로이스, 세 가지 업데이트 내용 담긴 PCI DSS 4.0 초안 발표

국내 PCI DSS 인증기관 '로이스(ROIS)'가 미국 PCI 보안표준협회에서 발표한 PCI DSS 4.0 초안을 한글로 번역하여 최근 배포해 주목받고 있다.

로이스에 따르면 PCI DSS 4.0은 세 가지의 중요한 업데이트 내용을 담고 있다. 결제 데이터 관련 변화하는 위험성 및 기타 리스크를 해결하는 방안, 프로세스의 지속적인 보안 강화, 서로 다른 기업 환경 내 PCI DSS 준수를 위한 유연성 제공(Customized Approach)이 바로 그 것이다.

먼저 차세대 네트워크 및 엔드포인트 탐지 툴의 발전을 반영해 카드데이터 환경을 모니터링 할 수 있도록 조치하여 눈길을 끌고 있다. 지속적인 웹 기반 공격을 탐지하고 이를 방지할 수 있도록 웹 어플리케이션용 자동화 솔루션을 운영하는 것이다.

또 NIST MFA/Password 가이드를 채택하여 통제 항목에 반영했다. 일례로 CDE에 대한 모든 접근 관련 Multi-Factor 인증 요구, 6개월마다 사용자 계정 및 접근 권한 검토 등을 꼽을 수 있다.

Customized Approach는 PCI DSS 요구사항 별 정의된 통제 및 테스트 절차를 대신하는 요소다. 각 기업의 비즈니스 환경에 맞는 보안 통제를 구현함으로써 PCI Compliance 준수에 유연성을 제공하는 것이다. 다만 Customized Approach를 적용하기 위해 맞춤형 통제의 세부사항을 정의하고 문서화해야 한다.

또한 PCI DSS 4.0에서 요구하는 정보보호 교육은 피싱 및 사회공학을 비롯하여 카드데이터 환경 보안에 영향을 미칠 수 있는 위협, 취약성 관련 폭넓은 정보를 포함한 것이 특징이다.

로이스 관계자는 "로이스는 미국을 중심으로 한 글로벌 PCI DSS 인증시장에 본격 진출함과 동시에 기존 국내 시장 역시 카드사, PG/VAN사 및 여행사 뿐 아니라 호텔, 쇼핑몰, 이커머스 등 다양한 인증 대상 산업군으로 시장을 확충할 계획"이라며 "QSA 인증심사원을 더욱 확충하는 한편 국내외 정보보호 관련 다양한 컴플라이언스 자문·컨설팅 경험을 기반으로 통합 서비스를 제공할 예정"이라고 전했다.


[ⓒ 매일경제TV & mktv.co.kr, 무단전재 및 재배포 금지 ]