Payoneer의 계정 보안 프로세스가 궁금하신가요?

Payoneer Community

2020년4월15일

Payoneer는 신뢰가 중요한 글로벌 통합 금융 솔루션 서비스 제공업체로서, 고객들에게 자금이 안전하게 운용되고 있다는 믿음을 주는 것이 중요하다는 사실을 잘 알고 있습니다.

금융 서비스를 선택하는 것은 고객들에게 매우 중요한 결정 중 하나입니다. 금융 솔루션은 저렴한 수수료, 유연한 결제 옵션 그리고 다른 부가가치 서비스를 비롯해 견고한 보안 인프라가 잘 구축되어 있어야 합니다. Payoneer는 전세계 수백 만 명의 고객들의 해외 자금을 관리하고 비즈니스 성장을 지원하는 글로벌 대금 수취 서비스로서 무엇보다도 고객들의 계정 보안을 최우선 순위에 두고 있습니다.

Payoneer는 다년 간 쌓아온 귀중한 기술과 운영 관리 그리고 경험을 통해 모든 유형의 사이버 공격으로부터 우리의 사용자들을 보호할 것입니다. Payoneer의 보안 목표는 기본적인 사이버 보안 전략 중 하나인 계정 탈취(ATO) 경감을 위한 다층 구조의 접근 방식에서 분명히 드러납니다.

지금부터 보안 도구와 리스크 관리 기능이 어떤 방식으로 계정 탈취 공격으로부터 사용자들을 보호하는지를 보여드리겠습니다. Payoneer가 어떻게 많은 사용자들의 신뢰를 받는 해외 토탈 금융 솔루션이 될 수 있었는지 확인해 보시죠!

하지만 그에 앞서, ATO란 무엇이고 그로 인해 발생할 수 있는 잠재적인 피해들에는 어떤 것들이 있는지 먼저 알아보도록 하겠습니다.

계정 탈취(Account Takeover)란 무엇인가요?

ATO는 공격자가 사용자의 로그인 자격 증명을 훔쳐 개인 정보를 얻을 수 있는 계정에 몰래 침입하는 것을 의미합니다. 다음은 ATO가 사용자의 계정에 침투하기 위해 사용하는 몇 가지 일반적인 방법들입니다.

크리덴셜 스터핑 – 크리덴셜 스터핑은 공격자가 과거 데이터의 틈에서 확보한 로그인 정보를 사용하여 사용자의 계정에 침투하는 것을 의미합니다.
사회 공학(Social engineering) – 사회 공학은 사이트 관리자 또는 다른 신뢰할 수 있는 인물로 가장한 해커가 사용자를 유인하여 로그인 정보를 얻는 공격 기법입니다. 피싱 전자 메일과 문자는 모두 사회 공학 공격에 사용되는 가장 흔한 이용 수단들입니다.

피싱 전자 메일의 예시. URL의 위치가 Payoneer의 도메인이 아니라는 점에 주의하십시오.

브루트 포싱(Brute force attacks) – 브루트 포싱은 공격자가 봇을 사용하여 계정에 성공적으로 침입할 때까지 사용자 이름/비밀 번호로 조합된 다량의 번호를 플랫폼에 입력하는 무차별적인 대입 공격을 의미합니다.

하지만 사용자들도 몇 가지 간단한 예방 단계들을 취한다면 계정 탈취를 사전에 방지할 수 있습니다. 우선 새로운 온라인 서비스를 구독할 때마다 비밀번호를 모두 다르게 설정하세요. 그렇게 하면 계정 중 하나가 해킹 당하더라도 공격자는 크리덴셜 스터핑을 사용하여 다른 플랫폼의 계정으로 침입할 수 없습니다. 이와 더불어 사회 공학 공격의 대상이 될 수 있는 이메일과 메시지를 경계하고 누구에게도 비밀번호를 공개하지 않는 것이 중요합니다. 덧붙여, Payoneer는 결코 사용자 이름 또는 비밀번호를 이메일, 전화 또는 채팅을 통해 요구하지 않는다는 사실을 기억하세요!

