온라인 상점의 결제 양식 페이지에서 단 하나의 제3자 스크립트라도 실행된다면, 더 이상 가장 단순한 버전의 PCI 준수가 적용될 것이라고 가정할 수 없습니다. PCI DSS v4.0.1 FAQ에 숨겨져 있던 이 한 줄은 2026년에 수십만 명의 소규모 가맹점을 위한 준수 지형을 조용히 재편했습니다. 그리고 많은 가맹점은 카드 매입사가 증거를 요청하기 전까지는 자신이 대응할 수 없는 상태라는 사실을 깨닫지 못할 것입니다.
PCI DSS v4.0.1은 단순한 업데이트가 아닙니다. 64개의 새롭거나 업데이트된 요구사항은 2025년 3월 31일부터 의무화되었으며, 2026년의 모든 평가는 새로운 표준에 따라 수행됩니다. 또한 가장 관대했던 자기 평가 설문서(SAQ)의 자격 요건이 강화되어 아웃소싱 이커머스 업체들을 당혹스럽게 하고 있습니다. 좋은 소식은 명확한 목표와 체크리스트만 있다면 소규모 비즈니스도 여전히 이 표준을 준수할 수 있다는 점입니다. 나쁜 소식은 "Stripe Checkout을 사용하니 괜찮다"는 대답이 더 이상 자동적인 정답이 아니라는 것입니다.
이 가이드에서는 무엇이 변경되었는지, 비즈니스에 실제로 필요한 설문서는 무엇인지, 기존의 SAQ A를 대체한 두 가지 새로운 요구사항(6.4.3 및 11.6.1), 소규모 팀이 흔히 실수하는 인증 규칙, 그리고 이를 제대로 준수하지 않았을 때 발생하는 현실적인 비용에 대해 알아봅니다.
2026년 PCI DSS의 현황
지불 카드 산업 데이터 보안 표준(PCI DSS)은 Visa, Mastercard, American Express, Discover, JCB와 같은 주요 카드 브랜드가 카드 소유자 데이터를 저장, 처리 또는 전송하는 모든 비즈니스에 부과하는 계약상의 규칙입니다. 이는 "정부에 제출"하는 것이 아닙니다. 귀하의 카드 매입사(카드 결제를 가능하게 하는 은행 또는 프로세서)가 가맹점 계약을 통해 이를 강제하며, 문제가 발생했을 때 벌금을 징수하는 주체도 그들입니다.
PCI DSS v4.0은 2022년 3월에 발표되었습니다. 새로운 표준이라기보다 명확화 버전에 가까운 v4.0.1은 2024년 중반에 활성화되었습니다. 전환 기간은 2025년 3월 31일에 종료되었습니다. 해당 날짜 이후로는 유예 기간 없이 51개의 미래 시행 예정 요구사항이 모두 범위에 포함되며, 2026년 중에 수행되는 모든 평가는 v4.0.1을 기준으로 진행됩니다. 더 이상 v3.2.1로 되돌아갈 수 있는 옵션은 없습니다.
12개의 상위 요구사항 그룹은 그대로 유지되며, 6개의 통제 목표로 구성됩니다:
- 안전한 네트워크 구축 및 유지: 방화벽 및 벤더 기본 설정 (요구사항 1~2)
- 카드 소유자 데이터 보호: 저장된 데이터 및 전송 중인 데이터 (요구사항 3~4)
- 취약점 관리 프로그램 유지: 안티 멀웨어 및 보안 개발 (요구사항 5~6)
- 강력한 접근 통제 구현: 업무상 필요에 의한 접근(Need-to-know), 식별, 물리적 접근 (요구사항 7~9)
- 정기적인 네트워크 모니터링 및 테스트: 로깅 및 테스트 (요구사항 10~11)
- 정보 보안 정책 유지: 거버넌스 (요구사항 12)
v4.0.1에서 달라진 점은 범위가 아니라 깊이입니다. 이제 표준은 결제 페이지에서 스크립트가 어떻게 실행되는지, 자체 통제 항목을 얼마나 자주 검토하는지, 관리자를 어떻게 인증하는지, 그리고 회계 담당자가 5년 전에 설정한 비밀번호가 여전히 적절한지 등을 고려할 것을 요구합니다.
