PCI 데이터 보안 표준: 주요 요구사항 가이드

PCI 데이터 보안 표준(PCI DSS)이란?

PCI 데이터 보안 표준(PCI DSS)은 카드 소지자 데이터를 전체 수명 주기 동안 보호하기 위한 일련의 보안 요구사항입니다. Visa, Mastercard, American Express, Discover, JCB를 포함한 PCI 보안 표준 위원회는 결제 카드 정보를 보호하는 방법을 정확히 정의하는 표준을 제정합니다.

결제 카드 정보를 수락, 전송 또는 저장할 때 PCI DSS를 준수해야 합니다. 이는 모든 규모의 가맹점, 결제 처리업체, 서비스 제공업체, 금융 기관, 제3자 공급업체를 포함합니다. 연간 500건이든 500만 건이든 거래를 처리하든, PCI 준수 여부가 결제 처리 능력을 결정합니다.

PCI DSS 준수가 중요한 이유는?

비준수 시 즉각적인 비즈니스 영향이 발생합니다. 예를 들어, 인수 은행이 가맹점 계정을 해지할 수 있으며, 이 경우 신용카드 결제 처리가 완전히 중단됩니다. 

침해가 발생하면 추가 비용이 발생합니다. 포렌식 조사 비용, 유출된 카드 소지자에 대한 통지 비용, 영향을 받은 고객 및 결제 브랜드로부터의 잠재적 소송 등이 있습니다.

금전적 벌금 외에도, 준수 실패는 고객 신뢰와 브랜드 평판에 손상을 줍니다. 데이터 유출은 공개적으로 알려져 향후 매출 및 고객 확보에 영향을 미칩니다. 사고 이후 규제 감독이 강화되어 추가적인 준수 관리 및 운영 비용이 요구됩니다. 

PCI DSS 준수는 결제 처리 능력을 보호하고, 침해 노출을 제한하며, 고객 데이터 보호에 대한 의지를 입증합니다.

PCI DSS 준수란?

PCI DSS 준수란 카드 소지자 데이터를 보호하는 기술적 및 운영적 요구사항을 구현하는 것을 의미합니다. 2024년 6월 PCI SSC가 발표한 PCI DSS v4.0.1을 따라야 합니다. 아직 버전 3.2.1을 사용 중이라면 비준수 상태입니다. PCI SSC는 2024년 3월 31일 해당 버전을 폐기했습니다.

준수 범위 이해하기

준수 범위는 카드 처리를 직접 수행하는 시스템을 넘어 확장됩니다. 카드 소지자 데이터 환경(CDE)은 카드 소지자 데이터를 저장, 처리 또는 전송하는 모든 시스템 구성요소와 CDE 보안에 영향을 줄 수 있는 모든 시스템을 포함합니다. 네트워크 분할로 범위를 줄일 수 있지만, 평가 시 실제로 CDE가 범위 외 시스템과 격리되어 있는지 검증해야 합니다.

PCI DSS 준수의 핵심 구성요소

PCI DSS 준수는 카드 소지자 데이터를 보호하기 위해 상호 연결된 세 가지 구성요소를 통해 운영됩니다. 

1. 기술적 보안 통제가 기반을 형성합니다. 방화벽, 암호화, 안티멀웨어 솔루션, 접근 제어를 구현하여 결제 데이터에 대한 무단 접근을 물리적으로 차단합니다. 이러한 통제는 시스템이 카드 소지자 정보를 처리, 전송, 저장하는 방식을 다룹니다.
2. 운영 절차는 조직이 일상적으로 보안을 관리하는 방법을 정의합니다. 비밀번호 관리, 공급업체 감독, 사고 대응, 직원 교육에 대한 정책을 수립하여 팀과 위치 전반에 걸쳐 일관된 보안 관행을 유지합니다.
3. 준수 검증은 정기적인 평가를 통해 통제가 효과적으로 작동함을 입증합니다. 취약점 스캔, 침투 테스트, 공식 감사를 수행하여 요구사항이 올바르게 구현되고 지속적으로 효과적인지 확인합니다.

이러한 구성요소는 기술적 보호가 문서화된 절차 내에서 작동하고, 독립적인 검증을 통해 전체 카드 소지자 데이터 환경에서 의도대로 기능함을 확인하는 준수 프레임워크를 만듭니다.

