"아니 그래서 도대체 PCI DSS가 뭔데?"
정보보안 제품들 광고를 보면 제품 도입 결정의 기준이라며 여러가지 '표준'들을 쪼르르 나열하곤 한다. 그중에서도 'PCI DSS'는 유독 자주 등장하는 주인공이다. "자사의 웹방화벽 OOO은 PCI DSS 요구사항을 충족하며 PCI DSS 기준 적합 인증을 보유하고 있습니다!" "오픈소스 데이터베이스 암호화 플랫폼 OOO는 신용카드번호 마스킹 기능 등 PCI DSS 요구사항을 모두 준수합니다!" 말이 어째 좀, 무슨 소리를 하는 건지, 어렵다. 그렇게나 강조하는 걸 보면 뭔가 아주 중요하긴 중요한 것인가 본데, "아니 그래서 도대체 PCI DSS가 뭔데?"
정보보안 제품들 광고를 보면 제품 도입 결정의 기준이라며 여러가지 '표준'들을 쪼르르 나열하곤 한다. 그중에서도 'PCI DSS'는 유독 자주 등장하는 주인공이다. "자사의 웹방화벽 OOO은 PCI DSS 요구사항을 충족하며 PCI DSS 기준 적합 인증을 보유하고 있습니다!" "오픈소스 데이터베이스 암호화 플랫폼 OOO는 신용카드번호 마스킹 기능 등 PCI DSS 요구사항을 모두 준수합니다!" 말이 어째 좀, 무슨 소리를 하는 건지, 어렵다. 그렇게나 강조하는 걸 보면 뭔가 아주 중요하긴 중요한 것인가 본데,
"아니 그래서 도대체 PCI DSS가 뭔데?"
PCI DSS가 등장하기 전에는 신용카드 회사마다 제각각 다른 보안기준을 요구했기 때문에 일반사업자들은 이것저것 서로 다른 수많은 기준을 모두 다 맞추자니 비용도 많이 들고 너무나 불편했다. 그러한 불편을 해소하기 위해 JCB, 아메리칸 익스프레스, Discover, MasterCard, VISA 등 국제적 신용카드 대기업들이 공동으로 위원회를 조직하여 'PCI DSS'라는 사실상 표준을 책정했다.
그런데 워낙 큰 회사들의 연합이라서 따르지 않을 수가 없다. 거부하면 아예 장사를 못하니까.
전반적 그리고 세부적 보안상태 진단 및 심사 과정, 어플리케이션과 시스템 그리고 네트워크 등 영역마다실시하는 침투 테스트 횟수 및 시기 등 큼직한 보안정책뿐 아니라 부정한 로그인 시도를 몇 번 반복하면 잠금 처리할지, 클라이언트 PC에 개인 방화벽 설치 여부는 확인하는지 등 세세한 기준까지 고루 완비했다. 이렇듯 구체적이고 엄격한 내용을 정량적으로 제시하기 때문에 신용카드 거래와 무관한 기업이나 조직도 PCI DSS를 정보보안 기준으로 채택하는 경우도 많다.
PCI DSS 인증 구조
PCI DSS의 인증 구조는 'PTS', 'PA-DSS', 'DSS', 'P2PE' 등 4가지 범주로 분류되어 있다. 하나하나 살펴보기에 앞서 짚어둘 점은, PCI DSS가 궁극적으로 목적하는 일은 2종의 정보를 안전하게 지키는 일이다. 2종의 정보란 신용카드 소유자의 개인정보와 신용카드번호 및 추가정보를 포함한 거래정보인데, 이를 합해 '민감정보'라 하자. PCI DSS의 모든 사양은 바로 그 민감정보를 어떻게 다룰지에 대한 내용이다.
1) PCI PTS (PIN Transaction Security)
2) PCI PA-DSS (Payment Application Data Security Standard)
3) PCI DSS (Data Security Standard)
4) PCI P2PE (Point to Point Encryption)
뭐가 막 복잡하니까 보다 간단히 정리해 보면,
PCI PTS = 하드웨어 설계자가 주의할 점
PCI PA-DSS = 소프트웨어 개발자가 주의할 점
PCI DSS = 민감정보 취급하는 모든 사람이 주의할 점
PCI P2PE = 민감정보는 처음부터 끝까지 무조건 암호화
그럼 분야가 아니라 내용 자체만 놓고 보면 어떨까?
PCI DSS, 핵심은 웹 보안과 데이터 암호화
그런데 요즘 어플리케이션은 절대다수가 웹 어플리케이션이다. 실제로 일어나는 어플리케이션 관련 보안침해 사고 대부분이 웹 보안 사고다. 따라서 웹 어플리케이션 개발 과정의 기준이 되는 'PCI PA-DSS'의 내용 대부분은 웹 보안 관련 내용이고, 집중하는 바 내용의 핵심은 데이터 암호화다.
그런데, 왜 이렇게 웹 보안과 데이터 암호화 내용이 대부분인 걸까?
본격 웹 시대의 데이터 보안
그리고 앞서 말했듯, PCI DSS의 궁극적 목적은 민감정보를 안전하게 지키는 일이다. 용어도 복잡하고 하라는 일도 엄청 많고 그렇지만 결국엔 데이터를 지키자는 소리다. 이는 몇 번이고 거듭 되새겨 볼 만한 매우 중요한 핵심이다. 오늘날 정보보안의 중심은 과거에 집중했던 네트워크와 서버 등 인프라를 보호하는 보안으로부터 데이터와 어플리케이션을 보호하는 보안으로 이동하고 있다. 이는 끝내 지켜야 할 진짜 중요한 가치가 무엇인지 깨닫는 과정이다. 정말 지켜야 할 가치는? 당연히 데이터다. 그리고 데이터를 가장 안전하게 지키는 유일한 방법은 '암호화'다.
그럼 다시 처음으로 되돌아가, "자사의 웹방화벽 OOO은 PCI DSS 요구사항을 충족하며 PCI DSS 기준 적합 인증을 보유하고 있습니다!" "오픈소스 데이터베이스 암호화 플랫폼 OOO는 신용카드번호 마스킹 기능 등 PCI DSS 요구사항을 모두 준수합니다!" 이런 문장이 조금은 달리 보이지 않는가. 어렵고 복잡해 어지러운 용어도 그 용어의 핵심이 뭔지 파악하고 나면 쉽고 간단해진다.