• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

PCI DSS, 신용카드가 짓누른다!(1) 2011.11.17

[특집]Cover Story PCI DSS(Payment Card Industry Data Security Standard), 즉 미(美) 신용카드협회 데이터보안표준, 또는 지불카드협회 데이터보안 표준은 미 신용카드협회 보안표준위원회(PCI SSC, PCI Security Standards Council)가 제정한 광대한 범위에 걸쳐 다양하고 까다로운 요건 사항을 내걸고 있는 대표적인 컴플라이언스다. PCI DSS가 제정된 것은 불과 2년 전이지만 적게는 요건사항 위반 건당 50달러부터, 심할 경우 카드결제 승인 거부에 이르기 까지 막강한 패널티를 기반으로 준수를 강제하고 있다. (PCI DSS를 한 마디로 정리하자면 보안 관리, 정책, 절차 등과 관련된 요건 사항을 포함하는 다방면에 걸친 보안 표준이라 할 수 있다.) 
국내의 경우 현재까지 구체적으로 논의된 바는 없지만, 미 신용카드협회가 국내의 PG(전자결제시스템 : Payment Gateway)사들과 VAN(부가가치통신망 : Value Added Network)사들에게도 오는 11월 말부터, 연간 6 백만 건 이상의 카드거래 업체는 내년부터 PCI 요건 사항을 충족시킬 수 있는 대책을 마련하도록 권장하고 있다. 그러나 PCI DSS의 본고장(?)인 미국에서조차 관련 업계들이 아직 PCI DSS를 충분히 이해하지 못해 골머리를 앓고 있는 만큼(특히 지난 6월말부터 의무화된 6.6항의 경우 미국 내 많은 업체들이 그 난해한 내용 때문에 혼란 을 겪고 있는 상황이다), 국내 관련 업체들도 정보보안을 위해 필요한 부분이지만 이를 도입해야할지 말아야 할 지, 몸살을 앓을 수밖에 없는 실정이다.

비자카드, 마스터카드, 아메리칸익스프레스 등 세계적 인 카드회사가 주축이 돼 마련한 지불카드 업계 정보 보안 표준인 PCI DSS는 지난 2006년 9월 PCI 보안 표준위원회(PCI Security Standards Council)가 설립되면서 제정되었다.
PCI DSS 규제는 고객의 데이터를 저장, 처리, 전송하는 ‘카드 가맹점’과 ‘서비스사업자’라면 모두 준수하도 록 권고되고 있지만, 일정 거래규모 이상의 처리업체 와 가맹점에게는 의무적으로 이행토록 하고 있다. 특히, PCI DSS를 이행하지 않는 가맹점 등에 카드결제 승인 을 거부하는 등의 강도 높은 제재방식이 적용되고 있다.
아직 국내에서는 구체적으로 추진되거나 결정된 것 이 없지만, PCI와 관련해 비자코리아의 장성빈 이사 는 “PCI는 가맹점단에서의 카드 정보유출을 방지하기 위한 비자카드에서 만든 AIS(Acount Infornaition Security)프로그램에서 시작됐다”며 “신용카드를 사 용하지 않는 사람의 79%가 안전하지 않기 때문이라고 대답한 조사 결과처럼 PCI는 신용카드에 있어서 보안 을 비롯해 여러 가지 측면에서 필요한 것”이라고 강조 했다.
또한 그는 “특히 가맹점 단에서 거래된 신용카드 정보 는 지워야 하는데도 불구하고 이를 마케팅 자료로 활용하기 위해 보관하고 있는 상황에서 이러한 정보가 유출되면 엄청난 피해로 이어질 수 있고 해당 기업도 집단 손해배상 청구 소송 등과 같은 커다란 리스크가 발생하기 때문”이라고 덧붙였다. 아울러 일본 등 해외 에서는 PCI에 대한 정부 차원의 지원이 활발하게 이루어지고 있는데 반해 우리나라는 아직 미흡한 부분이 있어 아쉽다고 밝혔다.
현 상황은 이와 같지만, 우리나라도 올 연말 즈음부터 는 미(美) 신용카드협회 데이터보안표준(PCI DSS, 이 하 PCI)의 영향을 피할 수 없을 것으로 보인다. 특히, PG사들과 VAN사는 당장 오는 11월 말까지 PCI가 요 구하는 요건 사항을 충족시킬 수 있는 대책 마련이 필요할 것으로 예상된다.
즉, 미 PCI 협회가 해외 업체들에게도 연간 카드거래 60만 건 이상일 경우 자가진단서와 네트워크 점검, 실사를 모두 의무화하도록 권장될 것으로 보이며, 연간 카드거래 12만 건 이하일 경우에는 자가진단서 제출 만, 연간 카드거래가 12만 건 이상, 60만 건 이하인 업체의 경우 자가진단서와 분기별 네트워크 점검을 의무화할 것으로 예상된다.
또한 일반 가맹점의 경우, 연간 6백만 건 이상의 카드 거래가 있을 시 분기별 네트워크 점검과 실사를 의무적으로, 자가진단서 제출은 선택적으로 이행하도록 권장 될 것으로 전망된다. 그러나 카드 전자 상거래 업체의 경우, 연간 2만 건 이상의 거래가 이루어지는 업체라면 자가진단서와 분기별 네트워크 점검이 의무화하도록 권장하고 있기 때문에 내년까지 해당 대책을 마련하는 것 이 바람직할 것으로 보인다.

