±×·¸´Ù¸é PCI¸¦ ÁؼöÇÏ·Á¸é ¹«¾ùÀ» ¾î¶»°Ô ÇØ¾ß ÇÏ´Â °¡? ÈçÈ÷ »ý°¢ÇÒ ¼ö ÀÖ´Â °ÍÀÌ ¾ÈƼ¹ÙÀÌ·¯½º ¼ÒÇÁÆ®¿þ¾î ¼³Ä¡¿Í À¥ ¹æȺ® µµÀÔÀÌÁö¸¸, ¾Õ¼ ¾ð±ÞÇÑ °Íó·³ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ¹æȺ®Àº PCI Áؼö¸¦ À§ÇÑ ¾ÆÁÖ ÀÛÀº ù °ÉÀ½¿¡ ºÒ°úÇÏ´Ù.
°Ô´Ù°¡ ±ÔÄ¢ÀûÀ¸·Î À¥ ¹æȺ® ¸®ºä¸¦ ½Ç½ÃÇÏÁö ¸ø ÇÒ °æ¿ì PCIÀÇ ¿ä°Ç»çÇ×À» ÃæÁ·½Ãų ¼öµµ ¾ø´Ù. À¥ ¹æÈ º® ¿Ü¿¡µµ Æнº¿öµå ¾Ïȣȸ¦ ¹«¼± ³×Æ®¿öÅ© ȯ°æ¿¡¼ µµ ±¸ÇöÇÒ ¼ö ÀÖ¾î¾ß ÇÏ¸ç º¸¾È ½ºÄ³´×°ú ¼Ò½º ÄÚµå ¸®ºä ¼öÇàÀÌ ÇʼöÀûÀÌ´Ù. ±×·¯³ª °¡Àå ±î´Ù·Î¿î ºÎºÐÀº ¿ª½Ã ¡®ÀÚ°¡Áø´Ü¼¡¯¿Í ¡®º¸¾ÈÁø´Ü¡¯ ¼öÇàÀ» À§ÇÑ ¡®º¸¾È °¨»ç¡¯ ÀÏ °ÍÀÌ´Ù.
PCI º¸¾È ¿ä°Ç»çÇ×µéÀº ¸ðµç ¡®½Ã½ºÅÛ ÄÄÆ÷³ÍÆ®¡¯µé¿¡ Àû¿ëµÈ´Ù. ½Ã½ºÅÛ ÄÄÆ÷³ÍÆ®µéÀº ÁöºÒÄ«µå µ¥ÀÌÅÍ È¯°æ¿¡ Æ÷ÇԵǰųª ÀÌ¿¡ ¿¬°áµÈ ³×Æ®¿öÅ© Àåºñ, ¼¹ö ¶Ç´Â ¾ÖÇø®ÄÉÀÌ¼Ç µîÀ¸·Î Á¤ÀǵȴÙ.
Ä«µå¼ÒÀ¯ÀÚ Á¤º¸ ȯ°æÀº Ä«µå¼ÒÀ¯ÀÚ Á¤º¸ ¹× ¹Î°¨ ÇÑ ÀÎÁõ Á¤º¸¸¦ ó¸®ÇÏ´Â ³×Æ®¿öÅ©¿¡ ÇØ´çµÈ´Ù. ³×Æ®¿öÅ© ±¸¼º¿ä¼Ò¿¡´Â ħÀÔÂ÷´Ü½Ã½ºÅÛ, ½ºÀ§Ä¡, ¶ó¿ìÅÍ, ¹«¼± AP, ³×Æ®¿öÅ© ¾îÇöóÀ̾𽺠¹× ±âŸ º¸ ¾È ¾îÇöóÀ̾𽺠µîÀÌ Æ÷ÇԵȴÙ. ¼¹öÀÇ °æ¿ì À¥ ¼¹ö, µ¥ÀÌÅͺ£À̽º ¼¹ö, ÀÎÁõ ¼¹ö, ¸ÞÀÏ ¼¹ö, ÇÁ¶ô½Ã ¼¹ö, NTP(Network Time Protocol) ¼¹ö ¹× DNS(Domain Name Server) ¼¹ö µîÀÌ Æ÷ÇԵȴÙ. ±×·¯³ª º¸¾È °¨»çÀÇ ¾î·Á¿òÀº ±× ¹æ´ëÇÑ ¹üÀ§¸¸ÀÌ ¾Æ´Ï´Ù.
