PSD2를 통해 분명한 것은 EBA가 강력한 고객 인증을 요구한다는 것입니다. 또한, 통합자와 제3자 결제 서비스 제공업체(TPP)도 고객 계정에 액세스할 수 있어야 합니다. EBA는 규정 준수를 위해 수행해야 할 작업, 즉 지식, 소유, 고유성으로 분류되는 두 가지 이상의 요소 사용을 기반으로 하는 인증을 설명합니다. PSD2는 다중 인증 또는 2FA를 명확하게 언급하지는 않지만, 이러한 관행은 기업에서 가장 널리 사용되는 두 가지 인증 방법인 일회용 비밀번호(OTP)와 단문 메시지 서비스(SMS)와 동의어가 되었습니다. 결제 서비스 제공자는 인증의 모든 단계에서 결제 서비스 사용자가 사용하는 개인화된 보안 자격 증명과 인증 코드의 기밀성과 무결성을 보장하는 것이 필수적입니다. 그러나 일반 텍스트로 전달되는 SMS 메시지 에는 본질적으로 알려진 취약점(예: 사용자 기기에서 문자 메시지를 훔치도록 설계된 모바일 맬웨어)이 있습니다. 또한 Kr3pto 와 같은 정교한 피싱 키트는 숙련된 위협 행위자에게 실시간으로 일회용 비밀번호를 가로채는 능력을 부여합니다. 이러한 증거에 따르면, OTP와 SMS에만 의존하는 기업은 실제로 보안 위험을 초래하고 잠재적으로 고객 계정을 노출시킬 수 있습니다. 분산 클라우드 서비스는 AI, 머신 러닝 및 기타 기술을 활용하여 실시간 애플리케이션 보호를 통해 SCA 요구 사항을 보완합니다. 

F5 분산 클라우드 플랫폼은 보안, 사기 및 신원 기능에 대한 엄격한 교차 기능 분석을 제공합니다. 지식, 소유, 상속이라는 세 가지 보안 인증 요소를 모두 사용하면 더욱 높은 충실도와 유연성을 얻을 수 있습니다. 유럽 은행 당국은 "고유 요소"를 인증 분야에서 가장 흥미롭고 진보적인 분야로 인정합니다. 분산 클라우드 서비스는 운영이 간편한 포괄적인 웹, 모바일, API 보호 기능을 제공하여 금융 서비스 기관이 PSD2 요구 사항을 충족하는 데 도움이 됩니다. 분산 클라우드 플랫폼은 모든 상호작용을 관찰하고 학습하여 진화하는 공격을 자동으로 완화합니다. 아래의 예시 시나리오를 살펴보겠습니다.

F5의 실제 심층적 고객 인증(3요소 검증)

• 1단계: 사용자가 온라인 자산이나 애플리케이션에 접근합니다.
  
• 2단계: 사용자 이름은 입력되거나 미리 채워집니다(사용자 이름 자체는 지식 요소가 아닙니다)
  
• 3단계: 사용자가 비밀번호 또는 PIN을 입력합니다(규정을 준수하는 지식 요소 )
  
• 4단계: Distributed Cloud Bot Defense는 장치 ID 원격 측정 수집과 같은 수동 생체 인식을 통해 런타임 소유 요소 검증을 수행합니다.
  
• 5단계: Distributed Cloud Bot Defense는 행동 생체 인식을 통해 런타임 내재적 요소 검증을 수행합니다.
  
• 6단계: 사용자가 검증되었으며, 아무런 단계적 어려움 없이 자금 이체를 완료합니다.

분산 클라우드 서비스는 OTP 및 SMS 2FA를 실시간으로 동작 및 교차 기능 분석하여 모든 3가지 PSD2의 강력한 고객 인증 요소를 준수하여 사용자를 공동으로 인증하고 규정 준수를 달성하며 보안을 개선하고 사용자 마찰을 제거합니다.

PSD2는 금융 기관이 제3자 공급자(TPP)에게 고객 데이터 접근 권한을 부여하도록 요구함으로써 혁신과 오픈 뱅킹을 장려합니다. TPP 애플리케이션은 API를 통해 금융 기관에 연결하여 데이터를 집계하고 단일 창에서 가시성을 제공합니다. 예를 들어, 고객의 은행 잔액, 거래 내역, 프로필을 여러 계좌에 걸쳐 통합할 수 있습니다. 앱과 API 보안은 사용자 정보의 위험을 완화하고 사기를 방지하며 고객 기대에 부응하는 데 매우 중요합니다. 아래는 위험 집계자가 도입하는 위협의 몇 가지 예입니다.

