[특집]Cover Story 웹 방화벽은 기본, 그 다음은?

그렇다면 PCI를 준수하려면 무엇을 어떻게 해야 하는 가? 흔히 생각할 수 있는 것이 안티바이러스 소프트웨어 설치와 웹 방화벽 도입이지만, 앞서 언급한 것처럼 웹 애플리케이션 방화벽은 PCI 준수를 위한 아주 작은 첫 걸음에 불과하다.

게다가 규칙적으로 웹 방화벽 리뷰를 실시하지 못 할 경우 PCI의 요건사항을 충족시킬 수도 없다. 웹 방화 벽 외에도 패스워드 암호화를 무선 네트워크 환경에서 도 구현할 수 있어야 하며 보안 스캐닝과 소스 코드 리뷰 수행이 필수적이다. 그러나 가장 까다로운 부분은 역시 ‘자가진단서’와 ‘보안진단’ 수행을 위한 ‘보안 감사’ 일 것이다.

PCI 보안 요건사항들은 모든 ‘시스템 컴포넌트’들에 적용된다. 시스템 컴포넌트들은 지불카드 데이터 환경에 포함되거나 이에 연결된 네트워크 장비, 서버 또는 애플리케이션 등으로 정의된다.

카드소유자 정보 환경은 카드소유자 정보 및 민감 한 인증 정보를 처리하는 네트워크에 해당된다. 네트워크 구성요소에는 침입차단시스템, 스위치, 라우터, 무선 AP, 네트워크 어플라이언스 및 기타 보 안 어플라이언스 등이 포함된다. 서버의 경우 웹 서버, 데이터베이스 서버, 인증 서버, 메일 서버, 프락시 서버, NTP(Network Time Protocol) 서버 및 DNS(Domain Name Server) 서버 등이 포함된다. 그러나 보안 감사의 어려움은 그 방대한 범위만이 아니다.

Tip 카드소유자 정보를 저장, 처리 및 전송하는 시스템을 네트워크에서 분리되도록 세그먼트를 구성하면 카드소유자 정보 환경 범위를 줄일 수 있다.

특히 수동 코드 리뷰는 시간 소모적인 작업일 뿐만 아니라 신뢰성을 위해 공인 된 보안감사 사업자 (QSA)에게 보안 감사를 의뢰해야하므로 비용이 만만치 않을 것이 분명하기 때문이다.

또한 PCI는 공인된 감사원을 통한 감사 절차 수행 외에도 코드 리뷰를 통해 발견된 취약성이 반드시 수정 되어야만 하며 애플리케이션은 치료 후 반드시 재평가 받아야 한다고 명시하고 있어 보안 감사가 결코 녹록치 않은 작업임을 알 수 있다.

일반적으로 공인된 보안감사원들에 의해 진행되는 보안 감사는 우선 서면과 인터뷰로 시작되어 현장 실사를 거치게 되어있으며 감사원들이 종합적으로 최종 분석하 여 표준준수 보고서를 제출하게 된다.

현재 국내에서 PCI보안감사 자격을 보유하고 있는 사 업자는 A3시큐리티가 있으며, 2008년 7월 기준으로 SK인포섹에서도 자격획득을 위한 절차를 진행 중인 것으로 알려졌다. 또한 한국IBM도 내년부터 본격적으로 PCI로 사업 영역을 확장할 예정이다.

한편, 보안 감사와 더불어 PCI 준수 대상업체들이 가장 큰 어려움을 겪을 것으로 예상되는 또 다른 부분은 바로 ‘모의 테스트’다.

Tip 자체 개발한 애플리케이션 등의 경우 개발, 또는 생산 중에 수행되는 자동 리뷰도 인정된다.

새로운 소프트웨어 도입과 더불어 새로운 취약점들이 꾸준히 발견되고 있는 만큼 정기적인 모의 테스트가 불가피하다는 것이 PCI 보안표준위원회의 설명이다. 즉, 보안 관련 통제, 제한 사항, 네트워크 접속 및 제한 등이 비인가 된 접속 시도를 확인하거나 차단하고 있는 지정기적으로 점검해야 한다.

무선 기술이 사용되는 경우에는 무선 분석 장치를 사용하여 모든 무선 장비 가 적절히 사용 중 인지 점검해야 한다.

또한 네트워크에 중대한 변경이 발생했을 경우 내부 및 외부 네트워크에 대한 네트워크 취약점 스캐닝이 수행 되어야 하는데 미국에서는 현재 외부 취약점 스캐닝의 경우 반드시 PCI가 승인한 업체에 의해 수행되어야 한다고 명시하고 있다.

가맹점 단에서 거래된 신용카드 정보는 지워야 하는데도 불구하고

이를 마케팅 자료로 활용하기 위해 보관하고 있어...

