탈레스 HSM PayShield9000, 지불결제 보안표준 PCI DSS 인증

탈레스 HSM PayShield9000, 지불결제 보안표준 PCI DSS 인증

우리나라는 1999년부터 공인인증서를 이용해오고 있습니다. 그러나 지난 1월 22일, 정부가 공인인증서 제도 폐지 방침을 발표했습니다. 도입 이후 약 20여 년 만입니다. 이와 함께 네이버페이, 카카오페이, 토스, 페이팔 등 핀테크 시장이 활성화되고 있습니다.

핀테크(FinTech)란 Financial과 Technology의 합성어로, 금융과 IT 기술의 융합을 통한 금융서비스 및 산업의 변화를 말합니다. 앞서 언급했던 ○○페이, 토스, 페이팔 등을 비롯해 모바일뱅크, 앱카드, 삼성페이, 토스 등이 이에 속합니다. 송금, 지불, 대출, 자산관리 등 대부분의 금융 관련 업종이 핀테크로 빠르게 변화하고 있습니다. 

이렇게 핀테크 시장이 활성화됨에 따라 사용이 간편해지는 만큼 보안 관련 문제가 시급한 상황입니다. 카드 정보, 거래 정보 등 중요한 데이터를 외부 공격으로부터 보호하고, 안전한 서비스를 제공해야하기 때문입니다.

그러나 금융보안 규제가 원칙중심의 자율규제로 바뀜에 따라 금융기업이 자발적으로 보안 체계를 선택하고 운용해야 하는 상황입니다. 개별적으로 보안 시스템을 적용해가는 과정에서 취약점이 드러나는 데다가 비용 부담도 크고 불편한 점이 많이 나타나고 있습니다.

외국에서는 우리나라보다 앞서 알리페이, 페이팔 등 핀테크가 활성화되면서 지불결제 관련된 보안 문제를 해결하기 위해 PCI DSS 인증 등 다양한 조치를 진행하였습니다.

PCI DSS란 지불결제보안 표준으로 Payment Card Industry Data Security Standard의 약자입니다.  VISA, MasterCard, JCB, American Express, Discover 5개 글로벌 카드사가 각기 다른 보안 기준으로 발생하는 불편함을 해소하고, 안전한 서비스를 제공하기 위해 보안표준위원회(PCI Security Standards Council)를 공동으로 설립하고 PCI DSS를 책정한 것입니다.

이미지출처:  ⓒ pcisecuritystandards.org

[ PCI DSS 인증 구조 ] PCI DSS의 인증 구조는 크게 인프라/하드웨어 관점, 소프트웨어 관점, 전반적 데이터 처리와 보안 관리체계 관점, 데이터의 암호화 관점으로 해석하여 분리 ￭ PCI PTS(PIN Entry Devices) : 고객 정보를 처리하는 단말기/서비스 환경 인증 기준 ￭ PCI PA-DSS(Payment Applications) : 고객 정보를 처리하는 응용프로그램 환경 인증 기준 ￭ PCI DSS(Secure Environment) : 고객 정보를 처리하는 업무의 보안 환경 인증 기준 ￭ P2PE(Point to Point Encryption) : 고객 데이터의 시작과 종단까지의 암호화 인증 기준

우리나라에서는 아직 생소하지만 글로벌 카드사들이 위원회를 조직하여 만든 규격인 만큼 매우 체계적이며, 하드웨어 설계자, 소프트웨어 개발자, 정보를 취급하는 모든 사람과 정보에 대한 암호화까지 구체적으로 제시하고 있습니다. 위원회에서는 업계종사자들에게 이 기준을 준수하도록 하고 있습니다. 법적 강제성은 없지만 준수하지 않을 경우 1개 정보당 최대 10여 만원의 벌금과 거래 손실비용까지 청구될 수 있습니다.

PCI DSS 기준을 준수해야 하는 대상은 점점 확대되는 추세입니다. 앞으로는 항공사, 전자결제대행업체(PG사) 및 부가가치통신망업체(VAN 사), 카드사 등도 PCI DSS 인증을 받아야 합니다. 

패널티를 피하고 보안을 높이기 위해서는 PCI DSS 인증을 받고, 반드시 업그레이드를 해줘야 합니다. 이 PCI DSS 3.2은 보안 표준 중 하나인 SSL/TLS 프로토콜을 업그레이드 해야 하는 기한은 6월 30일까지 입니다.

아이마켓코리아에서는 공급하는 탈레스 PayShield 9000 HSM은 PCI DSS 인증을 위한 지불결제 시스템 전용 하드웨어 암호화 모듈(HSM)입니다. PIN 보호 및 검증, 트랜잭션 처리, 모바일 및 결제 카드 발행, 키 관리 등의 작업을 수행합니다.

