¾÷°è Ç¥ÁØÀÎ PCI DSS¸¦ Àß ÁöÄѵµ À¯Ãâ»ç°í·ÎºÎÅÍ ÀÚÀ¯·ÓÁö ¸øÇØ
POS º¸¾È¿¡¼ Á¦ÀÏ Áß¿äÇÑ °Ç ¡®ºÐ¸®¡¯¿Í ¡®°øÀΡ¯
[º¸¾È´º½º ¹®°¡¿ë] Ÿ±ê(Target). ´Ï¸¸ ¸¶Ä¿½º(Neiman Marcus). ¸¶ÀÌŬ½º(Michael's). P.F 콺(P.F. Chang's). À¯¸í ÇØ¿Ü »ç¾÷üµéÀ̶ó´Â °Í ¿Ü¿¡ ¾î¶² °øÅëÁ¡ÀÌ ÀÖÀ»±î? »ê¾÷ º¸¾È Ç¥ÁØÀ» Àß ÁöÅ°°í ÀÖ´ø ½Å·Ú¹Þ´Â ±â¾÷µéÀ̶ó´Â Á¡, ±×¸®°í ÀüºÎ ÃÖ±Ù POS ´Ü¸»±â¸¦ ³ë¸®´Â ·¥ ½ºÅ©·¡ÆÛ(RAM Scraper)¶ó´Â ¸Ö¿þ¾î¿¡ ´çÇß´Ù´Â °ÍÀÌ´Ù.
¡ã ´õ ÀÌ»ó Ãß¾ï(memory)À» °øÀ¯ÇÏÁö ¾Ê´Â »çÀÌ°¡ ÁÁ°Ú¾î.
À§ ¾÷üµé Áß Å¸±êÀÇ °æ¿ì, ÃÖ¼Ò 1¹é2½Ê¾ï ´Þ·¯¿¡ ´ÞÇÏ´Â ¼Õ½ÇÀ» ÀÔ¾ú´Ù´Â ºÐ¼®ÀÌ Áö¹èÀûÀÎ »óȲÀÌ´Ù. °Ô´Ù°¡ ¼Õ½ÇÀº °è¼ÓÇؼ ¹ß»ý ÁßÀÌ´Ù. Ÿ±êÀÇ CEOÀÎ ±×·º ½ºÅ¸ÀÎÇÏÆç(Gregg Steinhafel) ¾¾´Â ¸ðµç Ã¥ÀÓÀ» ¾È°í ±× ÀÚ¸®¿¡¼ ¹°·¯¼ Á¤º¸À¯Ãâ »ç°í·Î ÀÎÇØ ÃÖÃÊ·Î ÅðÁøÇÑ CEO·Î ±â·ÏµÆ´Ù. ÀÌÁ¦ ´Ü¼øÈ÷ º¸¾È Ç¥ÁØÀýÂ÷¸¦ ÁöŲ °Í¸¸À¸·Î´Â ºÎÁ·ÇÑ °Ô Çö½ÇÀÌ´Ù. ƯÈ÷ POS ´Ü¸»±â¸¦ ³ë¸° ¸Ö¿þ¾î °ø°Ý¿¡ ³ëÃâµÇ¾î ÀÖ´Â ¾÷ü´Â ´õ ±×·¸´Ù.
Ç¥ÁØÀ̶ó°í ºÒ¸®´Â PCI DSS´Â ¿Ö ¹«¿ëÁö¹°Àΰ¡?