열두 고개+∝
얼핏 생각해보아도 막대한 비용과 인력이 소모될 것으로 보이는 PCI의 까다로움은 여기서 끝이 아니다. 카드 이용자의 카드 결제 데이터를 처리, 저장, 전송하는 가맹점과 통신사업자들에게 정보보안 관리의 준수와 데이터의 안전한 처리를 요구하기 위해 PCI는 보안 영 역을 크게 6개로 구분, 총 12개의 기본적인 요건 사항 을 제시하고 있다(‘PCI DSS v1.2’ 참조).

PCI DSS v1.2

PCI 보안표준위원회(PCI Security Standards Council)의 참여 업체들은 최근 PCI DSS 1.2 버전을 작성, 지 난 9월에 정식 발표했다. 2008년 10월 1일부터 일반적인 목적으로 사용하게 되는 PCI DSS v1.2(또는 ‘보안 평가 절차’버전 1.2)는 기존의 1.1 버전의 업데이트 일뿐, 크게 달라진 부분은 없다는 것이 위원회의 설명이다.


안전한 네트워크 구축 및 유지

요건사항 1 : 카드 소유자 데이터 보호를 위한 방화벽 설 치 및 유지

- 모든 하위 요건사항들이 라우터 및 방화벽에 적용되고 있는지 증명할 수 있어야 함.

- 방화벽 규칙 리뷰를 분기별, 또는 6개월간으로 실시할 수 있도록 타임 프레임에 탄력성 부여(단체의 위기관리 정책과 관련해 보다 최적화된 통제 가능)

요건사항 2 : 시스템 패스워드나 기타 보안 파라미터에 업체가 제공하는 초기값(default)을 사용할 수 없음

- 요건사항이 “카드 사용자 환경 또는 카드 사용자 데이터 전송에 관련된” 무선 환경에 적용되어야 함.


카드 소유자 데이터 보호

요건사항 3 : 저장된 데이터 보호

-“PAN”이나‘강력한 암호’와 같은 일관성 있는 조건의 지속적인 사용 강조

- 로컬 사용자 계정 데이터베이스를 중요시하기위한 디스크 암호화 증명

요건사항 4 : 공중망을 통한 카드 소유자 데이터 전송시 데이터 암호화

- 2009년 3월 31일이후로는 새로운 WEP 구현은 허용되지 않음.

- 2010년 6월 30일 이후부터는 WEP의 사용이 중단되도록 현재 구현되어있어야 함.


취약점 관리 프로그램 유지

요건사항 5 : 안티바이러스 소프트웨어의 사용 및 정기적 인 업데이트

- 모든 운영 시스템 유형에 적용되는 안티바이러스 소프트웨어의 사용

- 안티바이러스 소프트웨어가 모든 알려진 유형의 악성 소프트웨어를 반드시 처리할 수 있어야 함.

요건사항 6 : 안전한 시스템과 애플리케이션의 개발 및 유지

- 6.6항 : 모든 공중 웹 애플리케이션은 다음을 준수해야 만 함.

①수동 또는 자동 취약성 평가 툴을 통한 애플리케이션 리뷰

②일반 웹 애플리케이션 전단에 애플리케이션 레이어 방화 벽 설치 (현재 요건사항 6.6은 의무사항임)


강력한 접근 통제 방안 구현

요건사항 7 : 비즈니스‘권한(need-to-know)’에 따른 카드 소유자 데이터 접근 제한

- 테스팅 절차와 관련된 용어 정리

요건사항 8 : 컴퓨터 접근과 관련해 개인별 고유 ID 부여

- 테스팅을 통해 저장 또는 전송 시 패스워드를 읽을 수 없다는 것을 증명해야 함.

