모바일 / 스마트폰

새로운 결제 표준 ‘PCI 3.0’ 내년 1월 발효 … 관련 업체들이 알아야 할 5가지 변화

Ellen Messmer  | Network World 2013.11.11
PCI 보안 표준 위원회(PCI Security Standards Council)가 네트워크 보안을 위한 결제카드산업 표준의 새로운 버전인 PCI 3.0을 공식 발표했다. 여기서는 신용카드 결제를 받거나 처리하는 업체가 알아야 할 5가지 사항을 정리해 본다.

1. 결제 네트워크에 대한 침투 테스트 방법 추가
PC 표준/컴플라이언스 테스트, 전문 용어로는 이 네트워크 영역을 “PCI 범위(PCI scope)”라고 한다. 위원회의 총괄 관리자인 밥 루소는 “PCI 범위로 규정되는 환경에는 네트워크의 다른 부분에서 접근할 수 없다는 증거를 보여줘야 하는 것”이라고 설명했다. 루소는 지금까지 내부 네트워크에 대한 테스트가 부족했기 때문에 이것은 새로운 요구사항이라고 밝혔다.

그러나 위원회는 각 기업이 자체적으로 이를 처리할 수 있다고 보고 승인된 침투 테스트 제품이나 서비스 목록을 따로 마련하지는 않을 계획이다. 버라이즌의 카드 산업 서비스 부문 상무이사인 로돌프 시모네티는 이 PCI 요구 사항에 대해 “새로운 요구 사항이고, 서비스 제공업체와 판매자들은 부가 작업이 필요하다”고 말했다.

이어 PCI 침투 테스트의 목적은 “범위를 검증하는 것”이라며, 기본적으로 이는 선량한(White Hat) 해킹 방법을 통해 지정된 PCI 네트워크 세그먼트에 침투할 수 있는지를 확인하는 방법으로 가능하다고 덧붙였다.

또한, 점대점(P2P) 암호화를 사용하는 것이 네트워크 “범위”를 정의하는 방법의 하나라며 버라이즌은 앞으로 P2P 암호화가 특히 모바일 결제 처리 부문에서 역할을 넓혀나갈 것으로 생각한다고 말했다.

2. 결제카드 데이터 관련 물리 보안 중요성 증대
위원회의 CTO인 트로이 리치는 새로운 요구 사항 중 하나는 “소매 환경 및 직접 거래에서 상식 테스트와 시스템의 물리적 변조를 확인하는 작업”과 관련된다고 밝혔다. 이는 특히 카드 데이터 유출을 차단하기 위한 권장 사항이 적용되는 물리적인 POS 시스템과 긴밀하게 관련된다.

가장 단순하게는 POS 기기 또는 기기에 연결된 선이 조작되지 않았는지 정기적으로 살펴보는 것부터 시작된다. 이 요구 사항은 소규모 또는 대규모 판매상에 모두 적용된다고 트로이는 밝혔다. 또한, PCI 컴플라이언스를 위한 공식적인 감정을 수행하는 적격 보안 감정인(QSA)이 앞으로 카드 데이터 유출이나 사기에 대한 직원 교육을 위해 어떤 프로그램을 운영하고 있는지 질의할 수 있다고 덧붙였다.

3. 더 강화된 애플리케이션 보안
루소는 많은 소프트웨어 개발자들이 PCI 표준을 들어본 적이 없을 뿐만 아니라, 공개 웹 애플리케이션 보안 프로젝트(Open Web Application Security Project) 또는 SANS 협회(SANS Institute)가 지적한 애플리케이션 취약점에 대해서도 알지 못한다는 사실이 실망스럽다고 말했다. 루소는 이러한 애플리케이션 결함은 공격자들이 결제카드 데이터를 훔치는 데 악용되고 있다고 강조했다.

PCI 3.0에서 기업들은 결제카드 애플리케이션을 테스트해 잘 알려진 보안 결함을 패치 했는지 확인하고 업계 보안 코딩 지침에 따랐다는 것을 입증해야 한다. 이는 개발 과정에서 소스 코드의 무결성을 확인해야 한다는 의미이기도 하다. 예를 들어 PCI 규칙에서 지원 및 유지보수를 위해 고객 설비에 원격에서 접근하는 업체는 고객별로 고유한 인증 증명서를 사용해야 한다.

