PCI-DSS에 대하여

정보보안 세계에는 정말 너~무나도 많은 보안 규격이 있다.
ISO 27002부터 CC 등등 전부 다 알고 있는 것은 정보보안 프레임워크를 관리하는 사람이어도 하기 힘들 것이다. 그래서 더욱 공신력 있는 기관의 인정이 되는 영향력 있는 평가를 받는 것이 중요하다. 그중 민간기업이 만들었는데 얼마나 정교하게 만들었으면 표준으로 많이 쓰이고 있는 PCI-DSS에 대한 이야기를 해보고자 한다. PCI DSS를 만든 곳은 PCI 보안 표준 협의회라는 곳이다. 여기부터 털어보자

PCI-보안 표준 협의회의 마크

 

---

 

PCI 보안 표준 협의회

이곳은 2006년에 만들어진 협회(Council)이다. American Express, Discover, JCB International, Master, VISA등 내로라하는 유명한 국제 카드회사들은 모두 들어가 있다. 이들은 모두 PCI DSS를 충족하고 있으며 카드 소지자 데이터를 저장/처리/전송하는 사업자에 대해 PCI DSS를 평가하는 평가자로 활동하고 있다. 이 정도만 알면 충분할 거 같다. 기업의 목표와 최근 뉴스도 있으니 이곳에 대해서 더욱 자세하게 알고 싶다면 아래 공식 홈페이지를 참고하자

https://www.pcisecuritystandards.org/

Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards

 

PCI-DSS의 요구사항 12가지

KISA에서 배포한 주요정보통신기반시설 기술적 취약점 분석 / 평가 방법 상세 가이드처럼 PCI DSS도 12가지의 요구사항과 세부적인 하위 항목들로 PCI-DSS의 평가를 받기 위한 체크리스트를 만들고 있다. 다음의 사이트에서 다운로드할 수 있으니 참고하도록 하시고 포스팅에서는 12가지가 어떤 항목인지에 대하여와 개인적인 의견을 첨부한다.

• 조직의 시스템을 방화벽으로 보호할 것
• 비밀번호와 비밀번호관리규칙을 설정할 것
• 카드소지자의 저장된 정보를 보호할 것
• 카드 소지자의 데이터가 열린, 공용의 네트워크를 전송될 때 암호화할 것
• 주기적으로 안티-바이러스 소프트웨어를 업데이트 할 것
• 패치 시스템을 주기적으로 업데이트 할 것
• 카드 소지자의 정보접근을 알-필요성에 따라 관리할 것
• 컴퓨터 접근자에게 유일한 ID를 부여할 것
• 업무장소와 카드 소지자의 데이터에 물리적인접근을 제한할 것
• 로깅을 시행하고 로그관리를 시행할 것
• 취약점 점검과 침투테스트를 시행할 것
• 위험평가를 하고 이를 문서화 할 것

https://www.qualys.com/forms/ebook/pci-compliance-for-dummies/

PCI Compliance for Dummies | Free eBook | Qualys, Inc.

 

1. 조직의 시스템을 방화벽으로 보호할 것
당연하다. 너무나도 당연한이야기이다. 어떤 조직이라도 정보보안 관점에서 성숙한 조직이라면 주기적인 방화벽 로그의 검토와 룰 관리는 필수적이다.

2. 비밀번호와 비밀번호관리규칙을 설정할 것
당연하다. 이 또한 당연하다. 엔드포인트의 인증규칙부터 서버에 접근하기 위한 원격지 패스워드또한 내부 규칙에 따라 생성되고, 관리되어야 한다.

3. 카드소지자의 저장된 정보를 보호할 것
Data-At-Rest를 보호하는 방법은 엄청 많다. Full - Disk - Encryption부터 정보가 흘러가는 flow chart를 생성하고 정보 흐름상 보호 방침을 수립해야 한다.

