최근 카드번호, 카드 유효기간 등의 정보를 DB에 저장할 때 관련 표준이 있는지 문의를 받게 되어 관련 내용을 찾아보게 되었다. 과정 중에 PCI-DSS 를 알게 되었는데, 카드 정보 관련 표준인 듯 하여 정리해보고자 한다.
유래
PCI-DSS가 등장하기 전까지 카드 보안은 Visa, Mastercard, American Express, Discover, JCB가 각각 따로 운영하는 방식이었다. 1990년대 후반부터 2000년대 초반으로 가면서 결제 사기가 늘자 이 다섯 브랜드가 표준을 통일할 필요성을 느꼈고, 2004년 12월 PCI-DSS 버전 1.0이 나왔다. 그 뒤 2006년 9월 7일, 이 다섯 브랜드가 모여 PCI SSC(Payment Card Industry Security Standards Council)를 공식 설립했다. PCI SSC가 표준을 관리하는 상설 기구가 된 것이다.
PCI-DSS(Data Security Standard)는 정부 기관이 심사하거나 집행하는 표준이 아니다. 준수 여부는 각 카드 브랜드와 가맹점 사이의 계약 관계를 통해 개별 브랜드와 매입사(acquirer)가 판단한다. 즉 법령이 아니라 업계 자율 표준이지만, 카드를 받으려면 사실상 따르지 않을 수 없다.
누가 적용 대상인가
카드 소유자 데이터(CHD)를 저장·처리·전송하는 모든 조직이 대상이다. 가맹점, 결제 처리사, 발급사, 매입사, 서비스 제공업체 등 결제 생태계 안에 있는 주체라면 규모에 무관하게 해당된다.
PCI-DSS가 보호 대상으로 삼는 데이터는 크게 두 종류다. 카드 소유자 데이터(CHD)는 기본 계좌번호(PAN), 카드 소유자명, 유효기간, 서비스 코드를 포함하고, 민감 인증 데이터(SAD)는 마그네틱 전체 트랙 데이터, 카드 검증 코드(CVC2/CVV2 등), PIN 및 PIN 블록을 포함한다. 흔히 "카드 데이터"라고 뭉뚱그려 말하지만 이 두 범주가 구분된다는 점이 꽤 중요하다. SAD는 인증 이후에는 저장 자체가 금지된다.
12개 요구사항
PCI-DSS의 12개 핵심 요구사항은 버전이 바뀌어도 유지돼 왔다. v4.0.1에서도 그 구조는 그대로다. 요구사항을 나열하면 이렇다.
- 네트워크 보안 통제 설치 및 유지, 모든 시스템 구성 요소에 안전한 설정 적용
- 저장된 계좌 데이터 보호, 공개 네트워크 전송 시 강력한 암호화 적용
- 모든 시스템과 네트워크를 악성 소프트웨어로부터 보호, 안전한 시스템 및 소프트웨어 개발·유지
- 업무상 필요에 따른 접근 제한, 사용자 식별 및 인증, 물리적 접근 통제
- 시스템 구성 요소와 카드 데이터에 대한 모든 접근 로깅 및 모니터링, 정기적인 보안 테스트, 조직 정책 및 프로그램으로 정보보안 지원
기술 통제(방화벽, 암호화, 취약점 점검)뿐 아니라 사람과 프로세스까지 아우른다는 게 특징이다. 마지막 12번째 요구사항인 정책·프로그램은 흔히 "소프트웨어 설정만 맞추면 되는 거 아닌가"라고 생각할 때 놓치기 쉬운 부분이다. 카드 데이터 보호 실패의 상당 부분은 불명확한 책임 소재, 취약한 거버넌스, 아무도 실제로 지키지 않는 정책에서 비롯된다.
레벨 구분
가맹점 레벨은 연간 거래량에 따라 네 단계로 나뉜다. Level 1은 연간 600만 건 초과로 QSA(Qualified Security Assessor)에 의한 현장 심사가 필요하고, Level 2는 100만~600만 건, Level 3는 이커머스 기준 2만~100만 건, Level 4는 그 미만이다.
여기서 주의할 점이 있다. 레벨은 준수 여부를 어떻게 증명하는지를 결정할 뿐, 적용해야 하는 12개 요구사항 자체는 모든 레벨에서 동일하다. Level 4 소규모 가맹점도 Level 1 대형 가맹점도 요구사항 내용은 같고, 다른 건 검증 방식이다. Level 1은 QSA가 작성하는 준수 보고서(ROC)가 필요하고, Level 2~4는 자가평가 설문(SAQ)으로 대체할 수 있다. 그리고 침해 사고가 발생하면 거래량에 관계없이 즉시 Level 1으로 격상된다.
v4.0.1 (현재 기준)
2022년 3월 v4.0이 공개되면서 64개의 신규 또는 변경된 요구사항이 도입됐다. 그 중 13개는 즉시 효력을 가졌고, 나머지 51개는 2025년 3월 31일까지 유예됐다. 2024년 6월, PCI SSC는 v4.0.1을 발표했는데, 이는 오탈자를 수정하고 일부 요구사항의 문구를 다듬은 수정판이다.
v4.0.1은 새로 추가되거나 삭제된 요구사항이 없다. 순전히 명확화를 위한 릴리즈였다. v4.0은 2024년 12월 31일 종료됐고, 이후로는 v4.0.1만이 PCI SSC가 지원하는 유일한 활성 표준이다. 2025년 3월 31일부로 유예됐던 요구사항을 포함한 모든 요구사항이 모든 가맹점과 서비스 제공업체에 의무화됐다.
v4.0에서 주목할 만한 변화 중 하나가 맞춤형 접근법(Customized Approach)이다. 표준의 특정 요구사항을 문서 그대로 충족할 수 없는 조직이 대안적 통제를 구현할 수 있는 방법인데, 맞춤형 통제가 동등한 리스크 완화를 제공한다는 것을 리스크 분석과 테스트로 증명해야 한다. 다만 이 접근법은 SAQ에는 허용되지 않는다. 즉 Level 1처럼 QSA 심사를 받는 조직에만 열린 옵션이다.
v4.0의 변화는 MFA 요건 강화, 비밀번호 복잡도 상향, 이커머스 결제 페이지 스크립트 관리 요구사항 신설 등 여러 방향에 걸쳐 있다. v3.2.1에서 v4.0으로 넘어오는 과정에서 200개 이상의 기업으로부터 6,000건이 넘는 피드백이 수렴됐다고 한다. 그 규모를 보면 얼마나 많은 조직이 이 표준의 영향을 받는지 가늠이 된다.
PCI-DSS 자체는 개인정보보호법이나 GDPR처럼 법적 의무가 직접 부과되는 규범이 아니다. 그러나 카드 결제를 받는 순간 브랜드와의 계약으로 사실상 의무가 생긴다. 작은 쇼핑몰이든 대형 플랫폼이든 카드 데이터가 흐르는 곳이라면 어디서든 이 표준이 따라온다는 점은 알아두는 게 좋다.
'privacy' 카테고리의 다른 글
| [컨퍼런스] 2026 PIS FAIR 후기 (0) | 2026.06.23 |
|---|---|
| 버스에 설치된 CCTV의 안내판 (0) | 2025.04.11 |