Tip
ƯÈ÷ ¼öµ¿ ÄÚµå ¸®ºä´Â ½Ã°£ ¼Ò¸ðÀûÀÎ ÀÛ¾÷ÀÏ »Ó¸¸ ¾Æ´Ï¶ó ½Å·Ú¼ºÀ» À§ÇØ °øÀÎ µÈ º¸¾È°¨»ç »ç¾÷ÀÚ (QSA)¿¡°Ô º¸¾È °¨»ç¸¦ ÀÇ·ÚÇؾßÇϹǷΠºñ¿ëÀÌ ¸¸¸¸Ä¡ ¾ÊÀ» °ÍÀÌ ºÐ¸íÇϱ⠶§¹®ÀÌ´Ù.
Ä«µå¼ÒÀ¯ÀÚ Á¤º¸¸¦ ÀúÀå, ó¸® ¹×
Àü¼ÛÇÏ´Â ½Ã½ºÅÛÀ» ³×Æ®¿öÅ©¿¡¼
ºÐ¸®µÇµµ·Ï ¼¼±×¸ÕÆ®¸¦ ±¸¼ºÇϸé
Ä«µå¼ÒÀ¯ÀÚ Á¤º¸ ȯ°æ ¹üÀ§¸¦ ÁÙÀÏ ¼ö ÀÖ´Ù.
¶ÇÇÑ PCI´Â °øÀÎµÈ °¨»ç¿øÀ» ÅëÇÑ °¨»ç ÀýÂ÷ ¼öÇà ¿Ü¿¡µµ ÄÚµå ¸®ºä¸¦ ÅëÇØ ¹ß°ßµÈ Ãë¾à¼ºÀÌ ¹Ýµå½Ã ¼öÁ¤ µÇ¾î¾ß¸¸ ÇÏ¸ç ¾ÖÇø®ÄÉÀ̼ÇÀº Ä¡·á ÈÄ ¹Ýµå½Ã ÀçÆò°¡ ¹Þ¾Æ¾ß ÇÑ´Ù°í ¸í½ÃÇÏ°í ÀÖ¾î º¸¾È °¨»ç°¡ °áÄÚ ³ì·ÏÄ¡ ¾ÊÀº ÀÛ¾÷ÀÓÀ» ¾Ë ¼ö ÀÖ´Ù.
ÀϹÝÀûÀ¸·Î °øÀÎµÈ º¸¾È°¨»ç¿øµé¿¡ ÀÇÇØ ÁøÇàµÇ´Â º¸¾È °¨»ç´Â ¿ì¼± ¼¸é°ú ÀÎÅͺä·Î ½ÃÀ۵Ǿî ÇöÀå ½Ç»ç¸¦ °ÅÄ¡°Ô µÇ¾îÀÖÀ¸¸ç °¨»ç¿øµéÀÌ Á¾ÇÕÀûÀ¸·Î ÃÖÁ¾ ºÐ¼®ÇÏ ¿© Ç¥ÁØÁؼö º¸°í¼¸¦ Á¦ÃâÇÏ°Ô µÈ´Ù.
