PCI 보안표준 협의회, 상용 기성품 장치의 소프트웨어 기반 PIN 입력을 위한 보안 요구사항 발표
스마트폰 및 기타 상용 기성품 장치 사용한 EMV 접촉 및 비접촉 거래 위해 안전한 소프트웨어 기반 PIN 입력 솔루션 개발 주도하는 새로운 PCI 표준
COTS용 소프트웨어 기반 PIN 입력 PCI 보안표준(PCI Software-Based PIN Entry on COTS(SPoC) Standard)은 PIN용 보안 카드리더기(Secure Card Reader for PIN, 이하 ‘SCRP’)와 함께 보안 PIN 입력 응용프로그램을 사용해 상인의 소비자 기기에서 PIN 입력을 통해 EMV 접촉 및 비접촉 거래를 지원하는 보안 솔루션을 개발하는 데 필요한 요구사항을 제공한다.
아이트 그룹(Aite Group) 수석 애널리스트인 론 반 베젤(Ron van Wezel)은 “모바일 POS(Mobile point-of-sale, MPOS) 솔루션은 유연성과 효율성 때문에 소규모 상인들이 즐겨 사용한다”고 말했다. 그는 “MPOS를 통해 상인들은 언제 어디서든 태블릿이나 스마트폰으로 주문을 받고 지불을 받을 수 있게 됐다”며 “하지만 EMV 칩 및 PIN 도입이 요구되는 시장에서 일부 영세 상인들은 하드웨어에 투자해야 하는 비용 때문에 어려움을 겪는다”고 밝혔다. 이어 “PCI 협의회는 새로운 PIN 입력 표준을 발표해 모바일의 터치스크린에 직접 PIN을 입력할 수 있게 허용하는 보안 요구사항을 규정함으로써 시장의 요구에 응답했다”며 “상인들은 이제 그들의 모바일 기기 및 모바일에 연결된 소형의 저렴한 카드리더기와 보안 PIN 입력 응용프로그램만으로 지불을 받을 수 있게 됐다”고 설명했다. 또한 “결제 업계는 결제 수단의 다양화가 전자결제 성장으로 이어지는 데 따른 혜택을 보게 될 것이다”고 강조했다.
트로이 리치(Troy Leach) PCI SSC 최고기술책임자는 “PCI 협의회는 오랫동안 하드웨어 기반 솔루션의 검증 방식으로서 PIN을 보호하는 표준을 개발해왔다”고 말했다. 그는 “기존의 PCI PIN 표준들은 PIN의 하드웨어 기반 보안 보호를 필요로 한다”며 “우리는 현재 이러한 기반에서 PIN을 다른 데이터로부터 격리하고 실제 하드웨어 장치를 넘어서는 강력한 보안 제어 솔루션을 사용함으로써 PIN 입력을 보호하는 대안적인 접근법이 가능하도록 새로운 표준을 구축하고 있다”고 밝혔다. 이어 “PCI 소프트웨어 기반 PIN 입력 표준(Software-Based PIN Entry Standard)은 솔루션 제공업체와 응용프로그램 개발자들에게 소프트웨어 기반 PIN 입력을 사용한 EMV 접촉 및 비접촉 거래를 수용하는 데 필요한 보안 요구사항의 기준선을 제공한다”고 덧붙였다.
이 표준의 보안 및 테스트 요구사항에 포함된 주요 보안 원칙은 다음과 같다.
· 스마트폰 또는 태블릿 내의 지불 환경에 대한 잠재적 위험을 최소화하기 위한 능동적인 서비스 모니터링
· 다른 계좌 데이터와 PIN 정보 분리
· COTS 장치에서 소프트웨어 보안 및 PIN 입력 응용프로그램의 무결성 보장
· PCI에서 승인한 PIN용 보안 카드리더기(SCRP)를 사용해 PIN 및 계좌 정보 보호
COTS용 소프트웨어 기반 PIN 입력 보안 요구사항은 솔루션 제공업체들이 완벽한 솔루션의 각 부분을 설계하는 데 사용된다. 이러한 요구사항은 현재 PCI SSC웹사이트에서 제공된다.
COTS용 소프트웨어 기반 PIN 입력 테스트 요구사항은 연구소에서 솔루션의 표준 준수를 평가하는 데 필요한 테스트 절차의 개요를 제공한다. 이 내용은 다음달에 발표될 예정이며 이후 가맹점 사용을 위해 PCI 검증 솔루션 목록이 수록된 지원 프로그램이 PCI SSC 웹사이트에 게재된다.
새로운 표준에 대한 자세한 정보는 PCI 전망 블로그 포스트 COTS용 소프트웨어 기반 PIN 입력 PCI 보안표준(New PCI Software-Based PIN Entry on COTS Standard) 참조.
리치는 “이 표준은 솔루션 공급업체와 응용프로그램 개발자들에게 COTS 장치에서의 PIN 기반 거래를 안전하게 수용하는 데 필요한 보안 요구사항의 기준선을 제공할 뿐만 아니라 장치 및 응용프로그램의 업데이트가 자주 발생하는 경우에도 보안이 작동하는지 테스트하기 위한 방식으로도 사용될 수 있다”고 말했다. 그는 “PCI 검증 솔루션은 독립 연구소에서 시험을 거친 강력한 보안 목표를 충족한다”며 “점점 더 많은 기업들이 스마트폰이나 태블릿 및 기타 COTS 기기들을 사용한 결제를 수용하고 있으며 이러한 현상은 특히 소규모 업체에서 두드러진다”고 설명했다. 이어 “PCI 보안표준협의회 소프트웨어 기반 PIN 입력 솔루션 목록은 영세 상인들에게 지불 보안 연구소에서 테스트를 거친 PIN 입력 솔루션을 선택할 수 있는 자원을 제공하는 한편 소비자들에게는 그들의 지불 정보를 보호할 수 있는 우수한 보안 혜택을 제공한다”고 덧붙였다.
PCI 보안표준 협의회(PCI Security Standards Council) 개요
PCI 보안표준 협의회(약칭 ‘PCI SSC’)는 기업들이 사이버공격이나 법 위반을 감지, 완화 및 방지할 수 있도록 산업 중심의 유연하고 효율적인 데이터 보안 표준과 프로그램을 제공함으로써 결제 보안을 강화하려는 전세계 산업 간 노력을 주도한다. PCI SSC에 대한 자세한 정보는 링크드인, 트위터 및 블로그 참조.
비즈니스와이어(businesswire.com) 원문 보기: http://www.businesswire.com/news/home/20180124005766/en/
[이 보도자료는 해당 기업에서 원하는 언어로 작성한 원문을 한국어로 번역한 것이다. 그러므로 번역문의 정확한 사실 확인을 위해서는 원문 대조 절차를 거쳐야 한다. 처음 작성된 원문만이 공식적인 효력을 갖는 발표로 인정되며 모든 법적 책임은 원문에 한해 유효하다.]
링크드인: http://goo.gl/AvNkDx
트위터: http://twitter.com/PCISSC
블로그: http://blog.pcisecuritystandards.org/
웹사이트: https://www.pcisecuritystandards.org/
연락처
PCI 보안표준 협의회(PCI Security Standards Council)
마크 메이스너(Mark Meissner)
+1-202-744-8557
press@pcisecuritystandards.org
이 보도자료는 PCI Security Standards Council가(이) 작성해 뉴스와이어 서비스를 통해 배포한 뉴스입니다. 뉴스와이어는 편집 가이드라인을 준수합니다.