POS ´Ü¸»±â´Â ´ëºÎºÐ Ä«µå ¸®´õ±â¸¦ ÀåÂøÇÑ ÄÄÇ»ÅÍ´Ù. ±×¸®°í ´ëºÎºÐÀÇ ÄÄÇ»ÅÍ¿¡´Â ¿µ±¸ ÀúÀå¼Ò(Çϵåµå¶óÀ̺곪 Ç÷¡½Ã ¸Þ¸ð¸®)¿Í Àӽà ÀúÀå¼Ò(RAM)°¡ ÀÖ´Ù. ½Å¿ëÄ«µåÀÇ º¸¾ÈÇ¥ÁØÀ̶ó°í ºÒ¸®´Â PCI DSS(Payment Card Industry Data Security Standard : ÁöºÒÄ«µå »ê¾÷ Á¤º¸º¸¾È Ç¥ÁØ)¿¡ µû¸£ÀÚ¸é ÆǸÅÀÚµéÀº ½Å¿ëÄ«µå Á¤º¸¸¦ ¿µ±¸ ÀúÀå¼Ò¿¡ ÀúÀåÇÒ ¶§ ȤÀº °ø°ø ³×Æ®¿öÅ©¸¦ ÅëÇØ Àü¼ÛÇÒ ¶§ ²À ¾ÏȣȽÃÄÑ¾ß ÇÏÁö¸¸ RAM¿¡ ´ëÇؼ´Â º°´Ù¸¥ ±ÔÁ¦»çÇ×ÀÌ ¾ø´Ù.
·¥ ½ºÅ©·¡ÆÛ¶ó°í ºÒ¸®´Â ¸Ö¿þ¾î´Â ¸Þ¸ð¸® Æļ(memory parser)¶ó°íµµ ºÒ¸®´Âµ¥ ¹Ù·Î ÀÌ Á¡À» ÆÄ°íµé±â ¶§¹®ÀÌ´Ù. ¹°°ÇÀ» ±¸¸ÅÇϱâ À§ÇØ ½Å¿ëÄ«µå¸¦ ±ÜÀ» ¶§ POS ´Ü¸»±â´Â ÇØ´ç Á¤º¸¸¦ RAMÀ» ÅëÇØ ¾ÏÈ£ÈÇÏÁö ¾ÊÀº ä·Î ó¸®ÇÑ´Ù. ¸¸¾à ±× ´Ü¸»±â¿¡ ·¥ ½ºÅ©·¡ÆÛ°¡ ÀÖ´Ù¸é Á¤º¸°¡ ·¥ ½ºÅ©·¡ÆÛ¿¡°Ôµµ Àü´ÞµÈ´Ù.
·¥ ½ºÅ©·¡ÆÛ°¡ ½ÅÁ¾ ¸Ö¿þ¾î´Â ¾Æ´Ï´Ù. ù ¹ß°ßÀº 2009³â¿¡±îÁö °Å½½·¯ ¿Ã¶ó°¡¸ç ´ëÁßµé »çÀÌ¿¡ À̽´°¡ µÈ °ÍÀº 2013³âÀÇ ÀÏÀÌ´Ù. ±×·¯´Ï Çϳªµµ ³î¶ö ÀÏÀÌ ¾Æ´Ï´Ù. ¿ÀÈ÷·Á ³î¶ó¾ß ÇÏ´Â °Ç ÀÌ·¸°Ô ¿À·¡µÈ °ø°Ý¹æ½ÄÀÌ ¹öÁ£ÀÌ Á¸ÀçÇϴµ¥µµ Çϳªµµ º¯ÇÏÁö ¾ÊÀº PCI DSSÀÇ ÁöħÀÌ´Ù. ¸·¿¬È÷ ¡°¸Þ¸ð¸® ½ºÅ©·¡Çΰú °°Àº »õ·Î¿î À§ÇùÀ̳ª °ø°Ý¿¡ ´ëºñÇØ °³¹ßÀÚÀÇ ÈƷõµ ´Ã ÃÖ½ÅÈÇØ¾ß ÇÑ´Ù¡±´Â ¹®±¸¸¸ µé¾îÀÖÀ» »ÓÀÌ´Ù.