가맹점 등급: 대부분의 소규모 비즈니스가 속한 곳
카드 브랜드는 연간 거래량을 기준으로 모든 가맹점을 4개 등급 중 하나로 분류합니다. 등급은 표준 적용 여부가 아니라 준수 여부를 검증하는 방식을 결정합니다.
- Level 1: 연간 600만 건 이상의 카드 거래를 처리하거나, 계정 데이터 유출이 확인된 가맹점. 공인 보안 평가 기관(QSA)의 연례 현장 평가와 분기별 승인된 스캐닝 벤더(ASV) 스캔이 필요합니다.
- Level 2: 연간 100만 건에서 600만 건 사이의 거래. 브랜드에 따라 연례 SAQ 또는 현장 QSA 평가가 필요합니다.
- Level 3: 연간 2만 건에서 100만 건 사이의 이커머스 거래. 연례 SAQ와 분기별 ASV 스캔이 필요합니다.
- Level 4: 연간 2만 건 미만의 이커머스 거래, 또는 모든 채널 합계 100만 건 미만의 거래. 연례 SAQ가 필요하며 대부분의 채널에서 분기별 ASV 스캔이 필요합니다.
온라인 쇼핑몰, SaaS 결제 시스템, 지역 서비스 비즈니스 또는 단일 매장 레스토랑을 운영한다면 거의 확실히 Level 4에 해당합니다. 이는 전 세계 가맹점의 대다수를 차지합니다. 검증 방식은 더 간단하지만, 기본 표준은 동일합니다. 연간 200건을 거래하는 가맹점에서 유출된 카드 번호는 대기업에서 유출된 것과 동일하게 취급됩니다.
자기 평가 설문서(SAQ): 올바른 유형 선택하기
자기 평가 설문서(SAQ)는 Level 2~4 가맹점이 규정 준수를 증명하는 방법입니다. PCI 위원회는 9가지 유형의 SAQ를 운영하고 있으며, 적절한 유형은 결제 데이터가 정확히 어떻게 흐르는지에 따라 달라집니다. 잘못된 SAQ를 선택하는 것은 소규모 가맹점이 저지르는 가장 흔한 실수입니다.
- SAQ A: 카드 소유자 데이터 기능을 PCI DSS 검증을 받은 제3자에게 완전히 아웃소싱하는 이커머스 또는 우편/전화 주문 가맹점. 예전에는 Shopify, Stripe Checkout, PayPal 사용자들에게 "간편 버튼"이었으나, 자격 요건이 강화되었으므로 다음 섹션을 확인하십시오.
- SAQ A-EP: 결제 처리를 부분적으로 아웃소싱하지만 웹사이트가 거래 보안에 여전히 영향을 미치는 이커머스 가맹점 (예: 자체 결제 페이지를 구축하고 결제 API를 호출하는 사이트).
- SAQ B: 임프린트 기기(압인기) 또는 독립형 다이얼 아웃 터미널만 사용하는 가맹점. 인터넷 연결이 카드 데이터와 접촉하지 않습니다.
- SAQ B-IP: 독립형 IP 연결 결제 터미널(대부분의 현대식 카운터 탑 터미널)을 사용하는 가맹점.
- SAQ C-VT: 격리된 워크스테이션의 가상 터미널을 통해 카드 데이터를 입력하는 가맹점.
- SAQ C: 인터넷에 연결된 결제 애플리케이션이 있지만 데이터를 저장하지 않는 가맹점.
- SAQ P2PE: 검증된 종단간 암호화(P2PE) 솔루션을 사용하는 가맹점.
