안전한 결제환경 위한 PG사 보안인증 취득사례

KG이니시스, PCI DSS·ISMS 인증 모두 획득...PG사 최초

[보안뉴스 김태형] 최근 공인인증서 의무사용 페지 등으로 국내 결제환경에 큰 변화의 바람이 불면서 안전하면서도 편리한 결제 시스템 구축이 큰 화두가 되고 있다. 이러한 가운데 국내 결제대행사(Payment Gateway 이하 PG사) 가운데 최초로 국내인증은 물론 국제인증을 취득한 기업이 있어 주목받고 있다.

전자결제 서비스 전문기업 KG이니시스(www.inicis.com)가 지난 7월 글로벌 신용카드 데이터 보안인증인 ‘PCI DSS(Payment Card Industry Data Security Standard) v2.0’을 취득한 것이다.

이로써 지난해 ISMS(정보보호관리체계) 인증을 획득한 이 기업은 국내 PG사 중 유일하게 이 두 가지 인증을 모두 획득한 기업이 됐다.

▲ 지난해 ISMS 인증을 획득한 KG이니시스는 올해 국내 PG사 처음으로 PCI DSS 인증을 획득해 안정적인 보안체계를 갖췄다.

KG이니시스는 국내 PG사 중 국내시장 점유율 1위 기업으로, 위메프, 인터파크 등 대형 온라인 쇼핑몰 대부분을 가맹점으로 확보하고 있으며, 중소 쇼핑몰 70%를 가맹점으로 보유하고 있다. 이를 바탕으로 온라인 결제 및 모바일 결제 서비스를 제공하고 있다.

KG이니시스 이철근 정보보안팀 과장은 “PCI DSS 인증은 비자, 마스터, 아메리칸 익스프레스, JCB 등 글로벌 신용카드사에서 신용카드 정보 유출을 막기 위해 협의회를 설립해 만든 데이터 보안 표준인증이다. 해외에서는 신용카드를 이용한 비즈니스를 하는 기업이 갖춰야 할 필수 인증이지만 한국에서는 특별한 규제사항이 없다”면서 “하지만 KG이니시스는 이번에 PCI DSS 인증을 획득해 고객들이 더욱 안심하고 이용할 수 있는 서비스 환경을 만들게 됐다. 앞으로도 철저한 보안의식을 바탕으로 안전하고 편리한 결제 환경을 제공할 수 있도록 항상 노력할 것”이라고 말했다.

최근 금융 결제환경은 오프라인에서 온라인, 그리고 온라인에서 모바일 결제수단으로 변화하고 있어 사용자들은 더 편리하고 안전한 결제수단을 원하고 있다. 특히 최근엔 모바일을 통한 결제가 증가하고 있어 무엇보다 보안의 중요성이 대두되고 있다. 결제 서비스에 있어서 최대 보안이슈는 결제 데이터 변조, 스니핑, 키보드 입력값 탈취 등이다.

국내 간편결제 시장이 최근 들어 활성화되면서 정부에서는 기술력·보안성·재무능력을 갖춘 PG사의 경우 카드정보를 저장할 수 있는 여건을 마련했다. KG이니시스는 이번 인증을 통해 이러한 요건을 충분히 갖추게 됐다.

이 과장은 “KG이니시스는 결제 시스템 보안 강화를 위해 사용자 입력값 보호, E toE 암호화, SSL, 키보드 보안 등의 체계를 갖추고 있다. 또 최근 원클릭 간편결제서비스 ‘Kpay(케이페이)’ 개발을 완료하고 금융감독원 보안성 심의절차를 통해 기존 10만여개 가맹점을 대상으로 본격적인 서비스를 시작할 계획”이라고 설명했다.

케이페이를 이용하면 액티브X, 키보드 보안프로그램 등 플러그인을 설치하거나 카드정보, 인증정보 등을 매번 입력할 필요 없이 편리하게 결제할 수 있다. 또 2팩터, 2채널 인증인 시큐락을 적용, 다양한 보안요구 수준에 대응할 수 있도록 준비하고 있다는 점이 특징이다.

