PCI-DSS 조치 후기.

안녕하세요 용재형 입니다. 

이번 포스팅은 PCI-DSS 조치 후기 입니다. 

1. PCI-DSS란 무엇인가?

PCI DSS(Payment Card Industry Data Security Standards) = ‘신용카드업계 데이터보안 기준’! 

최근 계속 해서 발생하고 있는 개인정보유출 사고나 신용카드정보 도용 사고 등, 다들 잘 아시죠? 처음에는 화가 나고 뭔가 내 자신이 노출 된 것 같아 당황해 하다가, 이제는 너무 많은 사건/사고들 속에서 약간은 포기 상태라고 설명하는게 맞을 듯 합니다. 

다양한 온,오프라인 환경에서 사용되는 많은 카드 결제 거래에서 개인정보와 신용카드정보를 보호하기 위한 기준으로 신용카드 산업에서의 데이터 보안 표준이라는 PCI DSS가 있습니다.

PCI DSS는 카드 정보를 보호하기 위한 표준을 제공하고, 이를 준수하고 있음을 심사를 통해 객관적인 검증함으로써 카드사 또는 관련 이해관계자와 사용자 간의 신뢰를 강화하고 안전한 상거래가 이루어지기 위한 체계를 제공합니다. 

PCI DSS는 5개의 카드 브랜드社(VISA, Master, Amex, Discover, JCB)가 설립한 PCI SSC(PCI 보안 표준 위원회 – PCI Security Standard Council)에서 지불 결제 산업의 정보보호를 위하여 신용카드의 부정 사용과 정보 유출을 방지할 목적으로 만든 표준입니다.

PCI DSS는 지불 카드 프로세스에 관련된 모든 기업(카드발급, 매입, 가맹점, 프로세서 및 서비스 프로바이더 – Issuer, Acquirer, Merchant, Processor, Service Provider)과 카드 소유자 데이터(Card Holder Data)와 민감한 인증 데이터(Sensitive Authentication Data)의 저장, 처리 또는 전송을 하는 기타 모든 기업을 대상으로 하고 있습니다. 주된 내용은 카드 소유자 데이터와 민감한 인증 데이터를 보호하기 위한 Network Segmentation과 같은 기술적 요구사항과 데이터 암호화, 개발 과정 중의 보안 요건, 그리고 정책 등, 요구사항을 다방면으로 규정한 내용입니다. 

실제 저는 여행사를 다니기 때문에, 여행사에서 BSP(공동결제방식) 기준, 카드 결제 정보(카드번호, 만료일, 이름)을 남기는 서버에 대해서 PCI-DSS ASV 스캔 대상이 되며, 연 4회(분기별 1번) IATA에 해당서버에 대해서 PASS된 내역을 제출을 해야 합니다. 

만약 미제출시, 카드사에서 제제가 되어, 발권이 불가능 하는 상태가 발생됩니다. 해서 여행사에서는 필히 작업을 필요로 합니다.

1. 각 회사마다 PCI-DSS 인증 레벨 확인

- 연 BSP 결제 건수 기준으로 레벨을 확인 합니다. 

아직 우리나라에는 level1의 업체는 없다고 전달 받았으며, 

보통, SAQ(자가 질의 평가서) 작성 후, 작성한 SAQ 기준으로 ASV 점검을 하게 됩니다. 

ASV 스캔이 완료되어, 완료(PASS)된 서버를 AOC 받아, IATA에 제출하면 됩니다. 

2. SAQ 작성을 위한 타입 선별

우리회사의 경우 SAQ-D에 해당 됬으며, 331개 항목에 체크 했습니다. 

자세한 내용은 PCI 공식 홈페이지(https://www.pcisecuritystandards.org/document_library)에서 직접 적합한 SQA 타입의 평가 질의서를 다운 받은 다음, 자체 평가 답변을 작성하면 됩니다. 

사실 다 영어로 되어 있기 때문에, 일반인은 제대로 작성하기 힘들어, web기반에 한글로 서비스 하는 업체들도 있습니다. 

SAQ를 작성하게 되면, SAQ 기준으로, ASV 스캔 대상 서버를 선별하여, 스캔하게 됩니다. 

스캔 후, 취약점이 나오게 되는데, 취약점에 대해서 모두 조치하게 되면 서버별로 pass 유무가 확인됩니다. 

예를 들어 10대 서버를 ASV 돌려, 7대는 pass, 3대는 fail 상태가 나오고, 10대 모두 PASS해야 IATA에 제출이 가능합니다. 

취약점을 조치하면 과정에서, 처리가 운영적인 상황에서 조치가 불가능한점에 대해서는 오탐처리(false positive)를 통하여, 제외할 수 있습니다. 또 동일한 환경에서 ASV 스캔을 돌렸을 때, 노출되지 않았던 이슈의 경우, 재스캔할때 안나오는 경우도 있으니, 자주 돌려보는 것이 좋습니다.