- 패스워드 및 패스프레이즈(passphrase)를 모두 허용 하고 기존 ‘이중인증’의 불릿을 결합, 예를 제공해 사 용자 인증 증명

요건사항 9 : 카드 소유자 데이터에 대한 물리적인 접근 제한

- 연간 최소 1회의 오프사이트 스토리지 시찰

- 카드 소유자 데이터를 포함하고 있는 전자 또는 종이 문서에 매개 보호 적용 및 해당 매개의 파기 증명


정기적인 네트워크 모니터 및 테스트

요건사항 10 : 네트워크 리소스와 카드 소유자 데이터에 대한 모든 접근 추적 및 모니터

- 외부 대면 기술(예 : 무선, 방화벽, DNS, 이메일)에 관련된 로그가 내부 로그 서버에 복제되어야 함.

- 3개월 간 감사 추적 히스토리는 “반드시 분석 가능해 야”하거나 신속히 접근 가능(온라인, 아카이브, 또는 백업 복구 등)해야 함.

요건사항 11 : 보안 시스템과 절차의 정기적인 테스트

- 무선 애널라이저 및 무선 침입 탐지, 또는 시스템 보호 이용에 관한 가이드

- ASV가 반드시 분기별로 외부 취약성 스캔을 위해 사용 되는지 명시


정보보안 정책 유지

요건사항 12 : 정보보안을 위한 정책 유지

- 원격 접근 기술, 무선 기술, 이동 전자 장치, 메일 사용, 인터넷 사용, 노트북, PDA 등을 포함해 직원들이 주로 이용하고 있는 기술의 실례에 관한 포괄적인 리스트 작성

- 회사의 보안 정책과 절차를 읽고 이해했다는 직원들이 동의를 요구하는 타임프레임을‘최소 매년’ 업데이트

그러나 12 개의 요건 사항에 따른 각각의 세부 사항이 적지 않을 뿐만 아니라, 그 내용 또한 까다로우면서도 명확하지 않아 관련 업체들은 벌써부터 부담을 느낄 수밖에 없다. 예를 들어 앞서 언급한 것처럼 지난 6월 30일부터 의무화된 ‘안전한 시스템과 애플리케이션의 개발 및 유지에 관한’ 6.6항을 살펴보면, ‘모든 웹 대면 애플리케이션들은 알려진 공격에 대해 보호’가 요구되며 다음 중에서 선택, 적용할 수 있다고 난해하게 설명 하고 있다.

  • 애플리케이션 보안 전문 단체를 통해 일반적인 취약성에 대해 모든 커스텀 애플리케이션 코드를 리뷰 또는,
  • 애플리케이션 레이어 방화벽을 웹 대면 애플리케이션에 설치

또한 PCI 6.6의 감사 절차를 살펴보면 ‘커스텀 애플리케이션 코드가 애플리케이션 보안 전문 단체에 의해 주 기적으로 리뷰되고 있는지 증명’해야 한다고 요구하고 있으며 모든 코딩 취약성이 수정되었는지, 수정 후 애플리케이션이 재평가 되었는지 등을 확인하도록 되어있 다. 또 웹 기반 공격을 감지하고 방지하기 위해 애플리케이션 레이어 방화벽이 웹 대면 애플리케이션 전단에 적절히 위치하고 있는지 증명해야 한다.
그러나 컨설턴트사 Security Curve의 창립자 다이 애나 켈리(Diana Kelley)는 “수동 또는 자동 소스 코드 리뷰가 허용 가능한지, 혹은 다이내믹 펜 테스트 도 괜찮은지에 대한 언급이 없다”며 내용이 애매하다 고 지적했다. 또 다른 컨설턴트 업체 도노반 네트웍스 (Donovan Networks)의 창립자 프레드 도노반(Fred Donovan)도 웹 애플리케이션 방화벽의 초기값은 스캔하도록 설정되어있을 뿐, 보호하거나 차단하도록 되어있는 것은 아니라고 언급했다.
이처럼 미국 내에서도 업체들의 불만과 혼란이 가중되자 PCI 보안표준위원회(이하 SSC)는 관련 용어 모음집은 물론, 감사 절차, 스캐닝 절차에 관한 상세한 설명을 담은 문서를 업데이트 하거나 한 달 간격으로 추가 가이드를 배포하고 있는 실정이다.
이처럼 PCI의 요건사항을 이해하기 위해서는 마치 ‘스무고개’라도 하듯 질문에 질문을 거듭해야 하다보니 PCI준수는 그야말로 ‘산 너머 산’이다.
<글 : 김태형 기자(boan@boannews.com)/김동빈 기자(foreign@boannews.com)>
[정보보호21c (info@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>