핵심 PCI DSS 목표 및 요구사항

PCI DSS는 여섯 가지 통제 목표 아래 12가지 주요 요구사항을 따릅니다.

목표 1: 안전한 네트워크 및 시스템 구축 및 유지

요구사항 1: 네트워크 보안 통제 설치 및 유지.  방화벽 및 라우터를 구현하여 신뢰할 수 없는 네트워크와 CDE 내 시스템 간의 연결을 제한해야 합니다.

요구사항 2: 모든 시스템 구성요소에 안전한 구성 적용. 모든 시스템 구성요소에 대한 구성 표준을 개발하고, 불필요한 서비스 및 프로토콜을 비활성화하며, 구성이 알려진 취약점을 어떻게 해결하는지 문서화해야 합니다.

목표 2: 계정 데이터 보호

요구사항 3: 저장된 계정 데이터 보호. 카드 소지자 데이터를 저장하는 경우, 강력한 암호화, 절단, 토큰화 또는 해싱을 통해 PAN을 판독 불가능하게 만들어야 합니다. 합법적인 비즈니스 필요에 따라 보유 기간을 제한하고, 그 근거를 문서화해야 합니다.

요구사항 4: 전송 중 카드 소지자 데이터를 강력한 암호화로 보호. 공개 네트워크를 통한 전송 시 카드 소지자 데이터를 강력한 암호화 및 보안 프로토콜로 암호화해야 합니다.

목표 3: 취약점 관리 프로그램 유지

요구사항 5: 모든 시스템 및 네트워크를 악성 소프트웨어로부터 보호. 악성코드에 일반적으로 노출되는 모든 시스템에 안티멀웨어 솔루션을 배포해야 합니다.

요구사항 6: 안전한 시스템 및 소프트웨어 개발 및 유지. 보안 취약점을 식별하고, 위험을 평가하며, 우선순위에 따라 조치해야 합니다. 치명적인 취약점은 30일 이내에 해결해야 합니다. SentinelOne Singularity Platform과 같은 플랫폼을 사용하여 CDE 내 엔드포인트 및 서버의 취약점을 지속적으로 가시화할 수 있습니다.

목표 4: 강력한 접근 제어 조치 구현

요구사항 7: 비즈니스 필요에 따라 시스템 구성요소 및 카드 소지자 데이터 접근 제한. 적절한 접근 제어 정책을 통해 업무상 필요가 있는 인원만 카드 소지자 데이터에 접근할 수 있도록 제한해야 합니다.

요구사항 8: 사용자 식별 및 시스템 구성요소 접근 인증. 접근 권한이 있는 각 인원에게 고유 ID를 할당하고, 최소 12자 이상의 비밀번호를 통한 강력한 인증을 구현하며, CDE 접근 시 다중 인증을 요구해야 합니다.

요구사항 9: 카드 소지자 데이터에 대한 물리적 접근 제한. 카드 소지자 데이터를 저장, 처리, 전송하는 시스템에 대한 물리적 접근을 시설 출입 통제, 비디오 카메라, 접근 로그, 안전한 파기 절차 등을 통해 인가된 인원으로 제한해야 합니다.

목표 5: 네트워크 정기 모니터링 및 테스트

요구사항 10: 시스템 구성요소 및 카드 소지자 데이터 접근 로그 및 모니터링. 시스템 구성요소 및 카드 소지자 데이터에 대한 모든 접근을 기록해야 합니다. 요구사항 10.6.1은 보안 이벤트의 일일 검토를 요구합니다.

요구사항 11: 시스템 및 네트워크 보안 정기 테스트. 승인된 스캐닝 공급업체(ASV)를 통한 분기별 취약점 스캔, 연간 침투 테스트, 파일 무결성 모니터링을 수행해야 합니다. PCI DSS v4.0은 결제 페이지 스크립트 관리(요구사항 11.6.1)를 포함하도록 확장되었으며, 2025년 3월 31일부터 필수입니다.

목표 6: 정보 보안 정책 유지

요구사항 12: 조직 정책 및 프로그램으로 정보 보안 지원. 모든 인원을 대상으로 정보 보안을 다루는 보안 정책을 수립, 게시, 유지, 배포해야 합니다.

