디지털 플랫폼은 기업이 현금 없는 거래를 가능하게 하는 온라인 판매로 비즈니스를 성장시키고 확장할 수 있는 수많은 기회를 열어 주었습니다. 하지만, 이것은 또한 온라인 사기 및 도난의 문도 열었습니다. 2020년에 데이터 유출로 인해 360억 건 이상의 레코드가 노출되었습니다. 온라인 결제는 신용카드 및 직불카드 정보를 교환하는 과정을 거치므로 온라인 결제를 승인하는 기업은 PCI DSS와 같은 결제를 처리하기 위한 특정 운영 및 기술 표준을 준수해야 합니다. 이 문서에서는 사이버 환경의 새로운 위협과 관련하여 PCI와 PCI DSS 표준을 준수해야 하는 필요성에 대해 설명합니다.

PCI DSS란?

PCI DSS는 Payment Card Industry Data Security Standard(결제 카드 산업 데이터 보안 표준)의 약자로 직불카드와 신용카드 정보를 안전하게 보관하기 위한 사이버 보안 표준을 의미합니다. 결제 카드 산업 보안 표준 위원회는 온라인 결제 규제에 대한 통합된 표준 세트를 개발한 공로를 인정받고 있습니다. 

American Express, Discover, JCB International, Mastercard, Visa Inc.는 2006년 판매 기업과 금융 기관이 카드 소지자 데이터를 보호하는 것을 지원하기 위해 PCI DSS를 설립했습니다. PCI DSS를 준수하지 않은 기업은 벌금을 부과 받게 됩니다. PCI DSS는 안전한 결제 에코시스템 조성을 목적으로만 구축되었습니다. 

카드 소지자 데이터를 저장하거나 전송하는 모든 법인은 PCI DSS 지침을 따라 악의적인 행위자의 무단 액세스 및 공격을 방지해야 합니다. 

PCI DSS의 작동 방식

PCI 컴플라이언스는 일회성 이벤트가 아닙니다. 법인은 결제 시스템을 적절히 보호하기 위해 보안 표준을 지속적으로 준수해야 합니다. PCI 보안 절차에 대한 투자는 금전적 측면과 브랜드 평판 측면 모두에서 법인을 보호하는 데 큰 도움이 됩니다. 

PCI 컴플라이언스는 3단계로 구성됩니다.

1. 평가: 이 단계에서 카드 소지자 데이터는 취약성을 탐지하기 위해 카드 거래 수행에 관련된 IT 자산 및 비즈니스 프로세스와 함께 식별됩니다. 
2. 수정: 탐지된 취약성을 수정합니다. 원활한 운영을 위해 반드시 필요한 경우가 아니라면 카드 데이터를 저장하지 않습니다. 
3. 보고: 보고서는 은행 및 카드 브랜드에 제출됩니다. 보고서는 법인의 컴플라이언스 준수 상태를 신고하는 방법입니다. 

컴플라이언스 절차에는 조직의 PCI DSS 수준을 결정하는 작업이 포함됩니다. 연간 신용카드 거래 건수에 따라 수준이 결정됩니다. 자체 평가 설문지는 기관이 작성해야 합니다. 각 법인이 신용카드 데이터를 처리하는 방식에 따라 다양한 설문지를 사용할 수 있습니다. 다양한 유형의 판매업체가 사용할 수 있는 모든 SAQ(자체 평가 질문)를 보려면 여기를 클릭하세요.

일부 조직은 제3자와 제휴를 맺고 있는 반면, 일부는 독립형 결제 단말기를 통해 결제를 받습니다. 해당 설문지를 작성하면 개선이 가능한 부분을 이해하는 데 도움이 됩니다. 입력한 답변이 PCI DSS 요구 사항을 준수하면 컴플라이언스를 증명할 준비가 된 것입니다.

PCI DSS가 필요한 조직

PCI DSS는 카드 소지자 데이터를 저장하거나 전송하는 모든 법인에 적용됩니다. 즉, 처리되는 거래의 크기와 수에 관계없이 모든 조직은 PCI DSS를 준수해야 합니다. 조직은 휴대폰상에서 신용카드 정보를 수집하더라도 PCI DSS를 반드시 준수해야 합니다. 

제품을 판매하거나 기부를 받는 모든 조직은 PCI DSS가 규정한 모범 사례를 따라야 합니다. PCI SSC가 아니라 결제 브랜드 및 인수 은행이 컴플라이언스를 시행할 책임이 있습니다. 비즈니스가 모든 수준의 컴플라이언스를 준수할 필요는 없습니다. 기업에서 수행되는 거래 수에 따라 다양한 PCI DSS 컴플라이언스 수준이 있습니다. 