집계자 사칭 공격
정보 출처와 업무 관계를 맺고 있는 집계자는 종종 해당 기관의 서비스에 접근할 수 있는 권한을 얻습니다. 공격자는 기관을 직접 상대로 검증하는 대신 집계자에 대한 신임장 정보 입력을 통해 계정을 검증함으로써 이러한 관계를 악용합니다.

계정 인수
금융 대행사는 고객의 은행 자격 증명(사용자 이름과 비밀번호)과 최대 90일 분의 계좌 데이터를 저장하기 때문에 공격자에게 매력적인 표적이 됩니다. 공격자는 사용자가 활성화한 핀테크 애플리케이션을 활용하여 계좌 잔액을 훔치고 다른 온라인 지불 시스템에 액세스할 수 있습니다.

교통량 증가의 예측 불가
통합사이트는 금융기관 계좌 조회의 상당 부분을 차지하며, 하루에 수만 번까지 금융기관을 대상으로 최신 소비자 계좌 정보를 조사합니다. 이를 수천 명의 고객 수로 곱하면 금융기관은 집계자 트래픽을 처리하기 위해 용량을 추가해야 합니다.

스크린 스크래핑
소비자는 기꺼이 핀테크 집계업체에 자격 증명을 제공하고, 핀테크 집계업체는 자동화 도구를 사용하여 금융 기관의 애플리케이션에서 소비자 데이터를 크롤링하고 스크래핑합니다. 이러한 데이터를 집계하면 소비자에게 즉각적으로 인지되는 혜택이 있을 수 있지만, 일부 집계자가 이 데이터에 액세스하는 방식은 데이터 규정을 위반할 수 있으며 궁극적으로 소비자 데이터가 사기에 노출될 수 있습니다.

F5는 금융기관이 애그리게이터를 관리하고 공격으로부터 방어하는 데 도움이 되는 가시성과 제어 기능을 제공합니다. 고객은 자신이 선택한 앱을 통해 언제 어디서나 자신의 데이터에 자유롭게 액세스할 수 있으며, 자격 증명 채우기 및 계정 인수(ATO) 위험으로부터도 보호받을 수 있습니다.

인증 가시성
분산형 클라우드 봇 방어는 모든 로그인 시도를 확인하고 트래픽을 인간, 자동화 또는 집계자로 분류합니다. F5는 금융 기관의 웹 및 모바일 자산에 대한 공격을 차단하며, 공격자가 계정 검증을 위해 집계기를 통해 자격 증명을 입력하는 경우도 감지할 수 있습니다.

온보딩 지원
분산형 클라우드 집계자 관리(Distributed Cloud Aggregator Management)는 집계자가 사용자 금융 자격 증명을 저장하는 방식에서 벗어나 데이터를 공급받는 금융 기관에서 지원하는 API로 전환하도록 장려합니다. F5는 금융 기관 및 통합자와 협력하여 이러한 전환을 실현합니다.

최소 권한 액세스
API를 사용하면 분산 클라우드 서비스는 집계자에게 필요한 권한만 적용할 수 있으므로 위협 노출 영역이 줄어듭니다. 예를 들어, 거래에 읽기 전용 액세스나 요약 정보만 적용할 수 있습니다.

이상 감지
분산 클라우드 서비스는 금융 기관과 집계자 모두에게 이상 감지를 지원합니다. F5는 헤드리스 브라우저와 수동 공격 사기를 포함한 모든 공격자 프레임워크를 지문으로 기록하고, 집계자와 금융 기관을 모두 차단하거나 경고할 수 있습니다.

F5와 함께 고급 사이버 보안 위협에 대처하세요
F5 분산 클라우드 서비스는 하나의 통합 플랫폼에서 최고 수준의 애플리케이션 보안 및 사기 방지 솔루션을 제공합니다. F5는 AI 기반 정밀성을 활용하여 공격 트래픽을 실시간으로 정확하게 감지하고 사기를 탐지하여 제거합니다.