해외 카드 비즈니스 보안의 시작 ‘PCI-DSS’
상태바
해외 카드 비즈니스 보안의 시작 ‘PCI-DSS’
  • 서지은 수석
  • 승인 2018.10.05 06:05
  • 조회수 9434
  • 댓글 0
이 콘텐츠를 공유합니다

PCI-DSS(Payment Card Industry-Data Security Standard)는 해외에서 통용되고 있는 지불카드산업 데이터 보안표준으로 카드소유자(Cardholder Data)의 데이터를 저장, 처리, 전송하는 모든 이해관계자가 준수해야 할 규칙을 정의한 표준이다.


PCI-DSS 어디에서 왜 만들었나

카드정보 노출 사고 규모와 빈도가 늘어남에 따라 정보, 특히 개인정보 보호의 중요성이 강조되었고 이에 대한 공동대응으로 5개 글로벌 카드사(American Express, Discover Financial Services, JCB, MasterCard and Visa)가 2016년 9월 협력하여 PCI SSC(PCI Security Standards Council, 지불카드산업 보안표준 위원회)를 설립하였다.

PCI SSC(이하 위원회)의 궁극적인 목표는 ‘카드소유자 데이터의 보호’이다. 위원회에서는 이를 위해 4가지 표준(데이터, 응용프로그램, 하드웨어, 암호화)을 수립하였는데 이 중 데이터와 관련된 보안표준이 PCI-DSS이다.

PCI-DSS는 각 카드사에서 개별적으로 관리되던 카드데이터의 보안을 강화하고 국제적으로 일관된 보안 평가기준을 적용하기 위해 민간 카드사가 연합해 제정한 표준이다. 법적 준수 의무는 없지만 해외에서 5개 카드사와 관련된 비즈니스를 하고자 한다면 따라야 하는 기준이 된다.

 투이톡_해외카드_1.jpg
[그림 1] PCI-DSS 보호대상 데이터

PCI-DSS가 보호하고자 하는 데이터는 크게 카드소유자 데이터(Cardholder Data)와 민감인증 데이터(Sensitive Authentication Data)이다.

카드소유자 데이터는 카드소유자 이름, 카드번호(PAN: Primary Account Number), 유효기간 만료일자, 서비스 코드이며 민감인증 데이터는 마그네틱 또는 칩의 데이터, CAV2/CVC2/CVV2/CID번호, PIN(Personal identification number)이다.

민감인증 데이터의 경우 저장 자체가 허용되지 않으므로 사실 보호대상이 되는 데이터 자체는 많지 않다. ‘카드소유자 데이터’만 잘 보호한다면 PCI-DSS를 준수할 수 있는 것이다. 그러나 PCI-DSS를 준수하기란 그리 간단하지 않다. PCI-DSS는 이 ‘카드소유자 데이터’가 잘 보호되고 있는지를 네트워크, 시스템, 응용 프로그램, 접근통제, 모니터링, 테스트, 정책 및 프로그램 수립 및 준수, 교육 등에 대한 400여개의 기준을 통해 점검하기 때문이다.


PCI-DSS 준수 대상

PCI-DSS를 준수하여야 하는 대상은 가맹점(merchants)과 서비스 제공자(service provider), 카드 발급사(payment card issuing banks), 매입사(acquire)이다.

가맹점은 위원회 구성원인 5개 카드사(American Express, Discover, JCB, MasterCard or Visa) 중 하나의 로고가 있는 카드를 상품이나 서비스의 지불수단으로 받는 주체를 뜻한다.

서비스 제공자는 카드데이터의 처리, 저장, 전송과 직접 관련되는 주체로 카드데이터의 보안을 제어하거나 영향을 줄 수 있는 서비스를 제공하는 회사가 포함된다. 서비스 제공자는 PG(payment gateway)사 또는 VAN(value added network)사, 관리방화벽 제공업체, IDS 및 기타 서비스 제공업체, 호스팅 제공업체 등이다.

카드발급사 및 매입사는 카드브랜드사 또는 카드를 발급하고 매입정보를 카드사에 전달하는 은행이 해당되며 이들은 또한 서비스 제공자이기도 하다.

이러한 모든 가맹점, 서비스 제공자가 PCI-DSS를 준수할 필요는 없다. 카드사별로 일정규모 이상의 카드정보 처리자를 PCI-DSS 인증의무 대상으로 정의하고 있기 때문이다.

 투이톡_해외카드_2.jpg

[표 1] VISA사 PCI-DSS 인증 의무대상 예시

투이톡_해외카드_3.jpg  
[그림 2] PCI-DSS 평가 및 인증

위원회는 PCI-DSS 표준을 개발/배포/교육하는 역할을 수행하며 위원회에서 인증한 외주평가 업체가 이 표준(기준)에 따라 인증대상자들을 평가한다.

인증평가 외주업체는 크게 QSA(Qualified Security Assessor, 인증된 보안평가자)와 ASV(Approved Scanning Vendor, 승인된 스캔벤더)로 구분된다.

QSA는 PCI-DSS 현장평가를 수행하기 위해 PCI SSC의 인증을 받은 사람(업체)이며 ASV는 평가대상자의 외부 취약성 스캔 서비스를 수행하기 위해 PCI SSC가 승인한 회사이다.

QSA/ASV는 인증대상이 되는 서비스제공자/가맹점에 직접 방문해 현장심사 및 네트워크 스캔을 담당하며 심사 후 보고서를 작성한다.

PCI-DSS 평가는 카드 브랜드사가 아닌 이러한 외부업체를 통해 수행된다. 현실적으로 카드사들이 모든 인증대상자들을 평가하고 인증해줄 수 없기 때문에 이를 외주를 통해 해결한 것이다. 특이한 점은 그 외주 비용을 외주를 준 쪽(카드사)에서 지불하지 않고 인증대상자(서비스제공자, 가맹점 등)가 지불하여야 한다는 것이다.

인증대상자는 카드사가 원하는 기준에 맞춰 데이터 보안을 준수하고 이를 잘 지키고 있는지에 대해 매년 평가 받아 인증을 유지하여야 한다. 이 인증평가에 소요되는 모든 비용 또한 인증대상자가 부담해야 한다.

그러나 카드 비즈니스 상에서 PCI-DSS 인증을 받지 않으면 카드브랜드를 사용할 수 없는 ‘을’에 위치해 있는 인증대상자들에게 선택의 여지는 없다.


PCI-DSS 인증, 반드시 받아야 하는가

우리나라에서 카드 비즈니스를 하는 경우, 반드시 인증이 필요하지는 않다. 그러나 해외에서는 PCI-DSS 인증을 받지 않고는 카드 비즈니스가 불가능 하기 때문에 해외 진출을 계획하거나 진출한 기업의 경우 반드시 인증을 받아야 한다.

국내의 경우라도 보안기준은 국제표준에 상응하는 기준이 요구되고 있으므로 PCI-DSS 인증을 받는 기업이 생겨나고 있다. 이를테면 KB 국민카드는 2017년 7월 PCI-DSS를 획득했다.

카드 산업이 지속적으로 확대되고 있는 추세에서 카드 비즈니스와 관련된 은행, 금융기관, PG사, VAN사, 대형 가맹점 등은 이제 PCI-DSS에 관심을 가지고 준비해야 한다. 특히 해외에서 카드관련 사업을 하고자 하는 기업은 더욱 적극적으로 대응해야 할 것이다.

- 끝 -

저작권자 © 투이컨설팅 무단전재 및 재배포 금지
서지은 수석
서지은 수석 다른 콘텐츠 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.