지난해 2월 개정된 PCI DSS 3.2.1 버전을 올해부터는 해당기관에서 본격적으로 적용해야 함에 따라 PCI DSS 국내 인증 기관인 로이스는 변경 요건과 대응방안을 취합한 가이드를 배포하고 있다. 대부분의 변경은 서비스 프로바이더 입장에서 추가된 항목이지만 Multi-Factor 등의 일부기능은 그 외 기업에서도 동일하게 적용을 해야 한다.
한국은 인더스리트별로 다양한 정보보호 컴플라이언스를 요구하고 있는데 대부분의 컴플라이언스가 요구하는 통제기준이 비슷함에도 업무를 중복적으로 처리하는 경우가 있다. 이러한 상호 중복 문제를 해결하고자 로이스는 국내외 정보보호 컴플라이언스를 하나의 워크시트로 통합하여 관리요소를 최소화했으며, 법률 및 트렌드의 변화 시에도 이를 즉시 반영하고 있다.
통합 워크시트의 가장 큰 장점은 국내 ISMS(또는 ISMS-P) 인증, 전자금융감독규정 등에서 요구하는 기준과 PCI DSS 3.2.1에서 요구하는 기준의 상호 연관성과 유사성을 분석하여 통합된 기준으로 재정렬 후 정보보호 현황을 작성하고 필요한 증적을 관리할 수 있도록 하는 것이다.
또한 국내 금융기관이 PCI DSS를 실질적으로 적용하기 위해 고려해야 할 사항이 많은데, 일례로 작년 6월부터 사용이 전면 금지된 Early TLS 버전 사용 중지 건만 하더라도 기업의 매출과 직접적으로 연결이 되어 있기 때문에 일부 기업들은 사용중지 대신 보완 대책(Compensating Control) 등을 수립, 이행하고 있다.
문제는 이 보완 대책이 기존의 통제를 직접적으로 이행하는 것보다 훨씬 부담이 될 수 있다는 것인데 이유는 PCI DSS 에서는 보완 대책에 대해 제약조건, 목표, 위험 등 총 6가지의 상세하고 실행 가능한 정보를 요구하고 있으나 이는 배보다 배꼽이 더 큰 상황으로 확대될 수 있다는 것이다.
로이스는 PCI DSS 국내 인증기업으로 이러한 보완 대책에 대해 기업 담당자들이 쉽게 이해하고 접근할 수 있도록 상세한 가이드를 제공하고 있으며 글로벌하게 표준화되어 있는 QSA, SAQ 등의 가이드, 매뉴얼, 각종 양식 등을 한국어 버전으로 온라인을 통해 무상 제공하고 있다. 또한 PCI DSS 전문가가 상세한 현황분석과 함께 품질, 테크니컬 리뷰 등을 한국에서 신속하게 수행할 수 있어 리소스를 절감할 수 있는 장점을 보유하고 있다.
전자신문인터넷 조항준 기자 (jhj@etnews.com)