ÇöÀç ±¹³»¿¡¼ PCIº¸¾È°¨»ç ÀÚ°ÝÀ» º¸À¯ÇÏ°í ÀÖ´Â »ç ¾÷ÀÚ´Â A3½ÃÅ¥¸®Æ¼°¡ ÀÖÀ¸¸ç, 2008³â 7¿ù ±âÁØÀ¸·Î SKÀÎÆ÷¼½¿¡¼µµ ÀÚ°ÝȹµæÀ» À§ÇÑ ÀýÂ÷¸¦ ÁøÇà ÁßÀÎ °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù. ¶ÇÇÑ Çѱ¹IBMµµ ³»³âºÎÅÍ º»°ÝÀûÀ¸·Î PCI·Î »ç¾÷ ¿µ¿ªÀ» È®ÀåÇÒ ¿¹Á¤ÀÌ´Ù.
ÇÑÆí, º¸¾È °¨»ç¿Í ´õºÒ¾î PCI Áؼö ´ë»ó¾÷üµéÀÌ °¡Àå Å« ¾î·Á¿òÀ» °ÞÀ» °ÍÀ¸·Î ¿¹»óµÇ´Â ¶Ç ´Ù¸¥ ºÎºÐÀº ¹Ù·Î ¡®¸ðÀÇ Å×½ºÆ®¡¯´Ù.
Tip
»õ·Î¿î ¼ÒÇÁÆ®¿þ¾î µµÀÔ°ú ´õºÒ¾î »õ·Î¿î Ãë¾àÁ¡µéÀÌ ²ÙÁØÈ÷ ¹ß°ßµÇ°í ÀÖ´Â ¸¸Å Á¤±âÀûÀÎ ¸ðÀÇ Å×½ºÆ®°¡ ºÒ°¡ÇÇÇÏ´Ù´Â °ÍÀÌ PCI º¸¾ÈÇ¥ÁØÀ§¿øȸÀÇ ¼³¸íÀÌ´Ù. Áï, º¸¾È °ü·Ã ÅëÁ¦, Á¦ÇÑ »çÇ×, ³×Æ®¿öÅ© Á¢¼Ó ¹× Á¦ÇÑ µîÀÌ ºñÀΰ¡ µÈ Á¢¼Ó ½Ãµµ¸¦ È®ÀÎÇϰųª Â÷´ÜÇÏ°í ÀÖ´Â ÁöÁ¤±âÀûÀ¸·Î Á¡°ËÇØ¾ß ÇÑ´Ù.
ÀÚü °³¹ßÇÑ ¾ÖÇø®ÄÉÀÌ¼Ç µîÀÇ °æ¿ì °³¹ß, ¶Ç´Â »ý»ê Áß¿¡ ¼öÇàµÇ´Â ÀÚµ¿ ¸®ºäµµ ÀÎÁ¤µÈ´Ù.
¹«¼± ±â¼úÀÌ »ç¿ëµÇ´Â °æ¿ì¿¡´Â ¹«¼± ºÐ¼® ÀåÄ¡¸¦ »ç¿ëÇÏ¿© ¸ðµç ¹«¼± Àåºñ °¡ ÀûÀýÈ÷ »ç¿ë Áß ÀÎÁö Á¡°ËÇØ¾ß ÇÑ´Ù.
¶ÇÇÑ ³×Æ®¿öÅ©¿¡ Áß´ëÇÑ º¯°æÀÌ ¹ß»ýÇßÀ» °æ¿ì ³»ºÎ ¹× ¿ÜºÎ ³×Æ®¿öÅ©¿¡ ´ëÇÑ ³×Æ®¿öÅ© Ãë¾àÁ¡ ½ºÄ³´×ÀÌ ¼öÇà µÇ¾î¾ß Çϴµ¥ ¹Ì±¹¿¡¼´Â ÇöÀç ¿ÜºÎ Ãë¾àÁ¡ ½ºÄ³´×ÀÇ °æ¿ì ¹Ýµå½Ã PCI°¡ ½ÂÀÎÇÑ ¾÷ü¿¡ ÀÇÇØ ¼öÇàµÇ¾î¾ß ÇÑ´Ù°í ¸í½ÃÇÏ°í ÀÖ´Ù.
