PCI 보안표준 협의회(PCI Security Standards Council, 이하 PCI SSC)가 구매 전후 및 구매 시점의 결제카드 데이터를 보호하기 위해 전세계 업계가 사용 중인 PCI 데이터보안표준(PCI Data Security Standard, 이하 PCI DSS)의 일부 개정내용을 17일 공개했다.

버전3.2를 대체하는 PCI DSS 버전 3.2.1은 종료된 발효 날짜 및 SSL/초기TLS(Secure Socket Layer (SSL)/early Transport Layer Security (TLS)) 마이그레이션 기한을 설명한다. PCI DSS v3.2.1 버전에 신규추가된 요구사항은 없으며 PCI DSS v3.2는 2018년 12월 31일까지 유효하고 2019년 1월 1일부로 종료된다.

트로이 리치(Troy Leach) PCI SSC 최고기술책임자는 “이번 업데이트는 3.2버전에서 공개된 PCI DSS 요구사항의 발효 날짜 및 SSL/초기 TLS의 마이그레이션 기한과 관련한 일련의 혼돈을 제거하기 위해 마련됐다”며 “각 조직들은 결제 데이터 보호를 위해 SSL/초기 TLS를 중지하고 안전한 대안으로 업그레이드하는 것이 매우 중요하다”고 말했다.

일부 개정된 PCI DSS v3.2.1은 유효기한 및 SSL/TLS 마이그레이션 기한이 종료된 후 기존의 요구사항에 미치는 영향을 반영함으로써 각 조직들이 6월30일 이후 그들의 구현이 이러한 기존의 요구사항을 충족할 방법을 정확히 보고할 수 있게 해준다. 세부적인 변경 내용은 다음과 같다.

· 적용되는 요구사항의 발효일인 2018년 2월 1일은 그 날짜가 경과했으므로 날짜 명시 삭제.

· 2018년 6월 30일 이후 POS POI (point of sale point of interaction판매시점 상호작용 시점) 단말기 및 해당 서비스 공급자 연결 지점만이 SSL/초기 TLS를 보안 통제수단으로 계속 사용할 수 있다는 점을 반영하기 위해 해당 요구사항 및 부록A2(Appendix A2)를 업데이트.

· MFA(멀티팩터 인증)은 이제 모든 비콘솔 관리 액세스에 필요하기 때문에 부록 B의 보상 제어 예시에서 MFA(multi-factor authentication, 멀티팩터 인증) 삭제하고 이 시나리오에 대한 잠재적 대체 제어로서 일회용 패스워드 추가.

PCI DSS v3.2.1의 업데이트는 3.2버전에 포함된 PA-DSS(Payment Application Data Security Standard, 결제 응용프로그램 데이터보안표준)에 영향을 미치지 않는다.

PCI DSS v3.2.1 및 v3.2에서 v3.2.1로 변경된 내용의 요약은 PCI SSC 웹사이트의 문서 라이브러리(Document Library)에서 볼 수 있다. SSL/초기 TLS 마이그레이션 관련 보충정보(Information Supplement), 자가진단 설문(Self-Assessment Questionnaires, SAQ) 및 SAQ 안내 등 PCI DSS v3.2.1를 지원하는 업데이트 내용이 조만간 공개된다.

자세한 정보는 PCI 전망 블로그 Q&A에서 트로이 리치 CTO의 인터뷰 참조: PCI DSS Now and Looking Ahead.

PCI 보안표준 협의회(PCI Security Standards Council) 개요

PCI 보안표준 협의회(약칭 ‘PCI SSC’)는 기업들이 사이버공격이나 법 위반을 감지, 완화 및 방지할 수 있도록 산업 중심의 유연하고 효율적인 데이터 보안 표준과 프로그램을 제공함으로써 결제 보안을 강화하려는 전세계 산업 간 노력을 주도한다. PCI SSC에 대한 자세한 정보는 링크드인, 트위터 및 블로그 참조.