PCI SSC는 온라인 결제를 지원하는 인프라를 구축하고 유지하는 데 관여하는 금융 기관, 판매 기업, POS 벤더, 하드웨어 및 소프트웨어 개발자에게 서비스를 제공합니다. 

PCI DSS 컴플라이언스 수준

조직에서 처리하는 트랜잭션 수에 따라 네 가지 수준의 컴플라이언스가 있습니다. 각 기업의 컴플라이언스 과정은 컴플라이언스 수준에 따라 달라집니다. 아래에는 조직이 속한 범주와 후속 컴플라이언스 절차를 결정하는 데 도움이 되는 네 가지 컴플라이언스 수준이 나와 있습니다. 

레벨 1

연간 600만 건 이상의 거래를 처리하는 법인은 레벨 1에 해당됩니다. 이러한 법인은 내부 보안 평가자 또는 PCI가 인증한 품질 보안 평가자의 감사를 거쳐야 합니다. 이것은 모든 단계 중 가장 엄격한 단계입니다. 

또한 과거에 데이터 유출을 겪은 조직은 처리되는 거래 수에 관계없이 레벨 1 PCI DSS 절차를 준수해야 합니다. 분기마다 한 번씩 공인 검색 공급업체가 PCI 검색도 수행합니다.

레벨 2

연간 100만 개에서 600만 개 사이의 거래를 처리하는 법인은 레벨 2 컴플라이언스를 준수해야 합니다. 레벨 2 법인의 경우 자체 평가 설문지를 작성하는 것이 좋습니다. 또한 분기별로 ASV 검사를 받아야 합니다. 

레벨 3

레벨 3의 법인은 연간 2만~100만 건의 거래를 처리하는 법인입니다. 해당 레벨의 법인도 레벨 2와 마찬가지로 적절한 설문지를 작성하여 자체 평가를 완료해야 합니다. 분기별 외부 ASV 검사도 필수입니다. 

레벨 4

연간 20,000건 미만의 거래를 처리하는 가맹점은 레벨 4에 속합니다. 연간 자체 평가 및 분기별 PCI 검사는 레벨 4 법인에 대한 컴플라이언스 요건입니다. 모든 레벨에 대한 현장 평가는 가맹점 재량에 따라 실시할 수 있습니다. 

PCI DSS 요구 사항

PCI DSS에는 카드 소지자 데이터 보호에 중점을 둔 12가지 요구사항이 명시되어 있습니다. PCI DSS 컴플라이언스는 가맹점과 카드 브랜드 또는 은행 간에 체결된 계약에 따라 결정됩니다. 다음은 기업이 준수해야 할 12가지 중요한 조건입니다.

방화벽 설치

방화벽은 카드 데이터 환경을 보호하기 위한 전제 조건입니다. 서비스 공급자 및 판매업체는 액세스 권한을 규제하기 위해 방화벽 구성을 설치하고 유지해야 합니다. 조직에서 정한 규칙 및 기준에 따라 방화벽은 액세스를 허용하거나 거부합니다. 보안이 손상된 액세스 규칙이 없는지 확인하려면 이러한 규칙을 2년마다 검토하는 것이 좋습니다.

암호 및 설정 구성

기본 사용자 이름과 암호는 안전하지 않으므로 권장하지 않습니다. 보안을 강화하기 위해 기본 설정을 변경해야 합니다. 이 두 번째 요구사항은 서버, 애플리케이션, 방화벽, 기타 무선 액세스 포인트의 강화에 중점을 둡니다. 또한 조직은 모든 시스템과 구성의 인벤토리를 유지관리해야 합니다.

저장된 데이터 보호

저장할 카드 데이터의 위치 및 보존 기간을 결정합니다. 카드 소지자 데이터를 올바르게 암호화해야 합니다. 또한 암호화 키도 보호해야 합니다. 몇 가지 제한 사항을 구현하지 않고 기본 계정 번호(PAN)를 표시해서는 안 됩니다. 이 요구 사항에 따라 처음 6자리 및 마지막 4자리만 표시되어야 합니다. 데이터 검색 도구는 시스템에서 암호화되지 않은 PAN을 찾는 데 도움이 됩니다. 

카드 소지자 데이터 전송 암호화

법인은 공용 및 개방형 네트워크를 통해 전송하는 동안 카드 데이터를 암호화하는 데 각별히 주의해야 합니다. 해커들은 결제 게이트웨이나 프로세서로 전송될 때 암호화되지 않은 데이터를 쉽게 도용할 수 있습니다. 안전한 전송 프로토콜을 구현하여 프로세서, 제3자, 백업 서버, 회사 사무실 등에서 데이터에 액세스하는 무단 시도를 방지합니다.

