결제카드산업 데이터보안표준(PCI DSS) 적용방안에 대한 고찰

  • 김동국 (서울산업대학교 IT정책전문대학원) ;
  • 장성용 (산업정보시스템학과)
  • Published : 2008.08.30

Abstract

신용카드 및 직불카드 회사들의 연합체인 PCI SSC(PCI Security Standards Council)는 2004년 가정이나 소매상과 같은 소규모 환경에서 고객들의 금융 정보 유출을 방지하기 위한 목적으로 PCI DSS가 제정되었다. 국내에서는 2007년부터 PCI DSS 보안감사제도가 시행되었으며 유일하게 PCI DSS 보안감사자를 보유한 (주)에이쓰리시큐리티사가 가맹점1) 및 PG/VAN사(社)를 대상으로 PCI DSS 보안감사를 실시하였다. 본 연구에서는 2007년 한 해 동안 국내의 PCI DSS 보안감사를 수행하면서 요구사항에 만족하지 못하는 항목들에 대한 사례를 분석함으로써 국내 PCI DSS 보안감사 도입의 현 주소를 파악하고 이에 대한 개선안을 도출하여 보안감사에 보다 유연하게 대처할 수 있도록 하고자 한다. 2007년 한해 국내 보안감사 실시 결과 PCI DSS 보안감사 대상자의 요구사항 준수율은 평균 81%로 측정되었으며, 전체 233개의 요구사항 중 미적용으로 평가된 항목은 평균 38.7개로 나타났다. 전체적인 평균으로 따져봤을 경우 어느 정도 양호한 수준으로 판단할 수도 있으나 피감사 기업의 업태나 사전준비의 유무에 따라 많은 격차가 있었다. 특히, 기반이 튼튼한 PG사나 VAN사에 비해 신규로 등록되어 사업규모가 작거나 타사에 비해 카드결제산업이 차지하는 사업비중이 작은 곳은 PCI DSS 보안감사의 요구사항을 준수하는데 어려움을 겪고 있는 것으로 나타났다. 따라서, 본 연구에서는 PCI DSS 보안감사를 통해 도출된 미적용 사항 중 가장 많은 미적용율을 나타낸 10가지 항목에 대하여 분석하고 이에 대한 대안을 제시함으로써 향후, PCI DSS의 요구사항을 기업환경에 맞게 적용하기 위해 효율적인 가이드로써 활용되었으면 하는 바램이다.

Keywords

References

  1. 디지털타임스, "가입자 개인 정보 유출 비상" Feb 2008
  2. PCI Security Standard Council, Glossary, Abbreviations and Acronyms, p3, Sep 2006
  3. PCI Security Standard Council, Validation Requirements for Qualified Security Assessors, pp. 33-35, Sep 2006
  4. PCI Security Standard Council, Validation Requirements for Qualified Security Assessors, pp. 36-39, Sep 2006
  5. PCI Security Standard Council, Payment Card Industry Data Security Standard Security Audit Procedures v1.1, pp. 8-46, Sep 2006
  6. PCI Security Standards Council, Qualified Security Assessor Training, p. 37, 2007
  7. http://www.visa-asia.com/ap/sea/merchants/ riskmgmt/ais_how.shtml