By Dave Anderson, senior manager, product marketing, Arcsight
SC MaginaeIT Defense Magazine, December 05, 2007

PCI는 상인들(merchant)이 실제로 PCI 요건에 부합할 수 있는 방법에 관해 강력한 지침을 제공함으로서, PCI 데이터 보안 표준(DSS)은 다른 보안 표준과 비교할 때 고 유한 표준이다. PCI 이내에서 설명된 세부내용은 회사들이 강력한 보안 및 컴플라 이언스 환경을 만드는 기회를 제공한다. 그러나, 많은 도전 과제들이 PCI 표준의 정 확한 해석을 충족하는 기술을 구현하려는 시도들에 존재하고 있다. 각 회사들은 그 들 고유의 일련의 과제들을 가지는 반면, 모든 회사들에는 민감한 데이터가 보호되 고 있다는 것을 확신하도록 정형적인 보안과 컴플라이언스 방법을 구현함으로서, 극복해야 하는 일반적인 이슈들이 있다.

비즈니스 과제들
민감한 데이터로의 외부 위협들이 점점 더욱 조직화됨으로써, 데이터는 언제 어디 서든 노출되어질 수 있다. PCI에 의하면, 회사들은 고객 정보를 보호하기 위해 적절 한 수단을 취하고 있다는 ‘due diligence(충분한 주의)’ 를 보여주어야 한다.

회사의 내부 위험들 또한 증가하고 있다. 많은 내부 자원들이 오늘날 고객 데이터 에 상당한 접근을 할 수 있고, ‘ 알아야 할 필요성’에 근거한 적절한 비즈니스를 하 는 오직 인가받은 개인들만이, 많은 조직들에게 상당한 과제를 안겨주는 고객 데이 터에 접근하고 사용할 수 있다는 것을 확신하고 있다. 사업체들은 예전보다 더욱 다 양한 고객의 상호작용 지점을 지원하기 위해 고객 데이터를 사용한다: 마케팅, 세일 즈, 그리고 운영. 이러한 경향은 데이터 침해의 위험을 증가시켰다. 분명하게도, 보 안 및 규정 요건을 충족하면서 고객 데이터를 효과적으로 사용하는 회사들은 경쟁 자들로부터 명확한 우위를 점령할 수 있다.

기술 과제들
많은 상인들은 수많은 상점 위치들을 통과하고 웹으로 널리 분산된 네트워크를 가 지고 있다.이러한 구조들과의 큰 과제는 어느 시스템이 PCI의 영역에 있는지를 식 별하는 것이고, 그런 후에 이러한 시스템들을 통과하여 생성되는 모든 데이터를 통 합적으로 그리고 비용효과적으로 캡쳐하고 관리하는 최고의 방법을 선택해야 한 다. PCI 규정을 충족하기 위해, 회사들은 효과적으로 100퍼센트의 로그 데이터를 수 집하고 관리해야 한다.
네트워크 트래픽 관리과 원거리 사이트 관리 또한 상인들에게 커다란 과제들이다. 비용이 드는 네트워크 대역폭을 가진 상인들은 다양한 상점 환경을 아울러 복제되 고 더해질 수 있는 구성들의 일반적인 정의들을 지원할 뿐만 아니라, 대역폭 통제, 중요한 이벤트 로그들의 배치와 우선순위를 제공하는 솔루션이 필요하다.

회사들은 PCI를 사용하여 어떻게 보안을 개선할 수 있나?
역사적으로, 회사들은 어플리케이션, POS 장치, 데이터베이스, 그리고 레거시 어플 리케이션 같은 시스템으로부터의 이벤트 소스들을 수집하거나 분석하지 않았다. 그 러나, PCI는 전체 카드 데이터 통로가 안전하게 확보되도록 이러한 부가적인 시스 템들을 통과하는 이벤트들을 수집, 분석 그리고 관리하도록 한다.

모든 로그를 항상 수집
PCI는 카드 소유자 데이터를 저장, 프로세스 또는 전송하는 모든 단일 IT장치 또는 시스템에 영향을 미친다. 100 퍼센트의 데이터 캡쳐가 회사의 정보 자산을 보호하 기 위해 요구된다. 이는 IT환경에서의 모든 IT 장비들과 보안 시스템들을 포함하기 때문에, 정보자산의 완전한 영역은 빠르게 확대될 수 있었다.

이들 범위에 속하는 시스템들 중 다수가 거래의 시작점에 놓여있지 않다. 이 시스템 들은 전체 네트워크를 통해 퍼져 있고, 공급망과 파트너 업무, 은행 그리고 금융 업 무, 콜센터 지원, 창고 업무를 지원하는 소매 지점에서는 온라인 오프라인 시스템 둘 다를 포함한다. 이들 새로운 로그 수집 요건들은 회사들이 그들의 전체 IT 인프라 에 걸쳐 이러한 유형들의 이벤트를 빠르게, 끊김없이 수집하고 분석하는 솔루션을 구현하도록 만들었다.

