쇼핑몰 고객정보와 결제정보의 관리방식

이번 쿠팡의 고객정보 유출사건으로 한번 이걸 리뷰를 해보면 

고객정보(이름,주소,전번)은 쇼핑몰업체에 저장됨

결제정보(카드번호,유효기간)은 결제업체(이니시스,NHN KCP등)에 저장됨

1.결제 시 결제업체 결제창이 뜨면서 임시거래번호가 쇼핑몰서버에 생성됨( A000001)  

2. 카드번호,유효기간,비번,cvc번호를 입력하면 결제정보가 암호화되어

   카드사로 넘어가서 유효성 확인함

3. 확인을 마치면 비번,cvc번호는 저장되지않고 폐기됨 (법적의무사항)  

4. 결제업체는 고유한 결제번호가 생성됨 ( P000001) 

5. 쇼핑몰업체의 거래번호와 결제번호를 매칭하여 저장. A000001 , P000001

6. 따라서 쇼핑몰을 해킹 하더라도 A000001 , P000001만 알게됨 

7. 결제업체 해킹해서 카드번호를 알더라도 비번과 cvc번호는 저장되지 않아서 부정결제는

  굉장히 어렵거나 사실상 불가

이 단계에서 가능한 보안 구멍은 악성코드나 스미싱등으로 가짜결제창을 만들어 부정결제를 유도할 경우가 있고 결제업체사가 해킹당해서 암호해독키가 탈취당하면 속수무책인데 국내는 아직 그런사례는 드물고 해외는 몇번있었다고 함. (그래도 cvc와 비번은 데이터가 없어서 그나마 안전) 

그리고 본인 갤러리에 카드번호 및 유효기간 나오는 사진을 저장하지말고 반드시 지워야 함. (이게 가장 실질적인 보안리스크) 

PIN번호나 드래그방식도 부정결제를 유도하는 가짜결제창에는 속수무책이기 때문에 폰관리 잘해야함