보안성향상을위한 PCI DSS 작성자 : 김재벌 E-mail : ostoneo@gmail.com PCI DSS 란? 최근보안업계의핫한키워드중에하나는클라우드와핀테크일것이다. 클라우드와핀테크가이슈가되면서업계에서함께대두되는용어가있는데, 바로 PCI DSS 다. 최근에는대부분의정부가법적규제를통해통제하므로기업들은적절한보안대책을강구하여야한다. 법이나제도권하에서의보안은다소딱딱한주제일수있다. 그러나, 최근시스템들은이러한컴플라이언스요소를반영하여보안성을강화하고있으므로이에대해서알아보는것도중요하다고할것이다. 그첫번째로 PCI DSS 에대해서알아보고자한다. 보안에관심이있다면 PCI DSS 에대해서한번쯤은들어봤을수도있지만, 여전히 PCI DSS 는생소한분들이많다. PCI DSS ' 란무엇인가? 신용카드회사의홈페이지를보면 PCI DSS (Payment Card Industry Data Security Standard) 는가맹점결제대행사업자가취급하는카드회원의신용카드정보및거래정보를안전하게보호하기위해 JCB, 아메리칸익스프레스, Discover, MasterCard, VISA의국제결제브랜드 5 개사가공동으로책정한신용업계글로벌보안기준이라고언급되어있다. 그렇다면이러한 PCI DSS 는비단신용카드정보를취급하는곳에만관계가있다고생각할 수있다. 이 PCI DSS 사실정보보안에대한구체적인구현을요구하고있는것으로, " 네트워크및애플리케이션침투테스트의횟수와실시시기 패치릴리스후 1 개월이내에신청 몇번의잘못된로그온시도한경우잠금 "" 클라이언트 PC에개인방화벽설치 ' 등구체적인시책을정량적으로제시되어있으며, 미국에서는신용카드정보와무관한기업이나조직이 PCI DSS를기준으로채택하고있다.
PCI DSS 개발과정신용카드회사는 PCI DSS가개발되기이전부터신용카드정보와결제정보를보호하기위해자신들만의기준을책정했다. 예를들어 VISA나마스터카드도별도의기준을가지고있다. 이러한각회사의의도는결국카드소유자의데이터를저장, 처리, 전송할때최소한의보안수준을만족시키는것이었다. 따라서여러카드를취급하는가맹점은여러기준을만족시켜야하므로기준을공통화함으 로써비용과시간을아낄수있게된다. 이러한이유로주요신용카드회사가연계하여등장한것이 PCI DSS 다. PCI DSS 는 2004 년 12 월에제정되어 2006 년 9 월현재 v1.1 버전업되면서발전하였 고, 또한동시에 PCI SSC (PCI 보안표준협의회 ) 가 PCI DSS 의유지, 관리, 보급활동을목 적으로설립되었으며, 현재는 3.1.1 이다. PCI DSS 준수여부진단은 1. 문진표에의한자기진단 2. 취약성스캐닝테스트 3. 방문조 사통해심사하고있다. 해외의경우신용카드회사는가맹점이프로그램에참여하지않으면벌금을부과하거나구 체적인조치를취하도록요구하는경우도있다. 마스터카드의홈페이지를보면 " 과거에카드거래정보의유출이발생한적이있는모든 가맹점 은매년방문조사와분기별취약점스캐닝테스트를의무화하고있음을알수있 다. 국내사례는아니지만실제로일본기업의인터넷쇼핑사이트에서카드회원데이터유출 사고가발생했을때사고대응후신용카드회사에서 PCI DSS 준수를카드취급재개의 조건으로걸었다는사례가있다. PCI DSS의 12가지요구사항 PCI DSS는카드회원데이터를취급하는시스템을다른시스템과분리하라는메시지가네트워크를분리하고적절하게관리하기위해 6 개의 " 컨트롤의목적 ' 과네트워크아키텍처, 소프트웨어디자인, 보안관리, 정책, 절차등에관한기준이 12가지요구사항 " 으로규정되어있다.
