Home > 전체기사 > 외신
[주말판] PCI SSC, 지불 산업 표준 어떻게 바꾸나?
  |  입력 : 2019-09-28 12:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
PCI SSC 컨퍼런스, 밴쿠버에서 열려...어떤 점 주로 논의되었을까
새로운 지불 기술의 등장이 관건...새로운 표준들 다수 마련되는 듯


[보안뉴스 문가용 기자] 지불 산업에 종사하는 전문가 1300명이 밴쿠버에서 모였다. 그리고 지불 카드 산업 보안 표준 협의회(Payment Card Industry Security Standards Council, PCI SSC) 북미 지역 회의를 시작했다.

[이미지 = iclickart]


이렇게나 많은 사람이 모인 이유는 모바일 장비들에 장착되어 있는 비접촉식 지불 기술의 새로운 보안 표준을 정립하고, 차기 PCI 보안 표준을 개발하며, 곧 공개될 P2P 암호화(P2PE) 기술의 PCI 표준을 마련하는 것이었다. 여기에 더해 PCI SSC의 표준과 결정이 미래에 어떤 과정을 통해 이뤄질 것인지를 안내할 새로운 보안 프레임워크가 발표되기도 했다.

결국 PCI의 여러 가지 보안 표준들을 연장 혹은 개정하는 일에 대해 이 많은 사람들이 이야기를 나눈 것이다. 이는 각종 지불 기술이 새롭게 등장하는 지금과 같은 때에 반드시 필요한 일이었다. 또한 앞으로도 더 많은 기술이 나타날 것으로 예상되기 때문에 새 프레임워크를 통해 관계자들과 PCI SSC 회원들이 보다 원활하게 목소리를 낼 수 있게 해두기도 했다.

10년도 훨씬 넘는 기간 동안 지불 카드 데이터를 직접적이든 간접적으로 처리해야하는 모든 조직들은 PCI SSC의 표준에 따라야만 했다. 원래는 마스터카드(MasterCard), 비자(Visa), 아메리칸 엑스프레스(American Express), 디스커버(Discover), JCB가 함께 만든 것으로, 신용카드 및 현금카드를 사용한 거래를 안전하게 지키는 것을 목적으로 하고 있다.

그래서 PCI SSC는 자신들의 표준이 제대로 지켜지고 있는지 확인하고, 주기적으로 시험하는 절차를 갖기도 한다. 지불 카드와 관련된 보안 사고를 겪은 기업들의 경우는 PCI SSC가 조사를 통해 표준이 제대로 지켜졌는지 확인하고, 그렇지 않을 경우 벌금을 내도록 했다. 꽤나 구속력이 강한 표준이라고 볼 수 있다. 이런 PCI SSC, 이번 회의를 통해 어떤 이야기를 나눴을까? 크게 다섯 가지로 정리해 보았다.

1. 지불 소프트웨어 보안 평가자 지원 받는다
PCI SSC는 10월부터 새로운 ‘소프트웨어 보안 프레임워크(Software Security Framework, SSF)’에 입각해 지불 소프트웨어의 보안성을 평가하는 평가자가 되고 싶은 기업과 개인 전문가들의 지원서를 받기로 했다. 평가자로 선정이 되면 1) 소프트웨어 제조사들이 ‘보안 소프트웨어 생애주기(Secure Software Lifecycle, SSL)’라는 표준을 따르고, 2) 소프트웨어 상품이 ‘보안 소프트웨어(Secure Software, SS)’ 표준을 따를 수 있도록 해야 한다.

PCI의 소프트웨어 보안 프레임워크(PCI SSF)는 지불 카드 보안을 위한 새로운 표준들과 프로그램들을 모아둔 것으로, 현재의 ‘지불 애플리케이션 데이터 보안 표준(Payment Application Data Security Standard, PA DSS)’을 2022년까지 대체할 예정이다. PCI SSF는 기존 PA DSS의 내용을 대부분 포함하지만 보다 넓은 범위의 지불 소프트웨어와 기술의 개발 방법들까지도 아우를 것이라고 한다. PCI SSC는 SSF에 대해 “새로운 지불 소프트웨어와 방법들의 보안까지도 다질 수 있게 해주는 새로운 접근법”이라고 묘사한다.

