Information

이지시큐 정보센터

결제보안 인증 PCI DSS, 왜 올해 꼭 받아야 하나

최신동향
작성자
이지시큐
작성일
2018-04-13 08:49
조회
224
이른바 ‘PCI DSS’라고 불리는 글로벌 보안 표준이 최근 국내 경제인들 사이에서 조금씩 회자되기 시작했다. 간편결제가 활성화되고 핀테크 시장에 붐이 일면서 이에 상응하는 결제보안이 요구되고 있지만, 일반에서는 최소한의 결제보안 표준인 PCI DSS와 관련해서도 아직까지 ‘뭔지 잘 모르겠지만 받아야 한다더라’는 말이 오가는 수준이다.
결론부터 짚자면 고객으로부터 직불카드나 신용카드로 대금을 수납하는 업체는 궁극적으로 PCI DSS를 준수해야 하며, 이를 준수하지 못하면 일부 업체의 경우 당장 7월 1일부터 카드거래에 있어 불이익이 발생할 수 있다. PCI DSS의 보안 표준 중 하나인 SSL/TLS 프로토콜을 최신 버전으로 업그레이드해야 하는 마감이 다가오는 6월 30일이기 때문이다.

...중략...

PCI DSS 위반으로 인한 벌금은 1개 정보당 최대 90달러(약 9만 6000원)로, 최대 4만 건에 대해 36억 달러(약 3조 8000억 원)까지 청구될 수 있다(비자·마스터카드 공통 패널티 기준). 위반 적발 이후에는 이에 대한 포렌식 조사와 더불어 거래 손실비용까지 청구될 수 있다.

현재 준수 대상이 확대되는 추세로, 앞서 지난 3월까지 회원사들에게 PCI DSS 준수를 요구한 국제항공운송협회(IATA)를 비롯해 향후 전자결제대행업체(PG사) 및 부가가치통신망업체(VAN사), 카드사 등도 PCI DSS 인증을 받아야 이 같은 불이익을 피할 수 있을 것으로 전망된다.

2016년 4월 발표된 PCI DSS 3.2버전은 안전한 암호화 프로토콜을 위해 예전 버전의 SSL/TLS를 폐기하고 TLS 1.2버전으로 업그레이드할 것을 명시하고 있다. 즉, TLS 1.2버전 미만이면 암호화 통신이라 하더라도 외부 공격에 뚫릴 수 있다고 보는 것이다. 3.2버전으로 전환해야 하는 마감이 올해 6월 30일이다. PCI 보안표준위원회는 공식 홈페이지를 통해 “2018년 6월 30일 이후 SSL/초기TLS는 PCI DSS 요구사항을 충족하는 보안 컨트롤로 쓰여서는 안 된다”고 밝히고 있다.

크게 PCI DSS는 총 6가지 목적과 12가지 요건을 담고 있다. △보안 네트워크 구축·유지 △카드 소유자 데이터 보호 △취약점 관리 프로그램 유지 △강력한 접근제어 시행 △정기적인 네트워크 모니터링 및 테스트 △정보보안 정책 유지 등의 목적 하에 구체적인 요건이 명시돼 있다. 요건별 평가 절차는 총 415개 항목으로 구성된다.

이에 대해 각 가맹점(Merchant) 또는 서비스 제공자(Service Provider)는 연간 거래건수에 따른 표준을 준수해야 한다. 비자와 마스터카드는 연간 거래건수가 600만 건 이상을 레벨 1 / 100만 건 이상을 레벨 2 / 2만 건 이상을 레벨 3 / 그 밖의 레벨 4로 구분하고 있다.

현재 PCI DSS 인증에 대한 국내 인식은 매우 저조한 편이나 이와 무관하게 국제 사회에서 요구하는 결제보안 기준은 국내 시장에도 동등하게 요구되는 상황이다. 특히, 세계 시장 진출을 앞두고 있거나 계획하는 기업의 경우, PCI DSS 인증을 받지 않고서는 향후 사업 추진이 어려울 것으로 보인다.

출처 : 보안뉴스 오다인 기자
http://www.boannews.com/media/view.asp?idx=68250&page=5&mkind=1&kind=3
error: Content is protected !!