핀테크 기업 보안 표준으로 글로벌 신용카드 데이터 보안 인증(PCI-DSS)이 떠올랐다. 비자, 마스터, 아멕스, 디스커버, JCB 등 5개 신용카드 브랜드는 2004년 지불결제 산업 정보보호와 신용카드 부정사용 및 정보 유출 방지 목적으로 PCI-DSS를 만들었다.
그동안 PG와 VAN 위주로 진행돼 온 PCI-DSS는 최근 신용카드사와 글로벌 보험사 인증으로 확대됐다. 특히 간편결제와 핀테크가 확산되면서 관련 분야 기업 필수 인증으로 떠올랐다. 개인정보보호법이나 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 의한 규제는 아니지만 글로벌 핀테크 사업을 하려는 기업은 눈여겨봐야 할 표준이다.
미국은 은행을 제외한 대부분 금융회사가 PCI-DSS를 준수한다. 일본은 2020년 도쿄올림픽을 유치한 이후 간편결제 보안성 강화를 위한 가이드로 이를 요구한다. 일부 카드사는 쇼핑 사이트 등에서 고객카드 정보 유출 사고 발생 시 PCI-DSS 적용을 재개 조건으로 내걸 정도다. 아마존웹서비스와 구글, 윈도애저, 세일즈포스를 비롯해 페이팔과 알리페이 등도 준수하고 있다.
PCI-DSS는 결제와 관련된 기업은 물론 카드 정보를 다루는 모든 기업에 적용된다. 카드 발급에서 매입, 가맹점, 프로세서, 서비스 프로바이더, 카드 소유자 데이터와 민감한 인증데이터 저장, 처리, 전송을 하는 모든 기업이 대상이다. 국내 정보보호관리체계(ISMS) 난이도를 `하`로 보면 PCI-DSS는 `상` 수준으로 평가된다.
PCI-DSS는 카드 소유자 데이터와 민감한 인증 데이터 보호가 목적이다. 신용카드 회원 데이터를 취급하는 시스템과 네트워크 분리한다. 신용카드 데이터와 일반 업무 데이터가 섞여 있으면 인증을 받기가 훨씬 복잡한 탓이다. 신용카드 데이터가 분리돼야 보안 관리와 정책, 절차 등을 따르기 쉽다.
인증을 받으려면 카드회원 데이터를 보호하는 방화벽을 도입하고 설정을 유지한다. 시스템 암호 등에 초기 값을 설정하지 않는다. 카드 회원 정보를 네트워크로 전송할 때는 반드시 암호화해야 한다. 안티바이러스 솔루션을 비롯해 취약점 관리 프로그램을 정비하고 시스템과 애플리케이션을 안전하게 개발 및 유지·보수한다.
카드 회원 데이터 접근을 업무상 필요한 범위로 제한하며, 물리적 접근도 제한한다. 네트워크 자원과 카드 회원 데이터를 접근, 추적하고 모니터링한다.
홍성권 EY한영 이사는 “PCI-DSS (V3.1)는 6개 목표, 12개 요건, 405개 세부요건으로 구성된다”면서 “외부 시스템이 해킹이나 보안사고 등으로 신용카드 데이터 환경(CDE) 보안에 영향을 미치지 않도록 해야 한다”고 설명했다. 홍 이사는 “처음 인증을 받는 것도 중요하지만 매년 수준을 유지하는 게 관건”이라고 덧붙였다.
김인순 보안 전문기자 insoon@etnews.com