암호화 기술 선택의 폭이 넓어짐에 따라 업주 입장에선 더 자유로워

하지만 대기업에만 유리한 정책이라는 의견도 있어

[보안뉴스 문가용] 6월 30일부로 PCI SSC의 3.0버전이 공식 종료되었다. 그리고 7월 1일부터 적용된 3.1 버전에서는 포인트투포인트 암호화, 일명 P2PE가 적용되기 시작했다. 3.1 버전의 주안점은 POS 단말기를 사용하는 업자들에게 더 많은 선택권을 유연하게 제공하기 위함으로, PCI의 기본 필수사항에 부합하기만 하면 사용자가 알아서 암호화를 선택하고 적용해 관리할 수 있도록 되었다.

이번 대대적인 업데이트 덕분에 더 자유로워진 건 암호화 기술 제공업체도 마찬가지다. P2PE를 실제 현장에 적용할 때 구성요소를 마음대로 결정할 수 있게 되었기 때문이다. 하지만 완전 자유는 아니고 제한이 있다. PCI가 곧 사용이 가능한 암호화 구성요소를 목록화하여 공개할 예정이고, 그 목록 안에서는 자유롭게 선택이 가능하다.

결국 이번 업데이트로 가장 큰 수혜를 주고자 한 건 카드 사용자들이라고 한다. POS에서 자꾸만 발생하는 카드정보 유출사고를 막고자 하는 것이다. PCI의 기술 고문인 트로인 리치(Troy Leach)는 “POS에서 이루어지는 정보 거래 과정을 캡처하거나 훔치는 멀웨어들 때문에 개개 사업장은 물론 산업 전체가 큰 위기에 처하게 되었으며, 이 데이터를 암호화함으로써 리스크를 크게 줄일 수 있습니다”라고 발표했다.

P2PE를 적용하면 카드를 스와이핑 하는 순간부터 카드정보가 기업 네트워크 내에서 처리될 때까지 모든 정보가 보호된다. 종단간 암호화와 다른 점이 있다면 P2PE는 데이터의 암호화를 데이터가 유입되는 순간부터 실시한다는 점이다. 그러므로 블랙포스(BlackPOS), 덱스터(Dexter), 브이스키머(vSkimmer), 백오프(Backoff) 등을 사용하는 공격자들이 정보를 훔치는 게 더 어려워진다. 이 멀웨어들은 암호화가 적용되기 전 POS 단말기에 저장된 정보를 훔치는 기능을 가지고 있기 때문이다.

하지만 가트너의 분석가인 아비바 리탄(Avivah Litan)은 조금 다른 의견을 가지고 있다. “암호화가 최후의 보루, 모두의 정답이라는 인식이 많기 때문에 지금 P2PE 방식의 적용을 서두르는 데에 큰 거부반응이 없을 듯 하지만, 정책 자체가 암호화를 자유롭게 적용하고 싶어하는 기업들에게만 유리해 보입니다. 이런 기업들은 보통 대기업들이죠. 이 법안이 통과되는 데에 많은 로비가 있지 않았을까 하는 의심이 듭니다. 결국 암호화를 자체적으로 해결할 수 있으면 비용절감에 엄청난 도움이 되겠죠. 그렇지 않은 대다수 중소상인들은 암호화 서비스 업체와 따로 계약을 맺고 비용을 지불해야 하고요. 전 그다지 긍정적이지 않아 보입니다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>