EY한영은 24일 주한영국대사관에서 금융기관 CISO를 초청해 ‘PCI DSS인증 사례로 본 페이먼트 정보보호 제고 방안 세미나’를 개최했다.
 
EY 관계자는 “2015년부터 불기 시작한 핀테크 열풍에 가장 중요한 동인은 사용자가 신뢰할 수 있는 에코 시스템 구축이라고 생각한다. EY는 이러한 핀테크 생태계 구축에 있어 중요한 보안 체계를 지원하기 위해 주요 선도 기업을 대상으로 간편결제 부문의 글로벌 정보보안 인증 체계인 PCI-DSS 프로젝트를 수행해 왔다”며 “이에 EY 전문가들이 주요 기업의 임원들을 대상으로 프로젝트 시사점과 페이먼트 정보보호 제고 방안을 제시하고자 이번 세미나를 개최하게 됐다”고 밝혔다.
 

◇ PCI SSC란 무엇인가
이 자리에서 bsi 송일섭 위원은 “PCI DSS는 5개의 카드 브랜드사(VISA, Master, Amex, Discover, JCB)가 설립한 PCI SSC(PCI 보안 표준 위원회-PCI Security Standard Council)에서 지불 결제 산업의 정보보호를 위해 신용카드의 부정 사용과 정보유출을 방지할 목적으로 만든 표준”이라며 “PCI DSS는 지불 카드 프로세스에 관련된 모든 기업(카드발급, 매입, 가맹점, 프로세서 및 서비스 프로바이더)과 카드 소유자 데이터(Card Holder Data)와 민감한 인증 데이터(Sensitive Authentication Data)의 저장, 처리 또는 전송을 하는 기타 모든 기업을 대상으로 한다”고 소개했다.

 
또 “PCI DSS는 각 카드 브렌드사가 정한 레벨이 있으며 비즈니스 및 거래 트랜잭션에 따라 요건을 준수하도록 되어 있다. 준수 목적은 카드 소유자 데이터와 민감한 인증데이터를 안전하게 보호하고 유출 시 데이터의 무가치화에 있다”고 밝히고 “대상은 카드 소유자 데이터와 민감 인증정보를 다루는 사람, 프로세스, 기술 등이며 유무선 네트워크 장비, 서버, 어플리케이션과 가상화된 장비 등이 범위에 포함된다”고 설명했다.

 
◇ PCI DSS 프로젝트는 어떻게 이루어지나
홍성권 EY한영 이사는 실제 프로젝트 추진 사례를 소개하면서 “PCI DSS (V3.1)는 6개의 목표, 12개의 요건, 그리고 405개의 세부요건으로 구성되어 있으며, 이러한 요건을 QSA에 의해 현장 심사를 통해 준수 여부를 매년 심사하고 ASV에 의한 네트워크 스캐닝이 분기에 한번 정기적으로 수행된다. 이 모든 요건이 준수된 경우에는 PCI DSS 인증서가 발행된다”며 “PCI-DSS는 지속적인 유지와 관리가 가장 중요하며 글로벌 진출 기업은 반드시 필요한 라이선스다. 국내 기업들도 많은 관심을 갖고 있으며 어렵게만 생각하지 말고 적극적으로 인증을 준비해야 한다”고 말했다.
 
이어 홍 이사는 “미국의 경우 은행을 제외한 대부분의 금융회사 및 관련 업체가 PCI DSS를 준수하고 있으며 전세계 모든 나라에서 PCI DSS를 국제 표준으로 인정하고 있다. 한국은 간편결제와 핀테크 등으로 최근 이슈화가 되었지만 PG/VAN 이외에는 준수하지 않고 있다. 최근에는 카드사 및 글로벌 보험사에서 진행하고 검토중에 있다”고 설명했다.
 
PCI DSS 심사 프로세스는 예비심사-문서검토-현장심사-보고서 작성-PCI DSS 인증으로 이루어진다.
 
△예비심사에서는 카드 소유자 환경(CDE) 분석과 현재의 보안 현황 파악을 통해 인증 범위를 최소화해 PCI DSS 인증을 위한 비용과 리소스를 최소화하고 PCI DSS 준비 상태를 확인하고 예비 심사를 통해 잠재적 미 준수 사항을 점검하는 단계다. 
 
△현장심사는 PCI DSS의 모든 요건을 현장 심사를 통해 진행하고 네트워크 구성도, 카드소유자 데이터 흐름도와 정책, 지침 등의 문서를 리뷰하고, 각 요건 별로 인터뷰 및 현장 실사를 통해 심사가 진행된다. 심사 결과, 미 준수 사항이 발견된 경우에는 시정조치(Remediation)를 수행하고, 조치 여부의 확인을 위한 추가 심사가 진행된다. 심사결과가 포함된 보고서(ROC, AOC)를 작성한다.
 
△보고서 작성 및 인증서 발행 단계에서는 심사 종료 후, 심사기관에서는 PCI DSS 심사 결과의 상세한 내용이 포함된 ROC 보고서를 작성해 제공하고 또한 심사를 통해 준수가 확인되면 AOC(Attestation of Compliance)를 함께 제공한다. 심사보고서는 독립적인 조직의 기술검토(Technical Review)를 보고서의 품질을 보증하고 모든 준수 요건을 만족하는 경우는 심사기관에서 PCI DSS 인증서를 발생한다.

 
홍 이사는 PCI DSS 프로젝트 사례를 들며 “구축 환경별로 2개의 도입 사례로 나뉜다. 우선은 카드홀더 환경(CDE)이 이미 구축된 사례이며 또 하나는 신규로 카드홀더 환경을 구축해야 하는 사례로 나뉜다”며 “그 환경에 맞게 카드홀더 환경 스콥을 정의하고 정책 및 지침, 절차 등 문서를 통한 개선과제를 수행한다. 또 문서에 따른 이행 및 보안설정 개선, 네트워크 구성에 따른 모의해킹 수행 등 이행 그리고 중장기적 계획을 수립하고 이행해 나간다. 마지막에는 준거성 유지관리를 위해 PCI DSS 유지관리 프로그램을 수립하는 순서로 이루어진다”고 설명했다.
 
특히 그는 “PCI DSS 준거성을 스스로 평가할 수 있도록 지원해 주는 툴인 Self-Assessment Questionnaire(SAQ)를 통해 PCI DSS 요건 대비 GAP을 분석해 정보보호 규정의 기정 및 절차 개선 등의 단기 개선 과제와 개정된 규정 및 절차의 이행, 기술적 보호대책의 적용 등의 중장기 개선과제를 도출할 수 있다”며 “SAQ는 PCI DSS에 대한 이해의 폭을 넓히고 PCI DSS 요건과 현 조직의 정보보호 체계의 GAP을 파악하기 위해서는 직접 작성하는 것을 권고한다”고 말했다.
 
더불어 “PCI DSS를 준비하는 고객사에서 컨설턴트에게 모든 것을 오픈해 줘야 취약점을 찾을 수 있다. 고객사의 적극적인 지원이 필요하다. 그래야 PCI DSS의 원래 목적인 카드 소유자 데이터와 민감한 인증데이터를 안전하게 보호할 수 있게 된다”고 당부했고 “PCI DSS 인증은 보안과 IT 측면에서만 볼 것이 아니라 비즈니스 이해를 바탕으로 이루어 져야 한다. 그래야 각 고객사에 맞는 대책이 도출될 수 있다. 그리고 인증을 받았다고 끄타는 것이 아니라 지속적인 관리와 개선방안을 마련해 이행하는 것이 가장 중요하다”고 강조했다.
 
현재 국내 카드사들이 PCI DSS에 많은 관심을 가지고 있으며 인증심사 과정에서 이슈는 어느 부분까지 인증심사를 받아야 할지 심사 영역을 확정하는 것이 고민거리 가운데 하나다. 국내 기업들의 글로벌 진출과 핀테크 활성화에 맞춰 PCI DSS는 국내 기업들의 중요한 화두가 될 전망이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 길민권 기자 mkgil@dailysecu.com