이 여섯 가지 통제 목표와 12가지 요구사항이 준수의 기반을 이루며, 검증 방법은 가맹점 등급 및 거래량에 따라 달라집니다.

2025년 3월 31일 이후 필수 요구사항

PCI DSS v4.0은 2025년 3월 31일 이후 필수가 되는 미래 적용 요구사항을 도입했습니다. 이제 모든 조직은 준수 평가 시 이러한 통제를 구현해야 합니다.

• 결제 페이지 스크립트 관리 (요구사항 11.6.1)는 결제 페이지 스크립트의 무단 변경을 알리는 변경 및 변조 탐지 메커니즘을 요구합니다. 결제 페이지의 모든 스크립트를 인벤토리화하고, 스크립트의 목적을 문서화하여 인가하며, 변경 시 알림을 구현해야 합니다.
• 인증 자격 증명 관리 검토(요구사항 8.3.10.1)는 대상 위험 분석에서 정의한 주기에 따라 모든 애플리케이션 및 시스템 계정 접근 권한을 정기적으로 검토하고, 관리자가 접근이 적절함을 확인해야 합니다.
• 강화된 보안 모니터링(요구사항 12.10.5)은 사고 대응 요구사항을 무단 무선 액세스 포인트 탐지 및 중요 파일 변경 탐지 메커니즘까지 확장합니다.

이러한 요구사항은 12가지 핵심 목표를 보완하여 새로운 결제 보안 위협 및 평가 방법론을 다루는 구체적인 기술 통제를 추가합니다.

지속적인 PCI DSS 모니터링의 이점

• 지속적인 모니터링은 PCI 준수를 연례 부담에서 지속적인 보안 개선으로 전환합니다. 보안 이벤트에 대한 실시간 가시성으로 구성 편차를 즉시 식별할 수 있어, 연례 평가 시 시급하고 비용이 많이 드는 시점에 준수 격차를 발견하는 것을 방지합니다.
• 자동화된 모니터링은 요구사항 10.6.1에서 요구하는 수동 로그 검토 업무를 줄여줍니다. 분석가가 매일 수천 건의 접근 이벤트를 수동으로 검토하는 대신, 행동 기반 AI가 실제 보안 문제를 나타내는 이상 패턴을 탐지합니다. 일상적인 접근 이벤트가 아닌 실제 위협에 집중할 수 있습니다.
• 지속적인 준수는 연중 감사 준비 상태를 제공합니다. 평가 기간에 증거를 급하게 준비하는 대신, 인수 은행, 비즈니스 파트너, 감사인에게 현재 준수 상태를 즉시 입증할 수 있습니다. 문서화는 자동화된 로깅 및 모니터링을 통해 지속적으로 축적되어 수동 취합이 필요하지 않습니다.

이러한 사전 예방적 접근 방식은 보안 문제를 준수 위반이나 데이터 유출로 발전하기 전에 포착하여 결제 처리 능력을 유지하고 전반적인 준수 비용을 절감합니다.

준수 검증: 가맹점 등급 및 평가 요구사항

PCI 준수 인증 요구사항은 거래량과 조직 역할에 따라 달라집니다. 결제 카드 브랜드는 가맹점을 네 개 등급, 서비스 제공업체를 두 개 등급으로 분류합니다.

가맹점 분류

거래량이 검증 요구사항을 결정하지만, 보안 의무는 규모와 관계없이 동일합니다. 어느 등급의 가맹점에서든 침해가 발생하면 카드 소지자 데이터가 손상되고 결제 생태계 신뢰가 훼손됩니다.

• 1등급 가맹점(연간 600만 건 이상 거래)은 자격 보안 평가자(QSA)에 의한 연간 현장 평가가 필수입니다. 준수 보고서(ROC) 제출, 준수 확인서(Attestation of Compliance) 작성, 분기별 ASV 네트워크 스캔 통과가 요구됩니다.
• 2등급 가맹점(연간 100만~600만 건 거래)은 연간 자체 평가 질문서(SAQ) 작성 및 분기별 ASV 스캔이 필요합니다. 준수 확인서 제출이 요구됩니다.
• 3~4등급 가맹점(연간 100만 건 미만 전자상거래 거래)은 연간 SAQ 작성 및 분기별 ASV 스캔이 필요하며, 구체적 요구사항은 거래량 및 인수 은행에 따라 다릅니다.

