보안 표준안 위반 사례

이번 칼럼에서는 지불결제 카드 산업 데이터 보안 표준안(이하 PCI DSS) 위반사례를 실례를 통해 살펴보겠다. 얼마 전 머천트 프로세싱 회사에 적발된 한 레스토랑의 사례는 PCI DSS 요구사항을 위반한 전형적인 경우라고 할 수 있다. 해당 레스토랑은 신용카드 주인의 정보를 저장한 적이 없으며, PCI DSS 모든 사항들을 잘 따랐다고 밝혔으나, 레스토랑의 컴퓨터 시스템에서 PCI DSS 요구사항들을 위반하는 아래와 같은 문제점들이 발견되었다.

첫째, 마그네틱 선으로부터 나온 관련 데이터의 모든 내용과 카드 뒷면 서명란에 표기된 3자릿 수인 카드 유효 코드(CVV2, CVC2), 그리고 비밀번호 등 저장이 금지된 정보들을 저장하고 있었고, 둘째, 저장이 가능한 정보들 즉, PAN(Primary Account Number), 사용자 성명, 유효기간 등은 그 정보가 암호화 되어 있지 않았으며, 마지막으로, 카드 소유자의 정보 보호를 위해 침입 차단 시스템을 설치하고 유지해야 함에도 불구하고 해킹의 여부와 경로조차 알 길이 없을 정도로 보안 시스템이 허술했다.

이 레스토랑은 정기 모니터링에 의해 적발된 경우로, 실질적인 해킹의 피해가 발생하지는 않았으나, 머천트는 프로그램에 저장되어 있던 모든 카드의 재발급 비용, 차지백, retrieval 비용 등을 모두 지불해야 했으며, 또한 50만달러의 벌금이 부과되어 큰 손해를 입게 되었다.

따라서 반드시 보안성이 확증된 프로그램을 사용하여, 저장해서는 안 되는 정보들이 저장되는 것을 방지하고, PCI DSS의 항목들을 기준으로 사전 예방에 중점을 둔 비즈니스 운영만이 여러 손실의 가능성으로부터 사업을 보호할 수 있다.

패트릭 홍
<뱅크카드 서비스>