일본, 2020년 올림픽 맞춰 간편결제 위한 보안가이드로 PCI-DSS 요구
[보안뉴스 김경애] 최근 핀테크 열풍으로 안전결제에 대한 요구사항이 높아지면서 PCI-DSS와 FDS가 필수 요건으로 주목받고 있다.
.jpg)
PCI-DSS(Payment Card Industry Data Security Standard)는 PCI보안표준위원회(Security Standards Council)에서 주관하는 카드회원정보 관련 글로벌 인증으로, 결제 보안성을 평가받을 수 있는 체계다.
글로벌 신용카드 회사인 비자, 마스터카드, JCB, 아메리칸익스프레스, 디스커버 5개사가 만든 체계로 카드 정보보안에 있어 국제 표준으로 인정받고 있다. 정보보호경영시스템, 절차, 방법, 네트워크 구조, 소프트웨어 디자인 또는 그 외에 카드의 정보보호를 위한 요구사항을 다방면으로 규정하고 있다. 글로벌 신용카드 회사들은 시업자의 PCI-DSS 준수를 지원하기 위한 프로그램을 개발 및 보급하고 있다.
PCI-DSS의 중요한 목적은 카드정보의 적절한 보호로 카드 회원정보가 유출되어도 사용할 수 없는 형태로 보호하는 것이다. 이는 리스크 정도에 따라 정보보호 수준을 컨트롤 할 수 있어야 한다는 것을 의미하기도 한다.
일본 정부, 보안가이드로 PCI-DSS 요구
일본에서는 국내보다 먼저 PCI-DSS에 대한 요구가 증가하는 추세이며, 오는 2020년 도쿄 올림픽 유치에 따라 방문하는 관광객들의 안전한 간편결제를 위해 PCI-DSS를 요구하기 시작했다.
핀테크 시대의 데이터 보안표준 PCI-DSS 세미나에서 BSI 그룹 일본 모토 토시히로(Muto Toshihiro) Excutive Officer는 PCI-DSS 일본 동향에 대해 “일본의 경우 오는 2020년 개최되는 도쿄 올림픽 때문에 간편결제의 보안성 강화를 위해 보안가이드 지침으로 PCI-DSS를 요구하고 있는 추세”라고 말했다.
이는 일본의 표적형 사이버공격 메일이 전년대비 3배로 늘어났으며, 일반상점 POS 단말기에서의 보안사고가 급증하는 데 기인한다. 일본에서는 하루 100만종의 바이러스가 발생하고 있으며, 시중 프로그램으로 공격이 감행되고 있는 것으로 분석됐다.
특히, 일본에서는 정보유출 사고가 발생했을 때 손해배상의 면책제도가 시행되어 있어 일본기업의 선호도가 더욱 높아지는 추세라는 설명이다.
국내의 경우 금융권에서 F-ISMS 인증 개발에 앞서 우선적으로 ISMS, PCI-DSS 등을 인정하고 있는데, 특히, PCI-DSS의 경우 400여개의 요구사항이 상세히 나와 있는 등 높은 보안성을 요구하고 있어 주목받고 있다.
일례로 PCI-DSS 요구사항에는 카드 정보의 시스템 및 시큐리티 리스크를 감소시키기 위해 신용카드 회원정보를 보유하지 않고, 시스템 안에서의 카드 회원정보 활용을 가능한 최소화해야 하며, 카드 회원정보에 최소 인원만이 접속하도록 요구하고 있다.
PCI-DSS를 충족시키기 위해 필요한 주요 요건으로는 내외부에서의 취약성 스캔 실시, 침투 테스트, 무선 LAN의 접속포인트 확인, WAF(Web Application Firewall), 카드정보의 암호화, IDS·IPS, 조작로그 등 로그관리, 보안패치 관리, 물리적 입·퇴실관리 및 감시카메라, 파일정합성 감시 등이 포함된다.
