끊임없는 보안 프로젝트를 양산시키면서 명확성을 인정받고 있는 신용카드협회의 표준 PCI. 신용카드 회사들도 PCI 표준에 주의를 기울이면서 신용카드 데이터를 보호해야 하는 IT 보안 및 개인 정보보호 담당자들을 안심시키고 있다. PCI는 2001년에 비자에서 제정한 CISP(카드 소유주 정보 보호 프로그램) 및 마스터카드의 사이트 데이터 보호 프로그램과 같은 이전 규제들보다 우선적인 효력을 가진다. PCI 감사를 통과하고 수많은 PCI 요구사항을 충족시키는 법에 대해 알아본다.

회사 중역으로부터 보안 프로젝트에 필요한 비용을 승인 받는 것은 쉽지 않은 일이다. 하지만 허니베이키드 햄(Honeybaked Ham)의 IT 시스템 관리자인 에릭 골도프(Erik Goldoff)는 회사중역에게 지불 카드 업계 데이터 보안표준(Payment Card Industry Data Security Standard)을 준수하지 않으면 엄청난 벌금을 물게 될 것이라고 설명하자 모든 것이 수월해졌다고 한다.

골도프는 “IT 부서는 수익을 창출하지 못하는 비용은 승인받아 내기 힘들다.” 며, “실질적인 수익을 내지 못하는 프로젝트는 제쳐지거나 다음 회계연도로 넘겨 버리기 일쑤.”라고 말한다.

조지아주 노크로스에 본사를 둔 이 육가공 업체는 신용카드협회에서 제정한 PCI라고 알려진 표준을 준수하기 위해 노력하고 있는 수천여 개 회사 들 중 하나다. PCI 준수 최종기한이 거의 1년이 지난 지금, 많은 대규모 소매업체와 기타 가공업체들이 앞다퉈 카드 소유자의 정보를 보호하기 위한 여러 IT 보안정책들을 구현하고 있다.

SOX 및 HIPAA와 같은 규제와 유사하지만 법적인 구속력은 없는 이 표준은 기업 최고 경영진들의 주목을 받고 있으며, 이에 따른 정보보호 비용이 발생하고 있다. 하지만 사이버 보안을 의무화하려는 일부 다른 법률적인 시도와는 다르게, PCI는 데이터 암호화에 관련하여 구체적인 요구사항을 제시하고 있으며, 방화벽 구성에 있어서 액세스 제어를 구현한다는 점때문에 보안 전문가들로부터 좋은 평가를 받고 있다.

“PCI는 우리가 무엇을 해야 하는지를 정확히 알려준다.” SANS 인스티튜트(Institute)의 리서치 담당자인 앨란 팔러(Alan Paller)의 말이다.

2005년 6월 30일자로, 레벨 1, 2 및 3(연간 신용카드 거래건수 기반)의 업체들이 신용카드협회에 의해 인수되어 PCI 표준에서 요구하는 절차들을 수행하거나 수천 달러의 벌금을 물게 되었다. 심지어 고객의 신용카드 거래를 처리하는 능력을 박탈당하기 까지 했다.

이것은 어떤 규모의 조직에게나 타격일 수 밖에 없다. “교회, 학교, 정부기관, 소매업체, 신용카드로 거래하지 않는 곳은 없기 때문.”이라고 팔러는 말한다.

PCI는 신용카드 소유자의 정보를 저장, 처리 및 전송하여 정보보호 정책을 고안하고 네트워크 보안 하드웨어 및 소프트웨어를 정기적으로 테스트하며, 벤더에서 배포한 패치로 보안제품을 지속적으로 업데이트할 수 있는 회사를 요구한다. PCI는 또한 회사의 레벨에 따라 분기별 네트워크 검사와 연간 네트워크 감사를 의무화하고 있다.

지금까지 레벨 1의 업체들이 비자(Visa)(총 거래의 약 반을 차지하는)에 의해 추적되었으며, “90% 이상이 PCI 감사를 거쳤고 현재는 해당 감사에서 발견된 문제점들을 해결하고 있는 상태다.” 캘리포니아에 위치한 대규모 신용카드 회사인 포스터 시티(Foster City)의 수석 정보보호 분석가인 VisaUSA의 제니퍼 피셔(Jennifer Fischer)가 설명했다. 레벨 1에는 일년에 6백만 이상 건의 비자 거래를 처리하는 조직이 포함된다. “PCI를 준수하려면 많은 일을 해야 한다. 많은 업체들이 여전히 준수를 위한 프로세스 구축 단계에 있다.” 고 덧붙였다.

