우리나라 카드회사의 글로벌 보안 표준 준수 과제
상태바
우리나라 카드회사의 글로벌 보안 표준 준수 과제
  • 이승봉 이사
  • 승인 2018.07.25 04:13
  • 조회수 2088
  • 댓글 0
이 콘텐츠를 공유합니다

PCI DSS

비자, 마스터카드, 아메리칸익스프레스, 디스커버, JCB 등의 5대 카드회사들은 2004년에 지불결제카드산업 보안표준위원회(The Payment Card Industry Security Standards Council, PCI SSC)를 구성하여 개별 카드회사의 보안 프로그램을 통합한 표준(Payment Card Industry’s Data Security Standard, PCI DSS)을 제정하기 시작했다. 2004년에 PCI DSS v1.0이 처음으로 제정되었고, 2006년 7월 v1.1을 공식적으로 배포하였다. PCI DSS의 최근 버전은 2018년 5월 발표된 v3.2.1이다.

글로벌 카드 회사들은 전세계적으로 빈번히 발생하는 카드 데이터 유출 및 악용 위험에 포괄적이고 능동적으로 대처하기 위하여 PCI DSS 준수를 위해 노력하고 있다. PCI SSC는 민간기업의 협의 단체로서 법적 강제성은 없다. 하지만 이들의 요구사항을 충족시키지 못하면 벌금을 물거나 대금 입금 거부 등의 불이익을 받을 수 있다. PCI DSS는 지불결제 카드의 글로벌 보안 표준으로 카드 데이터가 안전하게 관리되고 있음을 객관적을 확인할 수 있는 기준이다.

PCI DSS에서 가장 중요하게 다루는 데이터는 카드 소유자 데이터(Cardholder Data)민감한 인증 데이터(Sensitive Authentication Data)다. PCI DSS 적용 대상은 카드 발급사, 전표 매입사, VAN사, 가맹점, 서비스 제공자, 카드 시스템 개발자, 솔루션 벤더 등 카드 산업과 관련된 모든 이해관계자 이며 현재 카드 산업의 융복합화로 인하여 규제 대상은 점점 확대되고 있다.

 

 

PCI SS 표준 구성

PCI SS(Security Standards)는 PCI DSS를 포함하여 네 가지 표준으로 구성되어 있다. 각 표준별로 독립적인 인증 체계를 갖고 있다.

  투이컨설팅_카드산업_180724.jpg
 [그림 1] PCI SS 4개 표준 출처: PCI DSS Quick Reference Guide_v3.2
 

 투이컨설팅_카드산업2)180724.jpg

PCI SS는 세부 심사 요건을 포함하고 있는 각각의 프레임워크를 가지고 있으며 심사 대상 업체가 해당 심사 요건에 대해 준비를 마치면 심사 인증 업체(Qualified Security Assessor, QSA)에 의해 그 수준과 품질을 평가받는다.

PCI SS의 대표 표준인 PCI DSS를 예시로 들면 6가지 목적과 12가지 요건을 가진 프레임워크를 통해 평가를 받는다. 크게 1. 보안 네트워크 구축·유지, 2. 카드 소유자 데이터 보호, 3. 안전/취약점 관리 프로그램 시행 및 유지, 4. 접근 통제 및 제어 시행, 5. 정기적인 네트워크 모니터링 및 테스트, 6. 정보보안 정책/규정 유지 등의 관점에서 400여 개 항목으로 볼 수 있다.

우리나라 금융 회사의 PCI SS 과제

리나라는 독자적인 카드 시스템 생태계로 인해 PCI SS의 수준의 규제(금융보안원의 정보보호 관리체계 인증 등)를 유지하고 있다. 그러다 보니 국내 대형 카드사 및 은행들은 PCI SS에 대한 준비 및 인증 획득에 대한 체계적 준비 및 대응 움직임을 거의 보이지 않았으며 오히려 VAN사나 SI 업체가 적극적으로 대응하고 있다. 하나의 사례로 올해 6월이 데드라인이었던 PCI DSS의 보안 표준 중 하나인 SSL/TLS 프로토콜 최신 버전 업그레이드(TLS 1.2)에 대해서도 글로벌 표준 준수 개념 부족으로 진지하게 대응하지 않았다.

카드 시장이 점점 글로벌화 되면서 해외에서 카드 사업을 수행하는 모든 금융 회사들은 해당 국가의 법적 규제와 같은 비중으로 PCI SS 준수를 요구 받고 있는 상황이다. PCI SS는 금융뿐만 아니라 유통, 디지털 커머스 이르기까지 점점 그 영향력을 넓히고 있다. 국제항공운송협회(IATA) 등 다양한 협회들이 PCI SS 준수를 해당 업계 참여 조건으로 제시하고 있는 상황이며 삼성전자는 스마트 TV를 이용한 지불결제 서비스에 대하여 PCI DSS 인증을 획득할 정도로 PCS SS를 준용한 회사들 만이 카드 산업에 참여할 수 환경이 조성되고 있다.

우리나라 회사들도 국내에서만 사업한다고 해서 PCI SS를 소홀하게 생각할 시기는 이미 지났다. PCI SS가 추구하는 목적, 즉 고객의 소중한 데이터를 보호하기 위해서 활용 가능한 도구가 산업계에 있고, 그 도구가 선진화되고 글로벌 표준을 준수하고 있다면 향후 글로벌 시장에 진출하기 위해 PCI SS 준수를 적극적으로 검토해야 한다.

- 끝 -  

저작권자 © 투이컨설팅 무단전재 및 재배포 금지
이승봉 이사
이승봉 이사 다른 콘텐츠 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.