PCI가 이미 의무사항으로 자리 잡은 미국 내에서도 기업들은 이 컴플라이언스에 대해 상당한 부담을 느끼고 있는 것이 사실이다. 특히 적게는 건당 50달러에서부터 카드 사용 금지에 이르기까지 컴플라이언스 불이행에 대한 패널티를 피하기 위해서라도 PCI를 준수해 야하지만, 요건사항을 충족시키기 위해서는 막대한 IT 예산이 필요해 일부 대기업들마저도 악화된 경제 상황 때문에 더욱 고심할 수밖에 없는 것이다.

이러한 고민을 거듭하던 미국 내 기업들이 찾은 해답은 SaaS(Security as a Service)다. 즉, 예산을 초과하는 사내 인력과 솔루션 배치의 비용 대신 매달 약 간의 요금을 지불해 전문 업체의 서비스를 통해 보안을 강화한다는 생각인 것이다.

일례로 미국 댈러스 주재 링컨 부동산(Lincoln Property)은 얼러트로직(Alert Logic)에 보안 서비스를 위탁, 안티 바이러스와 방화벽의 이용, 침입 탐지 기 및 주기적인 스캔 등에 대해 매달 기본 500달러에서 1,000달러 정도를 서비스 이용료로 지불하고 있다. 보다 규모가 작은 회사들도 보안 모니터링과 관련해 막대한 선불이 필요한 하드웨어나 소프트웨어 대신, 비록 점증적인 비용 증가가 있다 하더라도 보안 서비스를 선호하고 있는 것으로 알려졌다.

얼러트 로직은 중간 규모의 기업들을 타깃으로 하는 반 면 퀄리스(Qualys)는 주로 대기업을 대상으로 SaaS를 제공하고 있는데, 특히 퀄리스는 최근 PCI 준수 대 비, 지속적인 관리를 위한 온디맨드 스캐닝 애플리케이션의 새로운 버전을 발표했다.

퀄리스가드(QualysGuard) PCI 3.0은 애플리케이션의 전통적인 컴플라이언스 스캐닝과 복구, e-파일 링 성능을 자동 웹 애플리케이션 스캐닝에 결합시킨 웹 애플리케이션 스캐닝(WAS : Web Application Scanning) 모듈을 장착했다. 이로써 가맹점들은 안 전한 웹 애플리케이션 유지를 위한 PCI 6.6항을 효과 적으로 충족시킬 수 있을 것이라고 퀄리스는 자신했다. PCI를 위한 SaaS와 관련해 선구자격인 퀄리스 외에 도 앞서 언급한 얼러트 로직, 포스티니(Postini) 등이 있으며 뉴페이스라 할 수 있는 베라코드(Veracode)는 소프트웨어 취약성과 관련한 보안 서비스를 제공하고 있다.

또한, 자체 서비스를 제공하고 있는 맥아피(MaAfee), 지난 해 몇몇 서비스 제공을 예정하고 있던 시만텍 (Symantec) 등도 흐름에 동참하고 있다.

국내에서는 대표적으로 주니퍼 네트웍스가 PCI 보안표 준위원회(PCI Security Standards Council) 회원사로 동참하면서 발 빠르게 움직이고 있다. 주니퍼 네트웍스는 PCI 보안표준위원회 회원사로서 위원회의 최신 지불카드 보안 표준을 검토하고 표준에 대한 의견과 새로운 아이디어를 제안할 수 있는 자격을 갖게 된다. 따라서 주니퍼 네트웍스는 PCI DSS(Data Security Standards) 및 기타 지불카드 데이터 보안 표준 제정 에 적극적으로 참여한다는 방침이다.

이와 관련해 한국 주니퍼네트웍스의 강익춘 사장은 “기업과 통신사업자들은 보안 규제 준수와 같은 핵심 영역에서 IT와 비즈니스 요구사항을 조화시키는데 많은 노력을 기울이고 있다”며 “검증된 기술력과 하이 퍼포먼스 네트워크 인프라스트럭처 및 서비스를 통해 주 니퍼는 PCI DSS의 발전을 지원할 것이다. 또한 손쉬 운 구축과 관리를 통해 위협을 경감시키고 비즈니스 경쟁력을 강화할 수 있도록 다른 카드 보안 표준 제정에 도 협력할 것”이라고 밝혔다.

수혜자 vs. 피해자(?)

이처럼 PCI는 그것을 준수해야하는 대상 업체들에게 는 엄청난 부담이지만 보안 업계에는 ‘기회’로 인식되고 있다.

