결제보안 인증 PCI DSS, 왜 올해 꼭 받아야 하나

간편결제 활성화로 결제보안 필요성 커지는 추세
결제보안 표준인 PCI DSS, 국내 업계도 준수해야
미준수 패널티 피하고 보안 높이려면 인증 필수

[보안뉴스 오다인 기자] 이른바 ‘PCI DSS’라고 불리는 글로벌 보안 표준이 최근 국내 경제인들 사이에서 조금씩 회자되기 시작했다. 간편결제가 활성화되고 핀테크 시장에 붐이 일면서 이에 상응하는 결제보안이 요구되고 있지만, 일반에서는 최소한의 결제보안 표준인 PCI DSS와 관련해서도 아직까지 ‘뭔지 잘 모르겠지만 받아야 한다더라’는 말이 오가는 수준이다.

[이미지=iclickart]

결론부터 짚자면 고객으로부터 직불카드나 신용카드로 대금을 수납하는 업체는 궁극적으로 PCI DSS를 준수해야 하며, 이를 준수하지 못하면 일부 업체의 경우 당장 7월 1일부터 카드거래에 있어 불이익이 발생할 수 있다. PCI DSS의 보안 표준 중 하나인 SSL/TLS 프로토콜을 최신 버전으로 업그레이드해야 하는 마감이 다가오는 6월 30일이기 때문이다.

하나씩 살펴보자. 우선 SSL/TLS는 두 시스템 간 안전한 통신 채널을 구축하기 위해 쓰이는 암호화 프로토콜을 말한다. 예컨대, 온라인 쇼핑몰에서 결제하려는 고객의 컴퓨터 시스템과 최종적으로 결제 대금을 수납하는 측의 컴퓨터 시스템 사이의 통신을 외부 공격자에게 노출하지 않고 무사히 완료하기 위한 약속이라고 보면 된다. 이러한 약속은 온라인 환경 및 사이버 공격의 진화에 따라 함께 발전하고 있다.

이를 포함한 결제 시스템 보안 표준을 규정한 것이 PCI DSS다. PCI DSS는 결제카드산업 데이터보안표준(Payment Card Industry Data Security Standard)의 영문 약자다. 결제카드 정보의 보안을 위해 PCI 보안표준위원회(PCI SSC: Payment Card Industry Security Standards Council)가 업계 종사자들에게 준수를 요구하고 있다.

PCI 보안표준위원회는 △비자(VISA) △JCB △아메리칸 익스프레스(American Express) △디스커버 파이낸셜 서비스(Discover Financial Services) △마스터카드 월드와이드(Mastercard Worldwide) 등 5개 국제 카드회사로 구성돼 있는 민간 성격의 협의 단체다. 법적 강제성은 없지만 이들의 요구사항을 충족하지 못할 시 벌금을 물거나 대금 입금 거부 등의 불이익이 발생할 수 있어 회원사 입장에선 사실상 따를 수밖에 없다.

PCI DSS 위반으로 인한 벌금은 카드회사별로 다르다. 보통 카드사는 가맹점의 카드대금을 처리하는 은행 또는 금융기관(acquiring bank)에 월 평균 5,000달러(약 535만 원)에서 10만 달러(약 1억 690만 원)까지 벌금을 부과한다. 이때 벌금을 부과받은 은행 또는 금융기관은 가맹점 측에 해당 벌금의 납부를 요구하게 되고, 동시에 이 가맹점과의 거래를 중단하고 거래 비용을 높일 가능성도 크다.

PCI 준수에 대한 가이드를 제공하는 ‘PCIComplianceGuide.org(이하 PCI가이드)’에 따르면, 카드사별 벌금은 공개적으로 드러나있진 않지만 소규모 사업자들에겐 치명적일 수 있는 수준으로 알려졌다. PCI가이드는 정보유출로 인한 피해액을 평균 추산했을 때 PCI를 준수하려는 노력이 결국 사업비를 아끼는 길이라고 강조하고 있다.

현재 준수 대상이 확대되는 추세로, 앞서 지난 3월까지 회원사들에게 PCI DSS 준수를 요구한 국제항공운송협회(IATA)를 비롯해 향후 전자결제대행업체(PG사) 및 부가가치통신망업체(VAN사), 카드사 등도 PCI DSS 인증을 받아야 이 같은 불이익을 피할 수 있을 것으로 전망된다.

2016년 4월 발표된 PCI DSS 3.2버전은 안전한 암호화 프로토콜을 위해 예전 버전의 SSL/TLS를 폐기하고 TLS 1.2버전으로 업그레이드할 것을 명시하고 있다. 즉, TLS 1.2버전 미만이면 암호화 통신이라 하더라도 외부 공격에 뚫릴 수 있다고 보는 것이다. 3.2버전으로 전환해야 하는 마감이 올해 6월 30일이다. PCI 보안표준위원회는 공식 홈페이지를 통해 “2018년 6월 30일 이후 SSL/초기TLS는 PCI DSS 요구사항을 충족하는 보안 컨트롤로 쓰여서는 안 된다”고 밝히고 있다.

크게 PCI DSS는 총 6가지 목적과 12가지 요건을 담고 있다. △보안 네트워크 구축·유지 △카드 소유자 데이터 보호 △취약점 관리 프로그램 유지 △강력한 접근제어 시행 △정기적인 네트워크 모니터링 및 테스트 △정보보안 정책 유지 등의 목적 하에 구체적인 요건이 명시돼 있다. 요건별 평가 절차는 총 415개 항목으로 구성된다.

이에 대해 각 가맹점(Merchant) 또는 서비스 제공자(Service Provider)는 연간 거래건수에 따른 표준을 준수해야 한다. 비자와 마스터카드는 △연간 거래건수가 600만 건 이상을 레벨 1 △100만 건 이상을 레벨 2 △2만 건 이상을 레벨 3 △그 밖의 레벨 4로 구분하고 있다.

현재 PCI DSS 인증에 대한 국내 인식은 매우 저조한 편이나 이와 무관하게 국제 사회에서 요구하는 결제보안 기준은 국내 시장에도 동등하게 요구되는 상황이다. 특히, 세계 시장 진출을 앞두고 있거나 계획하는 기업의 경우, PCI DSS 인증을 받지 않고서는 향후 사업 추진이 어려울 것으로 보인다.
[오다인 기자(boan2@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)