PCI DSS(Payment Card Industry Data Security Standard) 250626

PCI DSS(Payment Card Industry Data Security Standard)는 카드 결제 환경에서 민감한 카드 소유자 데이터를 안전하게 보호하기 위해 전 세계 주요 카드 브랜드(Visa, MasterCard, American Express, Discover, JCB) 공동으로 제정한 보안 표준입니다. 주요 특징과 구성 항목을 다음과 같이 설명드립니다.

1. PCI DSS의 목적
• 카드 소유자 데이터(Primary Account Number, Cardholder Name, Service Code, PIN 등)가 저장·전송·처리되는 모든 단계에서 기밀성·무결성·가용성을 보장
• 카드사 및 결제 처리 업체, 가맹점 등의 시스템을 공격으로부터 보호하여 부정 사용·정보 유출 사고를 예방

2. 관리 주체 및 적용 범위
• 관리 주체: PCI Security Standards Council(PCI SSC)
• 적용 대상:
• 카드 결제 데이터를 저장·처리·전송하는 모든 엔터프라이즈(가맹점, 결제 게이트웨이, 서비스 프로바이더 등)
• 연간 거래 건수나 처리 규모에 따라 레벨(Level 1~4)로 구분되어 각 레벨별로 요구되는 준수 사항 및 보고 수준이 상이

3. 보안 요구사항 구조
PCI DSS는 6개의 보안 목표(Objective)와 이에 대응하는 12개의 요구사항(Requirement)으로 구성되어 있습니다.
• 목표 1: 안전한 네트워크 구축 및 유지
1. 방화벽 설치·구성
2. 공급업체 기본값(디폴트) 비밀번호·보안 설정 변경
• 목표 2: 카드소유자 데이터 보호
3. 저장된 카드소유자 데이터 암호화
4. 전송 중인 카드소유자 데이터 암호화
• 목표 3: 취약점 관리 프로그램 유지
5. 안티바이러스(백신) 프로그램 설치 및 정기 업데이트
6. 보안 취약점 식별·평가를 위한 내부·외부 시스템 정기 스캔 및 펜테스트
• 목표 4: 강력한 접근 통제 수단 적용
7. 카드 데이터 접근 권한을 업무상 필요한 최소 권한으로 제한
8. 시스템 접근을 위한 고유 ID 할당
9. 카드 데이터에 대한 물리적 접근 제한
• 목표 5: 네트워크 모니터링 및 테스트
10. 모든 접근 로그 및 트랜잭션 기록(로그) 유지 및 분석
11. 네트워크 및 시스템의 정기적인 취약점 스캔 및 침투 테스트
• 목표 6: 정보 보안 정책 유지
12. 전 임직원을 대상으로 보안 정책 수립·교육·감사 실시

4. 준수 검증 절차
• 자가 점검(Self-Assessment Questionnaire, SAQ): 레벨 2~4 가맹점이 주로 사용
• 전문 감사(Qualified Security Assessor, QSA) 보고서(Report on Compliance, ROC): 레벨 1 가맹점 및 대형 서비스 프로바이더 대상
• 침투 테스트 및 취약점 스캔: 승인된 외부 스캔 공급 업체(Approved Scanning Vendor, ASV)가 연 4회 이상 수행

5. 준수 유지 방안
• 정책·절차 문서화 및 정기 업데이트
• 연간 재평가(레벨 1은 ROC, 레벨 2~4는 SAQ)
• 보안 패치·백업·로그 관리 등 일상적 운영 프로세스에 보안 활동 통합

PCI DSS 준수는 단순히 ‘인증’을 받는 것을 넘어, 조직의 전반적인 보안 체계를 지속적으로 개선·관리하는 활동입니다. 이를 통해 카드 결제 환경에서 신뢰를 확보하고, 데이터 유출로 인한 금전적·법적 리스크를 효과적으로 줄일 수 있습니다.