아메리칸 익스프레스의 대변인인 크리스틴 엘리어트(Christine Elliott)에 따르면, 그녀의 회사는 소매업체들과 PCI 표준 준수에 대해 긴밀하게 협조하고 있다고 한다.

“소매업체들은 데이터 보안의 중요성을 잘 알고 있으며 적극적으로 협력하고 있다. 표준에 위반될 경우 바로 자사의 브랜드 이미지와 명성이 위험에 처하는 것을 인식하고 있는 것이다.”

신용카드 회사들도 PCI 표준에 주의를 기울이면서 신용카드 데이터를 보호해야 하는 IT 보안 및 개인 정보보호 담당자들을 안심시키고 있다.

PCI는 2001년에 비자에서 제정한 CISP(Cardholder Information Security Program: 카드 소유주 정보 보호 프로그램) 및 마스터카드의 사이트 데이터 보호 프로그램과 같은 이전 규제들보다 우선적인 효력을 가진다. 2004년에 비자 및 마스터카드는 자사의 프로그램들을 통합하여 PCI 지침을 제정하였으며, 아메리칸 익스프레스, 다이너스 클럽 및 디스커버 카드의 승인도 뒤를 이었다.

본격적인 활동

허니베이키드 햄의 골도프에 따르면, 그의 회사에서는 400여 곳의 프랜차이즈에 각각 방화벽을 구축했지만, 모든 사이트에서 침입탐지 시스템을 사용하지는 않았다고 한다.

골도프는 “침입탐지 시스템은 침입을 알려주기는 하지만 잘못된 경보도 적지 않다.”고 말한다. 허니베이키드 햄은 PCI 표준을 염두해 두면서 한 단계 더 나아가 탑 레이어 네트워크(TOP Layer Networks)의 IPS(침입방지 시스템)를 구입했다고 한다.

“IPS가 특정 악성 활동을 감지하면서 방화벽보다 정교한 공격을 훨씬 잘 차단해 내었다.”

그의 회사는 또한 8개월 동안 PCI 관련 직원 및 정책교육 프로그램을 전사적으로 실시했다고 한다. “회사의 인사팀 및 영업팀까지 참여했다.”

골도프에 따르면, 전반적으로 PCI에서 요구하는 많은 항목들은 IT 보안담당자에 의해 ‘식은 죽 먹기’로 간주되며, 다른 항목들은 ‘총체적인 노력을 요구한다’고 한다.

소피텔(Sofitel) 및 모텔 6(Motel 6)을 포함한 1,200 곳의 호텔 자산을 운영하는 아코 노스 아메리카(Accor North America)의 경우, PCI가 주요 데이터 암호화 프로젝트에 있어서 촉매 역할을 했다고 한다. 고객들에게 자신의 정보가 안전하게 보관되고 있다는 확신을 주고 PCI 표준을 준수하는 것이 이 회사의 우선사항이기 때문이다.

“우리가 원하는 것은 신용카드 정보의 저장 및 전송에 어떤 시스템을 사용하든 상관없이 가능한 최고 수준의 암호화를 구현하는 것이다.” 아코 노스 아메리카의 수석 IT 보안책임자인 하베이 어윙(Harvey Ewing)의 말이다. “여기서 가장 중요한 이슈는 키 관리다.”

아코는 RSA 시큐리티의 키 매니저(Key Manager) 소프트웨어를 설치하여 운영체제나 백엔드 데이터베이스에 상관 없이 자산 전체의 암호화 키를 관리하였으며, 레거시 애플리케이션 및 인프라에 암호화를 손쉽게 적용할 수 있었다.

어윙은 PCI를 통해 기업 관리팀으로부터 보안 프로젝트에 대한 투자를 이끌어 낼 수 있었다고 한다.

“보안팀이 나서서 중역들에게 데이터 암호화의 이점과 회사에 가져다 줄 이익을 설명할 수도 있다. 하지만 PCI와 같은 표준을 이용하면 훨씬 큰 효과가 있다.”