¹°·Ð ¾ø´Â °Íº¸´Ù¾ß ³´´Ù. PCI DSS¸¦ ÁöÅ°Áö ¾Ê´Â »ç¾÷ÀåÀº ÁöÅ°´Â »ç¾÷À庸´Ù ÈξÀ Ãë¾àÇÑ °ÍÀÌ »ç½ÇÀÌ´Ù. ÇöÀç PCI DSS¸¸À¸·Î´Â ÃæºÐÄ¡ ¾Ê´Ù´Â °ÍÀÌ´Ù. ±×·¸´Ù¸é US CERT´Â ¾î¶²°¡? ÇÏÁö¸¸ US CERT°¡ Á¦½ÃÇÏ´Â ¸¹Àº ¼Ö·ç¼Çµéµµ °á±¹¿£ PCI DSS·Î ±Í°áµÈ´Ù. Áï ½ÇÁúÀûÀÎ µµ¿òÀÌ µÇÁö´Â ¾Ê´Â´Ù´Â °ÍÀÌ´Ù.
ÇØ°áÃ¥ ã±â
À̸¦ ÇØ°áÇϱâ À§ÇØ »ç¾÷ÁÖµéÀº POS ½Ã½ºÅÛÀ» µµÀÔÇÒ ¶§ µÎ °¡Áö Àǹ®À» °¡Áö°í ÀÖ¾î¾ß ÇÑ´Ù.
1. ÀÌ ½Ã½ºÅÛÀ» »ç¿ëÇÏ¸é ¾ÖÇø®ÄÉÀ̼ǵéÀÌ °¢°¢ÀÇ ¸Þ¸ð¸®¸¦ ³Ñ³ªµé ¼ö ÀÖ°Ô µÇ´Â°¡?
2. ÀÌ ½Ã½ºÅÛ¿¡´Â °øÀÎµÈ ¾ÏÈ£È ¾Ë°í¸®ÁòÀÌ Àû¿ëµÇ¾î Àִ°¡?
POS ´Ü¸»±â ´ëºÎºÐÀº À©µµ¿ì ¿î¿µÃ¼Á¦¸¦ »ç¿ëÇÑ´Ù. ±×·¸±â¿¡ ¾ÖÇø®ÄÉÀ̼ǵéÀÌ ¸Þ¸ð¸®¿¡ Á¢±ÙÇÒ ¼ö ÀÖ´Ù. ¸®´ª½ºµµ ºñ½ÁÇÏ´Ù. RAMÀÌ ÁÁ¾ÆÇÏ´Â Ãë¾àÁ¡ÀÌ ¹Ù·Î ÀÌ ºÎºÐÀÌ´Ù.
½Å¿ëÄ«µå°¡ 󸮵ǷÁ¸é ¾î´À ´Ü°è¿¡¼°Ç ¾ÏÈ£¸¦ ´Ù½Ã Ç®¾î¾ß ÇÑ´Ù. ±×·±µ¥ ºñÀΰ¡ ¾ÖÇø®ÄÉÀ̼ÇÀÌ ±ò·Á ÀÖ´Â °÷¿¡¼ ¾ÏÈ£ Çص¶À» ½Ç½ÃÇÏ¸é ¾î¶»°Ô µÉ±î? Â÷¶ó¸® ¾ÏÈ£È ÇÏÁö ¾Ê´À´Ï¸¸ ¸øÇÏ°Ô µÈ´Ù.
