네트워크 / 모바일 / 보안 / 웹서비스

새로운 PCI 표준이 결제 카드 네트워크에 가져올 변화들

Ellen Messmer | Network World 2013.10.07
오는 11월 PCI DSS(Payment Card Industry Data Security Scheme) v3.0이 발표될 예정인 가운데 앞으로 원격 접근 결제 처리와 카드 스토리지에 있어 상당한 변화가 예상된다.

서버 보안 접근을 위해 SSH 키를 사용하는 기업은 이제 카드 결제 절차에 관련된 네트워크 관리에 있어서 일부 수정 작업을 준비해야 한다고 SSH 커뮤니케이션스 시큐리티 CEO인 타투 일로넨은 말했다. 11월 초에 발표되는 PCI v3.0에는 SSH 암호기술을 사용해 결제카드를 처리하고 저장하는 모든 네트워크 세그먼트에 대한 승인과 원격접속에 대해 새로운 가이드가 포함되기 때문이다.

그는 “암호키를 통한 액세스는 PCI 환경에서 사용할 수 있지만 바운더리로부터 암호키를 통한 액세스를 활용할 때는 문제가 발생할 수 있다”고 말했다. 따라서 결제 카드의 정보를 저장하고 처리하는 기업은 네트워크 보안을 위해 PCI 표준 요건을 준수해야 한다.

SSH 키는 자동화 기기에서 기기의 보안을 위해 사용되는 경우가 많고 SSH 보안키는 패스워드를 부여해 접근을 허용한다. PCI 네트워크용 바운더리는 카드 저장과 처리가 일어나는 세그먼트를 정의한다. 이를 PCI 네트워크 ‘스코프’(scope)라고 부르는데, 반드시 PCI 보안 표준 위원회가 발표한 PCI 데이터 보안 표준(Data Security Standard)을 충족해야 한다.

일로넨은 시스템 운용자와 기업 전산망의 SSH 보안키 관리 담당자들에게 PCI 호환성을 위해 조만간 발표될 PCI DSS v3.0 표준에 대한 논의를 시작해야 한다고 조언했다. 그는 “미리 살펴본 PCI v3.0 표준을 보니 기준 자체는 좋으나 권고안의 일부 내용은 명확지 않다”며 "최고 보안 담당자(CSO)나 CIO 혹은 내부 감사관 등은 이를 어떻게 기업에 도입할 것인지 미리 논의를 시작해야 한다”고 말했다.

일로넨은 SSH 키를 사용하는 기업은 반드시 SSH의 구축 형태에 대해 고민해야 한다고 지적했다. 그는 “일부 대기업은 SSH 키를 사용할 때 이를 충분히 관리하지 못하는 경우가 종종 있다”며 “일부 대규모 금융기관은 150만 개 이상의 승인된 SSH 키를 사용하지만 이 중 80~90%는 그냥 잊힌다”고 말했다.

일로넨은 최근 PCI 데이터 보안 표준 위원회에 PCI v3.0 표준을 일부 수정해 SSH의 기기간(machine-to-machine) 사용 및 SSH에 대한 PCI 바운더리 스코프(scope)를 더 명확히 해야 한다고 요청했다. 위원회의 CTO인 트로이 리치는 일로넨이 지난 수 주간 이를 관철하기 위해 강력하게 주장하고 있다고 말했다.

위원회의 고위 관계자인 밥 루소는 일로넨이 자신의 가지고 있는 우려 사항을 최근 개최된 PCI 위원회 회의에서 표명했고 위원회 구성원들과도 개인적으로 의견을 나누었다고 말했다. PCI v3.0 표준 초안은 여전히 확정 이전의 단계에 있으며, 11월 7일 확정 발표 전까지는 변경될 가능성이 있다고 루소는 말했다. 최종 확정 전까지는 계속 수정되며 특히 앞으로 몇 주간 유럽과 아시아 지역의 기업들로부터 피드백도 들을 예정이다.

리치는 SSH는 카드 처리 환경에서의 PCI v3.0 표준은 ‘올바르지 못한 SSH 구현’을 바로잡는데 목적이 있다고 말했다. 특히 패스워드 이슈는 일로넨과의 논의에서 가장 중요한 문제였다. 일로넨은 SSH와 패스워드 관련 사항이 PCI v3.0에서 변화해야 한다고 주장했다. 리치는 “일로넨은 금융업계와 밀접하게 관련된 기술적 특질을 가진 SSH에 대해 더 많은 규범적 언어(prescriptive language)가 포함돼야 한다고 주장했다”고 말했다.

루소와 리치는 PCI v3.0 표준에 담길 내용은 단순히 SSH에 영향을 줄 권고안 이외에도 많은 것들이 있다고 말했다. 카드 소유자 데이터 환경에서의 네트워크 세그멘테이션(network segmentation), 해킹테스트 형태의 해당 세그먼트 안정성 확인 등이 대표적이다. 또한 포스(point-of-sale) 기기를 공용지역에 어떻게 설치해야 하는지와 같은 '상식적 요건’ 등에 대한 내용과 보안 개발 라이프 사이클도 개선됐다. 전체 PCI ‘권고안’(guidance)은 이전에는 단순한 요건 리스트와 별개였으나 요건의 의도를 설명하기 위해 표준안에 추가될 예정이다

PCI v3.0 최종안은 11월에 발표되고 2014년 1월 1일부터 발효된다. 기업들은 2014년 12월 31일까지 결제 카드 보안을 위해 기존의 PCI v2.0 표준을 사용할 수 있다. editor@idg.co.kr
 Tags PCI
Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.