네트웍을 통해 각종 정보를 불법적으로 획득하는 해커들이 점점 늘어남에 따라 모든 카드 가맹점들은 카드 소유자들의 비밀번호(PIN: Personal Identification Number)를 보호해야만 한다. 오늘은 고객의 비밀번호 보안에 대해 알아보도록 하겠다.

데빗카드를 사용하여 물건을 구입하거나 은행에서 현금을 인출할 시 비밀번호 입력장치인 PED(PIN Entry Devises), 또는 현금인출기(ATM)에 비밀번호(PIN)를 입력하게 된다. 카드 소유자의 카드 비밀번호를 사용해 거래를 하는 카드 가맹점들은 반드시 PCI DSS의 비밀번호 보안 요구 조건을 따라야 한다. PCI DSS 비밀번호 요구조건은 PED 보안 요구조건, PIN과 PED의 암호화 요구조건, 비자 보안 요구조건을 포함한다. PED장치는 유효기간이 지나게 되면 구입할 수 없고 인증받지 않은 것은 사용할 수 없게 되며 이에 관한 보안은 PCI SSC(PCI Security Standard Council)에서 전세계적으로 관리하고 있다. 또한 비자에서는 PCI PED 보안 요구사항을 모두 적용하여 인증받은 PED장치 목록을 저장하고 이전의 PED장치에 대한 정보를 계속적으로 업로드하고 있으며 모든 가맹점들이 비밀번호를 보호하기 위해 비자에서 인증한 PED장치만을 사용할 것을 요구하고 있다. 특히, POS와 ATM 거래는 데이터를 암호화 하는TDES(Triple Data Encryption Standard) 기준을 적용해야 하는데 이는 국제적으로 적용되는 기준이며 2010년 7월1일까지 모든 비밀번호를 입력하는 PED장치는 반드시TDES(Triple Data Encryption Standard)를 적용해야만 한다.

카드 가맹점 업주는 현재 사용하는 비밀번호 입력장치(PED)가 비밀번호와 PED 보안 기준에 적합한 장비인지 반드시 확인해야 되며, 이를 지키지 않을 경우 최대 50만달러 이하의 벌금을 지불하게 된다. 각 해당 프로세서나 뱅크카드 서비스에 문의하면 현재의 PED 장비가 인증받은 제품인지 확인이 가능하다.

패트릭 홍
<뱅크카드 서비스>

(213)365-1122