- SAQ D-Merchant: 다른 어떤 SAQ에도 해당하지 않는 가맹점을 위한 종합 유형으로, 가장 분량이 깁니다.
- SAQ D-Service Provider: 자가 평가 자격이 있는 서비스 제공업체용.
각 SAQ는 300개 이상의 통제 항목 중 해당 수락 모델과 관련된 하위 항목만 질문합니다. SAQ A는 질문이 30개 미만이지만, SAQ D-Merchant는 250개가 넘습니다. 노력의 차이가 엄청나기 때문에 가맹점들은 정당한 사유가 있는 한 SAQ A 자격을 얻고자 합니다.
SAQ A 적격성 함정
2026년 소규모 이커머스 가맹점이 이해해야 할 가장 큰 변화는 누가 실제로 SAQ A 자격을 갖추느냐 하는 점입니다. PCI 보안 표준 위원회(PCI Security Standards Council)는 2025년 초에 FAQ 1588을 발표하고 그 기준을 대폭 강화했습니다.
v4.0.1 체제하에서 SAQ A는 귀하의 이커머스 페이지(임베디드 결제 iframe 또는 리다이렉트를 포함하는 페이지 포함)가 결제 환경에 영향을 미칠 수 있는 스크립트 공격에 취약하지 않음을 확인할 수 있는 경우에만 가능합니다. 이는 공격자가 제3자 자바스크립트 라이브러리를 탈취하여, 모든 것을 아웃소싱했다고 믿었던 사이트에서조차 카드 데이터를 유출하는 이른바 "메이지카트(Magecart)" 식의 디지털 스키밍 공격 급증에 대한 대응책입니다.
실무적으로 귀하는 다음 두 가지 방법 중 하나로 이를 충족할 수 있습니다:
- 요구사항 6.4.3 및 11.6.1의 스크립트 보호 조치를 직접 구현합니다. 결제 페이지에 로드되는 모든 스크립트의 인벤토리를 작성하고, 각각을 승인하며, 필요성을 정당화하고, HTTP 헤더나 페이지 콘텐츠가 예기치 않게 변경될 때 경고를 보내는 변경 및 변조 탐지 메커니즘을 배포해야 합니다. 이 메커니즘은 최소 7일마다 또는 표적 리스크 분석을 통해 정당화된 주기에 따라 결제 페이지를 평가해야 합니다.
- 결제 대행사(Processor)로부터 해당 업체의 임베디드 솔루션에 귀하를 대신하여 스크립트 기반 공격에 대한 보호 기능이 내장되어 있다는 서면 확인서를 받습니다.
두 번째 경로는 대부분의 소규모 가맹점이 추구할 방향이지만, 이것이 자동으로 이루어지지는 않습니다. 마케팅 페이지가 아닌, 결제 대행사가 작성한 문서화된 성명서가 필요합니다. Stripe, Adyen, Braintree, Square를 사용하는 많은 가맹점은 해당 대행사가 게시한 증명서를 찾을 수 있겠지만, 일부 소규모 게이트웨이는 그렇지 않을 수 있습니다. 결제 대행사가 서면 확인을 제공할 수 없다면, SAQ A-EP를 수행하거나 통제 조치를 직접 구축해야 합니다.
만약 귀하의 "아웃소싱된" 체크아웃 방식이 분석, A/B 테스팅, 채팅 위젯, 태그 관리자 등 결제 양식에 영향을 줄 수 있는 가맹점 제어 자바스크립트를 하나라도 로드한다면, 결제 대행사의 말과 관계없이 더 이상 SAQ A 자격을 유지하지 못한다는 것이 보수적인 해석입니다.
인증: 소규모 팀을 괴롭히는 두 가지 규칙
어떤 SAQ가 적용되든, v4.0.1의 두 가지 액세스 제어 변경 사항은 거의 모든 소규모 비즈니스의 허를 찌릅니다.
