PCI DSS 규정 준수란? | PCI DSS 정의

PCI 준수 회사는 카드 소지자 데이터를 보호하기 위해 PCI DSS로 알려진 일련의 신용 카드 데이터 보안 표준을 따릅니다. 카드 결제를 처리하거나 처리하는 모든 조직에 PCI 규정 준수가 중요한 이유를 살펴보세요.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 지불 카드 업계 데이터 보안 표준(PCI DSS) 정의합
  • PCI DSS의 기원과 발전 과정 설명
  • PCI DSS 규정 준수의 중요성 이해

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

PCI DSS 규정 준수란?

지불 카드 업계(PCI) 규정 준수는 카드 소지자 데이터에 대한 일련의 보안 정책을 준수하는 것을 의미합니다. 신용 카드, 직불 카드 및/또는 선불 카드로 거래를 처리하는 모든 조직은 PCI 규정 준수 요건을 따라야 합니다.

신용 카드 데이터는 보안을 위해 비밀로 유지되어야 하며, PCI 규정을 준수하면 해당 데이터를 비밀로 유지할 수 있는 신뢰할 수 있는 회사임을 입증할 수 있습니다. 집주인이 소지품을 신뢰할 수 없는 사람에게 집 열쇠를 빌려주지 않는 것처럼, 신용 카드 브랜드는 판매자가 결제 카드 데이터를 안전하게 보관하지 않는다면 해당 판매자를 신뢰하지 않습니다.

비즈니스가 인터넷, 전화, 앱, 종이 또는 직접 대면 등으로 신용 카드 소지자의 데이터를 저장, 처리 또는 전송하는 경우 해당 결제에 대한 정보를 보호하기 위한 일련의 규칙을 따라야 합니다.

PCI 규정 준수는 미국 연방법에 의해 의무화되어 있지는 않지만 신용 카드 회사는 카드 소지자 데이터를 적절히 보호하지 못하는 기업에 규정 미준수 수수료를 청구할 수 있습니다. 더 중요한 문제는 카드 소지자 데이터를 보호하지 못하면 범죄자들이 해당 데이터를 더 쉽게 탈취할 수 있다는 것입니다. Nilson Report의 예측에 따르면 향후 10년간 전 세계 지불 카드 업계는 사기로 인해 전 세계적으로 누적 3,970억 달러의 손실을 입을 것으로 예상되는 등 이러한 도난은 심각한 위험입니다.

PCI DSS란?

PCI DSS는 "지불 카드 업계 데이터 보안 표준"(Payment Card Industry Data Security Standard)의 약자입니다. PCI DSS 프레임워크는 카드 소지자의 거래 데이터 및 카드 인증 정보를 보호하기 위한 강력한 프로세스로 기업을 안내합니다. 보안 사고를 예방, 감지 및 대응하는 데 도움이 되는 요구 사항을 통해 카드 소지자 데이터와 인증 데이터를 모두 보호하기 위한 것입니다.

PCI 규정 준수는 신용 카드, 직불 카드 또는 선불 카드를 수락하는 모든 판매자에게 전 세계적으로 적용됩니다. 즉, 모퉁이 커피숍부터 다국적 디자이너 의류 브랜드에 이르기까지 모든 규모의 비즈니스는 거래 처리를 위해 타사를 이용하는 경우에도 PCI 규정 준수의 대상이 됩니다.

PCI DSS에서 다루는 카드 소지자 거래 데이터는 다음과 같습니다.

  • 기본 계좌 번호: 카드의 계좌 번호(일반적으로 16자리)
  • 성명: 카드 소지자의 이름
  • 만료일: 카드가 만료되는 월 및 연도
  • 서비스 코드: 대면 거래 시 카드의 자기 띠나 칩에서 자동으로 검색되는 값

PCI DSS에서 다루는 중요한 인증 데이터는 다음과 같습니다.

  • 전체 추적 데이터: 카드의 자기 띠 데이터 또는 신용 카드 칩의 이에 상응하는 데이터
  • 카드 인증 코드: 온라인 구매 시 거의 항상 요청되는 카드의 3자리 또는 4자리 보안 코드
  • 만료일: 카드가 만료되는 월 및 연도
  • 개인 식별 번호(PIN): ATM 출금 및 기타 거래를 허용하는 고유 번호(일반적으로 4자리)

PCI DSS 프레임워크

PCI DSS 프레임워크는 12개의 기본 요건(300개 이상의 하위 요건 포함)으로 구성되어 있습니다.