KG이니시스의 정보보안팀은 4명으로 구성되어 있으며 정보보안팀에서 회사 전체의 시스템 보안, 정보보호 및 개인정보보호 업무를 담당하고 있다. 특히 사내보안은 기본적으로 USB, 인터넷 접속 통제 및 개인정보보호 등의 정보보안 관리를 총괄하고 있다.

PCI DSS 인증을 받게 된 계기에 대해 이철근 과장은 “지난 2012년 입사 후 가장 큰 고민은 시큐리티 거버넌스를 이용해 IT 거버넌스를 완성하고 이를 회사 목표에 부합시켜 결국에는 회사에 도움이 되기 위한 것이었다”면서 “문제는 경영진을 설득하는 것이었는데 PCI DSS 인증 획득의 기대효과와 필요성 등을 명확하게 전달해서 경영진들의 적극적인 지원을 이끌어낸 것 같다”고 말했다.

KG이니시스는 PCI DSS 인증을 통해 개인정보보호법 등 컴플라이언스를 준수하고 해외 가맹점 유치에도 많은 도움이 되고 있다. PCI DSS 인증을 위한 통제항목이 많다 보니 이를 충족하기 위해 WIPS, 네트워크 접근제어 등 필요한 보안 솔루션들 추가하는데 많은 비용이 투입되기도 했다. 하지만 KG 이니시스는 내년부터 적용되는 PCI DSS 3.0 인증도 받을 계획이다.

“경영진들의 높은 관심과 적극적인 의지로 많은 비용과 인력이 투입될 수 있었기 때문에 이번 PCI DSS 인증을 받을 수 있었다”고 말하는 이 과장은 “이번 PCI DSS 2.0 인증을 받기 위해 1년이 걸렸다. 이처럼 PCI DSS 인증은 많은 시간과 비용·인력 외에도 개발부서나 IT 부서 등 타부서와의 협력 없이는 쉽지 않은 일”이라면서 사내 업무 부서간의 협력이 무엇보다 중요하다고 강조했다.

특히 KG이니시스는 PCI DSS 인증을 받으면서 내부보안 강화에 중점을 두고 개인정보보호 강화를 위해 이번 PCI DSS 인증을 활용했다. 내년에는 이를 더 강화하기 위해 PIMS(개인정보보호관리체계) 인증과 ISO27001 인증 획득을 계획하고 있다.

또한 그는 “ 이번 인증을 통한 가장 큰 효과는 해외 가맹점 증대다. 또 최근 여신금융협회에서 PCI DSS 인증이 있어야 적격 PG사가 될 수 있다고 발표한 바 있다. 이로 인해 최근 PCI DSS에 대해서 잘 모르다가 정부정책 변화에 따라 PCI DSS에 대한 관심도 높아졌다”면서 “다른 PG사와 다르게 유일한 PCI DSS 인증 업체로서 경쟁력을 보유하게 된 부분에서도 기업 이미지 및 신뢰도 상승 효과가 크다. 우리는 KG이니시스가 안전한 결제 서비스 회사로 인식되도록 지속적으로 노력할 것”이라고 강조했다.

▲ KG이니시스 이철근 정보보안팀 과장

이처럼 보안체계 및 보안관련 인증을 받기 위해서는 경영진의 설득이 중요하고 무엇보다 보안담당자가 경영진들에게 확신을 심어줘야 한다. 또한 내부 보안업무와 관련해서는 융통성을 갖고 다른 부서와 긴밀히 협력해야 한다.

이 과장은 “내부 보안이 철저해지면 업무가 불편해지기 마련이다. 그러면 타 부서 업무자들은 반감이 생기게 되어 있다. 이를 위해서 직원들에게 보안교육을 정기적으로 진행하는 것도 중요하다. 이러한 기회로 통해 서로의 공감대를 높이고 불만을 해소할 수 있다. 이에 KG이니시스는 내부 보안 교육을 연 2회 실시하고 있다”고 덧붙였다.

“보안은 정책도 만들고 프로젝트 구축도 해야 하지만 가장 중요한 것은 실행이다. 보안 솔루션이 아무리 많아야 소용없다. 이용자들의 안전한 사용을 위해서는 이중 삼중의 철저한 보안강화에 지속적으로 노력해야 한다”는 것이 KG이니시스의 가장 중요한 보안원칙이다.

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)