사용자 활동 모니터링
사용자 실수 또는 악의적인 행동 때문임을 막론하고, 고용인들, 비즈니스 파트너 들, 계약자들 그리고 컨설턴트들은 카드소유자 데이터 보안에 상당한 위협이 된다. 모든 PCI 시스템들 그리고 어플리케이션을 통과하는 전형적인 사용자 행위를 추적 및 모니터링하고, 비정상적인 행위가 발생했을 때 정상적인 행위와 대비하는 것은 인가받은 사용자들이 권한받은 방식대로 행동하고 있는 지를 확신하고 침해 보호 를 위해 필요시 된다.

많은 회사들은 네트워크로의 입구에서 단순히 사용자들을 관리하는 것이 충분하지 않다는 것을 알고 있다; 좋은 사람들이 좋은 일을 계속 할 수 있도록 하기 위해 그들 은 전체 네트워크를 통하여 사용자 활동을 추적하고 모니터 해야 한다. 이는 또한 개인들이 종종 PCI의 범위에 속하는 다양한 시스템과 어플리케이션에 걸쳐 다양한 사용자명과 ID를 가지고 있기 때문에 개인들이 가지는 모든 ID와 역할을 추적하고 모니터링하는 것을 뜻한다.

위험을 우선순위화
회사들은 어떻게 적절히 전체 위험을 식별하고 측정하는 가에 대해 오랫동안 애써 왔다. 일반적으로 IT 배후에서 비즈니스 프로세스까지의 관련은 거의 없었고, 심지 어 IT와 비즈니스 전역의 위험들이 종종 잘못 이해되어졌고, 통합되지도 않았고 또 는 더 심각하게는 무질서를 이루었다. IT의 컴플라이언스 목적은 역사적으로 각 위 반 또는 사고가 발생하면 그것들을 처리하는 것들이었다. 그러나, 많은 조직들은 현 재 IT와 비즈니스 간의 전략적 제휴를 가지고 있다. IT는 이제 비즈니스에 상당한 영 향을 미칠 수 있는 위험들만을 다루고 교정하는 것에 집중하고 있다. 이 통합 접근 법은 전체 비즈니스가 훨씬 효과적으로 위험을 관리하고 가장 큰 영향을 미치는 영 역으로의 자원과 투자를 할당하도록 돕는다.

보안과 컴플라이언스로의 best practice 접근법
PCI의 가장 큰 만족 중의 하나는 컴플라이언스가 실제 표준 이내에서 한정되는 것 이다. SOX, ISO17799와 같은 다른, 더 유명한 표준들은 회사들이 보안과 컴플라이언 스를 위해 해야할 것이 무엇인가에 주시하는 반면, PCI는 조직들이 실제로 요건들 에 부합할 수 있는 방법에 관해 구체적인 세부사항을 제공한다. 선도 기업들은 모 든 규정과 컴플라이언스 요건을 충족하기 위해 필요한 인프라, 정책 그리고 절차들 을 배치하기 위한 가이드로서 PCI를 사용하고 있다.

Advantage는? Best practice 방법론을 구현한 조직들은 PCI 뿐만 아니라, 그들의 규 정적 환경을 통틀어 적절한 due diligence(충분한 주의)와 신용상 책임감을 보여주 고 있다. 그들의 모든 규정요건을 위한 로그 수집, 통합, 모니터링, 그리고 리포팅 과정에 있어, 이 best practice 접근법은 감사 커뮤니티에서 널리 수용되는 조직들 이 일련의 일반 프로세스들, 정책들 그리고 통제들을 수립하도록 한다.

요약
비즈니스들은 오늘날의 역동적인 규정 환경에 있는 많은 과제들에 직면한다. 전체 규정들을 관리하기 위해 어떤 시스템들이 포함되는 지를 결정하는 것에서부터, 회 사들은 이러한 과제들에 대해 새로운 접근법을 취함으로써, 그들의 전체 보안 관리 와 컴플라이언스 방법학을 둘러싼 더욱 강력하고 선행적인 지점을 달성하는 것을 깨달았다. 회사들은 카드소유자의 데이터와 민감한 고객 정보를 잘 보호하도록 도 와주는 강력한 프로세스와 통제들을 구현하기 위해 가장 큰 동인으로서, PCI를 사 용한다. PCI는 또한 회사 전체 조직을 통틀어 그들의 보안과 컴플라이언스 상태를 극적으로 개선하도록 돕는다. 그리고 보안이 결국 모든 규정의 주요 목적이 아니겠는가?