현재 국내 일부 대기업과 국내에 진출해 있는 글로벌 기업은 안전한 결제 시스템 구축과 이로 인한 신뢰성 향상을 위해 PCI-DSS 인증을 획득하고 있다.
이와 관련 EY 김상우 상무는 “글로벌기업 S사의 경우 의도하지 않는 정보가 저장되는 리스크를 없애기 위해 카드번호를 어떤 곳에 저장하더라도 식별할 수 없는 형태와 일회용 토큰 서비스로 시스템을 구축했다”며, “이용자가 회원 탈퇴시 해당 정보가 개인정보 범주에 속하지 않도록 분류했다”고 밝혔다.
페이발(PayPal)의 경우도 내부통제, 결제절차, 인증기술, 사후대책 등에 대한 종합적인 감사를 위해 PCI-DSS Level 1 획득을 진행 중에 있다고 밝혔다.
글로벌 보험사인 M사의 경우 보안수준이 상당히 높은데도 불구하고, 개인정보 최소 수집과 폐기, 시큐어코딩, 로그 검토 등을 위해 PCI-DSS 획득 요건과 국내 전자금융 감독규정 등 컴플라이언스 요건을 다각도로 검토하고 있는 것으로 알려졌다.
PCI-DSS 인증 취득시 고려사항
그렇다면 PCI-DSS 인증 취득시 고려사항은 무엇일까? 이에 대해 BSI코리아 송일섭 심사원은 “기업에서 어느 부분까지 PCI-DSS 인증을 받을지 인증범위에 대한 계획을 구체적으로 세우는 것과 동시에 서드파티(Third-Party Service Providers), 무선랜, 네트워크 세그먼트(Network Segmentation)에 대한 구체적인 계획 수립이 매우 중요하다”고 강조했다.
이어 EMC 신호철 상무는 “효율적인 PCI-DSS 운영을 위해서는 컴플라이언스 프로세스, 리포팅 체계 등에 대해 구체적인 정책을 세움으로써 효율적인 자동화 시스템을 구현할 수 있도록 해야 한다”고 설명했다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애] 최근 핀테크 열풍으로 안전결제에 대한 요구사항이 높아지면서 PCI-DSS와 FDS가 필수 요건으로 주목받고 있다.
PCI-DSS(Payment Card Industry Data Security Standard)는 PCI보안표준위원회(Security Standards Council)에서 주관하는 카드회원정보 관련 글로벌 인증으로, 결제 보안성을 평가받을 수 있는 체계다.
글로벌 신용카드 회사인 비자, 마스터카드, JCB, 아메리칸익스프레스, 디스커버 5개사가 만든 체계로 카드 정보보안에 있어 국제 표준으로 인정받고 있다. 정보보호경영시스템, 절차, 방법, 네트워크 구조, 소프트웨어 디자인 또는 그 외에 카드의 정보보호를 위한 요구사항을 다방면으로 규정하고 있다. 글로벌 신용카드 회사들은 시업자의 PCI-DSS 준수를 지원하기 위한 프로그램을 개발 및 보급하고 있다.
PCI-DSS의 중요한 목적은 카드정보의 적절한 보호로 카드 회원정보가 유출되어도 사용할 수 없는 형태로 보호하는 것이다. 이는 리스크 정도에 따라 정보보호 수준을 컨트롤 할 수 있어야 한다는 것을 의미하기도 한다.
일본 정부, 보안가이드로 PCI-DSS 요구
일본에서는 국내보다 먼저 PCI-DSS에 대한 요구가 증가하는 추세이며, 오는 2020년 도쿄 올림픽 유치에 따라 방문하는 관광객들의 안전한 간편결제를 위해 PCI-DSS를 요구하기 시작했다.
핀테크 시대의 데이터 보안표준 PCI-DSS 세미나에서 BSI 그룹 일본 모토 토시히로(Muto Toshihiro) Excutive Officer는 PCI-DSS 일본 동향에 대해 “일본의 경우 오는 2020년 개최되는 도쿄 올림픽 때문에 간편결제의 보안성 강화를 위해 보안가이드 지침으로 PCI-DSS를 요구하고 있는 추세”라고 말했다.