바이러스 백신 소프트웨어 및 프로그램 업데이트

악성 코드는 시스템에 악영향을 미칠 수 있기에 바이러스 백신 프로그램을 구축하는 것이 효과적인 해결책입니다. 알려진 악성 코드 위협이 시스템에 침투하지 않도록 바이러스 백신 소프트웨어를 정기적으로 업데이트하는 것이 중요합니다. 바이러스 백신 소프트웨어가 최신 서명을 사용하고 있고 감사 가능한 로그를 생성하는지 확인합니다. 

보안 시스템 및 애플리케이션 유지

시스템의 취약성을 악용하지 않으려면 보안 패치를 설치해야 합니다. POS 터미널, 운영 체제, 스위치, 라우터, 방화벽, 애플리케이션 소프트웨어, 데이터베이스를 포함한 카드 데이터 환경과 관련된 모든 시스템을 최신 보안 표준에 따라 업데이트해야 합니다. 

카드 소지자 데이터에 대한 액세스 제한 

비즈니스에서 꼭 알아야 하는 경우에만 접근이 허용되어야 합니다. 역할 기반 액세스 제어 시스템을 구현하여 중요한 정보의 오남용을 방지합니다. 자신의 역할, 권한 수준 등을 정의하여 카드 데이터를 처리하는 모든 사용자의 목록을 준비합니다. 

각 사용자에게 고유 ID 할당

이 요구 사항은 그룹 또는 공유 암호 사용을 금지합니다. 카드 소지자 데이터를 처리하는 모든 사용자에게는 고유한 ID와 암호가 부여되어야 합니다. 약하고 추측 가능한 암호는 보안에 위협이 됩니다. 비밀번호는 해독하기 어려워야 하며 원격 접속 시 2차 인증이 필수적입니다. 

카드 소지자 데이터에 대한 물리적 액세스 제한

카드 소지자 데이터와 함께 시스템을 보호하기 위해 물리적 액세스 제어를 구현하는 것이 중요합니다. 방문객의 움직임을 추적하기 위해 비디오 카메라와 출입 통제 시스템이 설치되어야 합니다. 모든 무단 액세스 시도를 적시에 모니터링하고 방지할 수 있어야 합니다. 더 이상 필요 없게 되면 모든 미디어를 폐기해야 합니다.

로그 관리

이 요구 사항은 로그를 중앙 집중식 syslog 서버로 보내는 것과 관련됩니다. 의심스러운 활동을 탐지하려면 로그를 매일 모니터링해야 합니다. 감사 정책은 모든 시스템을 보호하는 데 중요합니다. 법인은 네트워크 리소스 및 카드 소지자 데이터에 대한 모든 액세스를 엄격하게 추적해야 합니다. 

보안 시스템 및 프로세스 테스트

보안을 유지하는 것은 결코 끝나지 않는 과정입니다. 새로운 취약성과 허점은 해커의 공격 대상이 될 수 있습니다. 잦은 테스트만이 모든 보안 표준을 준수할 수 있는 유일한 방법입니다. 

외부 IP 및 도메인에 대한 내부 취약성 검사 및 애플리케이션 및 네트워크 침투 테스트는 매년 반드시 수행해야 합니다. PCI ASV(승인된 검색 벤더)는 분기별로 모든 외부 IP 및 도메인을 검사해야 합니다. 

정보 보안을 다루는 정책 유지 관리

기업은 최종 요구사항을 준수하기 위해 정보 보안 정책을 유지해야 합니다. 이 정책은 직원, 도급업체 또는 공급업체에 배포되어야 합니다. 또한 매년 위험도 평가와 사용자 인식 교육을 실시하고 직원의 배경 조사 및 사고 관리를 실시해야 합니다.

PCI DSS 인증 대 PCI 평가

판매 기업과 서비스 제공업체는 구매 은행 또는 결제 브랜드와 상의하여 현장 PCI DSS 평가를 실시해야 컴플라이언스 여부를 결정해야 합니다. 일반적으로 레벨 1 판매업체는 연간 600만 건 이상의 카드 거래를 처리하기 때문에 QSA(Qualified Security Assessor)의 엄격한 평가를 받아야 합니다. 

PCI DSS 인증이라는 것이 있을까요? 대답은 ‘아니요’입니다. 인증은 사용하기에 적절한 단어가 아닙니다. 평가는 자체 평가와 QSA 평가의 두 가지 유형으로 나뉩니다. 일부 법인에서는 QSA에 의한 감사 및 평가를 인증 프로세스로 언급합니다. 하지만 법인은 PCI DSS 인증을 받는 것이 아니라 PCI DSS를 준수하는 것이 중요합니다. 

