Last Updated on 11월 22nd, 2024, By
 In 앱실링 블로그

전 세계 모바일 결제 시장은 2024년까지 3조 달러에 달할 것으로 예상됩니다. 2012년에 미국인 중 단 20%가 모바일 결제를 이용했으며(출처: eMarketer) 전 세계 인구 중 13억 1천만 명은 2023년까지 모바일 결제 앱을 사용할 것으로 예상됩니다(출처: Merchant Savvy). 다양한 분야에서 모바일 앱을 사용하는 소비자가 늘어나고 있으며 모든 거래나 구매 행위에 있어 결제는 핵심이라 할 수 있습니다. 동시에 범죄율도 폭증하는 추세입니다. Gallup 조사에 따르면 응답자 중 71%는 개인정보나 금융정보 침해에 대해 걱정하고 있었습니다. 즉 결제 애플리케이션의 보안이 중요합니다. PA DSS는 간단히 말해 현재 가장 중요한 결제 애플리케이션 보안 표준 중 하나입니다.

PA DSS

‘결제 애플리케이션 데이터 보안 표준’의 약자인 PA DSS는 결제 애플리케이션 벤더의 전 세계적 보안 표준이며 카드 인증코드(CAV2, CVC2, CVV2, CID), PIN, 마그네틱 스트라이프(magnetic stripe) 등 보안 데이터의 저장을 방지하는 데 초점을 맞추고 소프트웨어 벤더들이 안전한 결제 애플리케이션을 개발하는 역량을 갖추는 것이 목표입니다. 관련 애플리케이션을 개발, 생산, 판매, 유통하는 기업과 결제 인증 및 확정을 맡는 서드파티 기업들 모두 DA PSS를 준수해야 합니다. 

PA DSS의 범위

PA DSS는 결제 애플리케이션을 개발 또는 판매하는 기업에게 적용됩니다. 구체적 범위는 아래와 같습니다.

  • 승인, 확정, 입출력 오류 파악, 파일 인터페이스와 접속, 시스템, 데이터 흐름, 암호화 기법, 인증 방식 등 다양한 기능 
  • 고객 및 리셀러와 통합 서비스 기업에 제공하는 준수, 실행, 통합 환경에 대한 의무적 지원 (벤더가 구체적인 설정을 제어할 수 없거나 고객의 단독 책임인 경우라도 지원을 제공해야 함)
  • 해당 애플리케이션 버전에 대해 선택한 플랫폼 일체
  • 애플리케이션이 보고나 기록에 이용하는 도구 일체
  • 서드파티 요건 및 의존성을 비롯하여 소프트웨어 구성요소와 관련된 애플리케이션 일체
  • 해당 애플리케이션의 설치 완료에 필요한 기타 애플리케이션 일체
  • 벤더의 버전 관리 방법

PCI DSS vs PA DSS

PA DSS와 PCI DSS(결제 카드 산업 데이터 보안 표준) 모두 PCI SSC(결제 카드 산업 데이터 보안 위원회)의 표준입니다. PCI DSS는 카드 소유주의 데이터를 저장, 처리 또는 전송하는 기업들에게 적용됩니다. 한편 PA DSS는 결제 애플리케이션을 개발, 판매, 유통하는 기업들을 대상으로 합니다. 이를테면 한 기업이 자체 사용을 위한 애플리케이션을 개발한다면 PCI DSS가 적용됩니다. 하지만 이 애플리케이션을 외부에서도 사용하게 되면 PA DSS가 적용됩니다. PA DSS는 PCI DSS와 별개로 작동합니다. 

PCI SSC는 마스터카드, 비자, 디스커버, 아메리칸 익스프레스, JCB 등 5개 유명 신용카드 브랜드로 구성된 업계 단체입니다. 금융기관, 데이터 처리 기업, 소프트웨어 개발사, 결제업체 등이 이에 참여합니다. 보안 표준은 정기적으로 최신화되며 요건을 공유하여 회원사들의 준수를 촉진합니다. 

PA DSS 준수

데이터를 지키려면 특정한 지침을 준수해야 합니다. 이 준수가 의무화된 자는 절대로 카드의 마그네틱 스트라이프나 카드 검증코드(CVC) 및 PIN을 저장할 수 없습니다. 또한 상세 활동 기록을 관리하고 신뢰성 높은 크리덴셜 시스템을 시행하며 보안 무선 전송이 가능해야 합니다. 애플리케이션은 정기적으로 시험하고 일정에 따라 업그레이드하며 상세한 문서화가 이루어져야 합니다.