하드웨어 보안 모듈(HSM : Hardware Security Module)은 임호화 키를 생성하고 저장하는 역할을 하는 암호화 전용 장비를 뜻합니다. 인증/서명/암호화 등 다양한 분야에서 키가 활용되면서 키에 대한 생성, 교환, 백업, 보관, Key Life-Cycle 관리 등의 기능을 가장 안전하고 편리하게 관리하는 장비입니다.

또한, PayShield 9000 지불결제 HSM은 현금 자동 입출금기, POS 시스템, 신용 카드 및 현금 카드 트랜잭션을 위해 신뢰도 높은 보호를 제공합니다. 카드지불시스템 보호를 위하여 전용으로 설계된 장비로 카드와 모바일 보안 요소에 대해 특별하게 디자인된 포괄적이고 인증된 보안을 제공합니다. 모든 주요 지불결제 응용 프로그램을 지원하며, 장애복구 기능 역시 뛰어납니다. 뿐만 아니라 발행자, 프로세서, 매입사에 적합하게 소프트웨어 옵션 선택도 가능합니다.

지원하는 카드사는 VISA, American Express, DISCOVER, Master Card, JCB, Union Pay 입니다.

[ 탈레스 e-Security PayShield 9000 장점 ] ￭ 입증된 역량 활용 카드 발급, 모바일 프로비저닝 및 결제 트랜잭션 처리를 위해 특별히 설계된 포괄적이며 인증된 보안을 제공합니다. 모든 주요 결제 애플리케이션에 대한 지원을 제공합니다. ￭ 규제 준수 비용 절감 구현 및 유지관리를 간소화하고 규제 준수 비용을 절감해줍니다. 발급사, 처리사 및 매입사를 위해 개별화된 유연한 플랫폼과 소프트웨어 옵션이 포함됩니다. ￭ 복구력 극대화 이중화된 하드웨어, 현장 지원 가능한 컴포넌트 및 클러스터링과 페일오버를 위한 지원을 제공하여 최고 수준의 비즈니스 연속성을 보장해줍니다.

[ 탈레스 e-Security payShield 9000 사양 ] ￭ 지원 암호화 알고리즘 [ 대칭 ] ￭ DES 및 Triple DES (키 길이 112 bit, 168 bit) ￭ AES (키 길이 128 bit, 192 bit, 256 bit) [ 비대칭 ] ￭ RSA (키 길이 최대 4096 bit) [ 해싱 ] ￭ [MD1 ￭ SHA-1 ￭ SHA-2 [ 인증 ] ￭ FIPS 140-2 level 3 ￭ PCI HSM V1 (일부 설정에만 해당) ￭ APCA ￭ MEPS [ 키 관리 지원 ] ￭ 탈레스 Key Block (ANSI X9.24와 호환; X9 TR-31의 상위 세트) ￭ X9 TR-31 Key Block ￭ RSA Public Key ￭ PIN 및 데이터 암호화용 DUKPT ￭ Master/Session Key Scheme ￭ Racal Transaction Key Scheme ￭ AS2805

PCI DSS 전문가인 Suresh Dadlani(Control Case 최고운영책임자)는 전 세계 모든 나라에서 PCI DSS를 국제표준으로 인정하고 있다며 한국의 금융사들도 PCI DSS 선택을 적극 검토해봐야 한다고 강조했습니다. 

전세계적 핀테크 기업인 페이팔과 알리페이도 이미 오래전부터 PCI DSS를 준수하고 있습니다. 그 때문에 높은 점유율과 안정적인 운영으로 세계적으로 대표적인 글로벌 기업으로 성장할 수 있었습니다.

우리나라는 아직 PCI DSS를 채택하고 있는 곳은 별로 없지만 핀테크로 글로벌 진출까지 생각하고 있다면 더더욱 PCI DSS 인증이 필요합니다.

PCI DSS는 전 세계 결제 거래 보안의 80% 이상을 지원할 정도로 입증된 기술이며, 준수 의무의 범위를 좁힘으로써 표준 준수 비용을 대폭 줄일 수 있습니다.

레거시 시스템과 클라우드 기반의 확장을 포함하여 실질적으로 기업 내 모든 위치의 카드소지자 데이터를 보호합니다.

[ PCI DSS 인증 이점 ] ￭ 지불결제체계 보호 ￭ 사기로부터 패널티 경감 또는 구제 가능 ￭ 데이터 보호를 위한 신뢰성 증가 ￭ 규제순응 요건이 지원됨 ￭ 종합적인 정보보안 방법이 향상됨

PCI DSS 환경 구축을 위한 최적의 장비인 탈레스 Payshield 9000에 관한 상담 문의는 아래의 아이마켓코리아 담당자에게 연락주시기 바랍니다.

(주) 아이마켓코리아
윤 용 비
대리 │ IT 솔루션 영업팀

TEL : 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090