1️⃣ 개요
PCI DSS는 신용카드 및 직불카드 정보를 안전하게 처리, 저장, 전송하기 위해 국제 카드사들이 공통으로 제정한 보안 표준입니다.
- 적용 대상: 카드 결제 데이터를 저장, 처리, 전송하는 모든 조직 (예: 은행, PG사, 쇼핑몰, POS 시스템)
- 목표: 카드 데이터 침해 방지 및 데이터 기밀성·무결성·가용성 확보
2️⃣ 아키텍처 관점
PCI DSS는 데이터 흐름 관점에서 설계됩니다.
-
카드 데이터 영역(Cardholder Data Environment, CDE)
- 카드번호(PAN), 카드 소유자 이름, 유효기간, CVV 등
- 모든 보안 통제는 이 영역 중심
-
네트워크 세분화(Network Segmentation)
- CDE와 외부 시스템을 분리
- 방화벽(Firewall), DMZ(Demilitarized Zone) 적용
-
암호화와 키 관리
- 저장 시: AES, TDES 등 강력한 암호화
- 전송 시: TLS 1.2 이상
- 키 관리 정책 엄격 적용
3️⃣ 12개 요구 사항(Technical/Operational 측면)
PCI DSS는 크게 12개 요구 사항으로 나뉩니다. 기술사 수준으로 보면, 단순 체크리스트가 아니라 보안 아키텍처·운영 프로세스·위험 관리 관점에서 이해해야 합니다.
| 번호 | 요구 사항 | 기술사 관점 설명 |
|---|---|---|
| 1 | 방화벽 및 네트워크 구성 | CDE 접근을 제한, 분리된 네트워크, ACL/Firewall Rule 세밀 설계 |
| 2 | 기본 비밀번호와 시스템 설정 보호 | Default 계정 제거, OS/DB hardening, Config Management |
| 3 | 카드 데이터 보호 | 저장 데이터 암호화, 토큰화(Tokenization), 키 관리, 접근 제어 |
| 4 | 전송 중 데이터 보호 | TLS, VPN, SSH 등 안전한 암호화 채널 설계 |
| 5 | 안티바이러스 및 악성코드 보호 | 엔드포인트 보호, 최신 AV + 실시간 모니터링 |
| 6 | 보안 시스템 개발 및 유지 | Secure SDLC, 취약점 점검, 패치 관리 |
| 7 | 접근 제어 정책 | 최소 권한 원칙, 역할 기반 접근 제어(RBAC) |
| 8 | 사용자 인증 관리 | MFA, 계정 정책, 비밀번호 복잡성 및 회전 주기 |
| 9 | 물리적 접근 제한 | 카드 데이터 보관 장치 접근 통제, CCTV, 로그 기록 |
| 10 | 로깅 및 모니터링 | 모든 접근·변경 로그, SIEM 통합, 이상행위 탐지 |
| 11 | 정기적 테스트 | 취약점 스캔, 침투 테스트, IDS/IPS 테스트 |
| 12 | 정보 보안 정책 | 전사 보안 정책, 보안 교육, 사고 대응 계획 |
4️⃣ 심화 기술사 포인트
-
Tokenization과 Point-to-Point Encryption (P2PE)
- 카드번호를 시스템 내부에서 바로 저장하지 않고, 토큰으로 대체
- P2PE는 카드 데이터를 입력 단계부터 암호화, 최종 승인 서버까지 안전 전송
-
Risk-based 접근
- 단순히 요구사항 맞춤이 아니라, 카드 데이터 위험 분석 → 우선 순위 대응
- 예: CDE 네트워크 접근 시 고위험 장치 탐지 → 즉시 차단
-
컴플라이언스 vs 보안 설계 차이
- PCI DSS 준수 = 최소 요구 사항 충족
- 기술사 관점: 보안 설계·운영 프로세스 최적화 → 데이터 침해 예방
5️⃣ 요약
- PCI DSS = 카드 데이터 보호를 위한 국제 표준
- 단순 체크리스트가 아니라, 네트워크 설계, 암호화, 접근 제어, 로그 모니터링, 운영 프로세스 전반을 포괄
- 기술사 수준에서는 CDE 중심 보안 아키텍처 설계와 위험 기반 통제를 이해해야 함
DevSecOps, Pentest, Cloud(OpenStack), Develop, Data Engineering, AI-Agent