안녕하세요, LoveSpeeD입니다.
저희 회사는 내년 초에 PCI DSS 인증을 받을 수 있도록 준비 중입니다.
PCI DSS 인증이라는게 좀 생소하시죠?
간단히 설명하자면, 물품을 판매할때, 결제방식 중 「 카드 」결제를 받는 회사는 무조건 PCI DSS 규정을 준수해야 한다는 것입니다.
예를 들면, A라는 회사와 B라는 회사가 있는데, 두군데 모두 같은 종류의 핸드크림을 판매합니다. 그런데 A회사는 무조건 "현금"만 받구요, B라는 회사는 현금과 신용카드 모두 받습니다. 여러분은 어디 회사에서 구매하고 싶으세요? 저라면 편리하니까 B회사에서 카드로 구매할래요! 현금으로 거래하려면 복잡하잖아요.
이럴경우, A라는 회사는 고객의 카드정보를 갖고 있지 않으므로 PCI DSS 규정을 준수할 필요가 없는 것이구요, B회사는 PCI DSS 인증을 받아야 하는 회사입니다.
그러면 PCI DSS라는 것은 과연 무엇일까요?
PCI DSS란, 고객의 카드정보와 거래정보를 안전하게 보관하고 관리하기 위해서 반드시 준수해야 하는 신용업계 보안표준입니다.
PCI DSS가 생기기 전에는 카드회사마다 각각 다른 보안기준을 요구했기 때문에 그 기준을 지키려면 헷갈리고 비용도 많이 들었는데요, 그러한 불편함을 해소하기 위해 비자카드, 마스터카드, 아메리칸 익스프레스, JCB 등 국제적인 신용카드사들이 공동으로 「 PCI DSS 」 라는 표준을 만들었습니다.
다시 예를 들어보자면, 위에서 설명했던 A회사, B회사중에 B회사는 카드로 핸드크림을 판매합니다.
그런데, B회사에서 갑자기 "우리 회사는 비자카드 보안기준만 통과했기때문에 비자카드랑만 거래할 수 있어요. 다른 카드 사용 불가!" 이렇게 나오면 고객들 입장에서는 또 매우 불편하겠죠? 저는 비자카드가 없고 마스터카드만 있는데요? 그럼 현금으로 결제해야 하나요?
이런 사태가 발생하지 않도록 모든 카드사들이 힘을 합쳐 하나의 표준 인증 제도를 만든 것입니다.
PCI DSS를 준비하기 위해 필요한 것들은 무엇일까요?
이번에 PCI DSS 인증을 받기 위해 관련 벤더사와 계약도 하고 진행을 하고 있는데요,
준비를 하다보니 정말 장난이 아닙니다 ㅠㅠ
일단은, 거래 규모에 따라 등급이 달라지기때문에 회사의 신용카드 거래건들을 분석해야 하는데요,
1년동안 비자카드 거래 건수가 몇 건인지, 마스터카드 거래 건수가 몇 건인지, 거래금액이 얼마인지 등을 파악해서 최종적으로 어떤 등급에 속하게 되는지 정해집니다.
| 1년동안 카드 거래 건수에 따른 PCI DSS 등급 기준 | |
| Level 1 | 1년동안 카드 거래 건수가 600만건 초과 |
| Level 2 | 1년동안 카드 거래 건수가 100만건 초과, 600만건 미만 |
| Level 3 | 1년동안 카드 거래 건수가 20만건 초과, 100만건 미만 |
| Level 4 | 1년동안 카드 거래 건수가 20만건 미만 |
레벨이 높아질수록 인증방식은 어려워지는거죠! 게다가 준비과정에서 시간과 인력이 어마어마하게 필요합니다.
어떤 회사에서는 PCI DSS를 준비하는 팀을 따로 만들어 1년동안 준비를 했다고 하더라구요!!
PCI DSS 인증을 준비하면서 어떤 것들을 하게 될까요?
카드결제시, 거래과정에 사용되는 모든 서버들과 카드단말기 및 기타 네트워크 장비들의 보안을 올려야합니다.
다시 예를 들어, B회사가 자사 쇼핑몰에서 핸드크림을 판매하고, 제가 그 쇼핑몰에 접속하여 핸드크림을 신용카드로 주문했습니다.
B회사에서는 제 카드정보를 자사의 방화벽을 거쳐 웹서버를 거쳐 WAS를 거쳐 DB서버에 최종 저장을 하는데요. 그렇다면, B회사에서는 방화벽과 서버들의 구성관계, 방화벽의 보안수준, 각 서버들의 보안수준을 점검해야 합니다.
단순하게 DB서버에 저장된 카드정보의 암호화가 잘 되어 있느냐는 수준을 넘어서 회사의 전체적인 IT보안을 높여야 하는 것입니다. 그래야만 PCI DSS 인증을 받을 수 있거든요!
이번에 PCI DSS 인증을 준비하면서 복잡하고 어렵지만 다시 한번 저희 회사의 네트워크, 서버 등 보안적인 부분을 재정비하는 시간을 갖게 되었습니다.
계속해서 카드 사용률이 증가하는 추세에서 개인정보 이슈가 높아지고 있기 때문에 고객들에게 피해가 발생하지 않도록 예방하는 차원에서 매우 중요하겠더라구요!
아무쪼록 문제없이 잘 준비해서 내년 초에는 인증을 받을 수 있도록 열심히 해야하겠습니다!!
읽어주셔서 감사합니다^______^
'업무 및 공부 > IT·보안' 카테고리의 다른 글
| 윈도우서버 Service Host: Local Service 높은 CPU 점유율 (0) | 2020.11.30 |
|---|---|
| [피싱주의] 암호화폐 거래소 코인원(Coinone) 사칭 스팸 문자 주의 (0) | 2020.11.01 |
| [보안] 암호화되지 않은 자격 정보를 수락하는 원격 관리 서비스 탐지 (0) | 2020.10.06 |
