31 PCI DSS
Payment Card Industry Data Security Standard
신용 카드 산업 데이터 보안 표준
개요
- 신용카드 결제 정보를 안전하게 보호하기 위해 국제 카드사 5사-Visa, MasterCard, Amex가 만든 보안 표준
- 카드 번호, 만료일, CVV 등 민감 정보(
CARD HOLDER DATA,CHD) 보호 목적AWS Macie에서 카드 번호 등의 민감 정보 데이터를 보호할 수 있습니다.
- 신용카드 회원의 카드정보 및 거래정보를 안전하게 관리하기 위해서 신용카드 결제 전 과정에 걸쳐 관련된 자 모두가 준수해야 하는 신용업계 보안표준
설립 이유
- 신용카드 회사마다 제각각 다른 보안기준을 요구했기 때문에 일반사업자들은 이것저것 서로 다른 수많은 기준을 모두 다 맞추자니 비용도 많이 들고 너무 불편함
- 효율도 떨어지고 절차도 복잡해짐
- 국제적 신용카드 대기업들이 공동으로 위원회를 조직하여 ‘PCI DSS’ 라는 사실상 표준을 책정
- JCB, 아메리칸 익스프레스, Discover, MasterCard, VISA 등
주요 요소
- 데이터 보호
- 민감 정보를 저장(DB)·전송(
TLS/SSL)되는 신용카드 데이터 암호화
- 민감 정보를 저장(DB)·전송(
- 접근 통제
- 카드 데이터 접근 가능한 인원 최소화, 강력한 인증(MFA) 적용
- 모니터링
- 카드 데이터 접근/변경 기록 추적, 이상 접근 탐지
PCI DSS Account Data
계정 정보 Account Data
- 계정 정보
| 계정 데이터(Account Data) | |
|---|---|
| 카드 소유자 데이터(Cardholder Data) | 민감한 인증 데이터(Sensitive Authentication Data) |
| 카드 번호 (PAN) | 전체 트랙 데이터 (Full Track Data) |
| 카드 소유자 이름 (Cardholder Name) | CVC (Card Verification Code) |
| 유효기간 (Expiration Date) | PINs/PIN blocks |
| 서비스 코드 (Service Code) |
출처 SK 쉴더스, PCI DSS v4.0 재가공
버전 히스토리
PCI DSS는 14년 간 업데이트가 이루어지고 있음
| Date | Version | Description |
|---|---|---|
| October 2010 | 2.0 | Update and implemented changes from v1.2.1. See PCI DSS - Summary of Changes from PCI DSS Version 1.2.1 to 2.0. |
| November 2013 | 3.0 | Update from v2.0. See PCI DSS - Summary of Changes from PCI DSS Version 2.0 to 3.0. |
| April 2015 | 3.1 | Update from PCI DSS v3.0. See PCI DSS - Summary of Changes from PCI DSS Version 3.0 to 3.1 for details of changes. |
| April 2016 | 3.2 | Update from PCI DSS v3.1. See PCI DSS - Summary of Changes from PCI DSS Version 3.1 to 3.2 for details of changes. |
| May 2018 | 3.2.1 | Update from PCI DSS v3.2. See PCI DSS - Summary of Changes from PCI DSS Version 3.2 to 3.2.1 for details of changes. |
| March 2022 | 4.0 | Rename document title to "Payment Card Industry Data Security Standard: Requirements and Testing Procedures." Update from PCI DSS v3.2.1. See PCI DSS - Summary of Changes from PCI DSS Version 3.2.1 to 4.0 for details of changes. |
원칙
A. 정보보호 정책 수립
- 조직의 보안 목표, 책임, 절차를 문서화
- 카드 데이터 처리 시스템을 포함한 모든 환경에 적용
B. 접근 통제 정책
- 카드 데이터 접근 권한은 최소 권한 원칙(Need-to-know)
- 인증 방법: ID/PW + MFA(다중 인증)
- 권한 변경, 사용자 삭제, 접근 로그 기록 포함
C. 암호화 정책
- 카드 데이터 저장/전송 시 강력한 암호화 적용
- 예: AES-256, TLS 1.2 이상 (대부분 1.3 이상 사용 중)
- 키 관리 절차(KMS/HSM) 정의
KSM: Key 관리 서비스. ex:AWS KMSHSM: 하드웨어 키 관리 서비스
D. 보안 운영 정책
- 패치 관리, 취약점 스캔, 백업, 로그 관리 등
- 보안 이벤트 발생 시 대응 절차 포함
E. 교육 및 인식 정책
- 카드 데이터 처리 직원 대상으로 정기 보안 교육
- 사회공학 공격, 피싱 등 보안 위협 인식 강화
- 보이스피싱, 로맨스 스캠 등 Socieal Engineering이 생각보다 많이 발생함.
