지난해 버전 1.2를 발표하며 규제가 강화된 PCI DSS가 올해 경기 침체의 여파로 큰 효력을 발휘할 수 없을 것이라는 전망이 제기됐다.

PCI 컴플라이언스와 관련해 애플리케이션 보안은 올해 미 금융업계에 가장 중요한 부분이라 할 수 있다. 그러나 외신 보도에 따르면 전문가들은 경기 침체로 금융 서비스 분야의 정보보안 전문가들이 목표를 달성하기 어려울 것이라고 평가하고 있다.

서치파이넨셜시큐리티닷컴(SearchFinancialSecurity.com)은 PCI 컴플라이언스를 의무로 이해하고 있는 단체라 할지라도 다른 사업 부문의 어려움에 직면하고 있는 만큼, PCI 프로젝트를 위한 자금을 감축하고 있다고 평가했다. 일례로 한 보안 전문가는 애플리케이션 방화벽 프로젝트를 위해 요청한 자금의 약 10% 정도 밖에 받지 못 했다는 것이다.

리서치 업체 포네몬 인스티튜트(Ponemon Institute)의 창립자 래리 포네몬(Larry Ponemon) 역시 경기 침체가 PCI 컴플라이언스에 상당한 영향을 끼칠 것으로 전망했다. 그는 또한 경제 위기 상황에서 기업들이 인력 감축보다는 보안 축소를 택할 것이라면서도 “지나친 삭감으로 더 많은 위험을 양산할 수도 있다”고 경고했다.

특히 포네몬의 데이터 침해 예산에 관한 2007년 연간 리포트에 따르면 기업들이 고객 기록 손상으로 소모하는 비용이 2006년 건당 182달러였던 것이 2007년에는 건당 197 달러로 증가한 것으로 나타났다. 즉, 결과적으로는 고객의 데이터를 안전하게 보호하는 것이 경제 침체의 상황에서 위기를 완화하는 길이 될 수도 있다는 의견도 간과할 수 없다.

한편, 독립 연구 커뮤니티 PCI Knowledge Base 창립자 데이빗 테일러(David Taylor)는 경기 침체의 상황에서 예산과 PCI 컴플라이언스 준수를 모두 충족시킬 수 있는 방안으로 자동 로그 관리(automated log management)를 꼽았다. 그는 “자동화하지 않으면 결코 해낼 수가 없다”며 PCI 컴플라이언스가 보안 정보 관리 시스템을 통한 로그관리 자동화의 좋은 구실이 될 것이라고 덧붙였다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>