4. 원격 접속과 인증 관련 부분도 더 명확해짐
서비스 제공업체는 앞으로 고객별로 고유한 인증 증명서를 사용해야 한다. 또한, 물리적 및 논리적 보안 토큰, 스마트 카드, 인증서는 개별 계정에 연결돼 정해진 사용자만 접근할 수 있도록 해야 한다. 이 때문에 네트워크에서 SSH 암호화를 기반으로 관리 접근을 사용하는 방법을 바꿔야 할 수도 있다.

5. 안티바이러스 보호 외에 악성코드 차단 관련 요소 추가
CTO 리치는 QSA가 예를 들어 안티바이러스 소프트웨어가 없는 메인프레임이 포함된 데이터 센터를 방문할 경우, 시스템이 악성코드의 영향을 받는지에 대한 질문을 받게 된다고 말했다. 이 경우 위험 관리에 대한 현실적인 질문은 단순히 전통적인 안티바이러스가 아닌 접근 방식을 취하는 것을 의미하는 것이 아니라, “보완적 통제”를 사용하고 “일반적으로 영향을 받지 않는다고 간주하지 않는 시스템에 대한 진화하는 악성코드 위협을 지속해서 평가하는 것”을 의미한다.

루소는 PCI 3.0이 2014년 1월 1일부터 발효되지만, 판매인과 서비스 제공업체들은 “구 버전의 표준을 폐기하기 위한 1년의 유예기간을 갖게 된다”고 말했다. 마스터카드를 포함한 카드 연합이 2006년에 시작한 이 위원회에는 판매인, 은행, 처리업체 등을 포함한 650개 이상의 기업이 참여하고 있다. 위원회는 2년에 걸쳐 전 세계 커뮤니티 미팅에서 약 1,700명의 참석자로부터 PCI 3.0을 대한 의견을 수렴했다고 밝혔다.

PCI에 대한 우려
그러나 일부 보안 전문가들은 새로운 PCI v. 3.0 표준에서 일부 우려할 만한 지점이 있다고 지적한다 트러스트웨이브(Trustwave)의 보안 엔지니어인 그렉 로젠버그는 PCI 3.0에 은행과 판매인들이 큰 관심이 있던 모바일 결제 애플리케이션용 가이드가 없다는 점을 지적했다. 그는 “모바일 기기용 아키텍처는 다른 플랫폼과 차이가 있다”며 “카드 결제 처리용으로 사용 가능한 스마트폰과 태블릿으로 인해 새로운 제품들이 시장에 유입되고, 이를 악용하기 위한 새로운 위협들도 함께 유입되고 있다”고 말했다.

또한, 로젠버그는 업계에서 현재 PCI 가이드라인에 따라 모바일을 적절히 보호할 방법에 대해 많은 논의가 이루어지고 있지만, 위원회가 PCI 3.0에서 이 주제를 구체적으로 다루지 않았다고 지적했다. 그래서 업계에서는 기껏해야 위원회가 PCI 표준 외부의 모바일 영역을 위해 약 1년 전에 별도로 발표한 “모범 사례” 가이드라인을 참고할 수 있는 정도다.

그는 “업계에서는 위원회가 PCI와 관련된 모빌리티 분야를 더 심층적으로 다루어주기를 원한다”며 “모바일 결제 전략을 사이에 둔 카드결제 협회와 그 외 집단 사이의 계속되는 갈등이 위원회가 모바일 보안에 대해 확실한 태도를 보이지 못하도록 막고 있는 것 같다”고 말했다. 이어 “현재 “틈”이 존재하는 것은 분명해 보인다”며 "PCI 가이드가 없으면 많은 개발자가 모바일 신용카드 처리의 보안을 위한 단계를 따르지 않을 위험이 있다”고 덧붙였다.

이에 대해 PCI 위원회의 루소와 리치는 PCI 3.0에서 모바일을 명시적으로 언급하지는 않았음을 인정했지만, 모바일에 적용되지 않는다고 생각할 만한 요소 역시 없다고 반박했다. editor@itworld.co.kr 
 Tags PCI 3.0
Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.