±×·¯¹Ç·Î ¾ÏÈ£ÈµÈ Á¤º¸¸¦ ´Ù½Ã Æò¹®À¸·Î ¹Ù²Ù·Á¸é ¸ÕÀú ½Ã½ºÅÛ È¯°æÀÌ Ã¶ÀúÈ÷ º¸È£µÈ °÷À̾î¾ß ÇÑ´Ù. ±×·¸°Ô ÇÏ·Á¸é Á¦ÀÏ ¸ÕÀú ¡®ºÐ¸®¡¯°¡ ÀÌ·ç¾îÁ®¾ß ÇÑ´Ù. Áï Çϵå¿þ¾î¿Í ¼ÒÇÁÆ®¿þ¾î¸¦ »ç¿ëÇØ ÄÄÇ»ÅÍÀÇ ¹°¸®Àû °ø°£À» ³í¸®ÀûÀ¸·Î ³ª´©¾î¾ß ÇÑ´Ù´Â ¼Ò¸®´Ù. RAM¿¡ ÆÄƼ¼ÇÀ» ÁÖ´Â °Ç ±²ÀåÈ÷ ÁÁÀº ¹æ¹ýÀÌ´Ù. ÀÌ·± ¸ñÀûÀ¸·Î Á¦ÀÛµÈ ¿î¿µ ½Ã½ºÅÛÀ¸·Î ºÐ¸® Ä¿³ÎÀ̶ó´Â °Íµµ ÀÖÀ¸´Ï Âü°íÇÏÀÚ.
¶Ç, º¸¾È¿¡ ¹Î°¨ÇÑ °³¹ßÀÚ¶ó¸é ¾ÖÇø®ÄÉÀ̼ǵéÀÌ °¢°¢ ÇÒ´çµÈ ¸Þ¸ð¸® ±¸¿ª ¿Ü¿¡ ´Ù¸¥ ¾ÖÇø®ÄÉÀ̼ÇÀÇ ±¸¿ª¿¡ ÀÖ´Â Á¤º¸¿¡ Á¢±ÙÇÏ°Ô ÇÒ ¸®°¡ ¾ø´Ù. Ưº°ÇÑ ¸ñÀûÀÌ ÀÖÁö ¾ÊÀº ÀÌ»ó¿¡ ¸»ÀÌ´Ù. ±×·¸±â ¶§¹®¿¡ ´ë´ÜÈ÷ À§ÇèÇÒ ¼ö ÀÖ´Â Ç×°øº¸¾È ½Ã½ºÅÛ¿¡´Â À©µµ¿ì°¡ »ç¿ëµÇÁö ¾Ê´Â´Ù. À©µµ¿ì¿¡´Â ÀÌ·± öÀúÇÑ º¸¾È °³³äÀÌ ºüÁ®Àֱ⠶§¹®ÀÌ´Ù. ÇÏÁö¸¸ À©µµ¿ì´Â »ç¿ëÇϱâ ÆíÇÏ°í ÀÎÅÍÆäÀ̽º°¡ Ä£¼÷ÇÏ´Ù´Â ÀåÁ¡ÀÌ ÀÖ´Ù. ±×·¸±â ¶§¹®¿¡ ÀÏ¹Ý »ç¾÷ü¸¦ ´ë»óÀ¸·Î ÇÑ POS ´Ü¸»±â´Â ´ëºÎºÐ À©µµ¿ì üÁ¦¸¦ °íÁýÇÏ°í ÀÖ´Â °ÍÀÌ´Ù.
±×·¡¼ À©µµ¿ì üÁ¦¸¦ »ç¿ëÇÏ´Â POS´Â °¡»óȸ¦ µµÀÔÇß´Ù. ÇÑ ÆÄƼ¼Ç¿¡¼ ¹Î°¨ÇÑ ½Å¿ëÄ«µå Á¤º¸¸¦ º¸È£ÇÏ°í ó¸®ÇÏ´Â µ¿¾È ´Ù¸¥ ÆÄƼ¼Ç¿¡¼´Â POSÀÇ ´Ù¸¥ ±â´ÉÀÌ ½ÇÇàµÇ´Â °ÍÀÌ ¡®ÆÄƼ¼Ç¡¯ ȤÀº ¡®ºÐ¸®¡¯¶ó¸é °¡»óÈ´Â ÇÑ ÄÄÇ»ÅÍ ³»¿¡¼ ÇÑ °³ ÀÌ»óÀÇ ¿î¿µÃ¼Á¦¸¦ µ¹¸®´Â °ÍÀ» ¸»ÇÑ´Ù. ±×·¯³ª °¡»óȸ¸À¸·Î´Â ¾ÈÀü¼ºÀÌ ¿Ïº®ÇÏ°Ô º¸ÀåµÇÁö ¾Ê´Â´Ù. °¡»óÈÀÇ ¹æ¹ýÀ̳ª ÀýÂ÷ ÀÚüµµ ³Ê¹« ´Ù¾çÇϱ⠶§¹®ÀÌ´Ù. ±×·¡¼ ¿ÀÈ÷·Á °¡»óÈ ¶§¹®¿¡ °ø°Ý ·çÆ®°¡ ´õ ´Ù¾çÇØÁö±âµµ ÇÑ´Ù.
