2019-11-17 22:21 (일)
[기고] PCI DSS 인증의 의미와 활용 방안
상태바
[기고] PCI DSS 인증의 의미와 활용 방안
  • 길민권 기자
  • 승인 2016.10.19 23:20
이 기사를 공유합니다

“기업들, PCI DSS 인증 기준 항목들 체크리스트로 활용해 보안 실태 점검 권고”

최근 핀테크 서비스 확산으로 더 구체적이고 확장된 보안이 요구되고 있는 가운데, PCI DSS 인증이 주목받고 있다.

PCI DSS란 글로벌 카드사인 비자, 마스터, 아멕스, 디스커버, 제이씨비(JCB) 5개 기업이 보안표준위원회를 설립하고, 지불결제산업의 정보 보호를 위해 만든 데이터 보안 표준이다. 고객의 결제 정보를 포함한 모든 과정의 데이터를 안전하게 보호하고 처리할 수 있도록 정보 보호 체계를 고도화하는 데 집중하고 있다.

이미 글로벌 시장에서 B2C 기업들은 PCI DSS 인증 없이는 사업을 하기 어려울 정도이다.

핀테크 열풍으로 다양하게 쏟아져 나오는 간편결제는 그 편리함과 함께 보안에 대한 우려도 있는 것이 사실이다. PCI DSS는 인증을 취득한 기업의 결제 시스템이 안전하다는 것을 보증하기 때문에, 고객과 파트너사들이 신뢰할 수 있어 최근 인증 요구가 점차 늘어나는 추세다.

PCI DSS의 인증 구조는 크게 인프라/하드웨어 관점, 소프트웨어 관점, 전반적 데이터 처리와 보안 관리체계 관점, 데이터의 암호화 관점으로 해석하여 분리할 수 있다.

-PCI PTS(PIN Entry Devices): 고객 정보를 처리하는 단말기/서비스 환경 인증 기준
-PCI PA-DSS(Payment Applications): 고객 정보를 처리하는 응용프로그램 환경 인증 기준
-PCI DSS(Secure Environments): 고객 정보를 처리하는 업무의 보안 환경 인증 기준
-P2PE(Point to Point Encryption): 고객 데이터의 시작과 종단까지의 암호화 인증 기준

고객의 신용카드 정보를 직접 처리하지 않는 기업은 신용카드와 관련된 항목을 위와 같이 보호해야 할 서비스 및 고객 데이터로 치환하여 생각하면 적합할 것이다.

P2PE의 경우 모든 영역을 포함하고 있는데 이는 PCI DSS에서 규정하는 데이터 암호화가 모든 정보 보호 관점에서 반드시 적용되어야 하는 주요 특징임을 알 수 있다.

PCI DSS 인증의 세부 관리 범위의 항목은 다음과 같다.

PCI DSS 인증은 위와 같이 12개 범위와 매년 추가 반영된 요구사항을 심사하는데, 전반적인 정책에서부터 구체적인 사항까지 버전 3.1에서는 기본 405개 항목과 추가 항목 9개를 포함하여 총 414개의 항목을 검토한다.

각 항목에 대해 절차와 운영 현황을 모두 확인하지만, 승인과 결과, 증거 자료를 모두 문서화하지 않고, 근거와 결과 중심으로 프로세스를 관리하기 때문에 합리적이고 실무에 집중할 수 있는 구조이다. 대신, 감사인은 시스템의 아주 구체적인 설정 정보까지 직접 확인하고 보고한다. 모의 해킹과 취약점 점검을 진행하고 공식 리포트를 제출하며, 규정에 만족하지 못하는 항목을 바로 조치할 것을 요구한다. 그래서 PCI DSS는 매우 신뢰할 수 있는 결과를 도출할 수 있다.

PCI DSS의 산출물은 다음과 같다.
-모의 해킹(Pentest Report: Penetration Test Report)
-위험 평가(RA: Risk Assessment)
-자산 평가(AOC: Attestation of Compliance for Onsite Assessments)
-컴플라이언스 보고서(ROC: Report on Compliance)

위험 평가 보고서에서는 현 시점에서 도출된 리스크와 함께, 다음 버전 인증 기준을 적용한 리스크도 같이 리포트하여 기업이 변화하는 보안 위협에 대응하고 준비할 수 있도록 한다.

씨디네트웍스는 최근 6년 연속으로 PCI DSS 레벨 1 인증을 취득했다. 매년 PCI DSS 인증과정을 거치며 전사 IT 인프라를 점검하고 개선하는 정보보안컨설팅 효과까지 얻고 있다.

어느 보안 인증이건 가장 중요한 요구사항은 경영자의 적극적인 참여다. 경영자의 참여와 의지가 가장 큰 정보 보호 효과를 얻는다고 얘기한다. 특히, PCI DSS는 경영진은 물론 임직원까지 적극적으로 참여시키는 구체적이고 현실적인 목표를 제시한다. 씨디네트웍스는 경영진이 참여하는 보안 협의회 회의를 매주 진행하며 정보 보호 활동을 전사적인 과제로 설정하여 관심을 갖고 꾸준히 지원하고 있다. 이것이 글로벌 정보 보안 인증을 지속적으로 취득할 수 있는 원동력이 되고 있다.

인증 심사는 의무이기 이전에 정보 보안의 내실을 갖추는 기반이 된다. 접근이 어렵다고 생각하여 무방비로 있기보단, 회사의 현재 수준을 평가해 보는 것으로 시작할 수 있다.

웹 보안과 고객의 데이터를 다루는 기업이라면 높은 보안수준을 요구하는 국제 표준인 PCI DSS 인증 기준의 항목들을 체크리스트로 활용하여 보안 실태를 점검해볼 것을 권한다.

체크리스트는 다음 리스트에서 다운로드 받을 수 있다.

◇PCI DSS 자가 체크리스트 
-www.pcisecuritystandards.org/document_library?category=saqs

[글. 씨디네트웍스 정보보안팀 홍보성 팀장]