F. 모니터링 및 감사 정책
- 접근 로그, 변경 기록, 시스템 이벤트 모니터링
- 정기 내부 감사 및 외부 감사 대응 절차 포함
PCI/DSS + AWS
- 접근 정책
- 카드 데이터 DB 접근은 IAM 그룹 “PaymentAdmin”만 허용, MFA 필수
- 암호화 정책
- S3에 저장되는 카드 정보는 SSE-KMS + 키 회전 90일 주기
- 키 회전 : 자동으로 키가 주기적으로 변경
- 보안 운영 정책
- 매월 보안 패치 점검,
CloudTrail로그 180일 보관
- 교육 정책*
- 신입사원 온보딩 시 PCI DSS 보안 교육 필수
온보딩: 조직이나 서비스에 새롭게 합류한 직원 또는 사용자가 빠르게 적응하고 정착할 수 있도록 돕는 전반적인 프로세스
PCI DSS + AWS Security
A. 네트워크 보안 Network Security
- VPC 분리
- 카드 데이터 처리 서버를 별도 VPC 또는 Subnet에 배치
- 외부 인터넷과 내부 네트워크 분리
- AWS WAF -> Application Load Balancer/CloudFront와 연결된다.
- 앞단, 앱 계층Layer7에서 공격 방어
B.Security Group
- 인스턴스 단위 방화벽
- 최소 권한 접근 원칙 적용
| 영역 | AWS 서비스 / 기능 | 구현 포인트 |
|---|---|---|
| 네트워크 | VPC, Security Group, WAF | Subnet 분리, 최소 권한 접근 |
| 데이터 보호 | S3 SSE-KMS, RDS/KMS, TLS | 저장/전송 암호화, MFA Delete |
| 접근 제어 | IAM, Bucket Policy, STS | 최소 권한, MFA, 임시 권한 |
| 모니터링 | CloudTrail, CloudWatch, Config | API 호출/로그 기록, 규정 준수 점검 |
| 운영 | Systems Manager, Inspector, Security Hub | 패치/취약점 관리, 통합 보안 모니터링 |
| 정책/교육 | 문서화 + 직원 교육 | 규정 준수, 감사 대응 |
- 데이터 보호는 데이터 암호화와 연관성이 큼.
AWS 데이터 보호 Data Protection
- S3 / EBS / RDS 암호화
- SSE-KMS (S3) / EBS + KMS / RDS Encryption
- KMS 키 정책: 최소 권한 + 키 회전 주기
- 전송 시 TLS -> 세션 탈취 등 방지
- ALB → EC2, 클라이언트 → ALB HTTPS 적용
- MFA Delete
- S3 버전 관리 객체 삭제 시 MFA 적용
- DSSE-KMS
- S3 에서 가장 보안 강도가 높은 암호화
- 고보안 카드 데이터에 필요 시 이중 계층 암호화
모니터링 & 로깅 Monitoring & Logging
- 접근 기록, 이상 활동 탐지, 감사(audit)
- Cloudtrail
- 모든 API 호출 기록
- 로그 > S3 버킷 저장 + KMS 암호화
- Cloudwatch
- 시스템, 애플리케이션 로그 수집
- Alarm 설정
Systems Manager Patch Manager
- EC2/OS 패티를 자동화 :
CVE를 참조하거나, 취약성이 있는 패키지 버전 자동 업데이트 - AWS Inspector
- 취약점 스캔
AWS 인시던트 대응
Incident 대응에는 6가지 단계로 실행:
| 단계 | AWS 서비스 | 활용 포인트 |
|---|---|---|
| 탐지 | GuardDuty, Macie, Security Hub | 악성 활동, 민감 데이터 노출 탐지 |
| 분석 | CloudTrail, CloudWatch, VPC Flow Logs | 리소스 접근 로그 추적, 이벤트 분석 |
| 격리 | Security Group, NACL, IAM | 공격 리소스 격리, 계정 비활성화 |
| 제거 | Systems Manager, Inspector | 패치, 취약점 제거, 악성코드 제거 |
| 복구 | S3/EC2 백업, RDS 스냅샷 | 안전한 백업 복원, 정상 서비스 재개 |
| 사후 | AWS Config, Security Hub | 규정 준수 점검, 정책 개선 |
- 인시던트: 시스템, 네트워크, 데이터에서 발생한 보안 사건
- 예: 계정 탈취, DDoS 공격, 데이터 유출, 악성코드 감염
- 인시던트 대응(Incident Response, IR)
- 대응 툴: CloudWatch, CloudTrail, ETC
- 이벤트 추적, 로깅
- EC2/RDS
SnapShot기반으로 백업 복원 / 정상 서비스 재개