카드 사용률이 증가한 요즘 카드 소유자의 정보가 유출될 경우 소유자뿐만 아니라 가맹점의 피해도 간과할 수 없기 때문에 각별히 주의를 기울여야 한다. 오늘 이시간에는 PCI DSS에 부합되는 중요한 요구조건 중 하나인 추적 데이터 (tracking data)의 중요성과 보관 방법에 대해 알아보겠다.

카드 가맹점은 카드 소유자의 데이터나 네트웍 정보에 접속하는 모든 프로그램에 대해 모니터링을 해야 하며 해킹이 이루어졌을 경우 누가 언제 어떠한 방법으로 접속했으며 어떠한 자료에 접속했는지를 알아보기 위해 사용자들의 사용 정보에 대해 추적 데이터 즉 로그 데이터를 보관하는 것은 아주 중요하다.

로그 데이터를 보관하기 위해서는 컴퓨터가 이에 맞게 시스템이 설치 되어 있어야 하며 시스템에 접근한 사람과 방법 그리고 한 행위, 시간과 날짜가 필요하며 접근 성공과 실패의 기록 또한 필요하다. 로그 데이터의 보관기간 또한 중요하며 PCI DSS의 규칙에 따르면 적어도 1년은 보관해야 하며 온라인 상으로 3개월까지 볼 수 있어야 한다.

해커들은 자신의 접속 증거를 없애기 위해 로그 데이터를 변경시키거나 없애려 하기 때문에 로그 데이터는 관리하는 사람에게만 접속을 허용하고 위험을 인지할 수 있는 소프트웨어를 사용하여경고 없이는 로그 데이터를 변경할 수 없도록 미리 방지해야 하겠다. 또한 모든 시스템의 로그 데이터가 해커의 침입이 있을 때 빠른 시일 내에 감지할 수 있도록 자동화 하고 하루에 한 번씩 확인하는 시간을 가져야 하겠다.

지금까지 보안에 필요한 많은 규칙을 썼음에도 불구하고 비자와 매스터에서는 끊임없이 보안규정을 요구하고 있다. 하지만 무엇보다 중요한 것은 요구하는 규정을 지켜 카드 정보유출을 예방해야 한다. 자세한 사항은 해당 카드 프로세싱 회사나 뱅크카드 서비스로 문의하면 알 수 있다.

패트릭 홍
<뱅크카드 서비스>

(213)365-1122