½Å¿ëÄ«µå Á¤º¸´Â Ä«µå°¡ ±ÜÈ÷´Â ¼ø°£ ¾ÏȣȵǾî¾ß ¸¶¶¥ÇÏ´Ù. PCI DSS´Â À̶§ »ê¾÷¿¡¼ °øÀÎÇÏ°í ¹Þ¾ÆµéÀÎ ¾Ë°í¸®ÁòÀ» »ç¿ëÇØ ¾ÏÈ£ÈÇÒ °ÍÀ» ¿ä±¸ÇÑ´Ù. ±¹°¡±â°üÀ̳ª ±¹°¡°¡ ÀÎÁ¤ÇÑ ±â±¸¿¡¼ ¿©·¯ °¡Áö·Î ½ÇÇèÇÏ°í º¸°ÇÑ ¾Ë°í¸®Áò¸¸Å Æ°Æ°ÇÑ ºñÀΰ¡ ¾Ë°í¸®ÁòÀÌ ÀÖÀ» È®·üÀÌ ³·±â ¶§¹®ÀÌ´Ù. ±×·¯¹Ç·Î POS ´Ü¸»±â³ª ½Ã½ºÅÛÀ» µµÀÔÇÏ·Á´Â »ç¾÷ÁÖ´Â ÀÌ ¾Ë°í¸®ÁòÀÇ °øÀÎ ¿©ºÎ¸¦ öÀúÇÏ°Ô È®ÀÎÇÒ ÇÊ¿ä°¡ ÀÖ´Ù.
¾ðÁ¦±îÁö PCI DSS¿¡ ±â´î ¼ö¸¸Àº ¾ø´Ù. ¿ª»ç¸¦ ÅëÇØ ¹è¿ì´Â °Ô »ç¶÷À̶ó¸é, PCI DSS¸¸ ¹Ï°í ÀÖ´Ù°¡ ´çÇÑ ¾÷üµéÀ» ÅëÇØ ÃæºÐÈ÷ °£Á¢ °æÇèÇÒ ¼ö ÀÖ¾î¾ß ÇÑ´Ù. ±×·¸´Ù°í À̸¦ ¹«½ÃÇ϶ó´Â ¸»Àº ¾Æ´Ï´Ù. Ç¥ÁØ ÀýÂ÷µµ ÁöÄÑ°¡¸é¼ ¡®ºÐ¸®¡¯¿Í ¡®°øÀΡ¯À̶ó´Â µÎ Å°¿öµå¸¦ °¡Áö°í Àڱ⸸ÀÇ ¹æ¾îÃ¥µµ ±¸ÃàÇØ¾ß ÇÑ´Ù´Â °ÍÀÌ´Ù. RAM¿¡¼ Á¤º¸¸¦ ºÐ¸®Ç쵂 °øÀÎµÈ ¾Ë°í¸®ÁòÀ» °¡Áö°í ÇÏ´Â ¾ÈÁ¤µÈ POS¸¦ ¾ó¸¥ ã¾Æº¸ÀÚ.
¨ÏDARKReading
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>