본문으로 건너뛰기
>_ITDITD웹 보안 플랫폼

용어 사전

PCI DSS란 — 신용카드 정보를 다루기 위한 보안 기준

PCI DSS는 신용카드 정보를 다루는 사업자가 충족해야 하는 국제적인 보안 기준입니다. 누구에게 적용되며, 암호화·접근 제어·모니터링 등 무엇이 요구되는지, 그리고 '애초에 카드 정보를 직접 보유하지 않는다'는 가장 안전한 선택지를 방어 관점에서 해설합니다.

게시 2026-07-04 업데이트 2026-07-04 2분 읽기

PCI DSS는 카드 정보를 다룬다면 피할 수 없는 보안 기준입니다. 여기서는 적용 범위와 요점을, 그리고 「애초에 보유하지 않는다」는 가장 안전한 선택을 방어 관점에서 정리합니다.

무엇이 요구되는가(큰 틀)

개별 기술이라기보다, 「민감 데이터를 최소 범위로·다층으로 지키고 기록한다」는 운용 전체가 평가됩니다.

1

보호한다(암호화·접근 제어)

저장 데이터의 암호화와 키 관리, 통신의 암호화, 그리고 최소 권한의 접근 제어(누가 카드 정보에 접해도 되는지를 좁힌다). 인증과 인가의 사고방식이 토대가 된다.

2

다진다(기본값의 배제·취약점 관리)

기본 비밀번호나 약한 인증 정보를 배제하고, 의존의 취약점(CVE)을 감시하여 패치를 적용한다. 멀웨어 대책도 포함한다.

3

기록한다(로그와 모니터링·정기 점검)

누가·언제·무엇을 했는지의 로그를 남기고 모니터링한다. 정기적으로 스캔·점검하여 기준을 유지한다.

가장 안전한 선택: 적용 범위를 축소한다

본 사이트의 관점: 최고의 방어는 '보유하지 않는 것'

PCI DSS의 요구를 하나씩 충족하는 것은 힘들지만, 가장 효과적인 것은 「애초에 카드 번호를 자신의 시스템에 보유하지 않는다」는 설계입니다. 준수된 결제 대행에 카드 처리를 맡기고, 토큰화된 참조만을 다루면, 자신의 환경의 적용 범위(스코프)가 크게 줄어든다. 본 사이트의 원칙과 마찬가지로, 민감 데이터는 보유하지 않는다·두지 않는다·최소화한다는 것이 규제 대응이면서 동시에 최강의 방어입니다. 카드 정보를 다루는 화면이나 통신도 공개 디렉터리나 로그에 남지 않도록 점검합니다(→ 공개 디렉터리에 비밀을 두지 않는다). 보유하는 데이터가 줄어들수록 감사·암호화의 대상도 줄어, 결과적으로 준수의 부담 자체가 가벼워집니다.

관련된 사고방식

스코프를 넓혀 버린다(힘들다)

  • 직접 DB에 카드 번호를 저장한다
  • 다수의 서버·담당자가 카드 정보에 접할 수 있다
  • 감사·암호화의 대상이 넓어져 부담이 증대

스코프를 줄인다(안전)

  • 카드 처리는 준수된 결제 대행에 맡긴다
  • 자신은 토큰화된 참조만 다룬다
  • 적용 범위가 최소화되어 유출 리스크도 축소

다음에 읽을거리

출처

FAQ

QPCI DSS는 누구에게 적용되나요?
A

신용카드 정보(카드 번호 등)를 저장·처리·전송하는 모든 사업자가 대상입니다. EC 사이트·오프라인 매장·결제를 다루는 SaaS 등이 포함됩니다. 취급 건수에 따라 요구되는 증명의 엄격함은 달라지지만, '소액이니 대상 외'는 아닙니다. 카드 정보에 접하는 시점에서 기준을 의식할 필요가 있습니다.

QPCI DSS에서는 구체적으로 무엇이 요구되나요?
A

큰 틀로는, 네트워크의 보호(방화벽 등), 저장 데이터의 암호화와 키 관리, 기본값·약한 인증 정보의 배제, 최소 권한의 접근 제어, 통신의 암호화, 취약점 관리(패치·멀웨어 대책), 로그와 모니터링, 그리고 정기적인 점검입니다. 개별 기술이라기보다 '민감 데이터를 최소 범위로·다층으로 지키고 기록한다'는 운용 전체가 평가됩니다.

Q준수의 부담을 줄이는 가장 좋은 방법은?
A

'애초에 카드 번호를 자신의 시스템에 보유하지 않는' 것입니다. 준수된 결제 대행 서비스에 카드 처리를 맡기고, 토큰화된 참조만 다루면, 자신의 환경의 적용 범위(스코프)를 크게 축소할 수 있습니다. 보유하지 않는 데이터는 새지 않습니다——이것이 카드 정보에 국한되지 않는, 가장 강력한 방어입니다.