이러한 정보가 유출되면 집단 손해배상 청구 소송 등과 같은

커다란 리스크가 발생 -비자코리아 장성빈 이사

이와 더불어 중요한 인프라스트럭처와 애플리케이션의 업그레이드 및 변경 후나 최소한 1년에 한 번 모의해킹을 수행해야 한다. 즉, OS를 업그레이드했다거나 네트워크 환경, 또는 웹 서버 등을 추가했을 시 반드시 모의해킹을 통해 검증해야 한다는 것이다.

따라서 시스템, 프로세스 및 자체 개발 소프트웨어를 자주 테스트하여 시간이 경과하거나 변경이 발생되어 도 보안성이 유지될 수 있도록 하는 것이 무엇보다 중요하다.

 

전유미 A3시큐리티 영업전략본부 과장 QSA가 말하는‘PCI DSS 보안 감사’ PCI보안 표준협의회(PCI SSC, PCI : Security Standards Council, www. pcisecuritystandards.org)가 제정한 신용카드협회데이터보안표준(PCI DSS : Payment Card Industry Data Security Standard)인증을 받으려면 PCI SSC가 진행하는 일정한 기준의 교육과 테스트를 거쳐 자격증을 받은 QSA(Qualified Security Assessor)에게 감사를 받아야 한다. 또 이 를 진행하려는 업체는 3인 이상의 QSA를 보유하고 있어야 가능하다는 것이 PCI SSC의 규정이다. A3시큐리티(이하 A3)의 QSA 전유미 과장은“이러한 PCI SSC의 QSA 자격을 갖고 있는 전문가는 현재 국내에 5명뿐이다. 그 중 4명이 A3시큐리티에서 근무하고 있고 1명은 한국IBM에 있는 것으로 안다”고 밝혔다. 또한 그는“우리나라는 지난해부터 PCI DSS라는 이름으로 도입되어 A3가 처음으로 이에 대한 감사를 진행 하고 있다”고 설명했다. 그에 따르면, 올해 PCI DSS가 국내에 들어와 있는 비자카드, 마스터카드, 아메리칸익스프레스카드의 가맹점이나 PG(전자결제시스템 : Payment Gateway)사들 과 VAN(Value Added Network)사에도 규정준수를 권고하고 있으며 이를 지키지 않으면 카드 결제 승인을 거부하는 등 강력한 제제를 가하는 등, 국내 다른 카드 회사들의 가맹점과 PG사, VAN사들에게도 이를 확대 시키려고 하고 있다는 것이다. 그러나 이러한 신용카드 정보에 대한 보안표준이 최근 증가하고 있는 보안 사고에 대비해서 필요하지만, 아직 우리나라의 환경이나 여러 가지 여건을 고려했을 때 국 내에 정착되기까지는 갈 길이 멀다는 것이 그의 생각이다. 또한“하지만 언젠가는 이 보안표준이 확대될 것이며 이와 관련된 산업도 크게 성장할 것으로 본다. 또 최근 PCI DSS를 준수하는 보안 솔루션도 글로벌 업체에서 많이 출시하고 있는 점도 바로 이 때문이라 생각한다”고 말했다. 한편 PCI DSS 감사는 가맹점, PG사, VAN 사 등을 대상으로 보통 5일정도 담당자 인터뷰와 환경·정보 등 의 분석으로 진행된다. 전 과장은“우선 PG사나 VAN 사의 관련 담당자와 미팅을 통해 카드 사용자 정보의 처리와 네트워크의 물리적 처리에 관한 정보를 파악, 해당 업체의 환경을 분석하고 정책지침이나 네트워크 구성도, 하드카피, 소프트웨어 카피 자료를 받아 네트워크, DBA 등 각 분야 담당자별 인터뷰를 진행한다” 고 설명했다. 그는 또“실제적인 시스템점검을 위한 물리적 실사도 함께 진행한다”며“서버 등의 백업관리와 출입관리 등 에 대한 실사를 진행하고 관련 담당자가 모두 모인 가운데 최종결과 보고서를 발표하고 결과에 따라 실사를 받은 업체는 미흡한 부분은 규정에 맞게 조치를 취해 야 하며, 이를 100% 만족해야 PCI DSS 인증을 받을 수 있게 된다”고 덧붙였다. A3는 지난해 15개 업체에 대해 PCI DSS 감사를 진행 했고 올해 약 20개 업체에 PCI DSS가 이 보안표준이 정착되고 확대되면 관련 사업도 확대될 것이라는 전망 이다. <김태형 기자(boan@boannews.com)>

 

<글 :김태형 기자(boan@boannews.com)/김동빈 기자(foreign@boannews.com)>  

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>