.gif)
PCI SSC 컨퍼런스, 밴쿠버에서 열려...어떤 점 주로 논의되었을까
새로운 지불 기술의 등장이 관건...새로운 표준들 다수 마련되는 듯
[보안뉴스 문가용 기자] 지불 산업에 종사하는 전문가 1300명이 밴쿠버에서 모였다. 그리고 지불 카드 산업 보안 표준 협의회(Payment Card Industry Security Standards Council, PCI SSC) 북미 지역 회의를 시작했다.
[이미지 = iclickart]
이렇게나 많은 사람이 모인 이유는 모바일 장비들에 장착되어 있는 비접촉식 지불 기술의 새로운 보안 표준을 정립하고, 차기 PCI 보안 표준을 개발하며, 곧 공개될 P2P 암호화(P2PE) 기술의 PCI 표준을 마련하는 것이었다. 여기에 더해 PCI SSC의 표준과 결정이 미래에 어떤 과정을 통해 이뤄질 것인지를 안내할 새로운 보안 프레임워크가 발표되기도 했다.
결국 PCI의 여러 가지 보안 표준들을 연장 혹은 개정하는 일에 대해 이 많은 사람들이 이야기를 나눈 것이다. 이는 각종 지불 기술이 새롭게 등장하는 지금과 같은 때에 반드시 필요한 일이었다. 또한 앞으로도 더 많은 기술이 나타날 것으로 예상되기 때문에 새 프레임워크를 통해 관계자들과 PCI SSC 회원들이 보다 원활하게 목소리를 낼 수 있게 해두기도 했다.
10년도 훨씬 넘는 기간 동안 지불 카드 데이터를 직접적이든 간접적으로 처리해야하는 모든 조직들은 PCI SSC의 표준에 따라야만 했다. 원래는 마스터카드(MasterCard), 비자(Visa), 아메리칸 엑스프레스(American Express), 디스커버(Discover), JCB가 함께 만든 것으로, 신용카드 및 현금카드를 사용한 거래를 안전하게 지키는 것을 목적으로 하고 있다.
그래서 PCI SSC는 자신들의 표준이 제대로 지켜지고 있는지 확인하고, 주기적으로 시험하는 절차를 갖기도 한다. 지불 카드와 관련된 보안 사고를 겪은 기업들의 경우는 PCI SSC가 조사를 통해 표준이 제대로 지켜졌는지 확인하고, 그렇지 않을 경우 벌금을 내도록 했다. 꽤나 구속력이 강한 표준이라고 볼 수 있다. 이런 PCI SSC, 이번 회의를 통해 어떤 이야기를 나눴을까? 크게 다섯 가지로 정리해 보았다.
1. 지불 소프트웨어 보안 평가자 지원 받는다
PCI SSC는 10월부터 새로운 ‘소프트웨어 보안 프레임워크(Software Security Framework, SSF)’에 입각해 지불 소프트웨어의 보안성을 평가하는 평가자가 되고 싶은 기업과 개인 전문가들의 지원서를 받기로 했다. 평가자로 선정이 되면 1) 소프트웨어 제조사들이 ‘보안 소프트웨어 생애주기(Secure Software Lifecycle, SSL)’라는 표준을 따르고, 2) 소프트웨어 상품이 ‘보안 소프트웨어(Secure Software, SS)’ 표준을 따를 수 있도록 해야 한다.
PCI의 소프트웨어 보안 프레임워크(PCI SSF)는 지불 카드 보안을 위한 새로운 표준들과 프로그램들을 모아둔 것으로, 현재의 ‘지불 애플리케이션 데이터 보안 표준(Payment Application Data Security Standard, PA DSS)’을 2022년까지 대체할 예정이다. PCI SSF는 기존 PA DSS의 내용을 대부분 포함하지만 보다 넓은 범위의 지불 소프트웨어와 기술의 개발 방법들까지도 아우를 것이라고 한다. PCI SSC는 SSF에 대해 “새로운 지불 소프트웨어와 방법들의 보안까지도 다질 수 있게 해주는 새로운 접근법”이라고 묘사한다.
“SSF의 목적은 1) 보안 시험을 보다 유연하고 빠르게 실시할 수 있게 하고, 2) 평가 대상이 될 소프트웨어와 애플리케이션의 범위를 넓히고, 3) 지불 산업 내 애플리케이션 개발자들의 보안 인식을 향상시키는 것입니다.” PCI SSC의 CTO인 트로이 리치(Troy Leach)의 설명이다.
