“가장 효과적인 사용자간 보안방식은 ‘암호화’”

탈레스-포네몬, ‘PCI DSS 트렌드 2010-QSA 인사이트’ 발표

정보시스템 및 통신보안업체 탈레스(Thales)가 최근 공인 보안 평가기관(QSAs)이 선호하고 추천하는 보안 시스템과 설치비용을 업계에서는 이례적으로 공개해 주목된다. 탈레스가 프라이버시 및 정보관리 업무 전문 연구기관인 ‘Ponemon Institute’에 위탁해 실시한 조사결과를 토대로 작성된 최신 보고서 ‘PCI DSS Trends 2010 – QSA Insights’에 그 내용이 수록된 것.

이에 Ponemon Institute 회장 겸 설립자인 래리 포네몬 박사는 “이번 연구는 업계 최초로 QSA 관점에서 PCI DSS 준수 동향을 분석했으며, 기업들의 법규준수 접근방식과 민감한 정보에 대한 기업의 활동에 대해 흥미로운 정보를 제시하고 있다”며 “PCI DSS 준수는 쉽지 않으며, 단일 기술이나 프로세스만으로 해결되는 문제가 아니다. 본 연구는 여러 신용카드 가맹점이 PCI 준수에만 몰두한 나머지 고객의 민감한 개인정보보호라는 또 다른 핵심목표에는 충분한 관심을 기울이지 못하고 있다는 QSA내 우려를 시사하고 있다”고 말했다.

이 보고서에 따르면, 신용카드 가맹점 중 법규준수 감사를 통과하지 못한 업체는 2%에 불과하지만, 결제카드산업 데이터 보안표준인 PCI DSS(Payment Card Industry Data Seurity Standard) 요구사항을 충족시키기 위해 일시적으로 보완한 관리에 의존하는 경우의 수치가 41%에 이를 수 있는 것으로 조사됐다. 이러한 대체적인 법규준수 방식은 반드시 QSA(Qualified Security Assessors)의 승인을 받아야 하지만 이는 임시방편에 불과하거나 PIC DSS가 변경되는 경우 무용지물이 될 가능성이 높다. 41%라는 수치는 2006년 도입된 PCI DSS 요구사항을 준수하기 위한 신속한 노력이 여전히 부족함을 보여준 것이라고 보고서는 설명하고 있다.

PCI 준수와 관련해 QSAs는 가맹점에서 가장 어렵게 생각하는 요구사항이 신용카드 소유자 정보에 대한 접근을 사업적 목적으로만 제한시키는 것임을 파악하였으나, 이 점이야 말로 PCI DSS 준수에 있어 가장 중요한 준수사항이라고 판단하고 있다. 이번 조사를 통해 QSAs는 또한 신용카드 데이터에 있어 가장 심각한 우려사항은 가맹점 네트워크와 신용카드 소유자 정보를 보유하고 있는 DB임을 확인했다. 실제로 이 시스템들은 최근 몇 년 동안 언론에 대거 보도된 신용정보 유출사건이 발생한 곳이기도 하다.

이번 조사 결과, 60%에 이르는 QSAs가 POS에서 신용거래가 발생한 순간에서부터 거래가 인증되는 순간까지 end-to-end 수준에서 신용데이터를 보호할 수 있는 가장 효과적인 방법은 암호화라고 밝혔다. QSAs는 보안토큰 등 보안 신기술에도 관심을 가지고 있었으며, 조사대상 중 35%가 end-to-end 수준의 신용카드 개인정보보호를 위해 이러한 신기술을 선호한다고 밝혔다.

QSAs중 41%는 암호화를 이용하는 신용카드사가 겪는 가장 어려운 키 관리 업무는 암호화 키에 대한 접근 통제라고 밝혔다. 신용카드사를 위한 암호화 방식으로는 조사대상 기관 중 81%가 암호화 및 키 매니지먼트를 위한 하드웨어 보안 모듈인 HSM을 추천했다. HSM은 암호화 키를 보다 용이하게 보호·관리할 수 있도록 고안된 키 보안 전문 장비다. 이러한 점에서 응답자 중 63%가 HSM을 통해 법규준수에 따르는 금전적 시간적 비용을 줄일 수 있다고 밝히고 있다.

이에 프랑크 그레브리(Franck Greverie) 탈레스 정보기술보안 부문 부사장 겸 전문이사는 “고객과 비즈니스 데이터 보호는 모든 기업에 있어 최우선 과제이지만, 법규를 준수하였음을 보여주었다고 해서 이것이 데이터 보안 문제를 해결했음을 본질적으로 의미하지는 않는다”며 “바라건대 이번 조사결과를 통해 신용카드 가맹점들이 PCI DSS 요구사항에 대한 QSAs의 견해와 법규준수를 위한 최선의 보안시스템이 무엇인지에 대해 보다 잘 이해하는데 도움이 되기를 바란다. 궁극적으로 이를 통해 가맹점들은 시간과 비용을 절감할 수 있고, 무엇보다도 비즈니스 수익구조를 보호할 수 있을 것”이라고 밝혔다.

한편 이번 연구조사는 연례 QSA 평가 비용(기술, 운영 및 인력 비용 제외)을 제공하였으며, 최대규모 가맹점(Tier 1)의 평균 평가비용은 $225,000이었으며, 이 중 10%가 QSA 평가에 $500,000 이상이 소요되었다고 밝혔다. 보다 자세한 연구조사 결과는 홈페이지(http://iss.thalesgroup.com/l/program/pcitrendsreport.aspx?sf_id=70120000000Yan1)를 통해 확인할 수 있다.

[김정완 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)