PCI의 명확한 요구

암호화 또는 침입 탐지를 요구하거나 벤더에서 제공한 암호를 제거하거나 또는 안티바이러스 감사 로그를 최신으로 유지할 때, PCI의 명확성은 많은 이점을 제공했다. 이 표준은 12가지 요구사항으로 구성되어 있으며, 이들은 다시 여러 가지 하위 요구 사항으로 세분된다.

“PCI는 매우 구체적이고 명확하며 실용적이다.” 인터콘티넨탈 호텔 그룹 아틀란타 미국 본사의 국제공인 정보 시스템 보안전문가이자 개인 정보보호 부사장인 린 구든도프(Lynn Goodendorf)의 말이다. “기존의 기술표준에 익숙한 사람들은 자신이 생각하는 표준조건에 맞지 않는 PCI를 마음에 들어 하지 않을 수도 있다. 표준이 아닌 다른 호칭으로 불러도 상관 없지만, PCI가 데이터 보안의 강화 측면에서 매우 유용한 것은 사실이다.”

클라이언트의 아웃소싱 CRM 애플리케이션을 제공하는 샌프란시스코에 위치한 로열티랩(LoyaltyLab)의 CSO인 바락 엔젤(Barak Engel)에 따르면, PCI의 명확성이 암호화를 도왔다고 한다. “모든 사람들이 암호화에 관심을 가지고 있으며, 암호화를 만병 통치약처럼 생각하고 있다. PCI 표준 또한 적절한 암호화에 대해 상세하고 구체적인 지침을 제공하고 있다.” LoyaltyLab의 CSO인 바락 엔젤(Barak Engel)의 말이다.

PCI를 구현하거나 감독하는 많은 사람들에 따르면, PCI가 요구하는 자체 규제는 연방 기관의 과실을 보완한다고 한다.

구든도프는 “미국 및 기타 국가의 많은 다른 규제들은 다양한 업계와 다양한 규모의 업체들을 수용할 수 있도록 일반적인 언어로 작성되어 있다. 따라서 기술 벤더에게 기술사양을 강요하거나 준수가 적절하다는 확신을 주기가 쉽지 않다.”고 설명했다. 이와함께 일반적으로 표준이 법률보다 업데이트가 쉽다고 덧붙였다.

PCI는 은행, 보험회사 및 기타 금융기관들에게 소비자를 위해 금융정보 보호조치를 취할 것을 강요한 법률인 1999 GLBA가 가진 모호함과 비교된다. GLBA에 사용된 모호한 표현들은 신용카드 정보와 같은 소비자의 개인 금융 데이터를 수집하는 회사들 사이에서 어떤 것이 데이터 보호를 위한 적절한 절차인지에 대한 혼란을 일으켰다.

SANS의 팔러는 다음과 같이 말했다. PCI는 “실제로 무엇인가 변화를 일으켰던 유일한 표준 또는 규제다. 보안의 모든 다른 표준은 너무 현실성이 없다.”

 

하지만 모든 사람이 PCI의 효율성에 동의하는 것은 아니다. 올해 초 가트너 그룹(Gartner Group)은 PCI를 비판하는 보고서를 발표했는데, 이 보고서에 따르면 PCI가 “범위가 너무 넓고 어떤 영역에서는 너무 자세하고 어떤 영역에서는 설명이 불충분하다고 한다. 이 표준에는 ‘모범 사례 보안 매뉴얼’과 같은 항목이 있는데, 물론 훌륭하기는 하지만 카드 소유자의 데이터 보호라는 당면 과제와 너무 동떨어져 있다.”

물론, PCI는 누구에게나 다 맞는 제안은 아니다. 로열티랩의 엔젤은 “모든 환경은 각각 독특한 점이 있게 마련이기 때문.”이라고 밝혔다.

예를 들어, 로열티랩은 CISP, 후에 PCI를 준수함으로써 1-800-FLOWERS와 같은 고객들을 안심시킬 수 있었다는 것. 이 회사는 또한 로열티랩의 기업 네트워크를 호스팅 환경으로부터 사실상 분리할 것에 동의함으로써 협력할 호스팅 제공업체를 지정해야 했다. “우리의 요구사항은 약간 더 많았다.” 엔젤의 말이다.

하지만 관리되는 호스팅 제공업체인 랙스페이스(RackSpace)가 조건에 맞았다.

(글: 에이미 로저스 나자로프(Amy Rogers Nararov)는 워싱턴 DC에서 자유 기고가로 활동하고 있다.)

[보안뉴스 국제부(www.boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>