핀테크 열풍이 불면서 PCI DSS에 대한 관심도 높아지고 있다. 이런 가운데 젬알토에서 PCI DSS 3.0 준수 가이드 백서를 발표해 관련업계에 유용한 자료가 될 것으로 기대된다.
 
PCI DSS(Payment Card Industry Data Security Standard)는 JCB, 비자, 마스터, 아메리칸 익스프레스, 유니온페이 등 글로벌 카드사들이 참여하고 있는 지불카드 정보보안표준위원회에서 만든 보안 표준으로 결제대행(PG)사, 카드가맹점 및 관련 서비스 업계에서 이를 따르고 있다. 현재 적용 중인 버전은 3.0이다.
 
젬알토는 최근 금융 당국이 핀테크 활성화 대책을 마련하는 것과 관련해 PCI DSS에 대한 금융 및 핀테크 업계의 관심이 높아지고 있어 데이터 보호 관점에서 상세히 대응 방안을 소개하는 백서를 발간했다.
 
이와 관련, 젬알토 코리아 박종필 이사는 “핀테크 산업 활성화에 앞서 최소한의 보안 대책이 필요한데 PCI DSS처럼 소비자 금융 정보 보호, 신원 도용 및 사기 방지, 글로벌 결제 등 포괄적이 관점에서 금융 서비스에 특화된 보안 가이드를 제시하는 표준도 없다”라며 “핀테크 시장이 사실상 국경 없는 경쟁을 하는 분야인 만큼 관련 보안 규제는 국내에서만 통하는 것이 아니라 국제적으로 인정 받는 가이드를 따르는 것이 중요하다”고 말했다.
 
PCI DSS는 안전한 네트워크 구축, 카드 회원 데이터 보호, 취약점 관리, 강력한 접근 통제, 네트워크 모니터링 및 테스트, 정보보호 정책 유지 관리 등에 대한 12가지 요구 조건을 제시하고 있다.
 
상세 요구 사항 수는 200여 가지가 넘을 정도로 세분화 되어 있다. 이들 요구 사항의 핵심은 바로 데이터 보호이다. 특정 부문이 아니라 요구 사항 전반에 걸쳐 저장, 전송 중인 데이터에 대한 보호 그리고 해당 데이터에 대한 접근 제어를 위한 사용자 인증에 대한 가이드가 제시된다. 젬알토가 발행한 백서에는 요구 사항 1번부터 10번까지 데이터 암호화, 키 관리, 사용자 인증 관련 모든 요구 사항에 대한 구체적인 대응 방안이 담겨 있다.
 
참고로 PCI DSS 1.x 버전이 적용될 때와 버전 3.x 시대의 가이드는 추구하는 방향이 다르다. 사내 시스템 중심과 신뢰 관계가 있는 사업자 간 트랜잭션만 고려하던 예전과 달리 최근 PCI DSS는 핀테크 시대를 염두에 두고 있다. 실제로 상세 요구 사항을 살펴 보면 금융 서비스의 변화에 발맞춰 PCI DSS도 네트워크가 아니라 데이터를 모든 보안의 중심에 놓고 가이드를 제시하고 있음을 알 수 있다.
 
한편 젬알토 코리아는 핀테크에 대한 시장의 관심이 커지면서 PCI DSS 관련 문의가 늘고 있어 주요 파트너를 중심으로 적극적인 컨설팅 활동에 나설 계획이다. 박종필 이사는 “PCI DSS 심사는 까다롭기로 유명하다. 처음 인증 심사를 받는 경우 90% 가까이 실패한다는 말이 들릴 정도로 엄격한 기준을 적용한다”라며 “젬알토는 이미 해외 시장에서 PCI DSS 관련 경험이 많아 국내 고객을 대상으로 PCI DSS 12가지 요구 사항 중 젬알토 코리아는 암호화, 비밀번호, 접근 제어 부문에 대한 포괄적인 해결책을 명확히 제시할 수 있다”라고 밝혔다.
 
◇세이프넷 PCI DSS 표준 준수하기 백서 다운로드
-www6.safenet-inc.com/APAC-KR-201503-PCIDSS-LP
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com