하위 등급 가맹점은 검증 절차가 덜 엄격하지만, 공격자는 여전히 가치 있는 결제 데이터를 처리하면서 엔터프라이즈 보안 자원이 부족한 소규모 가맹점을 표적으로 삼습니다.

서비스 제공업체 검증

서비스 제공업체는 여러 가맹점의 결제 데이터를 처리하여, 한 번의 침해로 수백~수천 개의 하위 비즈니스에 영향을 미치는 집중된 위험을 만듭니다.

• 1등급 서비스 제공업체(연간 30만 건 이상 거래)는 연간 QSA 평가, 준수 보고서, 준수 확인서, 분기별 ASV 스캔이 필수입니다.
• 2등급 서비스 제공업체(30만 건 미만 거래)는 연간 서비스 제공업체용 SAQ D를 작성해야 합니다.

서비스 제공업체 침해는 결제 생태계 전체로 확산되므로, 가맹점은 서비스 제공업체의 준수 상태를 매년 검증해야 하며, 귀하의 준수는 그들의 보안 통제에 달려 있습니다.

자체 평가 질문서(SAQ) 유형

SAQ 유형에 따라 검증 부담이 결정됩니다. SAQ A는 결제 처리를 완전히 아웃소싱하는 비대면 가맹점에 적용됩니다. SAQ A-EP는 부분 아웃소싱 전자상거래에 적용됩니다. SAQ D는 기타 모든 시나리오 또는 카드 소지자 데이터를 저장하는 가맹점에 적용됩니다.  PCI 보안 표준 위원회는 상세한 SAQ 선택 가이드를 제공합니다.

가맹점 등급 및 SAQ 요구사항을 이해하면 최신 PCI DSS 검증 의무를 충족하고 지속적인 준수를 유지할 수 있습니다.

일반적인 PCI DSS 구현 과제

조직은 다양한 기술 환경에서 PCI DSS v4.0 통제를 구현할 때 여러 장애물에 직면합니다.

• 전략적 위험 및 비즈니스 연속성: PCI DSS 준수는 직접적인 비즈니스 연속성 위험을 의미합니다. 감사 실패 시 결제 처리 능력이 제한됩니다. 인수 은행은 계약상 의무를 통해 준수를 강제합니다. 2025년 3월 31일부터 평가는 결제 페이지 무결성 모니터링, 자격 증명 관리 검토, 강화된 보안 모니터링을 요구하며, 평가 실패 시 결제 처리에 영향을 미칩니다.
• 알림 관리 및 조사 효율성: PCI DSS 요구사항 10 및 11은 전통적인 SIEM 및 로그 관리 도구로 구현 시 분석가에게 과도한 조사 업무를 부과할 수 있습니다.  SentinelOne Singularity Platform과 같은 서비스를 통해 행동 기반 AI가 이벤트를 자동으로 상관 분석하여 알림 볼륨을 88%까지 줄일 수 있습니다.
• 범위 평가 및 변경 관리: 요구사항 12.5.3은 조직에 중대한 변화가 발생할 때마다 PCI DSS 범위 및 적용된 통제에 대한 공식 내부 영향 평가를 요구합니다. 범위 검토를 위한 문서화된 트리거를 구현하고, 변경 관리 프로세스에 PCI DSS 영향 분석을 통합해야 합니다.

이러한 과제는 PCI DSS 모범 사례를 따르면 해결할 수 있습니다. 

PCI DSS 준수 모범 사례

지속적인 PCI DSS 준수를 유지하는 조직은 최소 요구사항 충족을 넘어 체계적인 접근 방식을 구현합니다.

