PCI DSS 준수 업체 64% 데이터 침해 사고 없어
[보안뉴스 호애진] 설문조사 결과 PCI DSS를 준수하는 업체는 신용카드 정보와 관련 데이터 침해 사고를 적게 받는 것으로 나타났다.

보안업체 임퍼바(Imperva)와 개인정보보호 및 정보관리 조사회사인 포네몬 인스티튜트(Ponemon Institute)가 최근 미국에서 실시한 설문 조사에 따르면 신용카드 데이터보안 표준인 PCI-DSS 적합성 준수 업체 중 다수는 데이터 침해 사고를 거의 또는 전혀 겪지 않은 것으로 나타났다.
 

PCI DSS(Payment Card Industry Data Security Standard)’란 비자·마스터카드·아메리칸익스프레스 등 세계적인 카드회사가 주축이 돼 만든 지불카드 업계 정보보안 표준규격이다.


설문 조사에 따르면 PCI-DSS 적합성 준수 업체 중 64%는 지난 2년간 신용카드 정보와 관련 데이터 침해를 전혀 겪지 않았다고 밝힌 반면 적합성 미준수 단체 중 그 비율은 불과 38%였다.
 



PCI-DSS는 신용카드 정보를 노린 해킹이나 카드 분실·도난사고가 증가하면서 고객정보를 보호하고, 보안사고로 인한 카드사와 서비스 제공업체, 가맹점의 잠재적인 손실을 최소화하기 위해 마련됐다.

해외에서는 고객의 데이터를 저장, 처리, 전송하는 카드 가맹점과 서비스사업자라면 모두 준수하도록 권고하고 있으며, 일정 거래규모 이상의 처리업체와 가맹점에게는 의무적으로 이행토록 하고 있다.

그러나 우리나라는 현재 PCI DSS에 대한 인식이 낮다. PCI협회에서 인증 받은 제3의 QSA(품질시스템평가)업체인 A3 시큐리티에 따르면 국내에서 이를 준수하는 업체는 매우 적은 것으로 나타났다.

보안업계의 한 관계자는 “우리나라의 카드 결제 환경이 해외와 다르기 때문에 이를 적용토록 하는데 무리가 있다”며 “또한 신용정보법과 금감원의 지침 등 준수해야 할 사항이 우선적으로 적용되는 만큼 PCI DSS가 국내에 정착되는 것은 쉽지 않을 것”이라고 말했다.

또한 PCI DSS를 준수하는데 요구되는 사항이 수백개나 된다는 것도 문제다. 그 내용 또한 까다로우면서도 명확하지 않아 부담을 느낄 수 밖에 없다는 것이 관련 업체들의 중론이다. 

비용도 업체들이 우려하고 있는 바 중 하나다. 규정에 따라 새롭게 도입하고 구축해야 할 장비 및 관리 체계를 마련하는 데 드는 비용이 결코 만만치 않기 때문이다.

한 보안 전문가는 “PCI DSS가 보안에 있어 100% 정답은 아니다”라며 “이런 보안 컴플라이언스가 강제력을 갖게 되면 좋겠지만 우선적으로 업체에서 보안을 강화하려는 노력이 이뤄져야 하는데 이에 대한 필요성을 못 느끼는 것이 가장 심각한 문제”라고 지적했다.
[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>