실제 보안과 동떨어져…잘 지켜지지 않고 ‘준수 수준’도 부풀려
비자와 마스터카드, 아메리칸 익스프레스, JCB 등 주요 카드회사가 제정한 PCI 표준은 가맹점들의 암호화와 취약점 분석, 방화벽 및 안티바이러스 소프트웨어 사용 등 12개의 계정 보호 메커니즘을 구현하도록 요구하고 있다. 하지만 PCI 컴플라이언스가 실제 보안과는 동떨어져 있다는 우려가 제기되고 있다.
◆표준 따르는 것처럼 '위장'하고 정기 '감사'도 안받아=가맹점들은 카드정보의 안전을 향상시키지 않고도 표준을 따르는 것처럼 '위장'할 수 있다. 데이터를 훔치려는 자들이 매장의 네트워크와 장비를 목표로 하고 있음에도 정기적인 감사를 받는 유통점은 그리 많지 않다. PCI 보안 표준 협의회(Security Standards Council)측은 일부 감사 기관들의 소극적인 태도도 한 원인이라고 밝혔다.
하지만 이것이 카드회사나 상당수 가맹정이 보안에 무신경하다는 것을 의미하지는 않는다. 카드회사와 가맹점들은 보안 아키텍처에 대한 PCI의 규제 및 표준에 대한 필요성에 한목소리로 동조하고 있다. 하지만 보안은 비용도 많이 들고 복잡하며 가맹점들의 이윤율은 매우 낮다. 따라서 PCI의 컴플라이언스를 위해서는 적절한 인센티브가 제공되어야 한다는 목소리가 힘을 얻고 있는 이유이다.
또한 비자를 비롯한 카드회사들은 표준안의 광범위한 도입을 과대 선전하면서 성공하고 있음을 외부에 알리는데 지나치게 치중한 나머지 PCI가 실제로 신용카드 정보를 더 안전하게 해주는지의 여부를 파악하기 곤란하게 만든다.
PCI 가맹점의 컴플라이언스 레벨
PCI에 영향을 받는 가맹점은 사이즈에 따라 분류된다. 거래건수에 따라 가맹점은 레벨 1에서 레벨 4로 나뉘며 레벨에 따라 PCI의 규제도 달라진다. 모든 가맹점의 경우 분기별로 네트워크 스캔을 실행해야 하지만 레벨 1 가맹점만이 현장 평가를 받게 된다.
레벨 연간 비자/마스터카드 거래건수 이 레벨에 해당되는 수치 PCI 컴플라이언스 준수 비율 컴플라이언스 진행 대상 비율 프로세스 시작 단계의 비율
레벨 1 6백만 건 이상 326 77% 23% 0%
레벨 2 1백만~6백만 709 62% 30% 8%
레벨 3 20,000~1백만 2,596 54% 20% 25%
레벨 4 20,000 미만 NA NA NA NA
출처: Visa, CyberTrust
표준을 따르는 가맹점에 정보 침해 사건이 발생할 경우 카드회사는 가맹점이 감사를 통과했음에도 불구하고 가맹점이 PCI 표준을 제대로 따르지 않았다는 입장을 발표하면서 책임을 전가하기도 한다.
◆'준수 수준'에 대한 상충되는 수치=PCI는 가맹점을 연간 신용카드 거래건수를 토대로 4가지 레벨로 나눈다. 가맹점의 레벨에 따라 PCI 규제에 따라야 하는 단계가 결정된다.
미국 최대의 유통 업체에 해당되는 레벨 1 가맹점은 트랜잭션이 연간 6백만 건 이상이다. 레벨 1 가맹점들은 PCI 표준을 입안한 카드회사들이 설립한 PCI 보안 표준협의회에서 교육을 받은 감정평가사인 QSA(Qualified Security Assessor)에 의해 매년 감사를 받는다. QSA는 가맹점들과 함께 PCI 표준에서 규정한 모든 요건을 충족하는지를 확인한다. QSA는 가맹점의 표준 준수 사항에 대한 보고서를 신용카드 프로세스를 처리하는 기관인 매입 은행(acquiring bank)에 제출하며 은행은 카드회사에 가맹점의 컴플라이언스에 대한 보고서를 제출한다.
레벨 2, 3, 4에 해당되는 가맹점은 QSA 감사를 받는 대신에 질문서 항목에 스스로 평가한 답변을 통해 PCI의 컴플라이언스를 측정하며 인증된 스캐닝 벤더를 통해 분기별로 취약점 평가 스캐닝을 실행한다.
지난 1월, 비자는 미국 최대 유통점들의 77%와 중간 규모의 유통점 62%가 PCI를 준수한 것으로 발표했다. 비자는 이러한 수치를 통해 신용카드 데이터의 보안이 강화되었으며 PCI 프로그램이 진보하고 있다고 홍보하는데 활용하고 있다.
