안전한 지급결제 어플리케이션 개발을 위한 PCI PA-DSS 준수 방안 연구

  • 허성무 ((주)에이쓰리시큐리티 컨설팅사업본부)
  • 발행 : 2010.12.31

초록

정보통신 기술 및 전자상거래의 발전으로 지급결제 서비스는 성장을 거듭하고 있으나, 그 중심에 있는 전자지급결제의 위험 역시 계속해서 발견되고 있다. 지급결제카드산업의 정보보호를 위해 설립된 PCI SSC 에서는 지급결제 어플리케이션 개발에 대한 보안 표준인 PCI PA-DSS를 통해서 소프트웨어 벤더가 안전한 개발을 수행하도록 요구하고 있으나, 준수 대상인 기업 관점에서 참조 가능한 정보가 절대적으로 부족한 상황이다. 본 논문에서는 관련 보안 표준과의 연계 및 소프트웨어 개발 생명 주기를 통한 개발 절차 관리 방안을 통해, 소프트웨어 벤더가 PCI PA-DSS를 효과적으로 준수할 수 있는 방안을 제안한다.

키워드

참고문헌

  1. 김동국, 장성용, "결제카드산업 데이터보안표준(PCI DSS) 적용방안에 대한 고찰," 정보보호학회지, 18(4), pp. 66-75, 2008년 8월.
  2. 김범수, "미국의 개인정보 유출 통지 제도의 현황과 시사점," 人,@Internet, 1(2), pp. 50, 2009년 9월.
  3. 김인석, 김태호, 강형우, 이정호, 홍기석, 전자금융 이러면 안전할까?, 디비바다 미디어, 2010년 4월.
  4. 김자봉, 홍정훈, "최근 지급결제 환경변화에 대응한 감시체계 및 제도 개편 방향에 관한 연구," 지급결제학회지, 1(1), pp. 39-70, 2007년 12월.
  5. 김재필, "비금융기관의 지급결제서비스 현황 및 전망," 지급결제학회지, 2(1), pp. 1-26, 2008년 6월.
  6. 최대수, "효과적인 지불카드산업(PCI DSS) 컴플라이언스 구현 방안 연구," 정보보호학회지, 18(5), pp. 21-32, 2008년 10월.
  7. PCI Security Standard Council, "Payment card industry(PCI) data security standard - requirements and security assessment procedures," Version 1.2.1, PCI Security Standard Council, Jul. 2009.
  8. PCI Security Standard Council, "Payment card industry(PCI) paymcnt application data security standard - program guide," Version 1.2.1, PCI Security Standard Council, Jul. 2009.
  9. PCI Security Standard Council, "Payment card industry(PCI) payment application data security standard - requirements and security assessment procedures," Version l.2.1, PCI Security Standard Council, Jul. 2009.
  10. "올해부턴 보안기준 한층 강화된다," 자동인식&보안, 14(1), pp. 36-39, 2009년 1월.
  11. PCI Security Standards Council Home Page,
  12. PCI DSS 보안감사에서부터 솔루션에 대한 모든 것! PCI DSS, (주)에이쓰리시큐리티, 2008년 7월.
  13. Trial by fire, PricewaterhouseCoopers, 2009
  14. "카드 고객정보 대량 유출..부정사용 피해도 속출," 연합뉴스, 2010년 1윌 24일,
  15. "ATM hack gives cash on demand," IDG Communications, Jul. 29, 2010.
  16. "How to apply ISO 27002 to PCI DSS compliance," TechTarget, Jan. 28, 2008.