美 카드업계의 클라우드 문제 해결할 가이드라인 발표

CSO
클라우드 위한 새로운 데이터 보안 표준(DSS)이 클라우드 업체와 가맹점간의 책임이 명확해졌다.

미 카드업계 보안 표준 협의회(PCI SSC)가 가맹점과 클라우드 간의 불거졌던 문제를 해결할 수 있도록 신용 카드 처리용 클라우드 사용에 대한 가이드라인을 발표했다.

PCI SSC가 발표한 클라우드 데이터 보안 표준(DSS)은 클라우드가 도입되기 전의 기준을 현대적인 컴퓨팅 플랫폼에 적용할 때 발생할 수 있는 혼란을 해소시켜줄 것으로 기대되고 있다.

원래 PCI DSS의 가이드라인과 표준은 홈데포 같은 가맹점이 자사의 데이터센터에서 보유할 물리적인 서버에 해당됐다. 이 가이드라인은 가맹점이 자사 서버들을 아마존과 랙스페이스처럼 하나의 컴퓨팅 환경에서 이기종 서버를 운영하는 IaaS 업체로 이전하기 시작할 때에만 특히 효과적이었다.

새로운 가이드라인은 가맹점과 클라우드 업체의 책임소재를 분명히 했다는 것이 특징이다. 예를 들어, 클라우드 업체는 자사의 시스템 안에서 고객의 데이터를 보관하고 있다는 점을 입증해야 하고 가맹점은 암호화 및 데이터에 접근하는데 필요한 로그인 권한 여부에 대해 책임을 져야 한다. 이밖에도 가맹점은 서버 구성 및 소프트웨어 패치에 대해서도 책임을 갖게 된다.

가이드라인이 없었을 때 가맹점은 클라우드 업체가 PCI 요구 사항의 많은 부분을 충족하는 것으로 간주했다.

PCI 그룹 회원사로 이 가이드라인 책정에 참여한 클라우드패시지(CloudPassage)의 보안 담당 이사 크리스 브렌튼은 "클라우드로 이전하면서 사람들은 어려운 상황에서 빠져나갈 수 있는 수단을 갖는다고 생각하며 ‘클라우드 업체가 그 모든 것을 처리할 꺼야’라고만 말할 수 있다”라고 밝혔다. "분명한 것은 이 가이드라인은 신용카드 정보가 어느 정도로 안전성에 대해 항상 확인할 수 있다는 점이다”라고 그는 덧붙였다.

이 가이드라인에서는 신용카드 처리용 클라우드 사용에 대해 PCI가 정의한 모범 사례가 들어 있다 상황에 따라, 기업들은 요구 수준 이상을 결정할 것이다. 예를 들어, 정교한 사이버 공격에 더 취약 대기업일수록 요구 수준 이상의 보안 레이어를 추가할 것이다.

"PCI DSS와 관련한 문제점 중 하나는 그것이 한 크기의 종류에 맞추려 한다는 데 있다. 모든 환경은 조금씩 다른데 말이다”라고 브렌튼은 지적했다.

IDC에 애널리스트 마이클 베르사체는 “대기업과 금융 기업에게 다음 단계는 지속적인 규제 준수 정책을 수립하는데 사용하는 소프트웨어에 통합된 클라우드 환경을 위한 가이드라인을 책정할 것이다”라고 전망했다.

일명 GRC(거버넌스, 리스크 관리, 규제 준수) 시스템과 클라우드의 결합은 클라우드 업체가 PCI 보안 표준과 같은 여러 표준들을 얼마나 잘 준수하느냐에 대한 좀더 명확한, 어쩌면 좀더 현실적인 그림을 제시하는 것이라고 베르사체는 분석했다.

전반적으로, PCI 준수는 위험을 감소시킨 것으로 조사됐다. 포네몬 연구소의 2011 보고서에 따르면, 2년 동안 신용카드 데이터와 관련한 정보 유출 사고를 경험하지 않은 기업 가운데 규제를 준수한 기업(64%)이 그렇지 않은 기업(385)보다 더 많은 것으로 나타났다. ciokr@idg.co.kr