1. PCI-DSS의 개요 및 목적

1.1 정의 및 관리 주체

  • 정식 명칭 : Payment Card Industry Data Security Standard
  • 개념 : 신용카드 정보 유출 방지를 위해 5대 글로벌 카드사(Visa, Master, Amex, Discover, JCB)가 공동 제정한 글로벌 보안 기술 및 운영 표준입니다.
  • 관리 기관 : PCI SSC (Security Standards Council)에서 표준 개발 및 관리를 담당합니다.
  • 최신 버전 : 2024년 4월부터 v4.0 이 전면 적용되었습니다.

1.2 주요 목적 및 대상

  • 목적 : 카드 소유자 데이터(CHD)와 민감한 인증 데이터(SAD)를 안전하게 보호하여 결제 생태계의 신뢰를 유지합니다.
  • 적용 대상 : 카드 데이터를 저장(Store), 처리(Process), 전송(Transmit) 하는 가맹점, PG사, VAN사, 클라우드 서비스 제공자 등 모든 주체입니다.

2. 핵심 용어 및 데이터 분류

2.1 CDE (Cardholder Data Environment)

  • 카드 소유자 데이터 환경 을 의미하며, 카드 데이터를 취급하는 시스템과 이에 연결된 모든 네트워크가 포함됩니다.
  • PCI-DSS 심사의 직접적인 대상 범위(Scope) 가 됩니다.

2.2 데이터 보호 기준 (중요)

  • CHD (카드 소유자 데이터)

  • 항목 : PAN (카드번호), 소유자 이름, 만료일자 등

  • 처리 : 저장 가능하지만, 반드시 강력한 암호화 또는 마스킹 조치가 필요합니다.

  • SAD (민감한 인증 데이터)

  • 항목 : CVC/CVV (보안코드), PIN (비밀번호), 트랙 데이터 등

  • 처리 : 결제 승인 후 절대 저장 불가 합니다. 유출 시 복제 카드를 만들 수 있는 핵심 정보이기 때문입니다.

3. 6대 목표와 12개 요구사항 (v4.0)

PCI-DSS는 관리적 요건보다 기술적/구체적 요건 에 집중합니다.

  • 목표 1 : 안전한 네트워크 구축

    1. 네트워크 보안 제어(방화벽) 설치 및 유지
    1. 시스템 구성 시 벤더 기본값(초기 비번 등) 사용 금지

  • 목표 2 : 계정 데이터 보호

    1. 저장된 카드 데이터 보호 (암호화/해싱)
    1. 공중 네트워크 전송 시 데이터 암호화 (TLS)

  • 목표 3 : 취약점 관리

    1. 악성 소프트웨어(백신) 대응 및 업데이트
    1. 안전한 시스템 및 소프트웨어 개발 (시큐어 코딩)

  • 목표 4 : 강력한 접근 통제

    1. 업무상 ‘알 필요(Need-to-Know)‘에 따른 접근 제한
    1. 사용자별 고유 ID 부여 및 MFA(다중 인증) 필수 적용
    1. 데이터가 존재하는 장소에 대한 물리적 접근 제한

  • 목표 5 : 모니터링 및 테스트

    1. 모든 시스템 접근에 대한 로깅 및 감사 추적
    1. 정기적인 보안 테스트 (분기별 ASV 스캔, 연 1회 모의해킹)

  • 목표 6 : 보안 정책 관리

    1. 조직 차원의 정보보안 정책 수립 및 위험 평가 시행

4. 인증 레벨 및 검증 방식

연간 거래 건수에 따라 심사 방식이 달라집니다.

  • Level 1 (600만 건 이상) : 공인 평가사(QSA)를 통한 현장 심사 및 RoC (준거성 보고서) 발행이 필수입니다.
  • Level 2 ~ 4 (600만 건 미만) : 규모에 따라 SAQ (자가 진단표) 작성 및 제출로 갈음할 수 있습니다.
  • 공통 사항 : 모든 레벨은 분기별로 공인 스캐닝 업체(ASV)를 통해 외부망 취약점 점검을 받아야 합니다.

5. 보안 컨설팅 실무 시사점

5.1 범위 축소 (Scope Reduction) 전략

컨설팅의 핵심은 비용 절감을 위해 CDE 범위를 최소화 하는 것입니다.

  • 네트워크 분리 : 결제망을 일반 사무망과 물리적/논리적으로 완전히 격리합니다.
  • 토큰화 (Tokenization) : 내부 시스템에는 실제 카드번호 대신 ‘토큰’ 만 저장하여, 시스템 대부분을 심사 대상에서 제외시킵니다.

5.2 타 인증 체계와의 차이점

  • ISO 27001 : 기업 전체의 정보보호 관리 체계(Governance) 중심
  • ISMS-P : 한국 법적 준거성을 기반으로 한 관리+기술 혼합
  • PCI-DSS : 결제 데이터라는 특정 자산에 대해 매우 엄격하고 구체적인 기술 수치 를 요구 (Pass / Fail 방식)

6. 실무 체크리스트 (Summary)

  • SAD 파기 : 결제 승인 후 CVC/CVV 등을 즉시 삭제하고 있는가?
  • 암호화 적용 : DB 내 카드번호(PAN)가 암호화되어 있으며, 전송 시 TLS 1.2 이상을 사용하는가?
  • 접근 통제 : CDE 접속 시 모든 계정에 MFA 가 적용되어 있는가?
  • 정기 점검 : 분기별 ASV 스캔 과 연 1회 모의해킹 결과가 존재하는가?
  • 분리 운영 : 결제 처리 서버와 일반 웹 서버가 방화벽으로 격리되어 있는가?

제시해주신 PCI-DSS 학습 내용을 바탕으로, 이전 학습 정리와 통일된 형식을 갖춘 [Day 23 학습 정리] 요약본입니다.

#앗, 제가 이전 학습 정리 형식을 맞추는 데 너무 집중하다가 내용을 섞었네요. 바로 정신 차리고 PCI-DSS 내용만 싹 모아서 깔끔하게 정리해 드립니다!

학습 정리

오늘 학습한 핵심 내용:

  • PCI-DSS v4.0: 글로벌 5대 카드사(Visa, Master 등)가 제정한 결제 보안 표준
  • CDE (Cardholder Data Environment): 카드 데이터가 흐르는 모든 시스템 및 네트워크 범위
  • 데이터 분류 및 보호: CHD(카드번호 등)는 암호화 필수, SAD(CVC/CVV 등)는 승인 후 저장 절대 불가
  • 12가지 요구사항: 보안 네트워크 구축, 계정 데이터 보호, 취약점 관리 등 기술적 요건 중심
  • 강력한 접근 통제: CDE 접속 시 모든 계정에 MFA(다중 인증) 적용 필수
  • 검증 체계: QSA(현장 심사), ASV(분기별 외부망 취약점 스캔), SAQ(자가 진단표)
  • 인증 레벨: 연간 카드 거래 건수(600만 건 기준)에 따라 심사 방식 차등
  • 범위 축소(Scope Reduction): 네트워크 분리 및 **토큰화(Tokenization)**를 통한 심사 대상 최소화
  • 타 인증 비교: ISO 27001(관리 중심) vs PCI-DSS(구체적 수치 기반의 Pass/Fail 방식)
  • 정기 점검: 분기별 ASV 스캔 및 연 1회 이상의 모의해킹 수행 필수

다음 학습 주제

Day 24: