본문 바로가기

nCipher HSM (Thales-HSM )

핀테크 보안 전략, PCI DSS 3.0 인증 - 지불결제정보보안 표준



최근에 금융기관에서 가장 큰 화두는 바로 핀테크입니다. 이에 따라 핀테크를 안정적으로 도입하기 위한 보안 전략도 중요해지면서 핀테크에 대한 내용을 주요 골자로하는 지불결제보안 표준 가이드라인인 PCI DSS 3.0도 발표되었습니다.




PCI DSS는 JCB, 비자, 마스터, 아메리칸 익스프레스, 유니온페이 등 글로벌 카드사들이 참여하고 있는 지불카드 정보보안표준위원회에서 만든 보안 표준으로 결제대행(PG)사, 카드가맹점 및 관련 서비스 업계에서 이를 따르고 이행하고 있습니다. 


전세계적인 카드회사가 같이 협업해서 만든 보안 표준인 만큼 신뢰성도 높고 PCI-DSS를 준수한 대부분의 업체들은 데이터 침해사고의 비율이 현저하게 줄어드는 효과가 있다고 조사되었다고 합니다. 또한 국내에는 금융보안에 대한 가이드라인이 미흡하다는 단점이 있으나, PCI-DSS는 모든 금융 보안 분야에 대해서 포괄적인 가이드라인을 제시해주며 국제적으로 통용되는 가이드라인으로 추후 해외서비스시에 PCI-DSS 인증을 받으면 매우 유리합니다.


PCI-DSS 3.0은 효용성이 높은 인증인 만큼 PCI-DSS 인증 심사 기준은 엄격한 것으로 유명합니다. 처음 인증 심사를 받으면 90% 이상이 인증 실패를 겪을 정도로 매우 엄격한 인증입니다. 아래에 PCI-DSS 3.0에 대한 요구사항에 대해서 알아보겠습니다.





PCI-DSS 3.0의 요구사항으로는 안전한 네트워크 환경의 구축과 취약점 관리, 강력한 접근통제 제어, 네트워크 모니터링과 테스트, 정보보호 가이드라인 유지(보안 어플라이언스), 카드회원에 대한 데이터 보호 등 크게 12가지 요구 조건을 제시하고 있습니다.


이번 3,0으로 버전이 업데이트 되면서 가장 핵심으로 떠오른 부분은 바로 강력한 암호화 방법과 암호화 키 관리 방법입니다. 키는 별도로 안전한 장소에 보관되어야 하며 규정 또한 엄격해졌습니다. 또한 관리자가 DB에 대한 무단 접근과 유출 등을 방지할 수 있는 권한 분리와 접근제어 등의 기술적인 조치방안에 대한 필요성을 강조하였습니다.





또한 DSS-PCI 핀테크 시대를 염두해 둔 내용이 많아 핀테크에 관심이 많은 금융기관이 PCI-DSS 준수를 위한 DB암호화, 키관리, 접근제어에 대한 관심도 증가하고 있습니다. 금융기관 보안과 핀테크, PCI-DSS 준수의 사항을 모두 만족하는 보안 솔루션을 선택하는 것이 매우 중요합니다. Thales의 HSM (Hardware Security Module)은 DB암호화, 데이터베이스 접근제어 뿐만 아니라, PCI-DSS 주요 원칙에 대응하는 다양한 솔루션을 제공하고 있으며 주요 6가지 사항은 아래와 같습니다.



(DB암호화와 DB접근제어, 키 관리, 권한분리를 위해서는 HSM을 사용하는 것이 효율적입니다.)


카드 소유자 데이터 보호 

표준 준수에 있어서는 카드 소유자 데이터를 공공 네트워크에서 전송하는 경우 암호화 및 저장된 카드 소유자 데이터의 보호가 요구됩니다. 조직은 전송 시 데이터를 보호하는 네트워크 암호화 및 SSL / TLS 암호화의 확장뿐만 아니라, 데이터를 보호하고 표준 적용 범위를 좁히기 위해 스토리지 암호화,데이터베이스 암호화, 응용 프로그램 수준 암호화, 토큰화 및 "단대단" 암호화 등의 기술도 전개하고 있습니다.


강력한 접근 통제 수단의 구현

모든 데이터 보호 기술은 액세스 제어와 함께 사용됩니다. PKI 및 디지털 인증서 등의 암호화 기술은 사용자나 시스템의 인증을 위해 암호 보안의 범위를 넘어 널리 사용되고 있습니다. 또한 암호화 된 데이터의 잠금을 해제하기 위한 데이터 암호 해독키에 대한 액세스 제어를 알필요가 있는 사람으로 제한하는 강력한 추가 보안 계층이 제공됩니다.


안전한 네트워크 구축 및 유지

네트워크 수준의 암호화이외에 네트워크 보안의 중요한 구성 요소 중 하나는 네트워크 장치의 고강도 인증입니다. 디지털 인증 정보는 장치 수준에서 네트워크 액세스 제어에 채용되는 것이 많아지고 있어 기업의 PKI의 보안에 대한 중요한 고려 사항입니다.


네트워크의 정기적인 모니터링 및 테스트

암호화 사용의 증가의 과제 중 하나는 네트워크 기반 모니터링을 통해 암호화 보호보다 하층에서 들어오는 공격에 의한 취약점에 노출될 수 있는 것입니다. 따라서 암호화는 포장을 일시적으로 제거함으로써 데이터를 안전하게 분석 할 수 있는 이벤트 모니터링 시스템 및 데이터 손실 방지 시스템이 필요합니다.


취약점 관리 프로그램 유지

악성 코드를 침투시켜 비즈니스 응용 프로그램을 파괴하는 것을 의도한 APT 공격이 증가함에 따라 비즈니스 시스템 및 응용 프로그램 소프트웨어의 무결성과 신뢰성을 증명하기 위한 방법으로는 디지털 서명 및 코드 서명의 사용이 주목 받게 되었습니다.


정보 보안 정책의 유지

PCI DSS는 내부자 공격의 위험을 최소화하기 위해, 직원의 업무를 명확하게 구분하는 것을 특히 중시하고 있습니다. 암호화의 사용이 직무분리를 실행하고 신뢰할 수있는 이벤트 기록을 작성하여 적합성을 입증하기 위한 강력한 메커니즘을 제공합니다.


강력한 하드웨어 암호화 기능과 키 관리의 엄격한 분리가 가능한 Thales HSM을 통해서 PCI-DSS 3.0의 요구사항을 만족하고, 개인정보유출 및 보안위협에서 벗어나 성공적이고 안전한 핀테크 사업 도입을 하시기 바랍니다.


※ 전 세계 보안모듈 1위!, Thales HSM 제품 정보 보기 : http://it.imarketkorea.com/hsm.php





Thales HSM 제품 관련 문의는 아래의 아이마켓코리아 보안장비 담당자에게 연락 주시면 친절하게 상담해드립니다.

(견적 및 도입문의 등)