Payment Card Industry Data Security Standard (PCI DSS)

Payment Card Industry Data Security Standard (PCI DSS)

PCI DSS(Payment Card Industry Data Security Standard)는 신용카드 결제 과정에서 카드 소유자의 데이터를 안전하게 보호하기 위해 주요 글로벌 카드 브랜드(Visa, MasterCard, American Express, Discover, JCB)가 공동으로 제정한 국제 보안 표준이다.
이 표준은 카드 정보의 저장, 처리, 전송을 수행하는 모든 조직이 준수해야 하며, 이를 통해 카드 결제 산업의 데이터 보안을 강화하고 사기 및 데이터 유출을 방지하는 것을 목표로 한다.

2025년 3월 기준 PCI DSS v4.0은 기존 버전 대비 64개 신규 요구사항을 추가했으며, 특히 이메일 기반 공격 방지를 위한 DMARC 정책과 API 보안 강화 조치가 주목받고 있다.
조직들은 연간 1회 이상의 전체 시스템 진단과 분기별 외부 취약점 스캔을 통해 규정 준수를 유지해야 한다.

PCI DSS의 주요 목적

1. 안전한 네트워크 및 시스템 구축 및 유지: 신뢰할 수 있는 네트워크와 시스템을 구축하여 외부 위협으로부터 보호한다.
2. 카드 소유자 데이터 보호: 카드 소유자의 민감한 정보를 안전하게 저장하고 전송한다.
3. 취약점 관리 프로그램 유지: 시스템의 취약점을 지속적으로 관리하고 보완한다.
4. 강력한 접근 제어 조치 구현: 데이터 접근을 업무상 필요한 인원으로 제한한다.
5. 네트워크 모니터링 및 테스트 정기적 수행: 네트워크 활동을 지속적으로 모니터링하고 정기적으로 보안 테스트를 수행한다.
6. 정보 보안 정책 유지: 조직의 보안 정책을 수립하고 유지한다.

PCI DSS 인증 개요

• 관리기관: PCI SSC(Payment Card Industry Security Standards Council)
• 적용대상:
  • PCI DSS는 카드 결제와 관련된 모든 조직에 적용되며, 이는 다음을 포함한다:
    • 가맹점(Merchant): 상품이나 서비스를 제공하고 카드 결제를 수락하는 모든 업체
    • 서비스 제공자(Service Provider): 가맹점과 카드사 간의 결제 처리를 지원하는 제3자 업체

기본적으로 카드 결제를 처리하는 모든 기업이 PCI DSS를 준수해야 하지만, 실제 인증 의무는 거래 규모와 처리 방식에 따라 다르게 적용된다.

카드 결제 처리 방식에 따른 구분:

• 직접 처리 방식: 신용카드 정보를 직접 저장, 처리, 전송하는 경우를 말한다. 자체 결제 시스템을 구축하여 운영하는 경우가 이에 해당한다. 이 경우 반드시 PCI DSS 인증이 필요하다.
• 간접 처리 방식: PG사(Payment Gateway)나 호스팅 결제 솔루션을 사용하여 카드 정보를 직접 다루지 않는 경우이다. 이 경우 PCI DSS 인증 의무가 완화될 수 있다.

거래 규모에 따른 인증 레벨 구분:

1. 레벨 1 가맹점:

   • 연간 600만 건 이상의 거래
   • 데이터 유출 사고 경험이 있는 가맹점
   • 필수 요구사항:
     • 연간 현장 감사 필수
     • 분기별 네트워크 스캔
     • ROC(Report on Compliance) 제출

2. 레벨 2 가맹점:

   • 연간 100만~600만 건의 거래
   • 필수 요구사항:
     • 연간 자체 평가 설문
     • 분기별 네트워크 스캔
     • SAQ(Self-Assessment Questionnaire) 제출

3. 레벨 3 가맹점:

   • 연간 2만~100만 건의 거래
   • 필수 요구사항:
     • 연간 자체 평가
     • 분기별 네트워크 스캔

4. 레벨 4 가맹점:

   • 연간 2만 건 미만의 거래
   • 필수 요구사항:
     • 간소화된 자체 평가
     • 기본 보안 요구사항 준수

인증 의무 면제 조건:

