카드 업계 보안표준 ‘PCI-DSS’란

실시간
뉴스

서비스

카드 업계 보안표준 ‘PCI-DSS’란

디지털데일리 발행일 2008-07-14 08:39:50

이유지

URL복사

고객정보보호 위해 2006년 제정, 국내는 올 말부터 발효

‘PCI DSS(Payment Card Industry Data Security Standard)’는 비자·마스터카드·아메리칸익스프레스 등 세계적인 카드회사가 주축이 돼 만든 지불카드 업계 정보보안 표준규격으로, 지난 2006년 9월 PCI 보안표준위원회(SSC)가 설립되면서 제정됐다.

신용카드 정보를 노린 해킹이나 카드 분실·도난사고가 증가하면서 고객정보를 보호하고, 보안사고로 인한 카드사와 서비스 제공업체, 가맹점의 잠재적인 손실을 최소화하기 위해 마련됐다.

이 규정은 고객의 데이터를 저장, 처리, 전송하는 카드 가맹점과 서비스사업자라면 모두 준수하도록 권고하고 있지만, 일정 거래규모 이상의 처리업체와 가맹점에게는 의무적으로 이행토록 하고 있다.

해외에서는 ‘PCI DSS’를 이행하지 않는 가맹점 등에 카드결제 승인을 거부하는 등의 강도높은 제재방식을 적용하고 있다.

우리나라에서는 카드결제 처리·대행서비스 업체인 VAN·PG는 오는 11월 말까지, 일정 규모 이상의 거래규모를 가진 가맹점은 내년까지 ‘PCI-DSS’ 요구사항을 충족시킬 수 있는 대책을 마련토록 하고 있다.

현재 PCI SCC에서는 이들의 이행여부에 따른 혜택과 제재를 검토하고 있다.

의무 대상 업체는 VAN·PG사의 경우 연간 카드거래 60만 건 이상이면 자가진단서와 네트워크 점검, 실사가 모두 의무화돼 있다.

연간 카드거래 12만 건 이하에 자가진단서 제출만이, 연간 카드거래 12만 건에서 60만 건 사이의 업체는 자가진단서와 분기별 네트워크 점검이 의무화돼 있고, 나머지는 권고사항이다.

가맹점은 연간 6백만 건 이상 카드거래 업체는 분기별 네트워크 점검과 실사가 의무사항이고 자가진단서 제출은 선택사항이다.

연간 2만건 이상의 카드 전자상거래 업체는 자가진단서와 분기별 네트워크 점검이 의무화돼 있다.

‘PCI DSS’가 규정하고 있는 보안 항목은 ▲네트워크 침입차단시스템 구축·관리 ▲개인 신용카드 정보 암호화 ▲업데이트된 바이러스 백신 소프트웨어 사용 ▲정보접속 권한 부여 ▲네트워크·신용카드 정보접속 모니터링 등 12개다.

대상 업체는 자가진단서와 취약점 분석 기준에 따라 보안진단을 수행해 요구항목을 이행할 수 있는 방안과 정책을 마련한 후에 PCI SCC에 등록된 보안감사자격보유사업자(QSAC)로부터 서면과 인터뷰, 현장 실사 절차로 진행되는 보안감사를 거쳐 표준준수 보고서를 제출해야 한다.

국내에서 ‘PCI DSS’ 보안감사자격을 보유하고 있는 업체는 정보보호컨설팅전문업체인 에이쓰리시큐리티가 유일하며, 인포섹도 현재 자격획득 절차를 밟고 있다.

<이유지 기자>yjlee@ddaily.co.kr