1. 지속적인 준수 모니터링 구현: 연례 평가에만 의존하지 않고 보안 통제를 지속적으로 검증하는 자동화 도구를 배포합니다. 구성 변경, 접근 패턴, 보안 이벤트를 실시간으로 모니터링하여 평가 전 준수 편차를 식별할 수 있습니다. 
2. 포괄적 문서화 유지: 모든 보안 통제, 구성, 조치 활동을 타임스탬프 및 책임자와 함께 문서화합니다. 이 문서는 평가 시 준수를 입증하고, 사고 조사 시 감사 추적을 제공합니다. CDE 경계를 보여주는 네트워크 다이어그램, 카드 소지자 데이터 경로를 나타내는 데이터 흐름도, 보안 절차에 대한 경영진 승인 정책 문서를 포함해야 합니다.
3. 정기적인 내부 평가 수행: 연례 외부 평가를 기다리지 말고 분기별 내부 취약점 스캔 및 월간 보안 통제 검토를 실시합니다. 이 사전 예방적 접근 방식은 조치가 더 쉽고 비용이 적게 들 때 격차를 조기에 식별합니다. 내부 평가에도 외부 감사와 동일한 엄격함을 적용하여 모든 요구사항을 테스트하고, 전체 CDE에서 통제를 검증하며, 결과와 조치 일정을 문서화합니다.
4. 네트워크 효과적으로 분할: 카드 소지자 데이터 환경을 다른 시스템과 격리하는 적절한 네트워크 분할로 PCI DSS 범위를 줄입니다. 방화벽, VLAN, 접근 제어 목록 등 여러 계층의 네트워크 통제를 구현하여 명확한 보안 경계를 만듭니다. 분기별 침투 테스트를 통해 비CDE 시스템에서 분할 통제를 우회하려 시도하여 분할 효과를 검증합니다.
5. 보안 프로세스 자동화: 패치 관리, 로그 검토, 취약점 조치, 보안 모니터링을 자동화하여 수동 오류를 줄이고 대응 시간을 개선합니다. 자동화된 워크플로우는 보안 통제의 일관된 적용을 보장하고, 분석가가 복잡한 조사에 집중할 수 있도록 합니다. 
6. 직원 지속적 교육: 보안 인식 교육을 입사 시, 연 1회, 역할 변경 또는 새로운 위협 발생 시 실시합니다. 교육에는 사회공학 기법, 비밀번호 보안, 사고 보고 절차, PCI DSS 위반의 비즈니스 영향이 포함되어야 합니다. 모든 교육 세션은 참석 기록, 시험 결과, 요구사항 12 검증에 필요한 서명으로 문서화해야 합니다.
7. 공급업체 관리 프로세스 수립: 제3자 서비스 제공업체의 PCI DSS 준수 상태를 계약 전 및 매년 평가합니다. 계약서에 보안 책임, 데이터 처리 절차, 사고 통지 요구사항을 명확히 정의해야 합니다. CDE 보안에 영향을 줄 수 있는 모든 서비스 제공업체의 최신 준수 확인서를 유지해야 합니다.
8. 사고 대응 절차 테스트: 테이블탑 연습 및 모의 사고 대응 시나리오를 분기별로 실시하여 사고 대응 계획의 효과를 검증합니다. 이러한 테스트는 실제 사고 발생 전 절차적 격차, 커뮤니케이션 문제, 자원 제약을 식별합니다. 연습 결과를 문서화하고, 교훈을 반영하여 절차를 업데이트하며, 모든 사고 대응 팀원이 결제 시스템 침해 시 자신의 역할을 명확히 이해하도록 해야 합니다.

이러한 모범 사례를 구현하면 감사 준비를 넘어 결제 인프라 전반에 실질적인 보안 개선을 가져오는 지속적 준수 프레임워크를 구축할 수 있습니다.

PCI DSS 감사 준비 방법

감사 준비는 예정된 평가일 90일 전에 시작합니다. 

1. 할당된 SAQ 또는 ROC 요구사항을 체크리스트로 사용하여 내부 준수 격차 분석을 실시합니다. 현재 구현된 모든 통제를 문서화하고, 미구현 또는 문서화가 누락된 구체적 요구사항을 식별합니다.
2. 네트워크 다이어그램(CDE 경계 표시), 데이터 흐름도(카드 소지자 데이터 경로 표시), 보안 정책, 공급업체 준수 확인서 등 모든 보안 문서를 검토 및 업데이트합니다. 문서가 이전 평가의 구성이 아닌 현재 환경을 반영하는지 확인합니다.
3. 분기별 ASV 스캔, 연간 침투 테스트, 취약점 평가 등 필수 기술 검증을 감사 45일 전까지 예약합니다. 스캔 실패 시 조치 및 재스캔이 필요하므로 충분한 시간을 확보해야 합니다.
4. 감사자 인터뷰에 참여할 인원을 대상으로 교육 세션을 실시합니다. 직원은 PCI 준수에서 자신의 역할을 이해하고, 일상적으로 보안 절차를 어떻게 준수하는지 설명할 수 있어야 합니다. 
5. 마지막으로, 감사자가 적용할 동일한 평가 기준을 사용하여 모의 감사 점검을 실시합니다.

