1. PCI DSS 개요
- PCI DSS (Payment Card Industry Data Security Standard)
신용카드 결제 정보를 안전하게 보호하기 위해 국제 카드사 5사(Visa, MasterCard, Amex, Discover, JCB)가 만든 국제 보안 표준
- 목적
카드 번호, 만료일, CVV 등 민감 정보(CHD, Card Holder Data)를 보호하기 위함
- 대상
카드 정보를 저장·처리·전송하는 모든 조직 및 관련된 자
2. PCI DSS의 필요성
- 카드사마다 상이한 보안 기준을 요구해 사업자에게 큰 부담 발생
- 이를 통합하기 위해 5개 국제 카드사가 PCI DSS 위원회를 조직하여 표준화
- 목표: 효율적이고 통일된 보안 관리 기준 제공
3. PCI DSS 주요 보안 원칙
- 데이터 보호
- 카드 데이터 저장(DB) 및 전송(TLS/SSL) 시 암호화
- 접근 통제
- 카드 데이터 접근 인원 최소화
- 강력한 인증(MFA) 적용
- 모니터링
4. 주요 정책 구성 (v4.0 기준)
2-1. 정보보호 정책 수립
- 보안 목표, 책임, 절차 문서화
- 카드 데이터 처리 시스템 전체에 적용
2-2. 접근 통제 정책
- 최소 권한 원칙(Need-to-know)
- 인증: ID/PW + MFA
- 권한 변경·삭제·로그 기록 관리
2-3. 암호화 정책
- 저장·전송 시 강력한 암호화 적용 (예: AES-256, TLS 1.2 이상)
- 키 관리 절차(KMS/HSM) 정의
2-4. 보안 운영 정책
- 패치 관리, 취약점 스캔, 백업, 로그 관리
- 보안 이벤트 대응 절차 포함
2-5. 교육 및 인식 정책
- 정기 보안 교육 수행
- 사회공학·피싱 등 보안 위협 인식 강화
2-6. 모니터링 및 감사 정책
- 접근 로그, 변경 기록, 시스템 이벤트 모니터링
- 정기 내부 감사 및 외부 감사 절차
5. 정책 적용 예시
- 접근 정책
- 카드 데이터 DB 접근은 IAM 그룹 “PaymentAdmin”만 허용, MFA 필수
- 암호화 정책
- S3에 저장되는 카드 정보는 SSE-KMS + 90일 키 회전 주기
- 보안 운영 정책
- 매월 보안 패치 점검, CloudTrail 로그 180일 보관
- 교육 정책
- 신입사원 온보딩 시 PCI DSS 보안 교육 필수
6. AWS 환경에서의 PCI DSS 적용
(1) 네트워크 보안
- VPC 분리
- 카드 데이터 처리 서버를 별도 VPC/Subnet에 배치
- 외부 인터넷과 내부망을 분리
- Security Group
- AWS WAF
- ALB/CloudFront 앞단에서 L7 공격 방어
(2) 데이터 보호 (Data Protection)
- 암호화
- S3 / EBS / RDS 전부 암호화
- SSE-KMS, EBS+KMS, RDS Encryption 적용
- 전송 시 보안
- ALB → EC2, 클라이언트 → ALB 간 HTTPS/TLS 적용
- MFA Delete
- DSSE-KMS
- S3의 고보안 이중 암호화 방식 (고위험 카드 데이터에 적용)
(3) 모니터링 및 로깅
- CloudTrail
- 모든 API 호출 기록
- 로그를 S3 버킷에 저장 및 KMS 암호화
- CloudWatch
- 시스템 및 애플리케이션 로그 수집
- 알람(Alarm) 설정으로 이상 탐지
(4) 취약점 관리
- AWS Systems Manager Patch Manager
- AWS Inspector
(5) 인시던트 대응 (Incident Response)
- 보안 인시던트 예시
- 계정 탈취, DDoS 공격, 데이터 유출, 악성코드 감염
- 대응 절차
- CloudTrail & CloudWatch로 이벤트 추적
- EC2/RDS Snapshot으로 백업 및 복원
- 정상 서비스 복구 및 재발 방지 조치
