PCI DSS (Payment Card Industry Data Security Standard)

Table of Contents

1. PCI DSS 개요

PCI DSS(Payment Card Industry Data Security Standard)는 신용카드 거래 시 보안 강화를 위해 결제 카드 업계에서 공동으로 개발한 글로벌 보안 표준입니다. 이 표준은 Visa, MasterCard, American Express, Discover, JCB 등 주요 카드 브랜드들이 참여하는 PCI SSC(Payment Card Industry Security Standards Council)에서 관리합니다.

이 표준의 주요 목적은 카드 소유자의 데이터 보호 및 보안 강화이며, 카드 결제 데이터를 처리하는 모든 기업(상점, 결제 게이트웨이, 금융기관 등)에 적용됩니다.

2. PCI DSS 요구사항

PCI DSS는 12개의 주요 요구사항으로 구성되며, 이 요구사항들은 6가지 보안 목표(Security Goals)를 충족해야 합니다.

🔹 1) 안전한 네트워크 구축 및 유지

방화벽 및 라우터 규칙 설정 및 유지
- 카드 소유자 데이터를 보호하기 위한 방화벽 및 네트워크 보안 정책 유지
기본 제공 보안 설정 변경 금지
- 공급업체의 기본 암호 및 보안 설정을 변경하여 보안 강화

🔹 2) 카드 소유자 데이터 보호

보관된 카드 소유자 데이터 보호
- 카드 데이터의 저장 최소화, 암호화 및 보호
개방형 네트워크에서 전송되는 카드 데이터 암호화
- SSL/TLS, IPsec 등을 이용하여 네트워크 상에서 전송되는 카드 데이터 보호

🔹 3) 취약점 관리 프로그램 유지

안티바이러스 소프트웨어 사용 및 최신 유지
- 모든 시스템에서 악성 코드 보호 및 주기적인 업데이트 수행
안전한 애플리케이션 및 시스템 개발 및 유지
- 보안 취약점 분석 및 패치 적용

🔹 4) 강력한 접근 통제 조치

카드 데이터 접근 권한 최소화
- 업무상 필요한 최소한의 인원에게만 카드 데이터 접근 허용
개별 사용자 ID 할당 및 사용
- 모든 사용자에게 고유 ID 부여 및 다중 인증 적용
카드 데이터에 대한 물리적 접근 제한
- 카드 데이터가 저장된 서버, 데이터센터 등에 대한 물리적 보안 유지

🔹 5) 네트워크 및 시스템 모니터링 및 테스트

네트워크 및 카드 데이터 액세스 로깅 및 모니터링
- 접근 기록 보존 및 정기적인 모니터링 수행
보안 시스템 및 프로세스 정기 테스트
- 침투 테스트, 취약점 점검 및 무단 액세스 탐지

🔹 6) 정보 보안 정책 유지

정보 보안 정책 수립 및 유지
- 카드 데이터 보안을 위한 조직 내 보안 정책 수립 및 교육 수행

3. PCI DSS 적용 대상

다음과 같은 조직은 PCI DSS 준수를 요구받습니다.

상점(Merchants): 카드 결제 시스템을 운영하는 모든 기업
결제 게이트웨이(Payment Gateways): 온라인 및 오프라인 결제 중개 시스템
금융기관(Financial Institutions): 카드 발급 은행 및 결제 처리 기관
서비스 제공업체(Service Providers): 카드 데이터 저장, 처리, 전송을 지원하는 클라우드, 호스팅 서비스 기업

PCI DSS 준수 여부는 결제 거래량(Level)에 따라 1~~4단계(Level 1~~4)로 구분됩니다.