  1. 네트워크 보안 제어를 설치하고 유지 관리합니다.
  2. 네트워크에 연결된 장치에서 벤더가 제공한 기본 비밀번호를 사용하지 않습니다.
  3. 암호화 또는 기타 데이터 보호 방법을 통해 저장된 계정 데이터를 보호합니다.
  4. 개방형 공용 네트워크에서 카드 소지자 데이터를 강력하게 암호화합니다.
  5. 모든 시스템과 네트워크를 맬웨어로부터 보호합니다.
  6. 시스템과 소프트웨어를 안전하게 유지합니다.
  7. "알아야 할 필요"에 따라 시스템과 카드 소지자의 데이터 액세스를 제한합니다.
  8. 사용자를 식별하고 시스템 구성 요소 액세스를 인증합니다.
  9. 카드 소지자 데이터에 대한 물리적 액세스를 제어하고 제한합니다.
  10. 카드 소지자 데이터에 대한 액세스를 기록하고 모니터링합니다.
  11. 보안 및 네트워크 시스템을 정기적으로 테스트합니다.
  12. 조직의 정보 보안 정책을 유지합니다.
참고: 이는 실제 표준이 아닌 표준의 요약 버전일 뿐입니다. 자세한 내용은 공식 PCI 보안 표준 위원회 웹 사이트를 참조하세요.

PCI 표준은 어디에서 시작되었나요?

PCI DSS 및 관련 보안 표준은 American Express, Discover Financial Services, JCB International, MasterCard Worldwide, Visa Inc.이 설립한 업계 조직인 PCI 보안 표준 위원회(PCI SSC)에서 관리합니다. 참여 조직에는 판매자, 결제 카드 발급 은행, 프로세서, 개발자 및 기타 벤더도 포함됩니다.

첫 번째 버전인 PCI DSS 1.0은 2004년에 도입되었습니다. 2006년에 PCI SSC는 버전 1.1을 출시했는데, 판매자에게 모든 온라인 앱을 검토하고 보안을 강화하기 위해 방화벽을 구축하도록 요청했습니다.

PCI DSS는 데이터 유출 및 카드 처리 생태계 전반에 걸쳐 나타나는 취약점에 대응하여 수년 동안 지속적으로 발전해 왔습니다. 버전 3.2.1이 아카이브된 2024년 3월 31일을 기준으로 현재 버전 4.0이 유일한 활성 버전이 되었습니다.

"새롭게 부상하는 위협과 기술을 해결하고 새로운 위협에 대응할 수 있는 혁신적인 방법을 지원하기 위해" 2022년에 PCI DSS v4.0이 발표되었습니다. 조직은 2025년 3월 31일까지 모든 PCI DSS v4.0 요구 사항을 준수해야 합니다.

핵심 PCI DSS 요구 사항은 근본적으로 변경되지 않았지만, 새로운 v4.0은 보안 제어를 구현하는 방법에 더욱 중점을 두고 있습니다. 변경 사항의 예는 다음과 같습니다.

  • 방화벽 용어를 네트워크 보안 제어로 업데이트하여 광범위한 기술 지원
  • 카드 소지자 데이터 환경에 대한 모든 액세스에 대해 다단계 인증(MFA) 구현 요건 확장
  • 조직이 보안 목표를 달성하기 위해 다양한 방법을 사용하는 방법을 보여줄 수 있는 유연성 향상

여기에서 v3.2.1부터 v4.0까지의 주요 변경 사항 요약을 볼 수 있습니다.

PCI 규정 준수는 어떻게 시행되나요?

PCI 규정 준수는 결제 처리를 담당하는 신용 카드 브랜드에서 시행합니다. 판매자(예: 상품 및 서비스에 대한 결제 수단으로 결제 카드를 허용하는 사람)가 연간 일정 횟수의 결제 카드 거래를 하는 경우 전체 PCI DSS 규정 준수 보고서를 작성해야 합니다. 이를 위반할 경우 벌금이 부과될 수 있습니다.

PCI DSS 벌금은 위반의 심각성, 문제를 수정하거나 해결하는 데 걸린 시간, 위반 여부 등 여러 가지 요인에 따라 결정됩니다. 회사가 PCI 비준수 상태를 유지하면 시스템 내에서 신용 카드를 결제에 사용할 수 없게 될 수도 있습니다.

PCI DSS는 12개월 동안 처리한 카드 거래 수에 따라 회사(표준에서는 "판매자")를 4단계로 분류합니다.

네 가지 수준* 은 다음과 같습니다.