하지만 비자의 이러한 주장과 배치되는 수치가 있다. 한 독립 유통 분석 기관은 자체 조사 결과, 대형 유통 업체의 컴플라이언스 비율은 46%에 불과하며 중간 규모의 기업들은 50% 정도인 것으로 파악된다고 밝혔다.
174개 유통 업체(연매출 10억 달러 이상의 업체 비중 45%)를 대상으로 조사를 시행한 Retail Systems Research의 스티브 로웬은 신용카드 거래건수가 아닌 연매출액을 기준으로 유통 업체를 분류했기 때문에 비자가 발표한 수치와 단순 비교하는 것에는 무리가 있다고 밝혔지만 비자 측이 제시한 수치가 과장되었음은 확실하다고 주장했다.
그는 비자가 컴플라이언스 수치를 높일 수밖에 없는 이유를 몇 가지 제시했다. 첫째, 컴플라이언스 비율이 높아야 PCI가 성공을 거두고 있는 것처럼 보이기 때문이다.
둘째, 카드회사가 가맹점의 카드 정보를 더 엄격하게 보호하지 못하게 되었다고 판단될 경우 정부가 개입할 여지가 있기 때문이다. 그렇게 되면 정부의 규제가 더 엄격해지고 더 많은 비용 지출이 불가피해질 뿐만 아니라 유통 업체들이 고객에 대해 수집할 수 있는 정보 유형과 양에 더 큰 제약이 따르기 때문이다.
바로 여기에 가맹점들의 관심이 쏠리고 있다. 로웬은 "이러한 고객 정보는 모든 마케팅 및 프로모션 캠페인의 '혈액'에 해당된다"면서, "유통 업체들이 고객 정보를 빼앗길 경우 '석기 시대'로 되돌아가게 될 것"이라고 밝혔다.
◆가맹점들의 '저항'도 만만치 않다=가맹점들이 PCI를 따르는데 어려움을 겪는 요인에는 몇 가지 이유가 있다.
한 가지 문제점은 신용카드 정보가 유통 시스템 어디에서 어떻게 이동하는지에 대한 이해의 부족이다. 또한 상당수 유통 업체들은 충분한 보안 기제가 확보되지 않은 레거시 아키텍처를 운영하고 있다. 매장의 POS 장비와 애플리케이션은 고객의 신용카드 번호와 마그네틱 선의 데이터를 '무방비로' 저장하는데, 이러한 시스템의 경우 카드 도용의 목표가 된다. PCI는 카드 정보를 모두 암호화하도록 의무화하고 있으며 POS 장비와 애플리케이션에 카드 정보를 보관해서는 안되고 인프라를 업그레이드하도록 요구하고 있다.
PCI가 사베인-옥슬리 법안보다 강력한 규제임에는 틀림 없지만 가맹점들은 두 법안 모두 너무 구체적이지만 또한 너무 모호하기도 하다고 불평한다. 예를 들면 PCI는 SPI(stateful packet inspection) 방화벽을 사용하라고 규정되어 있다. 레벨 1 가맹점에 해당하는 업체의 한 최고보안책임자는 "그와 동등하다고 생각하는 다른 기술을 사용한다면 어떻게 되는가?"라면서 "그럴 경우 감정평가사와 싸우거나 마지못해 수용할 수밖에 없게 될 것"이라고 말했다.
PCI의 특징 사례
PCI에는 여러 기관이 연관되어 있다. 카드회사와 PCI 보안 표준협의회가 상단에 자리하고 있으며 규칙을 입안한다. 매입은행은 카드 트랜잭션을 처리하고 QSA를 통해 규칙을 집행하며 벤더 스캐닝을 담당한다. 가맹점들이 규칙을 따르며 제일 하단에 카드를 발급하는 은행이 있다.
또한 '보완 통제(compensating controls)' 등과 같은 문제로 QSA와 충돌할 가능성도 있다. 보완 통제는 본래의 통제에서 미비점이 발견되었다 하더라도 그 미비점에서 발생 가능한 의미 있는 수준의 재무제표 왜곡 표시의 위험을 경감시켜줄 수 있는 통제를 뜻하는 것으로, 가맹점 스스로가 충분하다고 판단할 지라도 표준에 따라 그렇지 않다고 판단될 수 있는 가변적인 요소가 많다. 이 경우 감정평가사와 의견 대립이 발생할 수 있다.
또한 PCI에 상당한 주관성이 있는데 QSA는 이러한 주관성을 해결할 만한 가이드라인이 충분하지 못하다. 실제 상황에서 부딪히는 모든 요인을 반영하지 못하다 보니 QSA의 판단에 의존하게 만든다. 이러한 가이드라인의 부족은 똑 같은 QSA의 감정평가인 사이에서도 컴플라이언스에 대한 접근 방식이 다르게 나오는 결과를 초래한다.
