로이스, PCI DSS v4.0 예상 타임라인과 준비 관련 인터뷰 내용 공개

현재 미국 PCI 위원회(이하 PCI SSC)에서는 PCI DSS v4.0 표준에 관하여 관련 산업분야의 전문가 및 이해 관계자들과 함께 심도 있는 검토작업을 수행함과 동시에 향후 발생할 수 있는 다양한 상황들에 대한 연구를 거듭하고 있다.

국내 PCI DSS 인증기관인 로이스(ROIS)는 PCI DSS v4.0 개발 진행상황을 모니터링하는 것과 동시에, 최근 PCI SSC의 Lauren Holloway 이사의 공개 인터뷰 내용을 발빠르게 국내 보안 담당자들에게 제공하고 있는 것으로 전해졌다. 뿐만 아니라 이후 PCISSC에서 공개되는 사항 역시 PCI DSS 준수대상 기업들을 중심으로 신속히 공유할 예정임을 밝혀 주목을 받고 있다. PCI SSC의 Lauren Holloway 이사가 답한 PCI DSS v4.0 표준에 관한 주요 인터뷰 내용은 다음과 같다.



Q. 현재 PCI DSS v4.0의 개발 상황은?

A. 지난 2019년 10월과 11월에 걸쳐 RFC(Request For Comment)를 통하여 접수한 3,000개 이상의 의견과 피드백을 심도 있게 검토하고 있으며, 추가적으로 올해 9월과 10월에도 RFC를 통한 의견수렵을 계획하고 있다. 금번 RFC는 작년 RFC 피드백을 기반으로 개정된 PCI DSS v4.0 초안도 포함될 예정이다.



Q. PCI DSS v4.0의 발표 시점은 언제인가?

A. 최종 버전은 2021년 중반에 발표할 계획이다. 관련 산업분야의 전문가 뿐만 아니라 이해 관계자들의 참여를 장려하고 완성도를 높이기 위해 이전 버전 대비 업데이트 기간이 상당부분 길어진 것으로 볼 수 있다.



Q. 2019년에 수행한 RFC 피드백 분석결과가 제공되는가?

A. PCI DSS v4.0 초안 검토가 완료되면 PCI 포탈을 통해 RFC 참가자들에게 3,000개 이상의 피드백 요약본이 공개될 것이다. 요약본은 각 문의사항에 대한 피드백을 포함하고 있으며 차기 RFC 진행 시 참여자들에게 제공될 예정이다. 더불어 PCISSC 커뮤니티를 통해 분기별로 이해관계자 웹 캐스트와 연말 커뮤니티 미팅을 통해 결정된 사항들을 제공할 예정이다.



Q. SAQ 업데이트 시기와 업데이트에 포함된 것은?

A. 이번 업데이트는 SAQs, ROC, PCI DSS Glossary 등 다양한 PCI 관련 제반문서들 역시 포함된다. PCI DSS v4.0에 맞춰 모든 문서를 연계하기 위한 작업을 진행할 것이며 최종버전 공개 후, 몇 개월 이내에 모든 문서를 공개할 예정이다.



Q. PCI DSS v4.0 발표 후 준수대상 기업에게 주어지는 전환에 필요한기간은 얼마나 되는가?

A. PCI DSS v4.0과 관련된 모든 문서가 공개된 후 전환기간 18개월이 주어진다. 전환기간에는 v3.2.1 과 v4.0 모두 유효하지만 18개월 뒤에는 v4.0만 사용이 가능하다. 하지만 v4.0 공개 이후 6개월간 관련 문서/교육/프로그램 업데이트가 진행될 예정이므로 v3.2.1은 실질적으로 2년 동안 사용이 가능하다. v4.0에서는 전환 기간 외에도 미래 시점(특정일)으로 식별된 새로운 요구사항을 단계적으로 준수하기 위한 추가 기간이 반영된다. 새로운 요구사항은 해당 통제항목의 구현여부를 검증할 필요는 없는 모범사례(Best Practice)로 구성될 예정이다.



Q. PCI DSS v4.0 최종 버전 공개 전에 초안을 공개하는가?

A. v4.0 초안은 PCI SSC 이해 관계자들에게 공유한다. 올해 2차 RFC 시 QSA 회사와 ASV 벤더, RFC 참여자들에게 공개할 것이다.



Q. PCI DSS v4.0 RFC에 참여 가능한가?

A. 모든 조직이 참여할 수 있다. RFC 피드백 외에도 다양한 채널을 통해 참여가 가능하다.



Q. PCI DSS v4.0을 위해 PCI DSS 준수대상 기업들이 현재 할 수 있는 것은?

A. 현재의 RFC버전은 초안이므로 기존 v3.2.1을 충실히 유지하는 것이 향후 v4.0 최종 버전이 공개되었을 때 전환에 도움이 될 것이다.