I 안전한네트워크구축및유지 요구사항 1 : 카드회원데이터를보호하기위해방화벽을도입, 최적의설정을유지 요구사항 2 : 시스템암호및기타보안매개변수에벤더가제공하는기본값을사용하지않는것 II 카드회원데이터보호 요구사항 3 : 저장된카드회원데이터를안전하게보호 요구사항 4 : 퍼블릭네트워크에서카드회원데이터를보낼때암호화 III 취약점관리프로그램의정비 요구사항 5 : 안티바이러스소프트웨어를이용하여정기적으로갱신 요구사항 6 : 안전한시스템과어플리케이션을개발, 유지보수 IV 강력한액세스제어기법의도입 요구사항 7 : 카드회원데이터에대한접근을업무상필요한범위내로제한 요구사항 8 : 컴퓨터에액세스하는사용자마다개별 ID를할당 요구사항 9 : 카드회원데이터에대한물리적액세스를제한 V 정기적인네트워크모니터링및테스트 요구사항 10 : 네트워크자원과카드회원데이터에대한모든접근을추적하고모니터링 요구사항 11 : 보안시스템및관리절차를정기적으로테스트 VI 정보보안정책의점검 요구사항 12 : 정보보안정책점검
요구사항은더욱상세하게세부항목에규정되어있다. 규정의내용은카드회원데이터보호를목적으로하고있기때문에, ISO / IEC27001 등일 반기준보다구체적인정량적으로표현된다. 구체적으로이미지하기쉬운 PCI DSS 요구사항 요구사항 I, 안전한네트워크구축및유지 " 카드회원데이터를보호하기위해방화벽 을도입하여최적의설정을유지 " 의내용을보면 1.1 아래사항을포함한방화벽과라우터의설정기준을확립한다. 1.2 신뢰할수없는네트워크와카드회워데이터환경의모든시스템구성요소 사이에접속을제한하는방화벽설정을적용한다. 등으로항목이있고아래와같이세부적으로 1.1.1 모든외부네트워크연결및방화벽설정변경을승인테스트하기위한 공식적인절차. 1.1.2 무선네트워크를포함하여카드회원데이터에대한모든연결을보여주는 최신네트워크구성도
1.1.3 모든인터넷접속및 DMZ 와내부네트워크영역사이에방화벽설치에대 한요구 등등으로보다세분화되어있다. 보다상세하고구체적으로설정되어있고구체적으로정량적으로표시되어있다. PCI DSS 활용방안카드회원데이터를사내시스템에서취급하는기업은 PCI DSS 요구사항을충족하도록시스템구현업무를구현할수있으며, 이를통해최소한확보해야할보안수준을달성수있다. 그리고, 이요구사항은구체적이며정량적이기때문에보다쉽게이해하고적용하기용이하다. 그러나, PCI DSS 가아무리좋다고해도시간, 비용, 인적자원에는한계가있기때문에, 수백 개의항목에이르는요구사항을한꺼번에구현하는것이어렵다는것은분명하다. 따라서, 관련항목중에우선순위를설정하고이를바탕으로효율적으로계획을세워적용 하는것이좋을것이다. 현재미국등에서는신용카드업무와무관한기업이나조직도 PCI DSS 를기준으로적용하 는등 PCI DSS 가확산되고있으나, 아직국내에서 PCI DSS 는카드사를중심으로제한적으 로사용되고있다. 그러나, 향후 PCI DSS 를활용하는움직임은더욱가속화해나갈것으로예상된다. 신용카드데이터를다루는유무에구애받지않고, 현재운영중인시스템과운영관리 수준을확인하는데참고한다면좋을것이다. 아울러, 이러한 PCI DSS 컨설팅을지원하는업체와솔루션이시장에나와있다있으므로 이를검토해보는것도좋은대안이되리라생각한다. 오라클솔라리스 11 에는이미 PCI DSS 3.0 기능이탑재되어있어몇개의명령을통해이 러한요구를충족시킬수있다. 솔라리스 11 은 compliance 패키지를설치하고이에대한평가를수행할수있다. 1) 패키지의설치 #pkg install compliance
2) 평가를생성한다. # compliance list -p Benchmarks: pci-dss: Solaris_PCI-DSS solaris: Baseline, Recommended Assessments: No assessments available # compliance -p Recommended -a recommended 해당명령의결과로 /var/share/compliance/assessments/recommended 디렉토리에 recommeded.html, recommended.txt, recommneded.xml 파일이생성되어진다. 3) 사용자정의보고서생성 # compliance report s pass,fail,notselected 참고 : https://www.pcisecuritystandards.org/documents/pci_dss_v3-1.pdf