2024-03-29 14:55 (금)
핀테크, PCI-DSS 규제준수 위한 키 관리 전략
상태바
핀테크, PCI-DSS 규제준수 위한 키 관리 전략
  • 길민권
  • 승인 2015.03.02 08:21
이 기사를 공유합니다

[SFIS 2015] 박종필 세이프넷 이사 “암호화, 강력한 키 관리는 필수”
데일리시큐와 머니투데이가 공동 주최하고 금융위, 금감원 등이 후원한 제3회 SFIS 2015 스마트 금융& 정보보호 페어는 2월 26일 그랑서울 3층 나인트리 컨벤션센터에서 금융위, 금감원, 전국 금융기관 CIO, CISO, 정보보호 실무자, 핀테크 관계자 등 400여 명이 참석한 가운데 성황리 개최됐다.
 
이 자리에서 박종필 세이프넷 이사는 ‘핀테크-PCI-DSS 규제준수를 위한 키 관리 전략’을 주제로 발표를 진행했다.
 
핀테크에 대해 금융보안연구원은 “모바일 결제 및 송금, 개인자신관리 등의 다양한 분야로 발전하였으며, 기존 금융권이 갖고 있던 결제방식의 대안을 제시할 뿐만 아니라 새로운 수익구조를 창출하고 있다”고 설명하고 금융위는 “핀테크는 IT와 금융의 융합을 통해서 전혀 새로운 금융상품 또는 금융서비스를 창출하는 것”이라고 강조했다.
 
특히 금융권 보안 사고가 잇따르면서, 금융당국은 금융권 자율보안 체계 확립을 강조하고 있다. 그래서 금융회사 및 핀테크 업체의 보안인증(PCI-DSS, ISMS 등) 획득 유도, 금융권 보안관리를 전사적 위험관리 전략(Enterprise Risk Management) 차원에서 수행토록 유도하고 있으며 금융권역별 이상거래탐지시스템(FDS) 구축 및 고도화를 지속적으로 독려하고 있는 분위기다.
 
박종필 이사는 “PCI-DSS에는 카드회원 데이터를 보호하고 강력한 접근통제 대책을 적용하라고 명시하고 있다. 여기서 데이터를 보호하라는 것은 데이터 저장을 최소화하고 생성, 전송, 저장시 암호화를 실행하고 강력한 키 관리는 필수”라고 강조했다.
 
그렇다면 강력한 키 관리는 어떻게 해야 하는 것일까. 키 관리에 대해 KISA는 “암호화 시 암호화에 사용된 키를 별도의 안전한 장소에 보관하라”고 권고한다. 행안부 시큐어코딩 가이드를 보면 “암호화에 사용되는 키를 하드코딩하는 경우 유출될 수 있으며 변경이 어렵다”고 경고하고 있다. 또 금보원 가이드를 보면 “키가 유출되는 경우 쉽게 복호화가 가능해 키를 보호하는 것은 암호화 데이터를 보호하는 것 이상으로 중요하다”고 말한다.
 
박 이사는 “데이터 보안을 위해 여러 기관에서도 키 관리의 중요성을 강조하고 있다. PCI-DSS에서도 키 관리를 요구한다. 암호키에 대한 접근제어를 요구하고 키는 암호화 형태로 저장 KEK는 DEK와 분리 저장하고 강력한 암호키 생성, 암호키의 안전한 배포, 암호키의 안전한 저장 방법을 명시하고 있다”고 설명했다.

 
또 그는 KMS(Key Management System)에 대해 “KMS는 대칭키 및 비대칭키 암호화를 사용하는 시스템에서 안전한 키 관리 및 키 생성, 배포, 변경, 폐기 등 키의 생성주기를 관리하는 시스템”이라며 “KMS는 키 활용에 필요한 키 라이프 사이클 매니지먼트 기능 수행이 가능하다. 구성요소로는 HSM(Hardware Security Module)로 키를 안전하게 생성, 저장 및 암호화 연산을 위한 검증된(FIPS 인증 등) 키관리 Appliance 제품이며, Key Management Module은 HSM과 연계해 키의 생명주기를 관리하는 체계를 제공하는 소프트웨어 모듈”이라고 설명했다.
 
세이프넷은 1983년에 설립된 글로벌 정보보안 전문기업으로 고객의 가장 중요하고 민감한 데이터를 보호한다. 세이프넷은 데이터 중심의 접근 방식을 통해 데이터 센터에서 클라우드에 이르는 고가치 정보를 라이프사이클 전반에 걸쳐 보호한다. 전세계 2만5천 이상의 기업 및 정부 고객들이 세이프넷을 통해 중요 데이터를 보호 및 접근하고 위험을 관리하며 규제 준수를 보장하면서 가상 및 클라우드 환경을 보호하고 있다.
 
이번 제3회 SFIS 2015에서 발표된 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★