PCI 표준 준수는 법률적인 구속력은 없지만 탑 레이어 네트워크의 보안전략 책임자인 아담 힐스(Adam Hils)는 “비자,마스터 카드 및 다이너스 클럽은 사람들이 자사 브랜드를 신뢰하기를 원한다고 믿고 있다. 만약, 수백만 소비자의 데이터가 도난되면 이들은 분명 누군가를 비난할 것이다.”

뿐만 아니라 이런 표준을 준수하게 되면 고객의 데이터가 보호되어 고객의 충성도가 높아지므로 소매업체에게도 이득을 준다. 신용카드협회의 입장에서는 카드를 발행하는 은행들이 PCI에 대한 정보를 배포할 수 있는 주요 협력자이다. 이들은 소매업체가 PCI 준수를 위한 조치를 취하고 PCI 표준 준수를 시행하도록 보장한다.

비자의 피셔는 다음과 같이 말한다. “우리 거래 은행들은 소매업체와 좋은 관계를 유지하고 있다. 이들은 소매업체를 교육하고 적절한 유효화 활동을 할 수 있도록 지원한다.”

하지만 피셔에 따르면 이 PCI 준수 이행에 의해 최초로 악영향을 받는 대상은 바로 거래 은행이 될 것이라고 한다. “만약, 소매업체가 PCI를 준수하지 않는다면 이들 소매업체를 처벌할 수도 있다.” 그녀는 말한다.

소매업체를 신용카드 회사의 기대에 부응하게 만들기 위해 첫 번째로 해야 할 일은 “자문 역할을 하는 것이다.” 아메리칸 익스프레스의 엘리엇은 말한다. “이것은 PCI를 준수하기 위해 무엇이 필요한지 그리고 리소스를 어디에서 얻어야 하는지 모르는 소매업체를 지원하는 것만큼 간단하다. 각 케이스별로 밟아야 할 단계가 있다.”

아메리칸 익스프레스 거래의 중단을 지원하는 것은 최후의 대책이라고 엘리엇은 말한다. 하지만 그녀는 그녀의 회사가 행한 거래중단이 구체적으로 어떤 것이었는지에 대해서는 언급을 피했다. 엘리엇처럼 피셔도 비자가 “소매업체와의 거래를 끊었으며, 이들 소매업체에게 벌금을 징수했다. 벌금을 징수하면 업체들이 표준을 준수할 것이라고 믿기 때문”이라고 말한다.

작년에 카드시스템 솔루션스(CardSystems Solutions)에서 4,000만 개의 신용카드 정보가 유출된 사건이 발생하자, 비자는 이 회사에게 거래를 끊겠다고 위협한 적이 있다. 하지만 페이바이터치(PayByTouch)의 최고 영업책임자인 에릭 바흐만(Eric Bachman)에 따르면, 페이바이터치에서 타사 업체의 결제대행 업체인 카드시스템즈를 인수한 이래 실제로 거래를 중단한 적은 없었다고 한다. 이 사건 이후에 카드시스템즈는 “자사의 시스템 보안에 말 그대로 수백만 달러를 들였다. 그리고 마침내 비자와 마스터카드의 보안 요구사항을 충족할 수 있었다.” 그는 또 다음과 같이 덧붙였다. "사실 자사의 거래처가 문닫기를 바라는 신용 카드 회사는 없다. 그러나, 신용카드 회사의 거래중단 위협이나 금전적인 벌금은 회사의 중역들을 긴장시켰다."

“한 사건당 50만 달러라는 벌금을 가볍게 넘기기에는 분명히 힘들다.”고 인터콘티넨탈의 구든도프가 말했다. PCI 관련 벌금 이외에도, 회사들은 140만 개의 고객 신용카드 번호와 기타 기밀 금융정보를 유출했던 DSW 슈 웨어하우스(Shoe Warehouse) 사건과 같은 보안허점을 피하고 싶어한다. 캘리포니아의 SB1386은 기업들이 캘리포니아 주 거주자들에게 영향을 줄 수 있는 보안 허점들을 공개할 것을 의무화하고 있다. 또한, 여러 다른 주에서도 유사한 법률을 제정했다.

균형 장치

PCI는 확실한 IT 인력과 절차를 확보하고 있는 회사와 매년 처리하는 신용카드 거래 수가 많지 않은 소규모 기업들 사이에서 균형장치 역할을 한다. 레벨 1 업체들에 대한 준수 유효화 요구가 더 까다롭기는 하지만 모든 레벨의 업체들도 PCI를 준수해야 한다. 매년 15만 건에서 600만 건의 거래를 처리하는 업체들은 레벨 2로 분류되며, 2만 건에서 15만 건의 거래를 처리하는 업체는 레벨 3로 분류된다. 기타 모든 업체들은 레벨 4에 속한다.