이러한 준수는 아래와 같은 과정으로 진행됩니다.

1단계 – 간극 분석:

철저한 검토를 실시하여 각 상황을 검증합니다. 침투 시험을 통해 보안 결함을 파악합니다. 공격 상황을 모사하여 시스템을 시험합니다.

2단계 – 최종 검증:

감사를 실시하고 준수 보고서를 작성합니다. 

PA DSS 요건

PA DSS에 따르면 기업들은 아래 사항을 준수해야 합니다.

  1. PIN, CVV/CVC, 마그네틱 스트라이프 등의 데이터를 저장하지 않습니다.
  2. 카드 소유주의 데이터는 안전하게 저장합니다.
  3. 보안 인증을 사용합니다.
  4. 활동 기록을 관리, 추적합니다.
  5. 결제용 보안 애플리케이션을 개발합니다.
  6. 무선 전송 데이터를 보호합니다.
  7. 지속적으로 취약점을 파악하고 시스템을 정기적으로 업데이트합니다.
  8. 보안이 강력한 네트워크를 구성합니다.
  9. 인터넷에 연결된 서버에 데이터를 저장하지 않습니다.
  10. 애플리케이션에 대한 원격 접근 시에는 보안 네트워크를 이용합니다.
  11. 민감성 데이터를 전송할 시에는 암호화합니다.
  12. 콘솔 외의 관리자 접근 시에는 보안 네트워크를 이용합니다.
  13. 고객, 리셀러, 통합 서비스 기업에 대한 PA DSS 준수 관련 지침과 지시 등 문서를 엄격하게 관리합니다. 
  14. 인원에게 책임을 부여하고 정기적으로 교육을 실시합니다.

앱실링(AppSealing)이 PA DSS 준수에 대해 제공할 수 있는 도움

앱실링(AppSealing)은 모바일 애플리케이션 보안을 선도하는 기업으로 경험이 풍부한 인원과 뛰어난 솔루션을 통해 귀사의 애플리케이션에 존재하는 취약점을 찾아내고 제거하도록 도와드립니다. 당사의 런타임 애플리케이션 자가보호(RASP) 제품은 실시간으로 위협을 파악할 수 있으므로 귀사는 완전한 PA DSS 준수 상태를 유지할 수 있습니다. 최근 출시한 데이터 암호화 솔루션은 모든 공격 벡터를 막아내는 세계 최강의 암호화 표준인 AES 256 암호화에 기반한 화이트박스 알고리즘을 이용합니다. 이러한 보호 기능은 Android 자산/자원 런타임 암호화 키, API 키, 인증 토큰, 민감성 데이터, 게이밍 자원 등을 지켜 드립니다. 위협이 시스템에 진입하는 즉시 차단할 수 있으므로 항상 공격자들보다 한 걸음 앞설 수 있습니다. 보안 관련 통계 데이터와 인사이트도 필요 시 바로 이용할 수 있으며 신속하게 결제 애플리케이션을 안전하게 만들 수 있습니다. 

당사의 솔루션은 외부적 관점에서 위험을 줄이고 애플리케이션을 지켜 드리므로 귀사의 고객들은 최상의 신뢰감을 가지고 귀사와 거래할 수 있습니다. 악성코드 삽입도 데이터 암호화로 원천 봉쇄하며 중간자 공격도 불가능하게 만듭니다. 그뿐 아니라 최신 보안 규정을 반영합니다. 편리한 기능과 직관적 실시간 대시보드를 통해 기업들은 자신의 모바일 애플리케이션을 위한 보안 전략을 100% 투명하게 파악할 수 있습니다. 보안은 앱실링에게 맡기고 귀사는 고객 관리와 우수한 제품 개발에 초점을 맞추시면 됩니다. 지금 바로 문의하세요.

Dustin Hong
Dustin Hong
Dustin은 잉카엔트웍스의 앱실링 비즈니스 개발을 이끌고 있습니다. 그는 사이버 보안, IT, 컨텐츠 및 애플리케이션 보안 분야의 소프트웨어 개발과 혁신에 많은 관심을 가지고 있습니다. 또한 사이버 보안 세계에서 주요 사건의 대상, 이유 및 방법에 대해 다양한 사람들에게 공유하고 토론하는 것을 좋아합니다. 업계 동향 및 모범 사례에 대한 그의 견해는 기사, 백서에 실려있으며, 여러 보안 행사에서 유사 주제로 발표를 하였습니다.