1. 완전 위탁 처리

   • 모든 카드 결제를 PG사를 통해 처리
   • 카드 정보를 전혀 저장하지 않음
   • PG사의 결제 페이지만 사용

2. 부분 위탁 처리

   • 일부 카드 정보만 다루는 경우
   • 제한된 범위의 PCI DSS 요구사항만 적용
   • 해당 범위에 대한 준수 증명 필요

온라인 카드 결제 업체의 PCI DSS 대응 방안

• PG사 이용 방식: 대부분의 온라인 쇼핑몰이나 소규모 업체들에게 권장되는 방식

인증 방법 및 절차

1. 심사 유형

1. 인증 프로세스
   1. 범위 정의: 카드 데이터 처리 시스템 경계 설정
   2. GAP 분석: 현재 보안 수준 진단
   3. 시스템 개선: 방화벽, 암호화 등 12개 요건 구현
   4. 문서화: 보안 정책/절차서 작성
   5. 심사 수행: QSA/ASV를 통한 공식 평가
   6. 인증 유지: 연간 재심사 및 지속적 관리

핵심 12개 보안 요구사항

1. 네트워크 보안 통제 설치 및 유지: 신뢰할 수 있는 네트워크를 구축하고 방화벽 등 보안 통제를 적용한다.
2. 모든 시스템 구성 요소에 보안 구성 적용: 시스템의 보안 설정을 표준화하고 유지한다.
3. 저장된 계정 데이터 보호: 카드 소유자의 데이터를 안전하게 저장한다.
4. 공개 네트워크를 통한 데이터 전송 시 강력한 암호화 사용: 공개 네트워크를 통해 데이터를 전송할 때 강력한 암호화를 적용한다.
5. 악성 소프트웨어로부터 시스템 및 네트워크 보호: 악성 소프트웨어를 탐지하고 방지하기 위한 조치를 취한다.
6. 보안 시스템 및 소프트웨어의 개발 및 유지: 안전한 시스템과 소프트웨어를 개발하고 유지한다.
7. 업무상 필요에 따른 데이터 접근 제한: 업무상 필요한 인원에게만 데이터 접근을 허용한다.
8. 시스템 구성 요소 접근 시 사용자 식별 및 인증: 사용자 식별과 인증 절차를 구현한다.
9. 카드 소유자 데이터에 대한 물리적 접근 제한: 물리적으로 데이터에 접근할 수 있는 권한을 제한한다.
10. 시스템 구성 요소와 데이터 접근에 대한 기록 및 모니터링: 접근 기록을 유지하고 모니터링한다.
11. 시스템 및 네트워크의 정기적인 보안 테스트: 정기적으로 보안 취약점을 테스트한다.
12. 정보 보안 정책 유지: 조직의 정보 보안 정책을 수립하고 유지한다.

비용 및 유의사항

• 초기 비용: 소규모 기준 약 1억원(시스템 구축+심사비)
• 운영비: 월 1,000만원(모니터링/유지관리)
• 갱신주기: 매년 인증 갱신 필수
• 미준수시: 카드사 거래 중단, 과징금 부과

PCI DSS 주요 버전별 특징 및 변화

PCI DSS V1.0 (2004년 12월)

• 초기 표준 도입: 방화벽 구성, 기본 패스워드 변경 등 12개 핵심 요구사항 정의
• 적용 범위: 온라인 결제 처리업체 대상 기본 보안 체계 수립

PCI DSS V2.0 (2010년 10월)

• 암호화 강화: 데이터 전송 시 SSL/TLS 1.2 이상 버전 의무화
• 접근 제어: 사용자 권한 관리 체계 명확화

PCI DSS V3.0 (2013년 11월)

• 클라우드 대응: 가상화 환경·클라우드 시스템 보안 가이드라인 추가
• 침투 테스트: 연간 1회 이상 취약점 진단 의무화

PCI DSS V3.2 (2016년 4월)

• 다단계 인증(MFA): 관리자 계정 접근 시 2차 인증 도입
• DESV 인증: 대규모 처리기관 대상 추가 검증 절차 신설

PCI DSS V4.0 (2022년 3월 발표, 2025년 3월 전면적용)

• 이메일 보안 강제: DMARC 구현 의무화(2025년 3월 31일까지)
• 암호 정책 개선: 최소 길이 12자+특수문자 조합 요구
• API 보안 관리: 결제 시스템 연동용 API 모니터링 강화
• 사용자 접근 제어: 90일 미접속 계정 자동 비활성화
• 커스텀 보안 솔루션: 조직별 맞춤형 보안 전략 수립 허용

버전별 주요 변경 사항 비교

PCI DSS v4.0의 4대 혁신 분야

1. 지속적 보안 강조: 연간 기술 리뷰 의무화로 시스템 취약점 사전 탐지
2. 유연성 확대: 기업별 상황에 맞는 보안 솔루션 선택 권한 부여
3. 신기술 통합: 클라우드·API 보안 요구사항 체계화
4. 검증 프로세스 개선: 자동화 도구 활용한 효율적 감사 지원

참고 및 출처