젬알토(세이프넷)가 PCI DSS(Payment Card Industry Data Security Standard) 3.0 준수 가이드 백서를 발표했다.
PCI DSS는 JCB, 비자, 마스터, 아메리칸 익스프레스, 유니온페이 등 글로벌 카드사들이 참여하고 있는 지불카드 정보보안표준위원회에서 만든 보안 표준으로 결제대행(PG)사, 카드가맹점 및 관련 서비스 업계에서 이를 따르고 있다. 현재 적용 중인 버전은 3.0이다.
젬알토는 최근 금융 당국이 핀테크 활성화 대책을 마련하는 것과 관련해 PCI DSS에 대한 금융 및 핀테크 업계의 관심이 높아지고 있어 데이터 보호 관점에서 상세히 대응 방안을 소개하는 백서를 발간했다.
박종필 젬알토코리아 이사는 “핀테크 산업 활성화에 앞서 최소한의 보안 대책이 필요한데 PCI DSS처럼 소비자 금융 정보 보호, 신원 도용 및 사기 방지, 글로벌 결제 등 포괄적이 관점에서 금융 서비스에 특화된 보안 가이드를 제시하는 표준도 없다”며 “핀테크 시장이 사실상 국경 없는 경쟁을 하는 분야인 만큼 관련 보안 규제는 국내에서만 통하는 것이 아니라 국제적으로 인정받는 가이드를 따르는 것이 중요하다”고 강조했다.
PCI DSS는 안전한 네트워크 구축, 카드 회원 데이터 보호, 취약점 관리, 강력한 접근 통제, 네트워크 모니터링 및 테스트, 정보보호 정책 유지 관리 등에 대한 12가지 요구 조건을 제시하고 있다. 상세 요구 사항 수는 200여 가지가 넘을 정도로 세분화돼 있다.
이들 요구 사항의 핵심은 바로 데이터 보호다. 특정 부문이 아니라 요구 사항 전반에 걸쳐 저장, 전송 중인 데이터에 대한 보호 그리고 해당 데이터에 대한 접근 제어를 위한 사용자 인증에 대한 가이드가 제시된다.
젬알토가 발행한 백서에는 요구 사항 1번부터 10번까지 데이터 암호화, 키 관리, 사용자 인증 관련 모든 요구 사항에 대한 구체적인 대응 방안이 담겨 있다.
한편 젬알토코리아는 핀테크에 대한 시장의 관심이 커지면서 PCI DSS 관련 문의가 늘고 있어 주요 파트너를 중심으로 적극적인 컨설팅 활동에 나설 계획이다.
박종필 이사는 “PCI DSS 심사는 까다롭기로 유명하다. 처음 인증 심사를 받는 경우 90% 가까이 실패한다는 말이 들릴 정도로 엄격한 기준을 적용한다”며 “젬알토는 이미 해외 시장에서 PCI DSS 관련 경험이 많아 국내 고객을 대상으로 PCI DSS 12가지 요구 사항 중 젬알토코리아는 암호화, 비밀번호, 접근 제어 부문에 대한 포괄적인 해결책을 명확히 제시할 수 있다”고 밝혔다.