지불 산업에 어떻게든 발을 걸치고 있는 조직들이라면, 사용되고 있는 소프트웨어가 SSF의 요구사항을 잘 지키고 있도록 해야 한다. 하지만 지금 당장부터는 아니다. 표준의 변화가 최대한 부드럽게 적용될 수 있도록 하기 위해 PCI SSC는 당분간 SSF와 PA DSS를 함께 지키도록 요구할 것이기 때문이다. 즉, 조직들은 SSF가 완전히 PA DSS를 대체할 때까지는 이 두 가지 중 하나만 지켜도 표준을 따르는 것으로 인정된다.
2. 비접촉 지불과 관련된 새로운 표준, 올해 안에 나온다
PCI SSC는 올해 말까지 모바일 지불 기술과 관련된 새로운 보안 표준을 발표할 예정이다. 현재 적용되고 있는 ‘PCI PIN 거래 보안 상호 작용 지점(PCI PIN Transaction Security Point of Interaction)’ 표준을 확장시키는 것으로, 모바일 장비를 사용해 비접촉 방식으로 거래를 하도록 해주는 기술을 포함할 것이라고 한다. 현재 널리 사용되고 있는 상용 모바일 제품들이 다수 포함된다.
PCI SSC는 이미 ‘상용 모바일 제품에서의 소프트웨어 기반 PIN 입력(Software-based PIN Entry on COTS)’이라는 표준을 보유하고 있다. 하지만 여기에는 비접촉식 지불 기술이 포함되어 있지 않다. “현재 대부분의 스마트폰 제조사들이 비접촉 지불 기술을 지원하고 있고, 그런 장비들이 앞으로도 더 나올 예정입니다. 그렇기 때문에 이에 관한 표준을 서둘러 발표할 예정입니다.” 리치의 설명이다.
3. PCI DSS 4.0에 대한 피드백, 10월까지 받는다
PCI SSC는 현재의 PCI DSS를 4.0으로 업데이트해야 하는 엄청난 과제를 수행하고 있는 중이다. ‘대규모’ 업데이트라고 알려져 있으며, 2020년 4사분기 내로 이를 발표해야 한다. 그 전까지 PCI SSC의 모든 관계자들이 초안을 보고 의견을 제시할 수 있다(항상 그래왔다). 이번 PCI DSS 4.0 초안에 대한 첫 번째 피드백 접수 기간은 10월부터 시작된다. 여기에 참여하고 싶은 사람들에게는 PCI DSS 4.0의 최초 초안과, 주요 변경 사항들을 요약해놓은 문서가 주어진다.
“이번 회의를 통해 PCI SSC 회원들이 벌써부터 흥미로운 부분을 지적해주었습니다. 인증과 관련된 부분이나, 최근에 득세하고 있는 새로운 해킹 기술과 사기 공격 등에 대한 우려가 많았습니다. 보다 더 광범위하고 종합적으로 금융 산업의 리스크를 아우를 수 있는 표준이 필요한 듯 보입니다.” 리치의 설명이다.
위에서 설명한 PCI SSC의 다른 프로젝트들과 마찬가지로 이번 PCI DSS 4.0에서도 새로운 지불 환경과 관련된 데이터의 보호가 관건이 될 것으로 보인다. 신기술의 빠른 등장에 맞춰 PCI SSC 전체가 바빠진 모양새다. “PCI DSS v4.0은 PCI 표준을 조직들이 잘 지키나 확실히 하기 위해 강제성을 부여하는 장치를 두는 것보다, 전체적인 보안의 결과를 내는 것에 더 초점을 맞추고 있습니다.”
4. P2PE 표준의 새 버전과 프로그램, 12월까지
PCI P2PE라는 표준은 카드와 관련된 데이터를 처리하는 데 있어 종단간 암호화 기술을 사용하는 조직들이 반드시 지켜야만 했던 표준이다. 민감한 카드 정보가 암호화 되지 않은 채로 교환되는 것을 막는 것이 P2PE의 가장 큰 목적이다. 이것만 지켜도 PCI가 요구하는 컴플라이언스 요구 사항을 대부분 지킬 수 있다고 여겨지는 분위기도 있었다.
2019년 12월, PCI SSC는 이런 P2PE 표준의 세 번째 버전(3.0)을 발표할 예정이다. 규정과 표준의 준수보다, 암호화와 표준의 근간이 되는 기저 프로그램에 좀 더 많은 변화가 있을 예정이라고 한다. 또한 P2PE 3.0부터 P2P 암호화 기술 제공 업체들은, 자사가 제공하는 기술을 전체적으로 통합해 평가하는 것이 아니라, 세부 요소들을 하나하나 평가할 수 있게 된다. 그러므로 보다 세부적인 취약점에 대한 방비가 이뤄질 수 있다.
