POS 시스템 보안을위한 6 단계

이번 주 러시아 사이버 범죄자들은 ​​세계 3 대 POS 하드웨어 공급 업체 중 하나 인 Oracle 자회사 Micros가 제조 한 330, 000 개 이상의 POS 시스템을 위반했습니다. 이 위반으로 인해 전세계 패스트 푸드 체인, 소매점 및 호텔에서 고객 데이터가 노출 될 수 있습니다.

POS 공격은 새로운 것이 아닙니다. 미국 역사상 가장 큰 데이터 유출 중 하나 인 Target hack은 7 천만 건이 넘는 고객 레코드를 해커에게 노출 시켰으며 소매 업체의 CEO와 CIO의 업무 비용을 부담했습니다. 공격 당시 Target이 FireEye 맬웨어 방지 시스템 내에서 자동 제거 기능을 구현 한 경우 공격을 피할 수 있음이 밝혀졌습니다.

실제로 대부분의 POS 공격을 피할 수 있습니다. POS 시스템에는 많은 위협이 있지만 이러한 공격에 대처하는 방법은 여러 가지가 있습니다. 회사가 POS 침입을 방지 할 수있는 6 가지 방법을 설명하겠습니다.

1. POS 용 iPad 사용

Wendy 's 및 Target 공격을 포함한 대부분의 최근 공격은 POS 시스템의 메모리에 맬웨어 응용 프로그램이로드 된 결과입니다. 해커는 사용자 또는 판매자가 발생한 상황을 몰라도 악성 코드 앱을 POS 시스템에 몰래 업로드 한 다음 데이터를 필터링 할 수 있습니다. 여기서 주목할 점은 POS 앱 외에 두 번째 앱이 실행 중이어야 공격이 발생할 수 없다는 것입니다. 이것이 iOS가 전통적으로 적은 공격을 촉진 한 이유입니다. iOS는 한 번에 하나의 앱만 완전히 실행할 수 있기 때문에 이러한 유형의 공격은 Apple이 만든 기기에서는 거의 발생하지 않습니다.

Revel Systems의 CTO이자 공동 창립자 인 Chris Ciabarra는“Windows의 장점 중 하나는 한 번에 여러 개의 앱을 실행하는 것입니다. "Microsoft는 그러한 이점을 없애고 싶지는 않지만 Windows가 항상 충돌한다고 생각하는 이유는 무엇입니까? 모든 앱이 실행되고 있고 모든 메모리를 사용하고 있습니다."

공정하게 말하자면, Revel Systems는 iPad 전용으로 설계된 POS 시스템을 판매하므로 Apple 하드웨어를 푸시하는 것이 Ciabarra의 관심사입니다. 그러나 애플 특정 POS 시스템에서 발생하는 POS 공격에 대해 듣지 못하는 이유는 거의 없습니다. iPad Pro가 언제 공개되었는지 기억하십니까? 모두 애플이 진정한 멀티 태스킹 기능을 지원할 것인지 궁금해해서 두 개의 앱이 동시에 최대 용량으로 실행될 수있게되었다. 애플은이 기능을 아이 패드 프로에서 제외시켰다. 새로운 기기에서 POS 소프트웨어를 실행할 가능성이있는 사용자를 제외한 모든 사람들의 혼란에 빠졌다.

2. 엔드 투 엔드 암호화 사용

Verifone과 같은 회사는 고객의 데이터가 해커에게 노출되지 않도록 보장하는 소프트웨어를 제공합니다. 이러한 도구는 POS 장치에서 두 번째로 수신 한 신용 카드 정보와 소프트웨어 서버로 전송 될 때 다시 한 번 신용 카드 정보를 암호화합니다. 이는 해커가 멀웨어를 설치하는 위치에 관계없이 데이터가 취약하지 않다는 것을 의미합니다.

Ciabarra는“진정한 지점 간 암호화 단위를 원합니다. "데이터가 장치에서 게이트웨이로 직접 전달되기를 원합니다. 신용 카드 데이터는 POS 장치에도 영향을 미치지 않습니다."

3. POS 시스템에 안티 바이러스 설치

POS 공격을 방지하기위한 간단하고 확실한 솔루션입니다. 유해한 맬웨어가 시스템에 침투하지 않도록하려면 장치에 엔드 포인트 보호 소프트웨어를 설치하십시오.

이 도구는 POS 장치의 소프트웨어를 스캔하고 즉시 제거해야하는 문제가있는 파일 또는 앱을 감지합니다. 이 소프트웨어는 문제 영역에 대해 경고하고 악성 프로그램이 데이터 도난을 초래하지 않도록 보장하는 데 필요한 정리 프로세스를 시작하도록 도와줍니다.

4. 시스템 잠금

직원들이 POS 장치를 악의적 인 목적으로 사용할 가능성은 거의 없지만, 내부 작업이나 심지어 사람의 실수만으로도 큰 문제를 일으킬 가능성은 여전히 ​​많습니다. 직원은 POS 소프트웨어가 설치된 장치를 훔치거나 실수로 장치를 사무실이나 상점에 두거나 장치를 잃을 수 있습니다. 장치를 분실 또는 도난당한 경우 장치 및 소프트웨어에 액세스하는 사람 (특히 위의 규칙 # 2를 따르지 않은 경우)은 고객 레코드를보고 훔칠 수 있습니다.

회사가 이러한 종류의 도난에 피해를 입지 않도록 근무일이 끝날 때 모든 장치를 잠그십시오. 매일 모든 장치를 점검하고 소수의 직원 만이 액세스 할 수있는 장소에 장치를 고정하십시오.

5. 위에서 아래로 PCI 호환

POS 시스템 관리 외에도 모든 카드 리더, 네트워크, 라우터, 서버, 온라인 쇼핑 카트 및 종이 파일에 대한 PCI DSS (Payment Card Industry Data Security Standard)를 준수해야합니다. PCI 보안 표준 협의회는 기업이 취약성을 탐지하기 위해 IT 자산 및 비즈니스 프로세스를 적극적으로 모니터링하고 인벤토리를 확보 할 것을 제안합니다. 위원회는 또한 절대적으로 필요한 경우가 아니라면 카드 소지자 데이터를 제거하고 은행 및 카드 브랜드와의 통신을 유지하여 문제가 발생하지 않았거나 이미 발생하지 않았 음을 확인합니다.

자격있는 보안 평가자를 고용하여 비즈니스를 정기적으로 검토하여 PCI 표준을 따르는 지 여부를 결정할 수 있습니다. 귀하의 시스템을 제 3 자에게 제공하는 것이 우려되는 경우, 위원회는 인증 된 평가자 목록을 제공합니다.

6. 보안 전문가 고용

Ciabarra는“CIO는 보안 전문가가 알고있는 모든 것을 알지 못할 것입니다. "CIO는 보안에서 일어나는 모든 것에 대해 최신 정보를 유지할 수 없습니다. 그러나 보안 전문가의 책임은 모든 것에 대한 최신 정보를 유지하는 것입니다."

회사가 기술 경영자 외에 전담 보안 전문가를 고용하기에 너무 작은 경우, 최소한 제삼자에게 도움을 청할시기를 알 수있는 보안 배경이 깊은 사람을 고용하고 싶을 것입니다.