이 체계적인 준비 방식은 감사 스트레스를 줄이고, 평가 완료를 가속화하며, 비용이 많이 드는 조치 기간 없이 첫 시도에 준수를 달성할 가능성을 높입니다.

SentinelOne과 함께 PCI 준수 달성

SentinelOne의 Singularity Platform은 엔드포인트, 서버, 클라우드 워크로드 전반에 자율 보호를 확장하여, 분산된 포인트 솔루션 없이 PCI DSS 로깅, 모니터링, 보안 요구사항을 충족합니다. 행동 기반 AI는 시그니처가 아닌 패턴을 통해 악성 활동을 탐지하여, 요구사항 10.6.1의 일일 보안 이벤트 검토 의무를 충족하면서 기존 SIEM 대비 알림 볼륨을 88% 감소시킵니다. 이 플랫폼은 CDE 내 모든 엔드포인트 및 서버의 접근 이벤트를 캡처하고, Storyline 기술을 통해 이벤트를 상관 분석하여 수동 분석을 제거합니다.

Storyline 기술은 결제 시스템 전반의 전체 공격 체인을 재구성하여, 랜섬웨어가 최초 접근부터 암호화 시도까지 어떻게 진행되었는지 정확히 보여줍니다. 자격 증명 탈취, 수평 이동 시도, 자동 격리까지 한 번에 확인할 수 있어, 여러 보안 도구 간 수동 상관 분석이 필요 없습니다. 이 공격 재구성은 PCI DSS 사고 대응 절차 및 평가 시 준수 검증에 필요한 포렌식 컨텍스트를 제공합니다.

Purple AI는 카드 소지자 데이터 환경 이벤트를 분석하고, 관찰된 공격 행위에 기반한 대응 조치를 추천하여 보안 조사를 가속화합니다. 여러 시스템의 로그를 수동으로 쿼리하는 대신, 실제 위협 패턴을 반영한 AI 추천 조사 단계를 검토할 수 있습니다. Purple AI의 자연어 인터페이스를 통해 보안팀은 "지난 24시간 내 카드 소지자 데이터 접근 시도 모두 보여줘" 또는 "어떤 프로세스가 결제 구성 파일을 수정했는지"와 같이 PCI 관련 이벤트를 대화식으로 질의할 수 있어, 일일 로그 검토에 필요한 운영 가시성을 제공합니다.

Singularity Cloud Security는 에이전트리스 스캐닝으로 클라우드 결제 처리 인프라 전반에 일관된 보안 정책을 적용하며, 클라우드 워크로드 및 통신 패턴을 탐지하고, 주요 클라우드 제공업체 전반에 민감한 클라우드 데이터를 탐지 및 분류하는 DSPM 기능을 제공합니다. 보안 정책은 AWS, Azure, GCP, 하이브리드 인프라 간 결제 워크로드 이동 시 자동으로 따라가며, 수동 재구성 없이 동적 클라우드 환경에서도 PCI 준수를 유지합니다.

데모 예약하기를 통해 자율 보호가 결제 인프라 전반에 통합된 보안 커버리지를 제공하여 운영 복잡성 없이 PCI 준수를 유지하는 방법을 확인해보세요.

결론

PCI DSS v4.0.1은 카드 소지자 데이터 환경 전반에 걸친 포괄적인 보안 통제를 요구합니다. 12가지 핵심 요구사항을 충족하려면 통합 가시성, 행동 기반 AI 탐지, 자율 대응 기능이 필요하며, 기존 도구만으로는 이를 제공할 수 없습니다. 안티멀웨어, 취약점 관리, 로깅, 파일 무결성 모니터링을 위한 통합 플랫폼을 구현한 조직은 준수 효율성을 높이는 동시에 결제 시스템 공격에 대한 실제 보안 태세를 강화할 수 있습니다.