카드정보 보호의 인식이 높아지면서 효율적인 정보보호 시스템 구축에 대한 관심이 날로 높아지고 있다. 더불어 카드결제 보안 시스템(PCI DSS) 구축에 대한 필요성이 요구되어 지고 있는 실정이다. 오늘 칼럼에서는 PCI DSS 구축을 위한 진행순서에 대해 알아보기로 하자.

PCI DSS을 구축하기 위해서는 정해진 기준에 맞추어 진행해야 하는데 그 내용을 알기 쉽게 6가지로 구분하여 설명하겠다.

첫째 카드거래를 인증하는데 사용된 카드 소유자의 데이터를 보관하지 않아야 한다. 만약 필요에 의해 보관해야 한다면 반드시 필요한 자료만 보관해야 하며 기간은 짧을수록 해킹의 위험에서 멀어진다. 해커로부터의 침입을 차단하는 것이 정보보호 사고와 피해 발생을 예방하는 지름길이라는 것을 명심하자.

둘째 승인 프로그램이 방화벽이나 무선 네트웍에 연결되어 있다면 네트웍의 보호관리가 매우 중요하다. 해커들이 인증 데이터에 접근하기 위해 제일 먼저 통과해야 하는 것이 방화벽이나 무선 네트웍이기 때문이다.

셋째 카드 거래를 진행하는 카드 승인 프로그램을 안전하게 관리하는 것이다. 거래 승인 프로그램이 설치되어 있는 서버의 문제점이나 약점을 통해 해커들은 거래 프로그램의 인증 데이터에 접근한다. 따라서 승인 프로그램은 항상 최신 버전으로 유지하는 것도 중요하다.

넷째 카드 거래가 일어나는 필요한 데이터의 승인, 전송, 저장 등이 일어나는 시스템으로의 접근을 통제하고 접속의 기록이 항상 남아 있도록 한다. 또한 정기적으로 모니터링 하여 그 내용을 저장하고 누가 언제 어떠한 방법으로 무엇에 접속하였는지를 기록에 남겨두어야 한다.

다섯째 저장된 카드 소유주 개인의 신용정보는 반드시 안전하게 보관되어야 한다. 사업의 진행이나 분석 등의 목적으로 카드 소유주의 데이터가 보관되어야 한다면, 반드시 해커의 공격에 대비한 시스템으로 운용되어야 한다.

여섯째 위에서 언급된 내용 이외에도 정해진 기준에 따라 시스템을 구축해야 하며 이 모든 통제항목들이 제대로 적용되고 있는지에 대한 점검이 필요하다. 이 여섯 가지 지침과 함께 신용정보 보안을 위한 통제항목과 절차를 자체적으로 만들고 그에 따라 정보보안 시스템이 진행되어야 한다.

위에서 나열한 사항은 PCI 보안 표준협의회에서 쉽게 카드결제 보안을 할 수 있도록 마련한 것이며 가맹점들이 이를 준수하는 데에는 큰 어려움이 없을 것이다.

(213)365-1122


패트릭 홍
<뱅크카드 서비스>