정보보안 인증 - PCI DSS(카드 데이터)

<정보보안 인증 - PCI DSS>

해당 인증은 Visa, Master, American Explress, Discover, JCB의 카드 브랜드에서 자신들의 카드 데이터를 이용하는 것에 대한 별도의 만든 정보보안 표준으로 만든 인증으로 국내에서는 거의 수요가 없다가 2014(?)년도 경에 VISA와 몇 개의 카드사에서 자신들의 카드를 유통하기 위해서는 반드시 해당 인증을 받으라는 이야기가 나오고 있어서 국내 카드 및 PG, VAN 사 등에서 진행한 것으로 알고 있습니다.

당신에는 보안에 대해서 조금 신경쓰는 몇몇 PG 사만  받고 있었던 것으로 기억하고 당시 재직하던 회사에서 해당 인증을 준비하는데 관련되어서 국내에서 컨설팅 및 인증을 진행하는 곳이 BBSec이라는 곳에서만 했던 것으로 기억합니다.

 

현재는 조금씩 관련 업체가 늘어난 것으로 알고 있는데 당시에는 인증 심사를 받는 곳이 저곳 한곳이었고 한국어로 대응 가능한 곳도 저곳만 있었던 것으로 기억합니다.

PCI DSS 인증은 Payment Card Security Standard Council의 약자 입니다. 해당 인증에서 중점적으로 보니는 것은 신용카드의 데이터를 전송, 저장, 운영하는 가맹점, 매입사, 서비스 제공자 등이 카드 데이터(카드 소유자 정보)를 얼마나 안전하게 보호하고 있는지 그것을 위해서 기술적, 관리적, 운영적인 측면에서 자신들이 요구하는 요구사항에 따라 보호하고 있는지에 대해서 확인하는 인증입니다.

현재는 V3.2로 제가 했을 당시에는 V3.1이었으며 현재는 6가지 목적과 12개의 요건에 상세항목으로 415개의 항목으로 구성이 됩니다.

6개의 목적은 다음과 같습니다.

- 보안 네트워크 구축.유지

- 카드 소유자 데이터 보호

- 취약점 관리 프로그램 유지

- 강력한 접근제어 시행

- 정기적인 네트워크 모니터링 및 테스트

- 정보보안 정책 유지

해당 인증은 국제인증이 아닌 민간 인증으로 법적인 강제성은 없었지만 위에선 언급한 카드사의 데이터를 취급하기 위해서는 요구사항을 미충족시 불이익이 발생할 수 있어서 할 수밖에 없었던 것으로 기억합니다.

어떤 경우에는 카드 발급을 할 수 없게 될 수 있다고 해서 급하게 진행된 부분도 있었습니다.

 

그리고 거래건수에 따라서 레벨이 분리가 되었었는데 정확히 거래 건수는 기억이 안 나지만 제가 했을 때는 레벨 2로 했던 것으로 기업 합니다.

그리고 분기마다 퀄리스가드라는 제품으로 취약점 점검을 진행해야 했으며 별도 취약점 점검 솔루션이 있다 하더라도 PCI에서 인정하는 것은 퀄리스가드로 진행해야 하서 별도의 라이선스 구매 등의 불이익이 있었습니다.

만일 취약점 점검으로 조치해야 할 사항이 나온다면 바로 처리 후에 관련된 보고서를 제출해야 했습니다.

심사를 진행하면서 대응을 할 때 시간이 많이 부족하여 우선 크게 문제가 생길 수 있는 요구사항을 먼저 처리하고 지적사항으로 나오는 부분을 그때그때 처리하는 방식으로 진행하기로 했습니다. 아무리 심사 전에 준비를 해도 할 수 없는 부분이 있었기 때문입니다.

그런 부분에 대해서 요구하는 기간에 증적 자료 및 조치 사항을 전달하면 인증을 받는데 크게 문제는 없었습니다.

다만 심사를 진행하는 심사원도 사람이고 심사 때마다 사람이 달라서 요구하는 범위 및 조치 사항이 조금씩 차이가 있어서 그런 부분을 대응하는데 조금 힘이 들었던 것으로 기억합니다.

그리고 앞서 언급한 ISO 27001 인증의 경우 정보보안 관리체계의 전반적인 내용을 확인하는 반면 PCI 인증 같은 경우 카드 데이터와 관련된 부분이 중점적이다 보니 그 외 적인 부분에 대해서는 크게 신경 쓰지 않아 한편으로는 대응하기 쉬운 부분도 있었습니다.

물론 현재는 대응을 한지 기간이 좀 지나서 기억의 왜곡된 부분이 좀 있어서 현재와 과거와는 조금 달라진 부분이 있을 수도 있습니다.