본문 바로가기

nCipher HSM (Thales-HSM )

지불결제보안표준 PCI DSS v3.0을 준수하는 방법, 탈레스 HSM



데이터 유출사고는 매번 이슈가 되고 있는 보안의 뜨거운 감자입니다. 또한 핀테크 기술들이 도입되기 시작하면서 데이터 유출사고를 방지하기 위한 보안솔루션에 대한 Needs가 많습니다. 막대한 과징금 뿐만 아니라 신뢰도의 급감으로 생기는 손실은 크다고 할 수 있습니다.


이러한 사고를 방지하기 위해서는 PCI DSS(지불결제보안표준)를 준수하는 것이 중요합니다. 물론, PCI DSS를 준수한다고 해서 모든 보안위협이 사라진다는 것은 아닙니다. 하지만 PCI DSS를 준수한 다는 것은 신용카드 정보를 업계표준 가이드라인에 맞추어서 데이터를 보호한다는 의미를 가지고 있습니다.


http://itbiz.imarketkorea.com


아이마켓코리아에서는 신용카드 정보 보안을 위해 PCI DSS v3.0을 준수하는 하드웨어암호화모듈(HSM)을 공급하고 있습니다. 아이마켓코리아에서 공급하는 HSM은 세계적인 보안전문 기업인 Thales e-security의 제품으로 보안업계 업력 20년의 기술력과 노하우가 있으며, 아이마켓코리아는 전문적인 IT유통 인프라를 바탕으로 컨설팅, 설치, 운영, 유지까지 한번에 가능한 기술 서비스도 운영하고 있습니다.


PCI DSS를 준수한 기업의 대부분은 데이터 침해사고의 비율이 현저하게 줄어드는 효과를 보았다는 결과가 있었습니다. 국내에서는 이와 관련된 가이드라인이 미흡한 점이 있지만, PCI DSS는 국제적으로 통용이 되며 모든 금융보안 분야에 대해서 포괄적인 가이드라인을 제시할 수 있습니다. 특히 국내 뿐만 아니라 해외에서도 지불결제 서비스를 진행한다면 반드시 PCI DSS인증을 받아야 유리합니다.


그만큼 효율성이 좋은 인증이지만, 매우 엄격한 인증이기도 합니다. 처음에 인증 심사를 거치게 되면 90% 이상이 인증을 실패하게 됩니다. 특히 강력한 암호화 알고리즘과 암호화 키 관리 방안은 매우 중요하며, 규정 또한 엄격합니다. 기술적인 조치사항(권한 분리와 DB 접근제어 등)의 기술적인 조치방안이 매우 중요합니다.


[PCI-DSS 규제 준수시에 직면하는 문제점들]

• 사전 감사가 실시된다 : PCI DSS 감사 절차는 인가 감사원의 연례 현장 검사 또는 자체 평가와 정기적인 침투시험이 포함됩니다. 이에 대해 개인 정보 대부분의 다른 요구의 적합성에 대해서는 위반 사유가 발생한 경우에만 감사가 이루어집니다.

• 적합성은 다양한 시스템과 프로세스에 영향을 미칠 수 있다 : PCI DSS는 기업의 모든 위치에 있는 카드 소유자 데이터에 액세스하는 모든 IT 시스템에 적용됩니다. 따라서 잘조정된 유기적인 접근이 요구되지만 어떤 한 영역에서 유연성이 제한 될 수 있습니다.  

• 가능하면 적합성의 범위를 최소화 : PCI DSS의 범위와 영향을 최소한으로 억제하려고 하는 일정한 동기가 계기가 되어, 암호화 및 토큰 화의 사용 지침이 발행되었습니다. 이 범위를 최소화하면서 적합성을 확보하려면 역시 충분한 주의가 필요합니다.

• 신기술이 비용과 복잡성을 증대시킬 수 있다 : PCI DSS는 비교적 특수한 것이며, 암호화 등의 새로운 기술의 전개, 기존 비즈니스 응용 프로그램의 변경, 새로운 보안 프로세스 및 액세스 제어 설정 등을 유도 할 수 있습니다.

• 표준의 진화에 따라 불확실성이 증대 : 모든 개인 정보 데이터 보호 요구 및 공개 의무는 위협과 지역적인 법률의 변화에 따라 진화해야 합니다. 조직 적합성에 대한 의무와 보안에 대한 일반적인 목표를 일치 시키려고 할 때 상당한 불확실성에 직면합니다. 


Thales nCipher HSM은 DB암호화, 데이터베이스 접근제어 뿐만 아니라 다양한 솔루션을 제공하여 성공적인 PCI-DSS 인증을 받을 수 있도록 도와주는 파트너가 될 수 있습니다. 또한, 지불결제 키 관리, 권한분리를 통해서 데이터 침해 유출 방지 환경을 구축할 수 있습니다.




전세계 지불결제 시장 1위 하드웨어보안모듈 (HSM) Thales PayShield 9000은 자동인출기와 POS의 신용카드 직불카드 발급 및 거래에 필요한 암호화 기능을 제공하는 지불결제 전용 하드웨어 보안 모듈입니다.


American Express, Discover, JCB, Master Card, UnionPay, Visa 등의 국제카드 표준의 보안감사 요구사항을 만족합니다. 이 장비는 카드 발급, 모바일 프로비저닝, 지불결제 프로세싱 응용소프트웨어가 동작하는 메인프레임과 서버에 외부 주변장치로 사용되고 있습니다.





Thales PayShield 9000의 주요 기능은 아래와 같습니다.

① 카드와 모바일 보안요소에 대해 특별하게 디자인된 포괄적이고 인증된 보안을 제공

모든 주요 지불결제 응용 프로그램에 대한 상용 지원을 제공

뛰어난 장애복구 기능을 통한 비즈니스 연속성 극대화

④ 발행자, 프로세서, 매입사에 적합한 소프트웨어 옵션 선택을 통한 규제 준수의 비용을 감소

⑤ 확장 가능한 고성능 모델을 제공


제품 사양




탈레스 HSM을 통해서 핀테크 시장에 성공적으로 진입할 수 있는 발판을 마련하시기 바랍니다.


Thales HSM 제품 관련 문의는 아래의 아이마켓코리아 Thales HSM 담당자에게 연락 주시면 친절하게 상담해드립니다.