• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

컴플라이언스 유지 실패율, “기업 10개 중에 7개 꼴” 2015.03.16

연간평가에 통과한 것으로는 준수상태로 볼 수 없어

기술 및 운영 상황을 보면 현실적으로 유지에 한계


[보안뉴스 주소형] 많은 기업들이 PCI DSS(Payment Card Industry Data Security Standard) 컴플라이언스를 준수해 나가고 있는 것에 대한 애로사항이 많아 보인다. 여기서 PCI DSS는 국제적으로 통용되는 결제카드 데이터 보안 기준으로 보안 강화를 위해 만들어 놓은 표준 정책 사항이다.


미국 이동통신사 버라이존(Verizon)이 기업들을 대상으로 현금카드 및 신용카드 정보에 대한 PCI 컴플라이언스 실태를 조사했는데 그 어느 때보다 많은 회사들이 해당 표준을 따르고 있는 것으로 나타났다.


최근 2년간의 고객 위치와 동기간 동안 데이터 유출 조사를 통해 얻은 정보들을 버라이존이 정리했는데 2013년과 2014년 사이에 12개의 주요 PCI 조항 가운데 11개의 수락 비율이 급증했다. 단 보안 테스팅(Security testing) 분야는 하락했다. 모든 PCI 조항을 지킨 업체는 전체 20%정도인 것으로 잠정 집계됐다. 이는 지난 2012년에 7.5%, 2013년에는 11%이었던 것과 비교해서 늘어난 수치다.


이러한 증가 추세에도 불구하고 회사 10개 중에 7개가 일 년 내내 PCI 컴플라이언스를 계속 유지하는 것에는 실패한 것으로 드러났다. 버라이존 연구에 따르면 연간 평가에서 일 년 내내 해당 조항들을 관리한 회사는 전체의 28.6%에 불과했다. 다수의 회사들이 컴플라이언스를 지속적으로 유지하는 데 어려움을 겪고 있다고 버라이존의 안디 바리치(Andi Baritchi) 연구원이 설명했다.


그는 회사들이 컴플라이언스의 유지와 평가를 동일시하는 경향이 있다고 덧붙였다. 하지만 이는 엄연히 다르다고 강조했다. “PCI 표준은 일 년 동안 해야 하는 모든 일을 담고 있다”라며 “하지만 평가는 여러 번에 걸쳐 하는 것이 아니라 단 한 번만 보는 것”이라고 말했다.


회사들은 정보유출로 고통스러워하면서도 컴플라이언스 평가 통과만 연연하고 있다. 사실 이 평가를 통과하는 것만으로는 정보유출 사고를 효과적으로 막는 데에 별 도움도 안 되고 의미도 없다고 바라치 연구원은 말했다. 실제로 10년간의 데이터를 살펴본 결과, PCI 권장사항을 모두 지키고 유지한 회사들만이 단 한 번도 정보유출을 겪지 않은 것으로 나타났기 때문이다.


“여기서 우리는 생각해볼 문제가 있다. 큰 그림으로 봤을 때 컴플라이언스가 과연 너무 복잡한가? 그렇게 유지하는 게 어려운가?”라고 시프트4(Shift4)사의 데이브 오더(Dave Oder) CEO가 말했다. “회사들은 컴플라이언스의 유지에 집중해야 한다. 한번 평가에 통과하는 것은 사실상 큰 효과가 없다. 매일 PCI를 준수하려는 노력을 해야 한다.”  그는 오직 컴플라이언스를 찾고 준수해나가려는 회사만이 안전하다고 덧붙였다.


84페이지 분량의 버라이존 보고서를 보면 회사가 컴플라이언스를 준수하는 데 영향을 미치는 요소들이 나와 있다. 기술적인 관점으로 접근해보면 시스템 상의 IT환경, 디자인, 정보의 물리적인 위치 등이 복잡하고 서로 유기적으로 연결되어 있다. 때문에 컴플라이언스를 유지하는 데 비용이 많이 든다고 보고서에 나와 있다.


비슷한 맥락으로 운영의 측면에서 컴플라이언스는 회사 정책에 대한 직원 개개인의 적응이 뒷받침되는 문화가 필요하다. 보고서의 통계에 따르면 회사가 정보를 보호하는 문화에 젖어있으면 있을 수록 컴플라이언스 준수에 큰 영향을 준다. “그렇기 때문에 회사의 경영진들이 유통망을 바꾸는 것 등과 같은 사업 전략을 컴플라이언스와 정보보안에 대한 고려 없이 수립하는 것은 매우 흔한 일이다”라고 보고서는 말하고 있다.


PCI 보안 기준 협회는 회사들이 PCI 권장사항을 준수하고 지킬 수 있도록 유도하고 있다. 이는 유출 사건 등을 지양하기 위함이다. 보고서에 따르면 모든 회사들이 결제 카드 정보 유출에 대한 걱정을 안고 있는데 이는 PCI를 따르고 있지 않으면서 발생된 일이라고 설명했다.


PCI 협회의 스테판 오르페이(Stephen Orfei)가 버라이존 보고서에서 반복적으로 강조했던 말은 “대부분의 회사들이 그저 컴플라이언스 연간 평가에 통과 하는 데만 급급하고 있다”라며 연간평가 통과는 단지 시작에 불과하다고 지적했다. “사람, 과정, 기술 등의 조화와 늘 컴플라이언스를 지키는 습관이 보안을 철저히 하는 길이다”

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>