이러한 모순은 레벨 1에 해당되는 가맹점들에게 특히 심각한 영향을 끼칠 수 있다. 가맹점이 카드 정보를 노출할 경우 비자가 보안 컨설팅 담당자를 파견해 카드정보 노출 당시 PCI를 준수했는지 여부를 조사하게 될 것이다. 이 경우 가맹점과의 의견 충돌이 불가피하며 표준 해석에 대한 논쟁이 다시 한번 야기될 수밖에 없으며 때에 따라서는 법적인 소송으로까지 이어질 가능성도 배제할 수 없다.
◆감사 표본이 전체 시스템을 반영하지 못하는 경우도 있어=상당수 유통 업체들이 보안을 향상시키기 위해 PCI 표준을 사용하고 있지만 PCI 스펙에는 유통 업체들이 보안 기제를 대폭 바꾸지 않고도 컴플라이언스를 입증할 수 있는 허점이 있다.
QSA가 감사해야 할 유통점의 수가 중요한 이슈이다. 레벨 1 가맹점의 가이드라인은 유통점을 감사해야 한다고 규정하고 있다. 이는 TJX의 신용카드 정보 도난에 비춰볼 때 매우 중요한 표준 요소로, 절도범들이 처음에 T.J. Maxx 유통점 한 곳의 취약한 무선 네트워크를 통해 회사 시스템에 침입했다는 점을 감안한 것이다.
하지만 PCI 표준은 물리적인 매장 감사의 특정 비율에 대해서는 의무 조항을 두지 않고 있다. 유통 업체들이 매장의 IT와 네트워크 구성을 인증해야 한다는 내용만이 있을 뿐이다. 이는 유통 업체들은 동일한 기술적인 방식으로 구성되는 수많은 그룹의 매장을 보유하고 있음에도 손으로 꼽을 수 있을 만큼의 매장만이 감사를 받게 된다는 것으로 해석될 수 있어 표본이 전체 집단을 반영하기에 미흡하다.
또한 일부 유통 업체들은 감정평가사들이 너무 엄격하다고 불평하고 있지만 현재 시스템은 유통 업체들이 다른 평가사들보다 덜 엄격히 표준을 적용하는 QSA를 찾아내도록 허용하고 있다. QSA의 질적인 수준이 평가사마다 다르기 때문에 컴플라이언스에 배치될 경우 부과되는 벌금 액수도 평가사마다 다르게 책정된다.
이를 해결하기 위해 PCI 보안표준협의회는 모든 QSA들이 동일한 평가 기준을 적용하도록 품질 보증 프로그램을 도입할 예정이다.
또 다른 문제는 책임 부분이다. 표준을 따르는 가맹점에 정보 노출 사건이 발생할 경우 해당 QSA에게도 책임이 있는지에 대한 논란이 끊이질 않고 있으며 대책 마련이 시급한 것으로 지적되고 있다.
아울러 무감독 제도가 적용되는 레벨 2, 3, 4 가맹점의 문제이다. 스스로 평가하는 질문지에 대한 검증 문제가 제기되고 있다.
◆신용카드 보안 위한 최선의 선택…상승효과 나타나기 시작=PCI 시스템에 상당한 결함이 있음에도 불구하고 보안을 강화하려는 CIO들에게는 새로운 투자를 활성화할 수 있는 방편이자 보안 프로세스를 바꾸거나 비즈니스 프랙티스를 조정하기 위한 수단으로 작용하고 있다.
또한 상당수 레벨 2 및 하위 가맹점들이 스스로 평가하는 부분에서 매우 신중하게 진행하고 있으며 일부는 PCI 표준에서 요구하지 않는데도 IT 시스템과 프로세스 변화에 필요한 QSA를 고용하기도 하며, 자발적으로 소프트웨어 패치를 업데이트하는 등 보다 적극적인 태도를 보이고 있다. PCI의 상승 효과가 나타나기 시작한 것으로 해석할 수 있다.
여러 결함에도 PCI가 현재로서는 신용카드 정보를 보호하기 위한 최선의 선택 방안이라는 데에는 이견이 없다.
시스템 향상을 위해 준수해야 할 몇 가지 사항을 제시하면 다음과 같다.
• 기업들의 중요한 데이터 침해 사건에 대한 법률을 살펴보고 신용카드 정보 보호에 대한 규제 및 지침을 알아두어야 한다.
• 레벨 1에 해당되는 가맹점이라면 개별 매장마다 표준화된 양식을 만들어 지침을 하달해 감사 가이드라인에서 벗어나지 않도록 한다.
• 마지막으로, 신용카드의 사기나 도용에서 발생되는 비용을 카드회사가 분담해야 한다. 현재까지는 카드회사들이 재정적인 부담을 들어 비용을 분담하지 않고 있다. 카드회사들이 이러한 비용을 분담하게 되면 신용카드 보안 기제에 확실한 경제적인 인센티브를 제공하게 될 수 있다.
InformationWeek USA
webmaster@itdaily.kr