  • 수준 1: 모든 채널에서 연간 거래량 600만 건 이상
  • 수준 2: 모든 채널에서 연간 거래량 100만 ~ 600만 건
  • 수준 3: 연간 전자 상거래 거래량 20,000 ~ 100만 건
  • 수준 4: 연간 전자 상거래 거래량 20,000건 미만

판매자가 PCI 규정 준수 인증을 받을 수 있는 방법은 수준에 따라 달라집니다. 일반적으로 처리하는 거래가 많을수록 규정 준수 감사 요건이 더 엄격해집니다.

예를 들어 수준 2~4 판매자는 연간 자체 평가 설문지(SAQ)를 작성하여 제출합니다. 판매자가 결제 카드 정보를 처리하는 방식에 따라 다양한 SAQ 유형이 있습니다. 조직은 SAQ 지침 및 가이드라인을 참조하여 조직에 적용되는 SAQ(있다면)를 결정하는 데 도움을 받아야 합니다. 버전 4.0의 SAQ 요구 사항 차이점에 대한 요약은 여기 에서 확인할 수 있습니다.

연간 600만 건 이상의 거래를 처리하는 수준 1 판매자(예: Cloudflare)는 매년 감사를 받습니다. 수준 1 판매자는 PCI SSC 공인 보안 평가자(QSA)나 PCI SSC 내부 보안 평가자(ISA)로부터 규정 준수 보고서를 받아야 합니다. 수준 1 판매자를 위한 이 프로세스는 카드 회사에 따라 1년에 한 번 또는 분기에 한 번 진행됩니다. 수준 1 판매자는 현장에서 데이터 보안 평가를 받을 수도 있습니다.

마지막으로 모든 판매자는 기본적으로 판매자가 PCI 규정을 준수한다는 것을 신용 카드 회사에 증명하는 규정 준수 증명(AOC) 양식을 작성하여 제출해야 합니다.

*이러한 정의는 대부분 정확하지만 각 신용 카드 브랜드마다 규정 준수를 정의하고 평가하는 방식이 조금씩 다릅니다. 각 신용 카드 회사의 구체적인 프로그램 기준을 확인하는 것이 중요합니다.

고객이 PCI 요구 사항을 충족하는 데 Cloudflare가 도움을 줄 수 있나요?

Cloudflare는 PCI DSS 수준 1 준수를 유지하고 있으며 2014년부터 PCI를 준수하고 있습니다. 또한 많은 고객이 신용 카드 회사에 기본적으로 PCI를 준수하고 있음을 알리는 AOC 사본을 제공하도록 요구합니다. 이 인증이 없으면 특정 고객과 거래할 수 없으며, 매입 은행에서 결제 카드를 서비스 결제 수단으로 사용할 수 없습니다.

Cloudflare에서는 또한 고객이 자체 웹 사이트와 애플리케이션을 통해 보안을 유지할 수 있도록 지원합니다. 다음은 기업이 특정 PCI DSS 요구 사항을 충족하는 데 Cloudflare가 어떻게 도움이 되는지 보여 주는 몇 가지 예입니다.

  • Cloudflare 웹 애플리케이션 방화벽을 사용하고, OWASP 규칙 집합을 활성화하고, 환경에 맞게 규칙을 조정하는 고객은 웹 대면 앱을 보호하고 PCI 요구 사항 6.4.1을 만족해야 하는 필요성을 충족할 수 있습니다.
  • Cloudflare를 사용하면 판매자는 PCI 규정 준수에 있어 또 다른 중요한 부분인 TLS 암호화의 최신 버전을 사용할 수 있습니다.
  • 많은 조직이 카드 소지자 데이터 환경의 범위를 줄이기 위해 기업 VPN 및 기타 세분화 도구에 의존합니다. Cloudflare Access는 내부 리소스에 액세스하기 위해 Cloudflare의 전역 네트워크를 VPN 서비스로 사용하여 또 다른 세분화 수단을 제공합니다. 또한 이러한 세션은 15분 동안 활동이 없으면 시간 초과되도록 구성하여 고객이 요구 사항 8.2.8을 충족할 수 있도록 지원할 수 있습니다.
  • 클라이언트 측 보안에 대한 새로운 요구 사항인 PCI DSS v4.0의 6.4.3 및 11.6.1에는 모든 결제 페이지에서 실행되는 JavaScript를 파악하고 승인해야 하며, 이 JavaScript가 변경될 때 알림을 받을 필요가 있다고 명시하고 있습니다. Cloudflare Page Shield는 단순한 결제 페이지뿐만 아니라 전체 웹 사이트를 지속적으로 모니터링하여 스크립트가 변경되거나 악성 스크립트로 간주되는 경우 경고를 보냅니다.

Cloudflare의 웹 사이트 및 앱 보안 서비스클라우드 연결성의 기본 제공 보안, 개인정보 보호, 규제 준수 기능에 대해 자세히 알아보세요.