신용카드사, 인터넷쇼핑몰 등 6월 발효되는 PCC DSS 대비해야

오는 6월 표준협의회(PCI)에서 채택한 '카드 결제 산업 정보 보안표준(Payment Card Industry Data Security Standard, 이하 PCI DSS)'이 발효될 예정이다. 이에 신용카드 정보유출 사기를 막기 위한 'PCI DSS 진단'이 연간 신용카드 결제 거래량 600만건 이상인 국내 43개 사에도 의무화될 것으로 보인다.

지금까지 PCI DSS 평가는 기업 스스로 체크리스트에 맞춰 자가 진단을 하는 방식으로 진행됐으며 권고 수준에 머물렀으나, 현재 PCI협회에서 인증 받은 제3의 QSA(품질시스템평가)업체를 통해 객관적인 PCI DSS 평가를 받는 것이 강제화 되고 있는 추세다.

PCI DSS 진단을 받아야 하는 국내 기업은 신용카드사 20곳, 지불대행(PG)사 17곳, 온라인 쇼핑몰 6곳 등 총 43개 사이며, 앞으로는 진단 대상 기업들이 늘어날 것으로 예상된다.

국내에서는 보안컨설팅 전문 업체인 에이쓰리시큐리티가 QSA업체로 인증 받아 지난해부터 단독으로 평가를 수행하고 있다. SK인포섹도 PCI협회에 QSA업체 자격 획득을 신청한 후 절차를 밟고 있으며 5월부터는 PCI DSS 진단 업무를 수행할 수 있을 것으로 기대하고 있다.

해당 업체들은 "PCI DSS 평가 업무를 통한 수익은 많지 않을 것으로 예상된다. 하지만 매년 기업들의 진단이 의무화됨으로써 지속적인 수익이 발생할 것"이라고 말했다.

한편, 시만텍, 파이오링크 등 보안업체들도 PCI-DSS의 요구 수준을 만족시키는 보안 장비를 앞세워 해당 시장에 대한 입지를 강화한다는 방침이다.

시만텍코리아 윤문석 사장은 "PCI-DSS뿐만 아니라 사베인즈-옥슬리, 바젤II와 같은 컴플라이언스 문제는 전 세계기업의 CIO와 IT 관리자들에게 가장 큰 고민 과제 중 하나"라며 "시만텍은 데이터 보호를 위한 침입차단시스템, 카드소유자 정보 보호, 보안 취약점 관리 프로그램, 데이터 및 네트워크 접근 통제 등을 구현할 수 있는 광범위한 솔루션 포트폴리오를 내세워 시장을 적극 공략해 나갈 것"이라고 밝혔다.

* PCI Compliance 진단 받은 국내 기업: Ksnet, 삼성테스코, 뱅크타운, 나이스정보통신, 스마트로, 코밴, 이니시스, JTnet, LGCNS, 이지스 효성, 한국신용카드결제, KIS정보통신, 한국사이버결제 등

* PCI DSS는 무엇인가?

신용카드 및 직불카드 회사들의 연합체인 PCI(Payment Card Industry)는 2004년 가정이나 소매상과 같은 소규모 환경에서 고객들의 금융 정보 유출을 방지하기 위한 목적으로 설립된 단체이며, PCI-DSS는 2006년 7월, 아메리칸 익스프레스(American Express), JCB, 마스터카드(MasterCard), 비자카드(Visa International) 등 세계적인 카드회사들이 모여 공식적으로 만든 PCI 보안 표준 협의회에서 만들어진 것이다.

PCI-DSS에는 웹 서비스 보호와 애플리케이션 및 프로토콜의 안전한 사용 강화, 사용자와 프로세스 인증 등이 모두 포함되며, 안전한 네트워크 수립 및 유지, 고객 데이터 보호, 취약부분 관리 프로그램 유지, 강력한 액세스 관리, 정기적인 모니터링 및 네트워크 테스트, 정보 보안 정책 운영 등 6가지 항목의 12가지 조건으로 이루어져 있다. 이 보안 표준이 2008년 6월 30일 발효되면 PCI-DSS 표준은 신용카드 사용자에게는 누구나 다 적용되며, PCI-DSS 표준을 준수하지 않는 곳의 경우 신용카드 회사들이 아예 채택을 거부할 수도 있다.

카드 결제 산업 정보 보안기준(Payment Card Industry Data Security Standard, PCI DSS)란 PCI DSS의 근간은 DSS의 세부 요소에 대한 일련의 기준 및 이에 수반되는 조건을 골자로 한다.

1. 보안망 구축 및 유지
요건1: 카드소지자 데이터 보호를 위해 방화벽 설치 및 운용 요건2: 벤더로부터의 디폴트 정보를 시스템 비밀번호 및 보안 관련 요소로 활용하지 않는다.

2. 카드소지자 정보 보호
요건 3: 저장된 카드소지자 정보를 보호한다., 요건 4: 공공 네트워크를 통해 카드소지자 정보 송신을 암호화한다.

3. 안전 관리 프로그램 시행
요건 5: 안티 바이러스 소프트웨어를 사용하고 정기적으로 업데이트 한다. 요건 6: 보안 시스템 및 애플리케이션을 개발하고 유지한다.

4. 접근 통제 기제 도입
요건 7: 비즈니스 목적에 한해서만 카드 소지자 정보에 대한 접근을 허용한다.,요건 8: 컴퓨터 접근 권한이 있는 개인에게 개별 아이디 지정, 요건 9: 카드소지자 정보에 대한 접근 제한

5. 정기적인 네트워크 감시 및 테스트
요건 10: 네트워크 자원 및 카드소지자 정보에 대한 접근을 감시하고 모니터링,요건 11: 보안 시스템 및 과정에 대한 정기적인 검사 시행

6. 정보 보안 규정
요건 12: 정보 보안 규정 확립 (자세한 정보는www.pcisecuritystandards.org/ 에서 볼 수 있다. )










저작권자 © 아이티데일리 무단전재 및 재배포 금지