“개별 요소들을 하나하나 평가할 수 있다는 건, P2PE 기술 및 서비스 제공업체들이 이전보다 쉽게 여러 요소들을 검토하고 통합할 수 있게 된다는 뜻입니다. 또한 사용자 기업들 역시 보다 넓은 선택지를 갖게 됩니다. 통합된 솔루션의 요소들을 제공하는 조직들이라면, 데이터의 기밀성을 지키고 키를 관리하는 데 있어 자신들의 역할을 보다 분명하게 증명할 수 있을 것이고요.” 리치의 설명이다. “키 주입 시설(Key Injection Facilities)이나 인증기관(Certification Authority), 등록 기관(Registration Authorities)들도 여기에 포함됩니다.”
5. 새 전략 프레임워크
이번 회의를 통해 모습을 드러낸 것 중 가장 중요한 것으로 ‘전략 프레임워크(Strategic Framework)’를 꼽을 수 있다. 이는 PCI SSC 내부에서 결정이 내려지는 과정을 다루는 것으로, 미래 PCI SSC의 역할과 존재 가치를 좌지우지할 만한 것이라고 평가된다. PCI SSC의 본질을 바꾸지는 않되, 새로운 지불 방법과 기술의 등장과 맞물려 PCI SSC가 할 수 있는 일과 맡아야 할 책임을 확장시키는 것을 염두에 두고 만들어졌다.
새 전략 프레임워크는 다음과 같은 부분을 목표로 두고 있다.
1) 지불 보안에 관한 산업의 참여와 지식을 증진시킨다.
2) 자꾸만 변화하는 지불 보안 표준들에 대한 지식을 증진시킨다.
3) 새로운 지불 기술들이 안전하게 구축되도록 한다.
4) 표준들 간 일관성을 유지한다.
리치는 “참여도를 높이기 위해 PCI-SSC는 일단 피드백 제공 시스템을 적극 활용할 예정”이라고 밝혔다. “저희가 만든 초안에 대해 산업이 의견을 제시하고, 우리는 그걸 최대한 반영함으로써 누구나 만족할 만한 표준을 만들고 싶습니다. 지금 지불 산업 전체는 새로운 기술의 대거 등장이라는 커다란 과제를 직면하고 있습니다. 모두가 직면한 어려움이니만큼, 모두가 해결 방법을 모색해야 할 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
새로운 지불 기술의 등장이 관건...새로운 표준들 다수 마련되는 듯
[보안뉴스 문가용 기자] 지불 산업에 종사하는 전문가 1300명이 밴쿠버에서 모였다. 그리고 지불 카드 산업 보안 표준 협의회(Payment Card Industry Security Standards Council, PCI SSC) 북미 지역 회의를 시작했다.
[이미지 = iclickart]
이렇게나 많은 사람이 모인 이유는 모바일 장비들에 장착되어 있는 비접촉식 지불 기술의 새로운 보안 표준을 정립하고, 차기 PCI 보안 표준을 개발하며, 곧 공개될 P2P 암호화(P2PE) 기술의 PCI 표준을 마련하는 것이었다. 여기에 더해 PCI SSC의 표준과 결정이 미래에 어떤 과정을 통해 이뤄질 것인지를 안내할 새로운 보안 프레임워크가 발표되기도 했다.
결국 PCI의 여러 가지 보안 표준들을 연장 혹은 개정하는 일에 대해 이 많은 사람들이 이야기를 나눈 것이다. 이는 각종 지불 기술이 새롭게 등장하는 지금과 같은 때에 반드시 필요한 일이었다. 또한 앞으로도 더 많은 기술이 나타날 것으로 예상되기 때문에 새 프레임워크를 통해 관계자들과 PCI SSC 회원들이 보다 원활하게 목소리를 낼 수 있게 해두기도 했다.
10년도 훨씬 넘는 기간 동안 지불 카드 데이터를 직접적이든 간접적으로 처리해야하는 모든 조직들은 PCI SSC의 표준에 따라야만 했다. 원래는 마스터카드(MasterCard), 비자(Visa), 아메리칸 엑스프레스(American Express), 디스커버(Discover), JCB가 함께 만든 것으로, 신용카드 및 현금카드를 사용한 거래를 안전하게 지키는 것을 목적으로 하고 있다.
그래서 PCI SSC는 자신들의 표준이 제대로 지켜지고 있는지 확인하고, 주기적으로 시험하는 절차를 갖기도 한다. 지불 카드와 관련된 보안 사고를 겪은 기업들의 경우는 PCI SSC가 조사를 통해 표준이 제대로 지켜졌는지 확인하고, 그렇지 않을 경우 벌금을 내도록 했다. 꽤나 구속력이 강한 표준이라고 볼 수 있다. 이런 PCI SSC, 이번 회의를 통해 어떤 이야기를 나눴을까? 크게 다섯 가지로 정리해 보았다.