레벨 1 판매 기업은 QSA의 철저한 평가 후 ROC(컴플라이언스 보고서)를 의무적으로 받아야 합니다. 일부 기관들은 또한 QSA의 현장 평가를 위해 자발적으로 비용을 지불하는 것을 선택할 수도 있습니다. 과거에 사이버 보안 위협에 시달렸던 조직도 현장 평가를 거쳐야 합니다. 

2단계부터 4단계까지의 판매 기업은 적절한 설문지를 작성하고 자체 평가를 할 수 있습니다. 그러나 보안상의 이점이 막대하기 때문에 조직에서는 현장 평가를 받는 것이 매우 좋습니다. 레벨 2에서 레벨 4까지의 판매 기업은 AOC(컴플라이언스 증명)를 진행할 수 있지만 레벨 1 판매 기업은 ROC와 AOC를 모두 필요로 합니다. 하지만, 자기 평가에만 의존한다면 보안에 대해 자칫 방심하게 될 수 있습니다. 

PCI DSS를 준수하지 못할 경우 어떻게 되는가?

PCI DSS를 준수하지 않으면 비즈니스에 심각한 결과를 초래할 수 있습니다. PCI DSS를 준수한다고 해서 유출 가능성이 전혀 없는 것은 아닙니다. 그러나 12개의 PCI DSS 요구 사항을 충족하면 사이버 공격의 가능성을 크게 줄일 수 있습니다. 판매 기업은 PCI DSS를 준수하지 않을 경우 결제 처리자가 부과하는 벌금 및 위약금 약관에 동의해야 합니다. 

벌금은 브랜드마다 다를 수 있습니다. 거래량이 많은 대기업은 중징계를 받게 됩니다. 벌금액은 회사가

요구 사항을 준수하지 않은 총 개월 수와 유출로 피해를 입은 고객의 수를 평가하여 결정됩니다. 회사가 오랜 기간 동안 규정을 준수하지 않았을 경우 월별 요금이 증가합니다.

규정 준수 불이행 시 판매 기업은 금전적 손실의 위험만 있는 것은 아닙니다. 보안이 크게 손상되고 대량의 데이터가 노출됩니다. 판매 기업 및 카드사 간 계약이 해지될 수 있습니다. 반면, 규정을 완전히 준수하고도 데이터 유출이 발생한 경우 카드사는 부과한 과태료 금액을 낮출 수 있습니다. 

법적인 결과는 또 다른 문제입니다. 민감한 데이터를 위험에 빠뜨린 법인에 대해 소송을 제기될 수 있으며 브랜드 평판은 회복할 수 없을 정도로 손상되고 고객들의 신뢰 부족으로 인해 수익은 크게 하락할 것입니다. PCI DSS는 그 자체로 법률은 아니지만 카드 브랜드에서 부과하는 벌금 때문에 어떤 법인도 규정을 준수하지 않고 기능하는 것은 매우 위험합니다. 

마무리

PCI DSS는 업계에서 인정하는 알고리즘을 사용하여 데이터를 암호화하고 모든 종류의 온라인 데이터 조작 및 도난으로부터 카드 소지자 데이터를 보호하는 것이 중요하다고 강조합니다.

사이버 공격이 놀라운 속도로 증가함에 따라, 데이터 보호를 중시하고 안전한 환경에서 운영하는 기업에 PCI DSS를 준수하는 것이 그 어느 때보다 중요해지고 있습니다.

판매 기업은 손상된 보안 조치로 인해 발생하는 모든 보안 비용을 방지하기 위해 PCI 컴플라이언스를 유지하는 것이 매우 중요합니다. PCI 컴플라이언스를 활용한다면 탄탄한 명성을 쌓을 수도 있습니다. 카드 소지자 데이터를 해킹할 수 없도록 하려면 판매 기업과 서비스 공급업체가 각각의 PCI DSS 컴플라이언스 레벨에 따라 준수해야 합니다.

PCI DSS에 대해 질문이 있으신가요? 여기에 https://www.pcicomplianceguide.org/faq/ 방문해서 추가적인 정보를 확인하세요. 

앱실링(AppSealing)은 모바일 앱 보안을 강화하기 위한 세계 최고의 보안 솔루션입니다. 알려진 위협과 알려지지 않은 위협에 대한 특허 받은 애플리케이션 보호 솔루션을 통해 핀테크, 게임, 영화 등과 같은 산업에 적합한 깊이 있는 전문 지식을 보유하고 있습니다. 브랜드 이미지를 보호하고, 원활한 사용자 환경을 제공하며, 모든 온라인 거래를 위한 신뢰할 수 있는 환경을 조성합니다. 지금 바로 문의하여 제로 코딩으로 애플리케이션을 완벽하게 보호하고 모든 보안 표준을 준수하세요.