다음은 Payoneer가 ATO의 공격을 경감시키고 감지하기 위해 사용하는 몇 가지 보안 방식들입니다.

ATO를 방지하고 감지하는 Payoneer의 다층 구조의 접근 방식

Payoneer는 계정 탈취를 방지하기 위해 다음과 같이 봇과 해커들이 사용자의 계정에 접근하지 못하도록 하는 다양한 사전 예방적 방법들을 실시하고 있습니다.

2단계 인증 절차 – Payoneer는 악의적인 시도로 귀하의 계정이 해킹당하지 않도록 막기 위해, 2단계 인증 절차를 통해 보안을 강화하고 있습니다. 2단계 인증 절차는 추가적인 검증 단계로 계정과 관련된 특정 활동을 수행하기 전, 귀하의 모바일 또는 전화로 전달된 코드를 입력하여 계속해서 귀하의 계정을 이용하실 수 있습니다.*
CAPTCHA 요청 – 저희는 로그인 페이지를 포함해 시스템 곳곳에서 CAPTCHA 기술을 사용하고 있습니다. 이 기술은 사용자의 계정에 무차별 대입 공격을 하는 봇을 구별하고 막는 역할을 합니다.

CAPTCHA 요청의 예시.

웹 애플리케이션 방화벽 (WAFs) – Payoneer는 클라우드 기반과 인하우스 WAFs를 모두 사용하여 봇을 감지하고 봇이 사이트에 접근하는 것을 막습니다.
봇 탐지 소프트웨어 – Payoneer의 봇 탐지 소프트웨어는 타이핑 속도 그리고 마우스 움직임과 같은 요소에 맞춰 웹사이트 상의 봇 활동을 추적하고 봇이 사용자의 비밀 번호를 기록할 수 없도록 웹 브라우저 상의 암호 필드를 복잡하게 만듭니다.
중복된 사이트 추적 – 공격자가 ATO를 수행하기 위해 사용하는 방법 중 하나는 다른 도메인 이름으로 중복된 사이트를 만드는 것입니다. 그 다음 사회 공학 공격으로 사용자들을 속여 허위 사이트에 로그인 정보를 입력하도록 만듭니다. 저희는 첨단 소프트웨어를 사용하여 중복된 사이트를 추적하고 허위 사이트 여부가 검증되면 이를 제거합니다.
사용자 계정 사전 검색 – Payoneer는 다양한 사이버 지능 서비스를 사용하여 안전한 웹과 다크 웹에서 위험에 노출된 고객 계정 정보를 사전에 검색합니다. 만약 사용자의 로그인 정보가 발견되면 그 즉시 알림이 표시되고 비밀번호가 변경됩니다.

위의 단계들은 많은 ATO 공격 시도들을 효과적으로 방지할 수 있는 방법들이지만 저희는 이 마저도 충분치않다고 생각합니다. 해커들은 사용자 계정에 침입하기 위해 새로운 도구와 방법을 끊임없이 개발하고 있습니다. 다시 말해, 이제는 공격을 막는 것만으로는 충분하지 않습니다. 계정 보안 레벨을 최상으로 유지하기 위해 Payoneer는 위에서 설명한 사전 예방 시스템 이외에도 다음과 같이 공격을 탐지할 수 있는 정교한 도구들과 기능들을 추가로 구현해 왔습니다.

1.The Gatekeeper: RSA 적응형 인증

RSA 적응형 인증은 직관적인 사용자 인증 시스템으로 국가, IP 주소와 트랜잭션 크기와 같은 위험 요소를 평가하여 모든 계정의 오류를 표시합니다. 그리고 시스템에서 ATO로 추정되는 활동이 감지되면 보안 질문과 같은 추가적인 인증 단계를 생성하여 계정 보안을 강화합니다.

저희가 사용하고 있는 위험 탐지 시스템은 최신 통계 기계 학습 기술을 사용합니다. 이를 통해 저희는 사용자들의 전체 데이터를 안전하게 보호하고 항상 해커들보다 몇 단계에 앞서, 실시간으로 새로운 위험을 탐지하고 기록합니다.

