버라이즌-오라클 "PCI-DSS 도입 활성화해야"

규제로만 여겨지는 보안을 하나의 문화이자 위험관리를 위한 투자로 자리잡도록 하기 위한 노력이 필요하다고 버라이즌과 오라클이 한 목소리를 냈다. 글로벌 신용카드사들이 참여하고 있는 민간자율 국제보안규정인 'PCI-DSS'를 국내에서도 활성화해야 한다는 주장이다.

21일 서울 여의도에서 열린 한국 오라클 보안세미나 참석차 방한한 이안 크리스토피 버라이즌 계정 및 프라이버시 서비스 부문 APAC 본부장, 현은석 한국 오라클 상무는 이 같은 의견을 밝혔다.

카드 3사 개인정보유출사고 이후로 어느 때보다도 금융권 보안강화에 대한 관심이 높아졌다. 정부는 지난해 7월 금융전산보안강화종합대책을 발표한 데 이어 올해 7월 말에는 개인정보보호 정상화 대책을 부처 합동으로 내놨다. 이달 초에는 개정 개인정보보호법이 발효되기도 했다.

여러 안들이 논의되고 있지만 금융업계에서는 또 다시 규제가 늘어났다고 생각할 뿐 업계 자발적인 노력을 통해 지속적인 관리가 이뤄져야 한다는 점을 인식하지 못하고 있다는 것이 보안전문가들의 공통적인 평가다.

이를 해결하기 위해 2006년부터 아메리칸 익스프레스, 비자, 마스터카드, JCB, 디스커버, 최근 유니온페이 등이 참여해 마련한 자발적인 보안준수사항을 통해 지속적인 금융보안관리가 이뤄질 수 있도록 해야 한다는 것이다.

미국 최대 이동통신회사로 알려진 버라이즌은 기업용 IT솔루션을 개발, 공급하는 회사이기도 하다. 특히 매년 자사 고객을 포함해 전 세계 19개 업종을 대표하는 95개국 조직과 협력해 매년 '데이터 보안 침해 조사 보고서(DBIR)'를 발간하고 있다. 이 회사는 현재 PCI-DSS 인증을 신청한 카드사, 은행, 가맹점들이 관련 규정을 이행하고 있는지를 점검하는 보안 감사자(Qualified Security Assessor, QSA) 업무도 맡고 있다. 국내에서 버라이즌 한국 지사가 수년 전부터 해당 업무를 수행하고 있다.

크리스토피 본부장은 적어도 버라이즌을 통해 PCI-DSS 인증을 받은 곳에서는 침해사고가 없었던 것으로 안다며 글로벌 금융업계에서는 해당 인증을 획득하면 그래도 데이터에 대한 보호가 어느 정도 돼있다고 인정받을 수 있다'고 말했다. 또한 설사 인증을 받았던 카드사, 가맹점 등에서 정보가 유출됐다고 하더라도 피해규모가 인증을 받지 않은 기업에 비해 상당히 적다고 덧붙였다.

10여년 넘게 카드 결제 관련 보안 노하우를 구축해 온 PCI-DSS 규정을 준수해 인증을 받기 위해 자사 시스템을 개선하는 과정 자체가 보안성을 높이는 작업이기 때문이다.

PCI-DSS 인증을 받는 과정은 생각보다 까다롭다. 크리스토피 본부장은 처음 PCI 기본평가를 수행하면 한번에 이를 한번에 통과하지 못하는 기업들이 약 90%에 달한다고 말했다. 대신 해를 거듭하면서 필요한 요구사항을 맞춰가는 작업을 수행한 결과 PCI 통제항목 대부분을 만족시키는 기업들이 2012년 25% 수준에서 2013년에는 70% 이상으로 늘어났다고 밝혔다. 한번 인증을 받고 나면 지속적인 관리가 이뤄지지 않고 있는 국내 보안관련 규정과 대조된다.

현 상무는 글로벌 비즈니스를 하려는 국내 카드사, 결제대행(PG)사 등은 앞으로 PCI-DSS 규정을 따르지 않을 경우 업무를 제휴하고 있는 비자, 마스터카드 등이 참여하는 관련 협회 차원에서 벌금을 매기는 등 제재가 들어올 수 있다며 정부 규제가 아니라 민간에서부터 자발적으로 결제 관련 보안성을 높이려는 노력에 정부가 협조하는 형태로 가는 것이 맞다고 본다고 밝혔다.