“SSF의 목적은 1) 보안 시험을 보다 유연하고 빠르게 실시할 수 있게 하고, 2) 평가 대상이 될 소프트웨어와 애플리케이션의 범위를 넓히고, 3) 지불 산업 내 애플리케이션 개발자들의 보안 인식을 향상시키는 것입니다.” PCI SSC의 CTO인 트로이 리치(Troy Leach)의 설명이다.

지불 산업에 어떻게든 발을 걸치고 있는 조직들이라면, 사용되고 있는 소프트웨어가 SSF의 요구사항을 잘 지키고 있도록 해야 한다. 하지만 지금 당장부터는 아니다. 표준의 변화가 최대한 부드럽게 적용될 수 있도록 하기 위해 PCI SSC는 당분간 SSF와 PA DSS를 함께 지키도록 요구할 것이기 때문이다. 즉, 조직들은 SSF가 완전히 PA DSS를 대체할 때까지는 이 두 가지 중 하나만 지켜도 표준을 따르는 것으로 인정된다.

2. 비접촉 지불과 관련된 새로운 표준, 올해 안에 나온다
PCI SSC는 올해 말까지 모바일 지불 기술과 관련된 새로운 보안 표준을 발표할 예정이다. 현재 적용되고 있는 ‘PCI PIN 거래 보안 상호 작용 지점(PCI PIN Transaction Security Point of Interaction)’ 표준을 확장시키는 것으로, 모바일 장비를 사용해 비접촉 방식으로 거래를 하도록 해주는 기술을 포함할 것이라고 한다. 현재 널리 사용되고 있는 상용 모바일 제품들이 다수 포함된다.

PCI SSC는 이미 ‘상용 모바일 제품에서의 소프트웨어 기반 PIN 입력(Software-based PIN Entry on COTS)’이라는 표준을 보유하고 있다. 하지만 여기에는 비접촉식 지불 기술이 포함되어 있지 않다. “현재 대부분의 스마트폰 제조사들이 비접촉 지불 기술을 지원하고 있고, 그런 장비들이 앞으로도 더 나올 예정입니다. 그렇기 때문에 이에 관한 표준을 서둘러 발표할 예정입니다.” 리치의 설명이다.

3. PCI DSS 4.0에 대한 피드백, 10월까지 받는다
PCI SSC는 현재의 PCI DSS를 4.0으로 업데이트해야 하는 엄청난 과제를 수행하고 있는 중이다. ‘대규모’ 업데이트라고 알려져 있으며, 2020년 4사분기 내로 이를 발표해야 한다. 그 전까지 PCI SSC의 모든 관계자들이 초안을 보고 의견을 제시할 수 있다(항상 그래왔다). 이번 PCI DSS 4.0 초안에 대한 첫 번째 피드백 접수 기간은 10월부터 시작된다. 여기에 참여하고 싶은 사람들에게는 PCI DSS 4.0의 최초 초안과, 주요 변경 사항들을 요약해놓은 문서가 주어진다.

“이번 회의를 통해 PCI SSC 회원들이 벌써부터 흥미로운 부분을 지적해주었습니다. 인증과 관련된 부분이나, 최근에 득세하고 있는 새로운 해킹 기술과 사기 공격 등에 대한 우려가 많았습니다. 보다 더 광범위하고 종합적으로 금융 산업의 리스크를 아우를 수 있는 표준이 필요한 듯 보입니다.” 리치의 설명이다.