“이 표준은 기존에는 제품과 서비스에 주력했던 회사들을 IT 보안 쪽으로 전환시키고 있다.” 주피터 리서치(Jupiter Research)의 수석분석가인 에드 카운츠(Ed Kountz)의 말이다.

“PCI 표준 준수에 가장 느리게 반응하는 업체는 일년에 15만 건 정도의 거래를 처리하는 소기업들이다. 이들은 시간을 두고 지켜보자식의 태도를 취하고 있다.” 비자에서 관리하는 아리조나 스코츠데일(Scottsdale)에 위치한 PCI 평가 회사인 치프 시큐리티 오피서스(Chief Security Officers)의 창립자이자 대표인 러셀 로위(Russell Rowe)는 이렇게 말한다.

SANS의 팔러도 같은 의견이다. “많은 이들이 표준을 준수하지 않을 경우 어떤 일이 발생할지를 알고 싶어한다. 마치 HIPAA가 처음 통과되었을 때와 비슷하다. 준수에 노력과 시간을 들이기 전에 누가 손해를 입는지 지켜보겠다”는 것이다.

이런 점에서 로열티랩은 예외이다. 엔젤은 자사의 보안정책과 네트워크를 PCI에 준하도록 설계했다.

“우리는 각 직원의 배경을 일일이 조사하며 이들의 임무도 서로 분리한다. 이것은 소규모의 기업에서는 드문 일이다.” 예를 들어, 로열티랩의 데이터베이스 관리자는 저장된 신용카드 번호를 암호화할 수 있는 권한이 없다.

엔젤은 PCI 표준을 준수하기 위해 기존의 시스템을 개조하는 것보다는 시스템을 아예 처음부터 표준에 맞게 설계했다. “나중에 개조하는 것보다 애초에 표준에 맞게 설계하는 쪽이 비용손실이 훨씬 적다.”

앞으로 요구사항이 더 늘어날 것인가?

앞으로 회사들은 소비자 데이터 보호에 있어서 PCI와 정부규제 이외에도 더 많은 것을 처리해야 할 수도 있다.

아코의 보안노력은 PCI와 기존 규제의 준수뿐 아니라, 의회에서 결정중인 법률까지 포괄하고 있다.

예를 들어, HR 3140(금융 기관, 보고 기관 및 기타 기관들이 소비자에게 데이터 보안 위반에 대해 알릴 것을 요구함으로써 ‘기밀 소비자 정보’의 보호를 확장시키게 될 법안. 금융서비스위원회에 제출되었음)은 작년에 공화당 의원인 멜리사 빈(Melissa Bean)(D-Ill.)이 창안한 몇몇 법안 중의 하나였다. 상원에서는 다이앤 페인스타인(Dianne Feinstein) 및 빌넬슨(Bill Nelson) 의원이 기밀 데이터가 유출된 경우, 소비자들에게 알릴 것을 요구하는 법안을 제출했다. 제안된 법률에는 소비자의 신용카드 정보보호가 포함된다.

아코의 어윙은 “소비자 데이터의 안전에 관련된 연방 또는 주 법률은 그 끝이 보이지 않는다. 항상 능동적으로 PCI나 향후 업계를 이끌 표준들을 준수하기 위해 노력하는 것이 더욱 더 중요해지고 있다.” 고 말했다.

그러나 법률제정에 “비교적 많은 시간이 걸리는 현재 실정을 고려할 때, 신용카드 거래를 처리하는 많은 기업들과 이들 거래를 보안하는 제품을 판매하는 벤더들은 PCI가 적어도 일시적으로라도 추가 법률의 제정을 지연시켜주기를 희망하고 있다.” 쥬피터의 카운츠는 말한다. “주와 연방기관이 간단한 문제를 가지고 복잡하게 만들 것 같은 예감이다. 많은 이들이 이런 현상이 일어나지 않기를 바라고 있다.”

솔트레이크 시에 위치한 소프트웨어 회사인 알티리스(Altiris)의 수석 제품관리자인 하우이 헤트(Howie Hecht)는 입법자들이 실제로 업계와 협력하여 올바른 규제를 제정하는 한, 지불카드 보호분야에서는 의회의 결정이 유익할 것이라고 믿는다. “그들은 SANS와 NIST[National Institute of Standards and Technology]와 협력하여 법률이 실제 요구사항을 해결하도록 보장해야 한다.”

(글: 에이미 로저스 나자로프(Amy Rogers Nararov)는 워싱턴 DC에서 자유 기고가로 활동하고 있다.)

[보안뉴스(www.boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>