1. 지불 소프트웨어 보안 평가자 지원 받는다
PCI SSC는 10월부터 새로운 ‘소프트웨어 보안 프레임워크(Software Security Framework, SSF)’에 입각해 지불 소프트웨어의 보안성을 평가하는 평가자가 되고 싶은 기업과 개인 전문가들의 지원서를 받기로 했다. 평가자로 선정이 되면 1) 소프트웨어 제조사들이 ‘보안 소프트웨어 생애주기(Secure Software Lifecycle, SSL)’라는 표준을 따르고, 2) 소프트웨어 상품이 ‘보안 소프트웨어(Secure Software, SS)’ 표준을 따를 수 있도록 해야 한다.
PCI의 소프트웨어 보안 프레임워크(PCI SSF)는 지불 카드 보안을 위한 새로운 표준들과 프로그램들을 모아둔 것으로, 현재의 ‘지불 애플리케이션 데이터 보안 표준(Payment Application Data Security Standard, PA DSS)’을 2022년까지 대체할 예정이다. PCI SSF는 기존 PA DSS의 내용을 대부분 포함하지만 보다 넓은 범위의 지불 소프트웨어와 기술의 개발 방법들까지도 아우를 것이라고 한다. PCI SSC는 SSF에 대해 “새로운 지불 소프트웨어와 방법들의 보안까지도 다질 수 있게 해주는 새로운 접근법”이라고 묘사한다.
“SSF의 목적은 1) 보안 시험을 보다 유연하고 빠르게 실시할 수 있게 하고, 2) 평가 대상이 될 소프트웨어와 애플리케이션의 범위를 넓히고, 3) 지불 산업 내 애플리케이션 개발자들의 보안 인식을 향상시키는 것입니다.” PCI SSC의 CTO인 트로이 리치(Troy Leach)의 설명이다.
지불 산업에 어떻게든 발을 걸치고 있는 조직들이라면, 사용되고 있는 소프트웨어가 SSF의 요구사항을 잘 지키고 있도록 해야 한다. 하지만 지금 당장부터는 아니다. 표준의 변화가 최대한 부드럽게 적용될 수 있도록 하기 위해 PCI SSC는 당분간 SSF와 PA DSS를 함께 지키도록 요구할 것이기 때문이다. 즉, 조직들은 SSF가 완전히 PA DSS를 대체할 때까지는 이 두 가지 중 하나만 지켜도 표준을 따르는 것으로 인정된다.
2. 비접촉 지불과 관련된 새로운 표준, 올해 안에 나온다
PCI SSC는 올해 말까지 모바일 지불 기술과 관련된 새로운 보안 표준을 발표할 예정이다. 현재 적용되고 있는 ‘PCI PIN 거래 보안 상호 작용 지점(PCI PIN Transaction Security Point of Interaction)’ 표준을 확장시키는 것으로, 모바일 장비를 사용해 비접촉 방식으로 거래를 하도록 해주는 기술을 포함할 것이라고 한다. 현재 널리 사용되고 있는 상용 모바일 제품들이 다수 포함된다.
PCI SSC는 이미 ‘상용 모바일 제품에서의 소프트웨어 기반 PIN 입력(Software-based PIN Entry on COTS)’이라는 표준을 보유하고 있다. 하지만 여기에는 비접촉식 지불 기술이 포함되어 있지 않다. “현재 대부분의 스마트폰 제조사들이 비접촉 지불 기술을 지원하고 있고, 그런 장비들이 앞으로도 더 나올 예정입니다. 그렇기 때문에 이에 관한 표준을 서둘러 발표할 예정입니다.” 리치의 설명이다.
3. PCI DSS 4.0에 대한 피드백, 10월까지 받는다
PCI SSC는 현재의 PCI DSS를 4.0으로 업데이트해야 하는 엄청난 과제를 수행하고 있는 중이다. ‘대규모’ 업데이트라고 알려져 있으며, 2020년 4사분기 내로 이를 발표해야 한다. 그 전까지 PCI SSC의 모든 관계자들이 초안을 보고 의견을 제시할 수 있다(항상 그래왔다). 이번 PCI DSS 4.0 초안에 대한 첫 번째 피드백 접수 기간은 10월부터 시작된다. 여기에 참여하고 싶은 사람들에게는 PCI DSS 4.0의 최초 초안과, 주요 변경 사항들을 요약해놓은 문서가 주어진다.
