IT/영어 공부노트
PCI DSS란? 본문
지불 카드 산업 데이터 보안 표준 (Payment Card Industry Data Security Standard, PCI DSS)
신용카드 회원의 카드정보 및 거래정보를 안전하게 관리하기 위해 신용카드 결제 전 과정에 걸쳐 관련된 자 모두가 준수해야 하는 신용업계 보안 표준이다.
JCB, 아메리칸 익스프레스, MasterCard, VISA 등 국제적 신용카드 대기업들이 공동으로 위원회를 조직해 표준을 책정했다.
표준제정기관이 아닌 민간기업에서 만든 규격이지만, 표준으로 채택할 만큼 상세한 규격이라 신용카드 거래와 무관한 곳에서도 채택하는 경우가 많다.
PCI DSS의 궁극적 목적은 신용카드 소유자의 개인정보와 신용카드 번호 및 추가정보를 포함한 거래정보를 안전하게 지키는 것이다. 이를 민감정보라고 하고, PCI DSS는 이를 어떻게 다룰지에 대한 내용이다.
인증구조
<하드웨어 설계자가 주의할 점>
PCI PTS(PIN Transaction Security) - 신용카드 리더기 등 하드웨어 설계 및 검증 기준이다. 물리적 장비와 네트워크 트랜잭션을 통해 민감정보가 유출되는 것을 막기 위한 통신보안 및 데이터 암호화 등 보안 표준 준수 여부를 확인한다.
<소프트웨어 개발자가 주의할 점>
PA-DDS(Payment Application Data Security Standard) - 어플리케이션 개발업체를 대상으로 하는 인증 기준이다. 카드사 및 회원사 그리고 신용카드 회원이 사용하는 업무용 소프트웨어에서 민감정보가 전송, 처리, 저장되는 과정에서의 통신보안 및 암호화 여부등을 확인한다.
<민감정보 취급하는 모든 사람이 주의할 점>
DDS(Data Security Standard) - 신용카드 인프라 총체적으로 안전한 네트워크 시스템 구성 여부 등을 종합적으로 판단하는 기준이다. 계정 통제 및 접근통제를 통해 업무환경의 엄격환 관리와 정기적 보안감사 시행 여부 등 보안정책까지 포함하는 개념이다. 기술적으로는 주로 어플리케이션 내부와 통신구간에서의 민감정보의 안전성 및 암호화 여부 등을 따져 안전성을 판단한다.
<민감정보는 처음부터 끝까지 무조건 암호화>
P2PE(Point to Point Encryption) - PCI DSS 전체의 밑바탕은 P2P 암호화이다. 신용카드 단말기에서부터 카드사 어플리케이션을 지나 데이터베이스에 저장될 때 까지, 데이터가 이동하는 전 과정에 걸친 종단간 암호화이다. 민감정보는 처음부터 끝까지 암호화!
PCI DSS의 핵심은 웹보안과 데이터 암호화이다. 데이터는 어플리케이션을 통해 이동하고, 어플리케이션의 주 환경은 웹이다. 데이터를 가장 안전하게 지키는 방법은 암호화이다.
1. 방화벽 설치
방화벽은 카드 데이터 환경을 보호하기 위한 전제 조건이다. 액세스 권한을 규제하기 위해 방화벽 구성을 설치하고 유지해야 한다.
2. 암호 및 설정 구성
서버, 어플리케이션, 방화벽, 기타 무선 액세스 포인트의 강화에 중점을 둔다.
3. 저장된 데이터 보호
저장할 카드 데이터의 위치 및 보존 기관을 결정한다. 카드 소지자 데이터를 올바르게 암호화 해야 한다. 암호 키도 보호해야 한다. 처음 6자리와 마지막 4자리만 표시되어야 한다.
4. 카드 소지자 데이터 전송 암호화
안전한 전송 프로토콜을 구현하여 프로세서, 제3자, 백업서버, 회사 사무실 등에서 데이터에 액세스하는 무단 시소를 방지한다.
5. 바이러스 백신 소프트웨어 및 프로그램 업데이트
악성코드는 시스템에 악영향을 미칠 수 있기에 바이러스 백신 프로그램을 구축하는 것이 효과적인 해결책이다. 백신 소프트웨어를 정기적으로 업데이트 해야 한다. 백신 소프트웨어가 최신 서명을 사용하고 있고, 감사 가능한 로그를 생성하는지 확인한다.
6. 보안 시스템 및 애플리케이션 유지
시스템의 취약성을 악용하지 않으려면 보안 패치를 설치해야 한다. POS 터미널, 운영 체제, 스위치, 라우터, 방화벽, 애플리케이션 소프트웨어, 데이터베이스를 포함한 카드 데이터 환경과 관련된 모든 시스템을 최신 보안 표준에 따라 업데이트 해야 한다.
7. 카드 소지자 데이터에 대한 액세스 제한
비즈니스에서 꼭 알아야 하는 경우에만 접근이 허용되어야 한다. 역할 기반 액세스 제어 시스템을 구현해 중요한 정보의 오남용을 방지한다.
8. 각 사용자에게 고유 ID 할당
그룹 또는 공유암호 사용을 금지한다. 카드 소지자 데이터를 처리하는 모든 사용자에게는 고유한 ID와 암호가 부여되어야 한다. 비밀번호는 어려워야 하고, 원격 접속 시 2차 인증이 필수적이다.
9. 카드 소지자 데이터에 대한 물리적 액세스 제한
방문객의 움직임을 추적하는 CCTV, 출입 통제 시스템이 설치되어야 한다.
10. 로그 관리
의심스러운 활동을 탐지하려면 로그를 매일 모니터링 해야 한다. 감사 정책은 모든 시스템을 보호하는데 중요하다.
11. 보안 시스템 및 프로세스 테스트
잦은 테스트로 모든 보안 표준을 준수하도록 한다. 외부 IP및 도메인에 대한 내부 취약성 검사 및 애플리케이션 및 네트워크 침투 테스트는 매년 수행되어야 한다.
12. 정보보안을 다루는 정책 유지 관리
최종 요구사항을 준수하기 위해 정보 보안 정책을 유지해야 한다.
참조
https://www.pentasecurity.co.kr/column/what-is-pci-dss/
https://www.appsealing.com/kr/pci-dss-%EC%BB%B4%ED%94%8C%EB%9D%BC%EC%9D%B4%EC%96%B8%EC%8A%A4/
