방장 공부하자 (보안, 조직적인 대응3)

• 출처 : 그림으로 배우는 보안구조

6. 쇼핑 사이트 등의 신용카드 관리

신용카드 관리의 세계 통일 기준

• 온라인 쇼핑이 일반화 되면서 온라인에서 신용카드의 사용은 불가피한 상태가 되었다.
• 한펀, 신용카드 정보가 유출되는 피해가 전 세계적으로 발생하고 있다.
• 원래 각 카드 회사가 독자적으로 요구하는 보안 수준이 정해져 있었지만, 하나의 가맹점(쇼핑 사이트 등)에서 여러 카드를 사용할 수 있어야 하는 것이 당연한 시대이다.
• 그런데 카드 회사마다 기준이 다르다면 각각이 상이한 모든 기준에 대응하는 것은 힘든 일이다.
• 따라서, 가맹점과 서비스 제공 사업자가 신용카드 정보를 안전하게 취급할 수 있도록 하는 보안 관련 기준이 필요하다.
• 이러한 기준으로써 세계적으로 통일된 것이 PCI DSS(Payment Card Industry Data Security Standard)이며, 국제적인 카드 브랜드 5개 회사가 공동으로 설립한 PCI SSC(Payment Card Industry Security Standards Council)에 의해 운용, 관리되고 있다.

PCI DSS의 요구 기준

• PCI DSS의 요구 기준은 6개 항목과 12개 요구사항으로 정해져 있다.
• 가맹점과 서비스 제공 사업자는 이 요구사항에 대한 준수가 필요하다.
• PCI DSS을 준수하고 있다는 것을 자기 또는 제 3자를 통해 증명될 수 있다면 인증을 받을 수 있다.
• 연간 결제 건수에 따라 인증 수순이 분류되어 있는데 최상위인 경우에는 인증 심사 회사에 의해 년 1회 방문 심사가 필요하다.
• 이 외에도 1~3레벨은 인증 Scanning vendor에 의해 4분기마다 취약점 진단, 년 1회 Penetration Test등이 요구되고 있다.
• 요구 기준
  • 안전한 네트워크 구축과 유지
    • 요건1 : 카드 회원 데이터를 보호하기 위해 방화벽을 설치하고 구성을 유지한다.
    • 요건2 : 시스템 암호와 기타 보안 Patameter에 Vendor가 제공하는 기본값을 사용하지 않는다.
  • 카드 회원 데이터의 보호
    • 요건3 : 저장되는 카드는 회원 데이터를 보호한다
    • 요건4 : 오픈된 공공 네트워크를 통해 카드 회원 데이터를 전송하는 경우는 암호화하다.
  • 취약점 관리 프로그램의 유지
    • 요건5 : 모든 시스템을 악성 코드로부터 보호하고 바이러스 백신 소프트웨어 또는 프로그램을 정기적으로 업데이터 한다.
    • 요건6 : 안전한 시스템과 어플리케이션을 개발하고 유지 보수한다.
  • 강력한 접속 제어 기법의 도입
    • 요건7 : 카드 회원 데이터에 대한 접속은 업무상 필요한 범위 내로 제한한다.
    • 요건8 : 시스템 구성 요소에 대한 접속을 확인, 허용한다.
    • 요건9 : 카드 회원 데이터에 대한 물리적 접속을 제한한다.
  • 네트워크의 정기적인 모니터링 및 테스트
    • 요건10 : 네트워크 리소스 및 카드 회원 데이터에 대한 모든 접속을 추적하고 모니터링한다.
    • 요건11 : 보안 시스템 및 프로세스를 정기적으로 테스트한다.
  • 정보보안 정책의 유지
    • 요건12 : 모든 담당자의 정보보안에 대응하는 정책을 유지한다.

PCI DSS의 심사, 인증 흐름

1. 표준화단체 PCI SSC가 심사기관 QSA, 심사기관 ASV에 인증
2. 심사기관 QSA, ASV는 신용카드 취급 사업자, 카드회사, 쇼핑사이트 등에 각각 QSA는 심사 인증서 발급, ASV는 검사 보고서 작성을 수행한다.

Point

• 신용카드 정보를 안전하게 취급하기 위해, 쇼핑사이트 등에는 PCI DSS를 준수하기 위한 대응이 요구되고 있다.
• PCI DSS는 취급 건수에 따라 인증 레벨이 정해져 있다.

7. 재해 대책도 보안의 일부

재해와 사이버 테러에 대비

• 정보보안 3요소로 "기밀성","완전성","가용성"을 들 수 있는데 시스템 문제 뿐만 아니라 지진이나 화재 등의 재해로 인해 시스템을 사용할 수 없게 된 경우도 가용성이 확보되지 않은 상태
• 경우에 따라서는 사이버테르 등의 피해를 당할 가능성도 있는데, 이렇게 기업의 사업 활동이 중지될 수 있는 가능성을 고려하여 예기치 않은 사태가 발생하더라도 최소한의 비즈니스적인 연속성 확보와 신속한 복구를 해야한다.
• 사전 대책이 없다면 대응이 후순위가 될 수 있기 때문에 재해 등이 발생하기 이전 단계에서 계획을 세워 두어야 한다.
• 이러한 계획을 BCP(Business Continuity Plan : 비즈니스 연속성 계획)이라고 한다.
• 또한 계획뿐만 아니라 지속적으로 개선해 가는 관리 시스템을 구축해야 할 필요도 있다.
• 이것은 BCM(Business Continuity Management : 비즈니스 연속성 관리)라고 부르고 있다.

사전 대책의 예

• 히트
  • 안부 확인의 규칙 정비
  • 대안의 확보
• 모노
  • 설비의 고정
  • 대체 방법의 확보
• 돈
  • 긴급 시에 필요한 자금 파악
  • 현금, 예금의 준비
• 정보
  • 중요한 데이터의 적절한 보관
  • 정보 수집, 발신 수단의 확보

사업에 미치는 영향을 명확하게 생각하는 "BIA"

• BCP를 고려할 때, 예상하는 재해의 규모에 따라 대책은 크게 달라질 수 있다.
• 그래서 업무가 중단되었을 때의 영향과 위험을 정량적, 정성적으로 평가하여 BCP를 수립한다.
• 이를 BIA(Business Impact Analysis : 사업 영향 분석)라고 한다.
• 사업을 계속 수행함에 있어 어떤 업무에 위험이 있는지, 업무가 중지되면 어느 정도의 피해가 있는지, 시스템이 정지하게 되면 어느 정도 기간이 지난 후에 복구되어야 하는지 등을 분석한다.
• 또한 비즈니스를 둘러싼 환경은 점점 변해가기 때문에, BCP를 운용하고 개선하는 것과 동시에 BIA도 계속 갱신을 통하여 새로운 위험과 대책을 검토해야 한다.

Point

• 재해나 사이버 테러에 신속하게 대응하기 위해서는 사전 준비가 필요하며, 무엇을 위해 BCP를 수립할 것인가를 생각하고 계획을 세워야 한다.
• BCP나 BCM, BIA는 한번 실시하고 끝나는 것이 아니라, 환경의 변화와 사업 상황에 맞게 검토하고 개선해 나가야 한다.