“이번 회의를 통해 PCI SSC 회원들이 벌써부터 흥미로운 부분을 지적해주었습니다. 인증과 관련된 부분이나, 최근에 득세하고 있는 새로운 해킹 기술과 사기 공격 등에 대한 우려가 많았습니다. 보다 더 광범위하고 종합적으로 금융 산업의 리스크를 아우를 수 있는 표준이 필요한 듯 보입니다.” 리치의 설명이다.
위에서 설명한 PCI SSC의 다른 프로젝트들과 마찬가지로 이번 PCI DSS 4.0에서도 새로운 지불 환경과 관련된 데이터의 보호가 관건이 될 것으로 보인다. 신기술의 빠른 등장에 맞춰 PCI SSC 전체가 바빠진 모양새다. “PCI DSS v4.0은 PCI 표준을 조직들이 잘 지키나 확실히 하기 위해 강제성을 부여하는 장치를 두는 것보다, 전체적인 보안의 결과를 내는 것에 더 초점을 맞추고 있습니다.”
4. P2PE 표준의 새 버전과 프로그램, 12월까지
PCI P2PE라는 표준은 카드와 관련된 데이터를 처리하는 데 있어 종단간 암호화 기술을 사용하는 조직들이 반드시 지켜야만 했던 표준이다. 민감한 카드 정보가 암호화 되지 않은 채로 교환되는 것을 막는 것이 P2PE의 가장 큰 목적이다. 이것만 지켜도 PCI가 요구하는 컴플라이언스 요구 사항을 대부분 지킬 수 있다고 여겨지는 분위기도 있었다.
2019년 12월, PCI SSC는 이런 P2PE 표준의 세 번째 버전(3.0)을 발표할 예정이다. 규정과 표준의 준수보다, 암호화와 표준의 근간이 되는 기저 프로그램에 좀 더 많은 변화가 있을 예정이라고 한다. 또한 P2PE 3.0부터 P2P 암호화 기술 제공 업체들은, 자사가 제공하는 기술을 전체적으로 통합해 평가하는 것이 아니라, 세부 요소들을 하나하나 평가할 수 있게 된다. 그러므로 보다 세부적인 취약점에 대한 방비가 이뤄질 수 있다.
“개별 요소들을 하나하나 평가할 수 있다는 건, P2PE 기술 및 서비스 제공업체들이 이전보다 쉽게 여러 요소들을 검토하고 통합할 수 있게 된다는 뜻입니다. 또한 사용자 기업들 역시 보다 넓은 선택지를 갖게 됩니다. 통합된 솔루션의 요소들을 제공하는 조직들이라면, 데이터의 기밀성을 지키고 키를 관리하는 데 있어 자신들의 역할을 보다 분명하게 증명할 수 있을 것이고요.” 리치의 설명이다. “키 주입 시설(Key Injection Facilities)이나 인증기관(Certification Authority), 등록 기관(Registration Authorities)들도 여기에 포함됩니다.”
5. 새 전략 프레임워크
이번 회의를 통해 모습을 드러낸 것 중 가장 중요한 것으로 ‘전략 프레임워크(Strategic Framework)’를 꼽을 수 있다. 이는 PCI SSC 내부에서 결정이 내려지는 과정을 다루는 것으로, 미래 PCI SSC의 역할과 존재 가치를 좌지우지할 만한 것이라고 평가된다. PCI SSC의 본질을 바꾸지는 않되, 새로운 지불 방법과 기술의 등장과 맞물려 PCI SSC가 할 수 있는 일과 맡아야 할 책임을 확장시키는 것을 염두에 두고 만들어졌다.
새 전략 프레임워크는 다음과 같은 부분을 목표로 두고 있다.
1) 지불 보안에 관한 산업의 참여와 지식을 증진시킨다.
2) 자꾸만 변화하는 지불 보안 표준들에 대한 지식을 증진시킨다.
3) 새로운 지불 기술들이 안전하게 구축되도록 한다.
4) 표준들 간 일관성을 유지한다.
리치는 “참여도를 높이기 위해 PCI-SSC는 일단 피드백 제공 시스템을 적극 활용할 예정”이라고 밝혔다. “저희가 만든 초안에 대해 산업이 의견을 제시하고, 우리는 그걸 최대한 반영함으로써 누구나 만족할 만한 표준을 만들고 싶습니다. 지금 지불 산업 전체는 새로운 기술의 대거 등장이라는 커다란 과제를 직면하고 있습니다. 모두가 직면한 어려움이니만큼, 모두가 해결 방법을 모색해야 할 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
