• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안 강화 위해 국내도 ‘PCI DSS’ 준수 확대해야 2014.08.22

[인터뷰] 이안 크리스토피, 버라이즌 아태지역 서비스본부장

한국오라클, 자사고객 보안사고 피해 없도록 PCI DSS 인증 확대 나서

[보안뉴스 김태형] 오라클이 자사 고객사들이 보안사고 피해를 입지 않도록 하기 위해 한국에서의 PCI DSS(Payment Card Industry Data Security Standard) 인증 확산을 위한 캠페인을 오는 9월부터 전개할 계획이다. 현재 한국오라클은 이를 위한 조직을 구성하고 PCI DSS 인증 확산을 추진하고 있다.


▲ 이안 크리스토피, 버라이즌 아태지역 계정·프라이버시 서비스본부장

이를 위해 오라클은 PCI DSS 12가지 규정 중에서 초기 비밀번호, 암호화, 시스템 업데이트, 액세스 제어, 로그관리 등의 5개 규정 준수를 도와줄 수 있는 솔루션 공급과 운영을 중심으로 한국 고객 대상의 비즈니스를 계획하고 있다.


지난 21일 한국오라클은 이러한 PCI DSS 인증 심사 업무를 하는 버라이즌(Verizon) 아태지역 계정·프라이버시 서비스본부 이안 크리스토피 본부장를 초청해 기자간담회를 개최하고 이같이 밝혔다.


버라이즌은 세계적인 보안서비스 제공업체이며 세계 최대 규모의 QSA(Qualified Security Assessor)팀을 보유하고 있다.


이날 간담회에서 이안 크리스토피 본부장은 “최근 사이버 공격은 빠른 속도로 진행되고 있다. 공격은 수 초 내에 이뤄지기도 하고 시스템에 침입해 데이터를 손상시키는데 단 몇 분 안에 마무리되는 빠른 공격”이라고 설명했다.


이어서 그는 “하지만 방어하는 데는 시간이 너무 오래 걸린다는 점이 문제다. 공격을 알아채는데 수개월 내지는 공격당한 것을 알지 못하는 경우도 있다. ‘버라이즌 2014 데이터 보안침해 조사 보고서’에 의하면 포스 시스템 공격의 경우 공격의 87%가 수분 내에 시스템에 손상을 가했고 공격의 62%가 사이버 첩보 스파이 활동을 몇 개월이 지나서야 알아챘다”고 덧붙였다.


이 보고서에 의하면 여행·숙박 업체인 경우에 공격 받은 것 중에서 75%가 포스 시스템을 공격했고 소매·유통업계의 경우에는 받은 공격의 33%가 디도스 공격이고 포스 공격이 31%에 이른다.


제조업계는 받은 공격의 절반 이상이 사이버 첩보와 디도스 공격으로 나타나 산업군의 종류에 따라 공격의 차이가 있는 것으로 조사됐다. 이처럼 포스 시스템에 대한 공격이 증가하고 있는 가운데 관련 기업들은 PCI DSS의 준수와 인증 획득은 기업보안 강화에 필수라는 게 이안 크리스토피 본부장의 설명이다.  


PCI DSS는 지난 2006년 JCB, 비자, 마스터, 아메리칸 익스프레스, 유니온페이 등이 모여 지불카드 업계 데이터 보안 표준을 위해 PCI 보안 표준위원회(PCI Security Standards Council)가 설립되면서 제정됐다.


PCI DSS 규제는 고객의 데이터를 저장, 처리, 전송하는 카드사·은행 및 카드 가맹점과 서비스사업자(PG, VAN)라면 모두 준수하도록 권고하고 있다. 미국에서는 일정 거래규모 이상의 처리업체와 가맹점에게는 의무적으로 이행토록 하고 있다. 특히, PCI DSS를 이행하지 않는 가맹점 등에 카드결제 승인을 거부하는 등의 강력한 제재를 하고 있다. 국내에서는 일부 PG사만 PCI DSS 인증을 획득했다.


이안 크리스토피 본부장은 “처음 업체들이 PCI DSS 준수를 심사받고 인증받고자 할 때 90%가 심사에서 실패한다. 대부분의 요건을 준수한 기관의 수는 지난 2012년에 25%, 2013년엔 70%로 빠르게 증가하고 있다”면서 “표준 준수율을 보면 요식업체·숙박업체는 35%로 낮지만, 소매·유통업은 70%가 준수해 높은 준수율을 보이고 있다. 이는 지역간 편차도 높아 아태지역이 북미나 유럽보다 높다. 유럽은 31%, 아태지역은 75%, 북미는 56%”라고 설명했다.


이와 관련 한국오라클 현은석 상무는 “국내 개인정보보호법은 세계적으로 강도가 높다. 그리고 PCI DSS는 카드업계 가장 큰 보안규정이라고 생각한다. 민간에서 시작됐지만 정부가 협조하는 형태로 발전해야 한다. 국내에서도 이를 준수하도록 관련 업계로 확대할 필요가 있다”고 말했다.


미국 시장이 국내 보다 훨씬 크기 때문에 피해 발생에 대한 방어 조치가 크다. 오라클은 고객들에게 PCI DSS를 정착시키 위해 이를 준수할 수 있는 솔루션을 고객에게 제공하고 있다.


한국오라클은 엔지니어들 교육과 고객들과의 커뮤니케이션을 통해 PCI DSS가 국내에서도 정착되어 하나의 보안 컴플라언스로 작용할 수 있도록 노력할 계획이다. PCI DSS 인증을 받은 곳은 정보보호가 잘 되어 있고 적절한 정보보호 활동과 조치를 취하고 있는 것으로 평가된다.


만약 보안사고가 발생하더라도 PCI DSS 인증을 받은 고객은 사고 피해가 훨씬 더 적을 것이라는 것. 왜냐하면 인증을 받은 기업은 사고대응 계획이 이미 세워져 있기 때문이다. 또한 보안 강화를 위해서 여러 가지 조치를 취하고 열심히 노력했다는 점을 어느 정도 인정을 받을 수 있기 때문이다.


오라클은 이를 위해 자사 DB관련 솔루션이 도입된 금융기관이 PCI DSS 규정 중에서 관련이 있는 부분에 대해 컨설팅과 서비스를 제공하고 있다. 자사 고객이 보안 공격에 피해를 입지 않도록 하기 위한 조치다.

 

아직까지는 국내 결제시장에 PCI DSS 규정에 의한 강력한 제재가 취해지지는 않고 있다. 하지만 국내에도 규정 준수 여부에 따라 강력한 제제가 들어올 가능성은 충분하다. 이에 국내관련 기업들도 PCI DSS에 관심을 갖고 인증 심사를 받는 것이 유리할 것으로 보인다. 

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>