍스트 형식으로 정보를 볼 수 있었다.

코뷘톤는 주 사이트가 암호화를 사용하고 있던 어떤 경우에 말했지만 모바일 브라우저나 응용 프로그램을 사용하는 경우 동일한 서비스가 보호되지 않았다.

모바일 앱은 종종 백엔드 서비스에 여러 연결이 모두 동일한 보호 수준으로 처리해야 할 때가 있다고 코빙턴은 전했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.