대표적으로 웹 방화벽 업체는 물론 무선 LAN 보안업체, 모의 테스팅 업체와 컨설팅 업체가 최대 수혜자가 될 것으로 예상되지만, 사실 어느 한 분야를 꼽을 필요도 없이 모든 보안 관련 업체들이 PCI의 수혜자가 될 수 있을 것으로 보인다.

미국의 경우를 살펴보면, 우선 미사용 데이터와 관련해 DLP 및 컨텐츠 디스커버리 등이 높이 평가되고 있다. 정책 위반의 저장된 데이터, 특히 PCI에 해당되는 것 을 빠르게 식별할 수 있기 때문이다.

또한, 실시간으로 애플리케이션 등의 변경을 추적하고 변경 정책을 시행하기 위한 ‘변경 제어(Change Control)’도 선호되고 있다. 일례로 미국 캘리포니아 주재 고급 가정용품 업체인 리스토레이션 하드웨어(Restoration Hardware)사는 자사의 전자상거래 플랫폼과 관련, 변경 제어를 위해 솔리드코어 (Solidcore)의 S3 Control을 도입했다. 리스토레이션 하드웨어사는 특히 보안 감사와 관련해 시스템 변경을 그래픽 뷰로 볼 수 있다는 점에서 이 업체의 제품을 선택한 것으로 알려졌다.

모의 테스트와 관련해서는 앞서 언급한 SaaS업체들 마저 마케팅 대상이 되기 때문에 상당한 이익을 낼 수 있을 것으로 보인다.

그 중에서도 취약성 평가 서비스 공급자들의 경우, 미국에서만 해도 자체적인 서비스 기능을 제공하는 퀄 리스, 보안 서비스 업체이자 마이크로소프트사의 골드 인증 파트너인 아키비아(Akibia), 여러 SaaS 보안통 합 업체들을 인수한 퍼리미터 이시큐리티(Perimeter eSecurity), SaaS 공급 업체로의 전환을 목표 로 ISV용 운영 서비스를 제공하는 컴퓨터 사이언스 (Computer Sciences)사 등이 있다.

이들과 함께 I A M( I d e n t i t y a n d A c c e s s Management : 통합계정관리) 업체 또한 리포트 생 성 기능 덕분에 PCI를 준수해야하는 업체들의 많은 관심을 받고 있다. 통합 스위트를 통해 리포트를 생성 하고 검색 데이터베이스 내에 데이터를 저장할 수 있기 때문이다. 일례로 오라클의 액세스 매니저(Oracle Access Manager)는 기업의 데이터베이스 성능을 촉진시켜 스위트의 각기 다른 구성 부분에 관한 접근 정 보를 저장할 수 있게 한다.

특히, 사전 제작된 리포트를 통해 누가 어떤 시스템에 접근했는지 식별할 수 있어 PCI의 요건사항을 충족시키게 된다.

이처럼 보안 업계가 PCI의 수혜자가 되는 반면 보안 업계의 마케팅 대상이 될 PCI 준수 당사자인 회원사, 가맹점 및 서비스 제공업체들이 PCI의 피해자가 될 것이 라는 예상도 있을 수 있으나, 이는 섣부른 판단에 불과 하다. 당분간 체감하기에는 무리가 있겠지만 카드 회원사, 가맹점 및 서비스 제공업체들 역시 PCI의 수혜자 가 될 수 있다.

즉, 당장은 까다로운 PCI 요건사항을 충족시키기 위해 예산 등 상당한 어려움을 겪게 되겠지만 PCI의 준수 과정이 결국 강력한 보안으로 이어져, 궁극적으로는 고 객 정보 유출로 인한 집단 소송 등 기업의 리스크를 감소시키는 결과를 가져올 수 있기 때문이다.

기업과 통신사업자들은 보안 규제 준수와 같은 핵심 영역에서

IT와 비즈니스 요구사항을 조화시키는데 많은 노력을 기울이고 있다

-한국 주니퍼네트웍스 강익춘 사장

리스토레이션 하드웨어(Restoration Hardware)의 IT 운영 책임자 바비 웬(Bobby Wen)도 “덤으로 보안 까지 확보할 수 있었다”고 언급하기도 했다. 여기에 좀 더 덧붙이자면, PCI 준수를 위한 노력을 통해 기업들 은 보안이라는 덤뿐만 아니라 ‘고객의 신뢰’를 바탕으로 기업 경쟁력도 확보할 수 있게 될 것이다.

<글 : 김태형 기자(boan@boannews.com)/김동빈 기자 (foreign@boannews.com)>

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>