[메가경제 조철민 기자] PCI 보안표준 협의회(PCI SSC)가 스마트폰, 태블릿과 같은 상용 기성품 장치COTS)에서 소프트웨어 기반 PIN 입력을 위한 새로운 PCI 보안표준(PCI Security Standard)을 발표했다.
COTS용 소프트웨어 기반 'PIN 입력 PCI 보안표준'은 PIN용 보안 카드리더기(SCRP)와 함께 보안 PIN 입력 응용프로그램을 사용해 상인의 소비자 기기에서 PIN 입력을 통해 EMV 접촉 및 비접촉 거래를 지원하는 보안 솔루션을 개발하는 데 필요한 요구사항을 제공한다.
아이트 그룹(Aite Group) 수석 애널리스트인 론 반 베젤(Ron van Wezel)은 “모바일 POS(MPOS) 솔루션은 유연성과 효율성 때문에 소규모 상인들이 즐겨 사용한다”고 말했다. 그는 “MPOS를 통해 상인들은 언제 어디서든 태블릿이나 스마트폰으로 주문을 받고 지불을 받을 수 있게 됐다”며 “하지만 EMV 칩 및 PIN 도입이 요구되는 시장에서 일부 영세 상인들은 하드웨어에 투자해야 하는 비용 때문에 어려움을 겪는다”고 밝혔다.
그는 이어 “PCI 협의회는 새로운 PIN 입력 표준을 발표해 모바일의 터치스크린에 직접 PIN을 입력할 수 있게 허용하는 보안 요구사항을 규정함으로써 시장의 요구에 응답했다”며 “상인들은 이제 그들의 모바일 기기 및 모바일에 연결된 소형의 저렴한 카드리더기와 보안 PIN 입력 응용프로그램만으로 지불을 받을 수 있게 됐다”고 설명했다. 또한 “결제 업계는 결제 수단의 다양화가 전자결제 성장으로 이어지는 데 따른 혜택을 보게 될 것이다”고 강조했다.
트로이 리치(Troy Leach) PCI SSC 최고기술책임자는 “PCI 협의회는 오랫동안 하드웨어 기반 솔루션의 검증 방식으로서 PIN을 보호하는 표준을 개발해왔다”고 말했다.
리치는 “기존의 PCI PIN 표준들은 PIN의 하드웨어 기반 보안 보호를 필요로 한다”며 “우리는 현재 이러한 기반에서 PIN을 다른 데이터로부터 격리하고 실제 하드웨어 장치를 넘어서는 강력한 보안 제어 솔루션을 사용함으로써 PIN 입력을 보호하는 대안적인 접근법이 가능하도록 새로운 표준을 구축하고 있다”고 밝혔다. 이어 “PCI 소프트웨어 기반 'PIN 입력 표준'은 솔루션 제공업체와 응용프로그램 개발자들에게 소프트웨어 기반 PIN 입력을 사용한 EMV 접촉 및 비접촉 거래를 수용하는 데 필요한 보안 요구사항의 기준선을 제공한다”고 설명했다.
리치는 “이 표준은 솔루션 공급업체와 응용프로그램 개발자들에게 COTS 장치에서의 PIN 기반 거래를 안전하게 수용하는 데 필요한 보안 요구사항의 기준선을 제공할 뿐만 아니라 장치 및 응용프로그램의 업데이트가 자주 발생하는 경우에도 보안이 작동하는지 테스트하기 위한 방식으로도 사용될 수 있다”고 말했다.
그는 “PCI 검증 솔루션은 독립 연구소에서 시험을 거친 강력한 보안 목표를 충족한다”며 “점점 더 많은 기업들이 스마트폰이나 태블릿 및 기타 COTS 기기들을 사용한 결제를 수용하고 있으며 이러한 현상은 특히 소규모 업체에서 두드러진다”고 설명했다. 이어 “PCI 보안표준협의회 소프트웨어 기반 PIN 입력 솔루션 목록은 영세 상인들에게 지불 보안 연구소에서 테스트를 거친 PIN 입력 솔루션을 선택할 수 있는 자원을 제공하는 한편 소비자들에게는 그들의 지불 정보를 보호할 수 있는 우수한 보안 혜택을 제공한다”고 덧붙였다.
이 표준의 보안 및 테스트 요구사항에 포함된 주요 보안 원칙은 △스마트폰 또는 태블릿 내의 지불 환경에 대한 잠재적 위험을 최소화하기 위한 능동적인 서비스 모니터링, △다른 계좌 데이터와 PIN 정보 분리, △COTS 장치에서 소프트웨어 보안 및 PIN 입력 응용프로그램의 무결성 보장, △PCI에서 승인한 PIN용 보안 카드리더기(SCRP)를 사용해 PIN 및 계좌 정보 보호 등이다.
COTS용 소프트웨어 기반 PIN 입력 보안 요구사항은 솔루션 제공업체들이 완벽한 솔루션의 각 부분을 설계하는 데 사용된다. 이러한 요구사항은 현재 PCI SSC웹사이트에서 제공된다.
COTS용 소프트웨어 기반 PIN 입력 테스트 요구사항은 연구소에서 솔루션의 표준 준수를 평가하는 데 필요한 테스트 절차의 개요를 제공한다. 이 내용은 다음달에 발표될 예정이며 이후 가맹점 사용을 위해 PCI 검증 솔루션 목록이 수록된 지원 프로그램이 PCI SSC 웹사이트에 게재된다.
PCI 보안표준 협의회(PCI Security Standards Council)는 기업들이 사이버공격이나 법 위반을 감지, 완화 및 방지할 수 있도록 산업 중심의 유연하고 효율적인 데이터 보안 표준과 프로그램을 제공함으로써 결제 보안을 강화하려는 전세계 산업 간 노력을 주도하는 협의체다.
[사진= PCI 보안표준 협의회 홈페이지]
[저작권자ⓒ 메가경제. 무단전재-재배포 금지]