°¡¸ÍÁ¡ ´Ü¿¡¼ °Å·¡µÈ ½Å¿ëÄ«µå Á¤º¸´Â Áö¿ö¾ß Çϴµ¥µµ ºÒ±¸ÇÏ°í
À̸¦ ¸¶ÄÉÆà ÀÚ·á·Î È°¿ëÇϱâ À§ÇØ º¸°üÇÏ°í ÀÖ¾î...
ÀÌ·¯ÇÑ Á¤º¸°¡ À¯ÃâµÇ¸é Áý´Ü ¼ÕÇعè»ó û±¸ ¼Ò¼Û µî°ú °°Àº
Ä¿´Ù¶õ ¸®½ºÅ©°¡ ¹ß»ý -ºñÀÚÄÚ¸®¾Æ À强ºó ÀÌ»ç
ÀÌ¿Í ´õºÒ¾î Áß¿äÇÑ ÀÎÇÁ¶ó½ºÆ®·°Ã³¿Í ¾ÖÇø®ÄÉÀ̼ÇÀÇ ¾÷±×·¹ÀÌµå ¹× º¯°æ Èijª ÃÖ¼ÒÇÑ 1³â¿¡ ÇÑ ¹ø ¸ðÀÇÇØÅ·À» ¼öÇàÇØ¾ß ÇÑ´Ù. Áï, OS¸¦ ¾÷±×·¹À̵åÇߴٰųª ³×Æ®¿öÅ© ȯ°æ, ¶Ç´Â À¥ ¼¹ö µîÀ» Ãß°¡ÇßÀ» ½Ã ¹Ýµå½Ã ¸ðÀÇÇØÅ·À» ÅëÇØ °ËÁõÇØ¾ß ÇÑ´Ù´Â °ÍÀÌ´Ù.
µû¶ó¼ ½Ã½ºÅÛ, ÇÁ·Î¼¼½º ¹× ÀÚü °³¹ß ¼ÒÇÁÆ®¿þ¾î¸¦ ÀÚÁÖ Å×½ºÆ®ÇÏ¿© ½Ã°£ÀÌ °æ°úÇϰųª º¯°æÀÌ ¹ß»ýµÇ¾î µµ º¸¾È¼ºÀÌ À¯ÁöµÉ ¼ö ÀÖµµ·Ï ÇÏ´Â °ÍÀÌ ¹«¾ùº¸´Ù Áß¿äÇÏ´Ù.
ÀüÀ¯¹Ì A3½ÃÅ¥¸®Æ¼ ¿µ¾÷Àü·«º»ºÎ °úÀå QSA°¡ ¸»Çϴ¡®PCI DSS º¸¾È °¨»ç¡¯ PCIº¸¾È Ç¥ÁØÇùÀÇȸ(PCI SSC, PCI : Security Standards Council, www. pcisecuritystandards.org)°¡ Á¦Á¤ÇÑ ½Å¿ëÄ«µåÇùȸµ¥ÀÌÅͺ¸¾ÈÇ¥ÁØ(PCI DSS : Payment Card Industry Data Security Standard)ÀÎÁõÀ» ¹ÞÀ¸·Á¸é PCI SSC°¡ ÁøÇàÇÏ´Â ÀÏÁ¤ÇÑ ±âÁØÀÇ ±³À°°ú Å×½ºÆ®¸¦ °ÅÃÄ ÀÚ°ÝÁõÀ» ¹ÞÀº QSA(Qualified Security Assessor)¿¡°Ô °¨»ç¸¦ ¹Þ¾Æ¾ß ÇÑ´Ù. ¶Ç ÀÌ ¸¦ ÁøÇàÇÏ·Á´Â ¾÷ü´Â 3ÀÎ ÀÌ»óÀÇ QSA¸¦ º¸À¯ÇÏ°í ÀÖ¾î¾ß °¡´ÉÇÏ´Ù´Â °ÍÀÌ PCI SSCÀÇ ±ÔÁ¤ÀÌ´Ù. A3½ÃÅ¥¸®Æ¼(ÀÌÇÏ A3)ÀÇ QSA ÀüÀ¯¹Ì °úÀåÀº¡°ÀÌ·¯ÇÑ PCI SSCÀÇ QSA ÀÚ°ÝÀ» °®°í ÀÖ´Â Àü¹®°¡´Â ÇöÀç ±¹³»¿¡ 5¸í»ÓÀÌ´Ù. ±× Áß 4¸íÀÌ A3½ÃÅ¥¸®Æ¼¿¡¼ ±Ù¹«ÇÏ°í ÀÖ°í 1¸íÀº Çѱ¹IBM¿¡ ÀÖ´Â °ÍÀ¸·Î ¾È´Ù¡±°í ¹àÇû´Ù. ¶ÇÇÑ ±×´Â¡°¿ì¸®³ª¶ó´Â Áö³ÇغÎÅÍ PCI DSS¶ó´Â À̸§À¸·Î µµÀԵǾî A3°¡ óÀ½À¸·Î ÀÌ¿¡ ´ëÇÑ °¨»ç¸¦ ÁøÇà ÇÏ°í ÀÖ´Ù¡±°í ¼³¸íÇß´Ù. ±×¿¡ µû¸£¸é, ¿ÃÇØ PCI DSS°¡ ±¹³»¿¡ µé¾î¿Í ÀÖ´Â ºñÀÚÄ«µå, ¸¶½ºÅÍÄ«µå, ¾Æ¸Þ¸®ÄÀͽºÇÁ·¹½ºÄ«µåÀÇ °¡¸ÍÁ¡À̳ª PG(ÀüÀÚ°áÁ¦½Ã½ºÅÛ : Payment Gateway)»çµé °ú VAN(Value Added Network)»ç¿¡µµ ±ÔÁ¤Áؼö¸¦ ±Ç°íÇÏ°í ÀÖÀ¸¸ç À̸¦ ÁöÅ°Áö ¾ÊÀ¸¸é Ä«µå °áÁ¦ ½ÂÀÎÀ» °ÅºÎÇÏ´Â µî °·ÂÇÑ Á¦Á¦¸¦ °¡ÇÏ´Â µî, ±¹³» ´Ù¸¥ Ä«µå ȸ»çµéÀÇ °¡¸ÍÁ¡°ú PG»ç, VAN»çµé¿¡°Ôµµ À̸¦ È®´ë ½ÃÅ°·Á°í ÇÏ°í ÀÖ´Ù´Â °ÍÀÌ´Ù. ±×·¯³ª ÀÌ·¯ÇÑ ½Å¿ëÄ«µå Á¤º¸¿¡ ´ëÇÑ º¸¾ÈÇ¥ÁØÀÌ ÃÖ±Ù Áõ°¡ÇÏ°í ÀÖ´Â º¸¾È »ç°í¿¡ ´ëºñÇؼ ÇÊ¿äÇÏÁö¸¸, ¾ÆÁ÷ ¿ì¸®³ª¶óÀÇ È¯°æÀ̳ª ¿©·¯ °¡Áö ¿©°ÇÀ» °í·ÁÇßÀ» ¶§ ±¹ ³»¿¡ Á¤ÂøµÇ±â±îÁö´Â °¥ ±æÀÌ ¸Ö´Ù´Â °ÍÀÌ ±×ÀÇ »ý°¢ÀÌ´Ù. ¶ÇÇÑ¡°ÇÏÁö¸¸ ¾ðÁ¨°¡´Â ÀÌ º¸¾ÈÇ¥ÁØÀÌ È®´ëµÉ °ÍÀ̸ç ÀÌ¿Í °ü·ÃµÈ »ê¾÷µµ Å©°Ô ¼ºÀåÇÒ °ÍÀ¸·Î º»´Ù. ¶Ç ÃÖ±Ù PCI DSS¸¦ ÁؼöÇÏ´Â º¸¾È ¼Ö·ç¼Çµµ ±Û·Î¹ú ¾÷ü¿¡¼ ¸¹ÀÌ Ãâ½ÃÇÏ°í ÀÖ´Â Á¡µµ ¹Ù·Î ÀÌ ¶§¹®À̶ó »ý°¢ÇÑ´Ù¡±°í ¸»Çß´Ù. ÇÑÆí PCI DSS °¨»ç´Â °¡¸ÍÁ¡, PG»ç, VAN »ç µîÀ» ´ë»óÀ¸·Î º¸Åë 5ÀÏÁ¤µµ ´ã´çÀÚ ÀÎÅͺä¿Í ȯ°æ¡¤Á¤º¸ µî ÀÇ ºÐ¼®À¸·Î ÁøÇàµÈ´Ù. Àü °úÀåÀº¡°¿ì¼± PG»ç³ª VAN »çÀÇ °ü·Ã ´ã´çÀÚ¿Í ¹ÌÆÃÀ» ÅëÇØ Ä«µå »ç¿ëÀÚ Á¤º¸ÀÇ Ã³¸®¿Í ³×Æ®¿öÅ©ÀÇ ¹°¸®Àû 󸮿¡ °üÇÑ Á¤º¸¸¦ ÆľÇ, ÇØ´ç ¾÷üÀÇ È¯°æÀ» ºÐ¼®ÇÏ°í Á¤Ã¥ÁöħÀ̳ª ³×Æ®¿öÅ© ±¸¼ºµµ, ÇϵåÄ«ÇÇ, ¼ÒÇÁÆ®¿þ¾î Ä«ÇÇ ÀڷḦ ¹Þ¾Æ ³×Æ®¿öÅ©, DBA µî °¢ ºÐ¾ß ´ã´çÀÚº° ÀÎÅͺ並 ÁøÇàÇÑ´Ù¡± °í ¼³¸íÇß´Ù. ±×´Â ¶Ç¡°½ÇÁ¦ÀûÀÎ ½Ã½ºÅÛÁ¡°ËÀ» À§ÇÑ ¹°¸®Àû ½Ç»çµµ ÇÔ²² ÁøÇàÇÑ´Ù¡±¸ç¡°¼¹ö µîÀÇ ¹é¾÷°ü¸®¿Í ÃâÀÔ°ü¸® µî ¿¡ ´ëÇÑ ½Ç»ç¸¦ ÁøÇàÇÏ°í °ü·Ã ´ã´çÀÚ°¡ ¸ðµÎ ¸ðÀÎ °¡¿îµ¥ ÃÖÁ¾°á°ú º¸°í¼¸¦ ¹ßÇ¥ÇÏ°í °á°ú¿¡ µû¶ó ½Ç»ç¸¦ ¹ÞÀº ¾÷ü´Â ¹ÌÈíÇÑ ºÎºÐÀº ±ÔÁ¤¿¡ ¸Â°Ô Á¶Ä¡¸¦ ÃëÇØ ¾ß Çϸç, À̸¦ 100% ¸¸Á·ÇØ¾ß PCI DSS ÀÎÁõÀ» ¹ÞÀ» ¼ö ÀÖ°Ô µÈ´Ù¡±°í µ¡ºÙ¿´´Ù. A3´Â Áö³ÇØ 15°³ ¾÷ü¿¡ ´ëÇØ PCI DSS °¨»ç¸¦ ÁøÇà Çß°í ¿ÃÇØ ¾à 20°³ ¾÷ü¿¡ PCI DSS°¡ ÀÌ º¸¾ÈÇ¥ÁØÀÌ Á¤ÂøµÇ°í È®´ëµÇ¸é °ü·Ã »ç¾÷µµ È®´ëµÉ °ÍÀ̶ó´Â Àü¸Á ÀÌ´Ù. <±èÅÂÇü ±âÀÚ(boan@boannews.com)> |
<±Û :±èÅÂÇü ±âÀÚ(boan@boannews.com)/±èµ¿ºó ±âÀÚ(foreign@boannews.com)>
[Á¤º¸º¸È£21c (info@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>