EMV 전환 후 신용 카드가 여전히 안전하지 않음

신용 카드 사기 관련 규정이 변경된 이후 6 개월이 지났습니다. 기존 마그네틱 스트라이프 신용 카드에서 EMV 칩이 내장 된 카드로 전환되었습니다. 메르카토르 자문 그룹 (Merator Advisory Group)에 따르면 미국의 신용 카드 단말기 중 20 %만이 2016 년 4 월까지 칩 사용을 위해 활성화되었다고한다. 모든 신용 카드의 60 %만이 칩으로 업데이트되었습니다.

그럼에도 불구하고, 리더기에 칩 카드를 꽂고, 거래가 확인되기를 기다리고, 카드를 너무 오래 버리면 기계가 신호음을내는 새로운 과정을 겪었을 수도 있습니다.

이 프로세스는 데이터를보다 잘 관리하는 것으로 크게 홍보되었습니다. 하지만 EMV 거래만큼 안전하지는 않습니다. 얼마나 안전한지에 대해서는 상당히 낮은 수준입니다. 어떤 EMV 거래가 가능합니다. 그 부분은 기술의 한계이며, 일부는 인간 행동의 현실입니다.

소비자 행동을 고집 지점으로

EMV 전환의 일부 장애물이 널리 지적되었습니다. 한 가지는 트랜잭션이 느려질 수 있습니다. 다른 한편으로는, 당신은 여전히 ​​당신의 신원을 당신의 이름에 서명함으로써 당신의 신원을 확인합니다 - 그리고 작은 거래의 경우, 그렇게 할 필요조차 없습니다.

"거래는 칩 카드를 칩 카드 판독기에 담궈 야하는 소매점의 체크 아웃 레인에서 상당히 오래 걸릴 것입니다. 적어도 상인이 프로세스를 가속화하는 방법을 배우면 단기적으로는 충분합니다"라고 기자이자 보안 담당자 인 Brian Krebs는 말합니다 보안에 관한 Krebs의 전문가. "또한 더 많은 사람들이 카드를 기계 내부에 남겨두고 적어도 소비자가 장치에 익숙해지기 전까지는 은행의 분실 및 도난 손실을 증가시킬 것입니다."

유럽에서는 소비자가 수십 년 동안 칩화 된 신용 카드를 사용하는 경우가 있습니다. 그러나 보안을 강화하기 위해 카드 소유자는 거래 중에 신원을 확인하기 위해 PIN 코드를 입력해야합니다. 그렇다면 왜 미국은 칩 및 서명 대신 칩 및 PIN 시스템을 채택하지 않았습니까? 주요 요인은 소비자 행동의 변화를 강제하는 것이 얼마나 어려운지에 대한 발행자의 인식이었습니다.

"우리. 소비자들은 신용 카드 거래로 PIN을 입력하는 데 익숙하지 않습니다. "라고 매사추세츠의 Aite Group 연구 책임자 인 Julie Conroy는 말합니다. "내가 말한 많은 발행인이 칩 및 서명을 선출했습니다. 발행인이 사용자 경험이있는 카드를 발행하고 싶어하지 않았기 때문에 칩 및 서명이 선출 된 것입니다. 한 발행자의 말에 따르면, 소비자에게 스 와이프 대신 딥 (dip)을 가르치는 것은 충분한 변화였습니다. 그들은 소비자들에게 동시에 두 가지 행동을 바꾸도록 가르쳐야하는 위험을 감수하고 싶지 않았습니다."

사기를 저지하려는 시도

미국 소비자가 왜 변화 시키게할까요? 주된 사유는 사기였습니다.

지불 업계를 다루는 The Nilson Report에 따르면 2014 년에는 전세계 신용 카드 사기로 160 억 달러가 손실되었습니다. 손실 중 미국에서 48 %가 발생했습니다. 기존의 마그네틱 스트라이프 카드는 스트라이프에 저장된 정보가 고정되어 있거나 변경되지 않았기 때문에 해킹하기가 더 쉽습니다. 한번 복사하면 중복 카드를 만들 수 있습니다. 그러나 EMV 칩은 각 트랜잭션마다 고유 한 코드를 생성하므로 한 트랜잭션에서 복사 한 정보를 다른 트랜잭션에서 사용할 수 없습니다.

"우리. 소비자는 지불 네트워크가 제공하는 미국 규제 환경 및 무과실 책임 보장으로 인해 [신용 카드의 직접 비용] 사기로부터 크게 보호됩니다. "라고 Conroy는 말합니다. EMV 로의 전환은 소비자를 보호하는 것보다 신용 카드 발급 기관을 사기 손실로부터 보호하는 것에 관한 것입니다.