4. 카드소지자의 데이터가 열린, 공용의 네트워크를 전송될 때 암호화할 것
정보송수신이 엄청 많이 일어나는 곳이 결재 기관이다. 이 데이터들은 당연하게도 민감정보로 다뤄질 것이고, TLS와 같은 최신의 암호화 프로토콜을 이용하여 보호되어야 한다.

5. 주기적으로 안티-바이러스 소프트웨어를 업데이트 할 것
백신을 업데이트하는것은 중요하다. 오픈된 Zero-Day취약점을 방지하기 위함도 있고, 요즘 안티바이러스 설루션이 워낙 종합적인(DLP 같은) 기능을 제공하기에 시그니처 파일뿐만이 아니라 백신 소프트웨어 그 자체를 업데이트하는 것도 중요하다.

6. 패치 시스템을 주기적으로 업데이트 할 것
PMS(Patch ManageMent)의 도입도 하나의 방법이 될 수 있다고 생각한다. 소프트웨어라는 게 완벽하게 만드는 것은 불가하니, 주기적인 Vender로부터 업데이트를 받아 시행하는 것은 중요하다.

7. 카드소지자의 정보접근을 알-필요성에 따라 관리할 것
Need-To-Know를 준수하여 데이터를 관리하라는 의미이다. 데이터 유출 등의 사고를 방지하기 위해서는 당연한 평가항목이라고 생각한다.

8. 컴퓨터 접근자에게 유일한 ID를 부여할 것
정보보호에서 책임 추적성을 부과하는것은 중요한 일이다. 그 이상 그 이하도 아니라고 본다. 하위 항목으로 이 항목에서 2-Factor-Authentication 등 신원 인증도 평가한다.

9. 업무장소와 카드 소지자의 데이터에 물리적인접근을 제한할 것
물리적 / 기술적 / 관리적 모두 정보보호에서 중요한 보호 메커니즘이다. 특히 물리적 정보보안은 접근 제어부터 시작해서 최후방의 방어선까지 정보보안의 처음과 끝을 담당하는 중요한 접근제어 메커니즘이다.

10. 로깅을 시행하고 로그관리를 시행할 것
사고 대응 시의 사후추적이나 시스템 Failure상에서 믿을 건 잘 관리된 로그밖에 없다. 따라서 성숙한 정보보안 수준을 가진 기관이라면 당연하게 지켜야 될 항목이라고 생각한다.

11. 취약점 점검과 침투테스트를 시행할 것
내부감사로 이를 구현할 수도 있고, 침투 테스트를 시행하면 조직의 정보보안 수준이 어느 정도인지 종합적인 방면에서 진단할 수 있는 크나큰 장점이 있다. 주기적으로 취약점 진단과 침투 테스트를 받는 것은 보다 안전한 환경을 만들기 위해서 필수적이라고 생각한다.

12. 위험평가를 하고 이를 문서화 할 것
잘문서화 된 조직은 닌-겐의 개인화된 능력에 의존하지 않아도 된다는 강한 이점이 있다. 또한 이를 위험평가(뿐만 아니라 모든 타입의 평가나 진단에서) 이를 접목을 하게 되면, 조직의 자체적인 아카이브가 만들어지는 것으로 장기적으로 갈수록 Hardening 된 조직을 만들 수 있다는 점에서 큰 강점을 가진다.

 

---

필자가 뭐라도 되는 사람은 아닌데 읽다보니 "그래 이거지!" 하면서 적어보았다. 아무래도 금용 조직이다 보니 위험 평가 / 정보 데이터의 보호에 많은 초점이 맞추어져 있다는 점이 생각이 든다. 물론 하위 항목에 더욱 자세하게 평가되겠지만, 정보 무결성을 위한 OS보호조치나 BCP/DRP 등의 백업 데이터 유지 항목에 대해에 부족해 보이는 느낌이 드는데, 필자의 개인적인 생각이니 묻고 가자.