Level	연간 카드 거래 건수	요구 사항
Level 1	600만 건 이상	연간 QSA 감사 및 침투 테스트 필요
Level 2	100만~600만 건	연간 자체 평가(SAQ) 및 ASV 스캔
Level 3	20,000~100만 건	자체 평가(SAQ) 및 ASV 스캔
Level 4	20,000건 미만	자체 평가(SAQ) 권장

4. PCI DSS 준수 방법

현황 평가(Gap Analysis)
- 현재 보안 환경과 PCI DSS 요구사항 비교 분석
보안 조치 강화(Remediation)
- 네트워크 보안, 암호화, 접근 제어 강화 등 보안 조치 수행
검증 및 감사(Validation & Audit)
- QSA(Qualified Security Assessor) 감사 또는 자체 평가(SAQ)
유지 및 모니터링(Maintenance & Monitoring)
- 보안 로그 관리, 정기적인 취약점 점검 및 침투 테스트 수행

5. PCI DSS 준수의 이점

데이터 유출 방지: 카드 정보 보호를 통해 금융 범죄 및 데이터 유출 위험 감소
규제 준수: 신용카드사 및 금융 규제기관 요구 사항 충족
신뢰성 확보: 고객과 파트너사의 신뢰 구축
위반 시 벌금 회피: 비준수 시 부과되는 벌금 및 법적 문제 방지

6. PCI DSS 최신 동향 (v4.0)

PCI DSS(지불카드 산업 데이터 보안 표준) 버전 4.0은 2022년 3월 31일에 발표되었으며, 이전 버전인 3.2.1과 비교하여 여러 중요한 변경 사항이 도입되었습니다.

보안 제어 구현의 유연성 증가: 새로운 ‘커스터마이즈드 접근법(Customized Approach)’이 도입되어 조직이 보안 목표를 달성하기 위해 다양한 방법을 사용할 수 있는 유연성이 향상되었습니다. 이는 조직이 자체적인 위험 평가를 통해 보안 통제를 구현하고 검증할 수 있도록 지원합니다.
인증 및 접근 관리 강화:
- 다단계 인증(MFA) 확대: 카드 소지자 데이터 환경에 대한 모든 접근에 대해 다단계 인증 구현 요건이 확장되었습니다.
- 비밀번호 정책 강화: 비밀번호 최소 길이가 8자에서 12자로 증가하는 등 비밀번호 요구 사항이 강화되었습니다.
지속적인 보안 모니터링 및 테스트: PCI DSS v4.0은 지속적인 보안 모니터링과 자동화된 대응의 중요성을 강조하며, 이를 통해 새로운 보안 위협에 빠르게 적응하고 대응할 수 있도록 요구하고 있습니다.
서비스 제공업체 및 클라우드 환경에 대한 요구 사항 확대: 클라우드 및 서비스 제공업체에 대한 요구 사항이 확대되어, 이러한 환경에서의 보안 책임과 통제가 명확하게 정의되었습니다.
보안 취약점 관리 및 웹 애플리케이션 보호 강화: 웹 애플리케이션 방화벽(WAF) 도입이 의무화되어 외부 공개 웹 애플리케이션에 대한 보호가 강화되었습니다.

이러한 변경 사항은 조직이 최신 보안 위협에 대응하고 카드 소지자 데이터를 더욱 효과적으로 보호할 수 있도록 설계되었습니다.

항목	PCI DSS v3.2.1 (이전 버전)	PCI DSS v4.0 (최신 버전)
보안 제어 접근 방식	전통적인 명확한 요구사항 기반	유연한 보안 목표(Customized Approach) 도입
다단계 인증(MFA)	원격 접속 시 필수	내부 시스템 포함 모든 접근에 필수
비밀번호 정책	최소 8자	최소 12자, 더 강력한 보안 요구
보안 모니터링 및 테스트	정기적인 점검 요구	지속적인 모니터링 및 자동화된 테스트 강조
서비스 제공업체 및 클라우드 환경	제한적 요구사항	클라우드 및 서비스 제공업체에 대한 책임 명확화
웹 애플리케이션 보안	WAF(웹 애플리케이션 방화벽) 권장	WAF 도입 의무화
암호화 및 키 관리	정기적인 키 변경 요구	키 변경보다 보안 강화를 위한 리스크 기반 접근법 허용
보안 취약점 관리	연 1회 취약점 평가 요구	지속적인 취약점 모니터링 및 개선 요구
PCI DSS 준수 기간	기존 요구사항 유지	2025년 3월 31일까지 v4.0 완전 적용 필수