정보보호 마음만 있으면 뭐하나... 정보 처리 과정에 대한 이해 필요
파트너사와의 진지한 대화도 꼭 있어야... 실천사항 크게 어렵지 않아

[보안뉴스 문가용] 지불 기술과 관련된 보안 표준인 PCI SSC가 최근 중소기업들을 위한 보안 표준을 발표했다. 이 새로운 표준은 ‘소규모 사업장을 위한 PCI 지불 보호 전략(PCI Payment Protection Resources for Small Merchants)’이라고 하며, 파트너사 혹은 서드파티의 보안 문제가 수면 위로 드러나고 있는 시점에 나온 시기적절한 대처라는 평이다.


그러면서 PCI SSC는 최근 보도자료를 통해 세계 곳곳의 중소기업들이 보안 문제로 신음하고 있다고 강조하기도 했다. 특히 POS 시스템에 대한 공격에 각종 도소매 업체들이 당하고 있다고도 짚었다. “2015년에 일어난 사이버 공격의 절반은 250명 이하 사업장에서 발생했습니다.”

PCI SCC의 CTO인 트로이 리치(Troy Leach)는 “소규모 사업주들은 카드 지불에 대한 프로세스 전반에 대한 이해가 부족하다”며 “은행과 기술업체에 모든 것을 일임하기 때문”이라고 진단했다. 그러면서 “보안에 대해 이야기가 진행되려면 사실 어느 정도 카드 지불 기술에 대한 이해가 필요하다”고 밝혔다. “정보보안에 대한 이해도 당연히 필요하고요.”

보안이 중요한 이유
지불카드와 관련된 사고가 발생하면 곧바로 고객의 신뢰도가 내려간다. 즉 보안에 대한 개념은 사업을 유지하기 위한 신뢰와 직결되는 문제다. 이제 보안은 사업적으로 반드시 갖춰야 할 고려요소인 것이다. PCI SSC는 이 점을 좀 더 적나라하게 표현했다.

정보유출 사건으로 잃을 수 있는 것들 :
- 고객의 신뢰 하락. 거래량 하락.
- 새로운 지불카드 발급 비용 손해
- 사기 자체로 인한 손해
- 벌금 발생 확률 높음
- 법적소송 발생 확률도 높음
- 직업 잃을 가능성 높음(특히 CISO, CIO, CEO)
- 사업 망할 가능성 높음

지불 생태계 보호하기
“경험상 고객을 보호하고 싶어 하는 마음은 사업장 규모가 크나 작으나 마찬가지입니다. 하지만 그런 마음만 있다고 면피가 되는 건 아니죠. 그걸 할 수 있느냐 없느냐가 문제입니다. 소규모 사업장 사장님들의 공통점은 뭘 어떻게 하고, 어디서부터 시작해야 할 지 모른다는 겁니다. 그럼 어디서부터 해야 할까요? 교육이죠. 정보보안 교육부터 받으셔야 합니다.”

POS를 사용하는 사업주라면, 그리고 고객의 정보를 보호하고 싶은 마음이 진짜라면 제일 먼저 카드 사용자의 정보가 어디에 저장되고 어디를 통해 어디로까지 흘러가며, 이 과정에 해커들이 어떤 식으로 정보를 훔쳐내는지 정도는 이해하고 있어야 한다. 더 정확히 말하면 약점을 파악하고 보완까지 해야 하는 게 사업주의 임무다. 물론 카드관련 정보를 저장하지 않는 게 가장 안전한 방법이긴 하지만 현실적인 방법은 아니다. 카드 정보가 처리되는 전 과정에서 가장 중요하고 또 취약한 부분은 다음과 같다.

- 카드 리더기
- POS 시스템
- 매장 네트워크와 무선 라우터
- 지불카드 데이터 저장소와 전송
- 지불카드 데이터 저장소(종이)
- 온라인 지불 애플리케이션과 쇼핑 카트

여기까지 지불과정에 대한 이해가 어느 정도 자리 잡혔다면 다음 주제들로 조금씩 이해도를 확장시켜보기를 권한다. PCI SCC에서 발간한 ‘안전한 지불을 위한 가이드’라는 무료 전자책의 목차에 나오는 제목들이긴 하지만 이런 흐름으로의 공부가 가장 자연스러운 듯 하다.
- 기업에게 있어서 리스크란
- 지불 시스템과 종류
- 기업을 보호하기 위한 실제적인 실천 사항(이는 기사 말미에 살짝 등장한다)

파트너사에 물어야 할 질문들
서드파티 혹은 파트너사 없이 단독을 살아가는 기업은 없다. 거미줄과 같은 이 관계의 그물코들이 어디나 단단할 리가 없다. 아니, 차라리 단단한 곳을 골라 찾는 게 빠를 정도로 현대의 복잡한 네트워크는 전체적으로 취약하다. 당연히 ‘우리 회사와 저쪽 파트너사 사이의 네트워크도 취약하다’고 전제를 깔아두는 편이 현명하다. 그리고 여기서부터 보안 강화 대책을 마련해야 한다.

이는 질문과 대화로 시작된다. 파트너사 사장 혹은 보안 담당자와 시간을 잡고 보안과 관련된 대화를 나누어야 한다. 주로 이야기를 할 파트너사는 다음과 같다.
- 지불 애플리케이션 개발사 : 지불정보를 저장하고 처리하고 전송하는 애플리케이션을 만들고 지원하는 업체
- 지불 단말기 개발사 : 카드 지불 행위 자체를 가능하게 해주는 기기를 만들고 판매하는 업체
- 지불 프로세서, 호스팅 제공업체 : 카드 사용자 정보를 저장, 처리, 전송하는 업무를 대행해주는 업체. 아마 이커머스 서버 및 웹 사이트를 대신 개발, 운영해진 업체일 수도 있다.
- SaaS 제공업체 : 클라우드 기반의 웹 애플리케이션 혹은 지불 애플리케이션을 개발, 관리, 호스팅 해주는 업체로, 온라인 티케팅 및 예약 앱 개발사가 좋은 예다.
- 리셀러 : 지불 애플리케이션을 대신 알아봐주고 설치해주는 업체 혹은 사용자
- 보안 업체 : 시스템 및 네트워크의 보안을 점검해주며 방화벽이나 안티멀웨어 앱을 관리 및 운영하기도 한다.

정보 탈취 방어를 위한 실제적인 팁
위에서 언급한 실질적인 실천사항은 다음과 같다.
- 강력한 암호 사용 / 디폴트 사용 전면 금지
- 정말로 필요한 데이터만 선별해 저장
- 지불 단말기의 지속적인 검사
- 패치의 적기 설치
- 파트너사와의 신뢰 관계 구축 및 명확한 계약서 마련
- 카드 정보로의 접근 방식 보호하기
- 백신 소프트웨어 사용은 기본
- 취약점 스캐닝도 기본
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>