이는 일본의 표적형 사이버공격 메일이 전년대비 3배로 늘어났으며, 일반상점 POS 단말기에서의 보안사고가 급증하는 데 기인한다. 일본에서는 하루 100만종의 바이러스가 발생하고 있으며, 시중 프로그램으로 공격이 감행되고 있는 것으로 분석됐다.
특히, 일본에서는 정보유출 사고가 발생했을 때 손해배상의 면책제도가 시행되어 있어 일본기업의 선호도가 더욱 높아지는 추세라는 설명이다.
국내의 경우 금융권에서 F-ISMS 인증 개발에 앞서 우선적으로 ISMS, PCI-DSS 등을 인정하고 있는데, 특히, PCI-DSS의 경우 400여개의 요구사항이 상세히 나와 있는 등 높은 보안성을 요구하고 있어 주목받고 있다.
일례로 PCI-DSS 요구사항에는 카드 정보의 시스템 및 시큐리티 리스크를 감소시키기 위해 신용카드 회원정보를 보유하지 않고, 시스템 안에서의 카드 회원정보 활용을 가능한 최소화해야 하며, 카드 회원정보에 최소 인원만이 접속하도록 요구하고 있다.
PCI-DSS를 충족시키기 위해 필요한 주요 요건으로는 내외부에서의 취약성 스캔 실시, 침투 테스트, 무선 LAN의 접속포인트 확인, WAF(Web Application Firewall), 카드정보의 암호화, IDS·IPS, 조작로그 등 로그관리, 보안패치 관리, 물리적 입·퇴실관리 및 감시카메라, 파일정합성 감시 등이 포함된다.
현재 국내 일부 대기업과 국내에 진출해 있는 글로벌 기업은 안전한 결제 시스템 구축과 이로 인한 신뢰성 향상을 위해 PCI-DSS 인증을 획득하고 있다.
이와 관련 EY 김상우 상무는 “글로벌기업 S사의 경우 의도하지 않는 정보가 저장되는 리스크를 없애기 위해 카드번호를 어떤 곳에 저장하더라도 식별할 수 없는 형태와 일회용 토큰 서비스로 시스템을 구축했다”며, “이용자가 회원 탈퇴시 해당 정보가 개인정보 범주에 속하지 않도록 분류했다”고 밝혔다.
페이발(PayPal)의 경우도 내부통제, 결제절차, 인증기술, 사후대책 등에 대한 종합적인 감사를 위해 PCI-DSS Level 1 획득을 진행 중에 있다고 밝혔다.
글로벌 보험사인 M사의 경우 보안수준이 상당히 높은데도 불구하고, 개인정보 최소 수집과 폐기, 시큐어코딩, 로그 검토 등을 위해 PCI-DSS 획득 요건과 국내 전자금융 감독규정 등 컴플라이언스 요건을 다각도로 검토하고 있는 것으로 알려졌다.
PCI-DSS 인증 취득시 고려사항
그렇다면 PCI-DSS 인증 취득시 고려사항은 무엇일까? 이에 대해 BSI코리아 송일섭 심사원은 “기업에서 어느 부분까지 PCI-DSS 인증을 받을지 인증범위에 대한 계획을 구체적으로 세우는 것과 동시에 서드파티(Third-Party Service Providers), 무선랜, 네트워크 세그먼트(Network Segmentation)에 대한 구체적인 계획 수립이 매우 중요하다”고 강조했다.
이어 EMC 신호철 상무는 “효율적인 PCI-DSS 운영을 위해서는 컴플라이언스 프로세스, 리포팅 체계 등에 대해 구체적인 정책을 세움으로써 효율적인 자동화 시스템을 구현할 수 있도록 해야 한다”고 설명했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