2. The Selector: 규칙 기반의 모니터링

저희가 사용하고 있는 규칙 기반의 모니터링 엔진은 미리 정해진 규칙에 따라 사용자의 계정에서 의심스러운 행동을 식별하는 백엔드 도구입니다. 규칙이 정해지고 나면 범죄 과학 수사 분석가들이 그 상황을 조사하여 계정 탈취 여부를 판단합니다.

특히 새로운 Payoneer 계정에서의 비정상적인 대량 거래는 규칙 엔진을 작동시켜 조사로 이어질 가능성이 높습니다. 만약 ATO로 식별된다면 계정 활동은 그 즉시 중단되고 계정 소유자에게 해당 내용이 통지됩니다.

3. The Protector: 리스크 모델과 행동 프로파일링

저희는 복잡한 리스크 모델과 행동 프로파일링 프로그램을 사용하여 의심스러운 사용자 거래를 분석합니다. 그리고 분석을 통해 얻은 정보는 계정 탈취를 암시하는 악의적인 미래 행동을 예측하는데 사용됩니다.

리스크 모델은 특정 국가로의 일반적인 않은 해외 결제 수 또는 새로운 기기에서 발생하는 대용량 트랙잭션(transaction)과 같이 의심스러운 행동과 관련된 데이터를 분석하고, 그 데이터와 같은 행동을 보이는 계정을 파악합니다.

4. The Failsafe: 고객의 피드백

최신 기술이 아무리 고도로 발전했다 하더라도 여전히 인간의 직관력을 대체할 수 있는 기술은 없습니다. 그렇기 때문에 저희는 사용자들과 지속적으로 적극적인 커뮤니케이션을 가져야 한다고 생각합니다. 이러한 커뮤니케이션을 통해 저희는 의심스러운 계정 활동을 신속하게 탐지하고 위에서 설명된 단계들을 표시하고 적용할 수 있습니다.

ATO는 어디에서나 발생할 수 있는 위협이므로, 사용자와 서비스 제공업체 모두에게 사전 예방적이고 혁신적인 완화 조치가 적용되어야 합니다. 이곳에서 모든 보안 방식들을 공개할 수 없지만 저희, Payoneer는 적극적인 보안 조치/시스템을 활용해 악의적인 이용자와 봇이 고객들의 중요 데이트에 액세스하는 것을 방지하고 있으며, 의심스러운 활동을 즉시 처리하여 여러분의 계정을 안전하게 보호하고 있습니다.

Payoneer는 항상 계정 보안을 최우선시 하고 있으며, 철저한 보안 방식을 시행해 왔기 때문에 Amazon, Airbnb, Google과 같은 세계 유수의 디지털 브랜드들과 전세계 수백만 개의 중소 기업들의 신뢰를 받는 글로벌 통합 금융 솔루션이 될 수 있었습니다. Payoneer의 계정 보안 방식에 관해 추가적인 질문이 있으시다면 언제든지 저희 고객 성공 매니저나 고객 지원 팀으로 연락해 주시기 바랍니다.

*2단계 인증 절차는 현재 유럽 및 특정 일부 국가에서만 지원되며, 앞으로 수 개월 내로 전체적으로 실시될 예정입니다.

가격, 수수료 및 기타 비용과 관련된 정보를 포함한 이 글에서 제공하는 콘텐츠는 [게재된 날짜]를 기준으로 작성되었으며 유효합니다. 또한 관련 규정, 정책, 시장 상황 또는 기타 관련 요인의 변동은 언급된 가격, 수수료 및 기타 관련 정보의 정확성에 영향을 미칠 수 있습니다. 따라서 가격, 수수료 및 기타 비용에 관한 모든 정보는 컨텐츠 작성 후 변경될 수 있으며, 회원님에게 적용되는 최신 정보를 확인하는 것은 본인의 책임임을 다시 한번 분명히 밝힙니다. Payoneer는 계정 등록 절차의 일부로서 가격 및 수수료와 관련하여 가장 정확한 최신의 정보를 제공합니다. 이미 가입하신 고객은 온라인 계정을 통해 이 정보를 확인할 수 있습니다.