2015 년 10 월에 신용 카드 사기에 대한 새로운 규칙이 도입되었습니다. 사기가 발생하면 EMV 기술을 사용하지 않는 당사자는 손실에 대해 책임을집니다. 문제의 카드가 EMV 칩이 아닌 경우 책임은 발급자에게 있습니다. 상인이 EMV 칩 리더를 가지고 있지 않다면 상인은 책임을진다. 책임도 공유 될 수 있습니다.

PIN은 제한된 보호만을 제공합니다.

책임 방정식을 고려하지 않은 것은 칩 카드가 PIN 또는 검증을위한 서명에 의존하는지 여부입니다. 사실 대부분의 신용 카드 사기는 칩 및 PIN으로 예방되지 않습니다.

"칩 및 PIN은 분실 및 도난 사기를 방지합니다. 즉 누군가가 지갑을 훔치면 쇼핑을 즐기기 위해 쉽게 카드를 가져갈 수 없습니다."라고 Conroy는 말합니다. Conroy는 이러한 종류의 사기는 일반적인 신용 카드 사기와 비교하여 매우 적습니다.

또한 도둑은 항상 보안에 관한 길을 찾을 것입니다. "우리는 다른 나라의 사례를 토대로 범죄자들이 스키밍 공격, 어깨 견인 또는 카메라 핀 포인트를 통해 PIN을 캡처하는 데 상당히 능숙 해졌다"고 Conroy는 말합니다. Conroy는 구매할 때마다 PIN이 변경되지 않기 때문에 "사기와 효과적으로 싸울 수있는 능력면에서 한계가 있습니다. 영국이 칩 - 앤 - 핀 (PIN-and-PIN)에 갔을 때, 분실 및 도난 사기가 잠깐 동안이나 잠잠 해졌지만 몇 년 내에 PIN 수준 이전으로 되돌아갔습니다."

EMV 칩은 온라인 거래에서도 아무런 역할을하지 않기 때문에 칩 카드는 자기 띠 카드와 마찬가지로 취약합니다.

더 안전한 방법이 있습니까?

Conroy는 칩 - 앤 - 핀 (chip-and-PIN)은 근본적으로 단기적인 문제라고 말한다."이상적으로, 저는 업계가 PIN을 뛰어 넘고 생체 인식, 모바일 검증 등과 같은 다른 형태의 검증으로 이동하는 것을보고 싶습니다."라고 그녀는 말합니다. "이 과정에서 우리는 서명을 폐기해야합니다. 즉, 상인이 저장하는 데 비용이 많이 들고 현재 구현 된 고객 인증 방법으로는 쓸모가 없습니다."

Krebs는 사기와 싸우기위한 방법으로 "토큰 (tokens)"을 사용할 것을 제안합니다. 토큰 화로, 상인의 컴퓨터는 신용 카드 데이터를 전혀 저장하지 않습니다. 대신 발급자로부터 데이터를 검색하는 데 사용할 수있는 자리 표시 자 번호 또는 토큰을 저장합니다.

"토큰 화 (Tokenization)는 가맹점이 카드 데이터를 저장하는 것을 피할 수 있으며, 그 과정에서 사이버 범죄자가 카드 데이터를 목표로 삼을 가능성을 줄입니다. 토큰 화는 대부분의 소비자가 신용 카드 사기의 희생자가되는 데이터 침해 위협을 줄여줍니다.

모바일 솔루션에는 자체 한계가 있습니다.

Apple Pay와 같은 모바일 지불 및 디지털 지갑이 대안을 제공 할 수 있습니다. 그러나 Conroy는 "모바일 지불에 대한 상인 특정 구현이 큰 성공을 거두고있는 반면 Starbucks는 개방형 모바일 결제 (Apple Pay, Android Pay)의 채택이 훨씬 느리게 진행되고 있습니다."라고 말합니다.

Krebs는 모바일 결제에 대한 보안 위험도보고 있습니다. "Apple Pay는 토큰 화의 한 형태를 사용하지만, 과거의 Apple Pay 문제는 은행에서의 등록 절차가 매우 약하고 이러한 데이터 요소가 광범위 할 때 인증을위한 정적 데이터 요소 [사회 보장 번호 또는 생년월일 등]에 의존하기 때문에 발생합니다 거의 모든 미국인들에게 타협과 판매를 부탁했습니다."

모바일을 유지할 수있는 한 가지는 지갑에있는 카드 일 가능성이 큽니다. "소비자들은 카드로 거래하는 것이 매우 편안합니다."Conroy는 "소비자 행동을 바꾸기가 어렵 기 때문에 카드가 앞으로 얼마 동안은 우리와 함께 할 것입니다."

Ellen Cannon은 Investmentmatome의 개인 금융 웹 사이트 직원입니다. 이메일: [email protected]. 트위터: @ellencannon.