DNV GL, ‘PCI DSS 인증’ 통합 서비스 본격 개시

핀테크 시대, PCI DSS 인증으로 정보보호 시너지 극대화

[보안뉴스 김태형] 글로벌 3대 인증 기관인 DNV GL의 Business Assurance Korea(대표 안인균, 이하 DNV GL)는 핀테크 산업 활성화 및 카드 소유자 정보보호에 대한 중요성이 높아진 시장 상황을 고려해 카드 업계 정보보호 표준인 ‘PCI DSS 인증’ 서비스를 본격적으로 시작한다고 밝혔다.

DNV GL은 정보보호와 개인정보보호 서비스 강화를 위해 이미 업계 전문가들을 영입한 상태로, 국내 정보보호와 개인정보보호 시장에서 두각을 나타내고 있다. 아울러 이번 PCI DSS 인증 서비스 시장 진출을 위해 추가로 관련 전문가를 영입해 전문 서비스 제공을 위한 준비를 마친 상태로, 관련 업계에서 다크호스로 급부상할 것으로 예상된다.

또한, DNV GL은 PCI DSS 인증 서비스 수행이 가능하도록 기관 등록을 마친 상태이며, PCI DSS 인증 심사 수행이 가능한 심사원(QSA: QUALIFIED SECURITY ASSESSOR) 양성도 완료했다. 특히, 해외에 PCI DSS 인증 본부를 두고 비즈니스를 하는 타 기관과 달리 DNV GL은 국내에 PCI DSS 인증본부를 두고 있어 PCI DSS 관련 모든 업무처리가 국내에서 가능하다.

PCI DSS(Payment Card Industry Data Security Standard)는 지난 2006년 다국적 카드 브랜드 회사(VISA, MASTER, AMERICAN EXPRESS, DISCOVER, JCB)들이 제정한 표준으로, 카드 소유자 정보(Cardholder Data) 보호 표준을 위해 PCI 보안 표준위원회(PCI Security Standards Council)가 설립되면서 제정됐다.

PCI DSS 규제는 고객의 데이터를 저장·처리·전송하는 카드사·은행 및 카드 가맹점과 서비스사업자(PG, VAN)라면 모두 준수하도록 권고하고 있다. 미국에서는 일정 거래규모 이상의 처리업체와 가맹점에게는 의무적으로 이행토록 하고 있다. 특히, PCI DSS를 이행하지 않는 가맹점 등에 카드결제 승인을 거부하는 등의 강력한 제재를 하고 있다. 국내에서는 일부 PG사만 PCI DSS 인증을 획득했다.

PCI DSS는 최상위 기술적·운영적 요구사항과 하위의 상세요건을 정의하고 있는데, 요건들이 매우 구체적이어서 단순히 인증을 위한 도구가 아닌 조직의 실질적 정보보호 수준 향상에 많은 도움을 줄 수 있다.

만약 보안사고가 발생하더라도 PCI DSS 인증을 받은 고객은 사고 피해가 훨씬 더 적다. 인증을 받은 기업은 사고대응 계획이 이미 세워져 있기 때문. 즉, 보안 강화를 위해서 여러 가지 조치를 취하고 열심히 노력했다는 점을 어느 정도 인정 받을 수 있다.

DNV GL 안인균 대표는 “PCI DSS 도입을 원하는 기업을 대상으로 PCI DSS를 효과적으로 도입할 수 있도록 준비과정을 지원하는 통합 서비스를 함께 제공함으로써 기업이 효과적으로 PCI DSS 체계를 도입할 수 있도록 지원한다”고 밝혔다.

DNV GL은 정보보호와 개인정보보호 영역에서 선두를 달리고 있으며, 최근 클라우드 보안 분야에서도 두각을 나타내고 있다. 이번에 새롭게 선보이는 PCI DSS 인증 서비스를 통해 정보보호·개인정보보호·클라우드 정보보호 관련 국제 표준(ISO27001, ISO27017, ISO27018, ISO29100, BS10012)들과 큰 시너지를 낼 것으로 예상된다. 이를 바탕으로 기업의 체계적이고 실질적인 정보보호 및 개인정보보호 수준 향상에 크게 기여할 수 있을 것으로 기대된다.
[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)