위에서 설명한 PCI SSC의 다른 프로젝트들과 마찬가지로 이번 PCI DSS 4.0에서도 새로운 지불 환경과 관련된 데이터의 보호가 관건이 될 것으로 보인다. 신기술의 빠른 등장에 맞춰 PCI SSC 전체가 바빠진 모양새다. “PCI DSS v4.0은 PCI 표준을 조직들이 잘 지키나 확실히 하기 위해 강제성을 부여하는 장치를 두는 것보다, 전체적인 보안의 결과를 내는 것에 더 초점을 맞추고 있습니다.”


4. P2PE 표준의 새 버전과 프로그램, 12월까지
PCI P2PE라는 표준은 카드와 관련된 데이터를 처리하는 데 있어 종단간 암호화 기술을 사용하는 조직들이 반드시 지켜야만 했던 표준이다. 민감한 카드 정보가 암호화 되지 않은 채로 교환되는 것을 막는 것이 P2PE의 가장 큰 목적이다. 이것만 지켜도 PCI가 요구하는 컴플라이언스 요구 사항을 대부분 지킬 수 있다고 여겨지는 분위기도 있었다.

2019년 12월, PCI SSC는 이런 P2PE 표준의 세 번째 버전(3.0)을 발표할 예정이다. 규정과 표준의 준수보다, 암호화와 표준의 근간이 되는 기저 프로그램에 좀 더 많은 변화가 있을 예정이라고 한다. 또한 P2PE 3.0부터 P2P 암호화 기술 제공 업체들은, 자사가 제공하는 기술을 전체적으로 통합해 평가하는 것이 아니라, 세부 요소들을 하나하나 평가할 수 있게 된다. 그러므로 보다 세부적인 취약점에 대한 방비가 이뤄질 수 있다.

“개별 요소들을 하나하나 평가할 수 있다는 건, P2PE 기술 및 서비스 제공업체들이 이전보다 쉽게 여러 요소들을 검토하고 통합할 수 있게 된다는 뜻입니다. 또한 사용자 기업들 역시 보다 넓은 선택지를 갖게 됩니다. 통합된 솔루션의 요소들을 제공하는 조직들이라면, 데이터의 기밀성을 지키고 키를 관리하는 데 있어 자신들의 역할을 보다 분명하게 증명할 수 있을 것이고요.” 리치의 설명이다. “키 주입 시설(Key Injection Facilities)이나 인증기관(Certification Authority), 등록 기관(Registration Authorities)들도 여기에 포함됩니다.”

5. 새 전략 프레임워크
이번 회의를 통해 모습을 드러낸 것 중 가장 중요한 것으로 ‘전략 프레임워크(Strategic Framework)’를 꼽을 수 있다. 이는 PCI SSC 내부에서 결정이 내려지는 과정을 다루는 것으로, 미래 PCI SSC의 역할과 존재 가치를 좌지우지할 만한 것이라고 평가된다. PCI SSC의 본질을 바꾸지는 않되, 새로운 지불 방법과 기술의 등장과 맞물려 PCI SSC가 할 수 있는 일과 맡아야 할 책임을 확장시키는 것을 염두에 두고 만들어졌다.

새 전략 프레임워크는 다음과 같은 부분을 목표로 두고 있다.
1) 지불 보안에 관한 산업의 참여와 지식을 증진시킨다.
2) 자꾸만 변화하는 지불 보안 표준들에 대한 지식을 증진시킨다.
3) 새로운 지불 기술들이 안전하게 구축되도록 한다.
4) 표준들 간 일관성을 유지한다.

리치는 “참여도를 높이기 위해 PCI-SSC는 일단 피드백 제공 시스템을 적극 활용할 예정”이라고 밝혔다. “저희가 만든 초안에 대해 산업이 의견을 제시하고, 우리는 그걸 최대한 반영함으로써 누구나 만족할 만한 표준을 만들고 싶습니다. 지금 지불 산업 전체는 새로운 기술의 대거 등장이라는 커다란 과제를 직면하고 있습니다. 모두가 직면한 어려움이니만큼, 모두가 해결 방법을 모색해야 할 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제