요구사항 8.3.6: 비밀번호는 최소 12자 이상이어야 합니다. 시스템이 8자만 지원하는 경우에는 8자로 유지할 수 있지만, 그 이상의 기능을 지원하는 모든 시스템은 상향 조정되어야 합니다. 비밀번호에는 숫자와 영문자가 모두 포함되어야 합니다. v3.2.1의 이전 기준인 최소 7자 규정은 폐기되었습니다.
요구사항 8.4.2: 카드회원 데이터 환경(CDE) 내의 모든 접근에 대한 다요소 인증(MFA). 이전에는 관리자의 원격 접속에만 MFA가 요구되었습니다. v4.0.1 하에서는 관리자, 개발자, 제3자 지원팀, 그리고 귀하 자신을 포함하여 누구든지 네트워크 외부뿐만 아니라 카드회원 데이터 환경 내의 모든 시스템 구성 요소에 접근할 때마다 MFA가 필요합니다. MFA 자체는 재전송 공격(replay attacks)에 저항력이 있어야 하며, 지식 기반(비밀번호 등), 소유 기반(토큰 등), 존재 기반(생체 인식 등) 중 최소 두 가지 요소를 요구해야 합니다.
소규모 가맹점의 경우, 이를 실무적으로 번역하면 다음과 같습니다: 결제 대행사 포털, 호스팅 제어판, 도메인 등록 기관, DNS 제공업체, 이커머스 관리 페이지, POS 백오피스 및 이러한 시스템에 접속하는 모든 노트북에서 MFA를 활성화하십시오. 인증 앱이나 하드웨어 보안 키를 사용하십시오. SMS 기반 MFA는 표준에서 기술적으로 여전히 허용되지만, 점점 부적절한 것으로 간주되고 있습니다.
표적 리스크 분석: 아마도 필요하게 될 문서
PCI DSS v4.x는 **표적 리스크 분석(Targeted Risk Analysis, TRA)**을 도입했습니다. 이는 특정 통제 조치를 얼마나 자주 수행할지 정당화할 수 있게 해주는 짧고 문서화된 분석입니다. 약 12개의 요구사항이 "엔티티의 표적 리스크 분석에서 정의된 빈도"를 옵션으로 포함하고 있습니다.
요구사항 12.3.1은 TRA에 포함되어야 할 내용을 명시합니다: 보호되는 자산의 식별, 완화되는 위협, 발생 가능성과 영향에 영향을 미치는 요인, 선택된 빈도에 대한 근거 등입니다. PCI 위원회는 표준의 부록 E2에 템플릿을 게시하고 있습니다.
레벨 4 가맹점의 경우, 이는 대개 통제 항목당 한 페이지 분량의 문서입니다. 피해야 할 실수는 이를 완전히 생략하는 것입니다. 심사기관이나 매입사(Acquirer)가 왜 결제 페이지의 변조 여부를 7일이 아닌 30일마다 스캔하는지 묻는다면, "그 정도면 충분하다고 생각했다"는 용납되지 않는 답변입니다. 대신 "여기 2026년 1월 14일자로 소유자가 서명한 당사의 TRA가 있습니다"라고 답해야 합니다.
v4.0의 **맞춤형 접근 방식(Customized approach)**은 멀리하십시오. 이는 전담 보안 팀을 보유한 리스크 성숙도가 높은 기업을 위한 것입니다. 소규모 가맹점에게는 명시적인 체크리스트가 포함된 **정의된 접근 방식(Defined approach)**이 더 빠르고, 저렴하며, 방어하기 쉽습니다.
비준수의 실제 비용
소규모 가맹점들은 벌금이 실제로 부과되기 전까지는 가상적인 것으로 느끼기 때문에 재무적 노출 위험을 과소평가합니다. 매입사 일정과 업계 보고서에서 수집된 수치들은 상당히 심각합니다.
일상적인 비준수(SAQ 제출 누락, 만료된 ASV 스캔 등)는 일반적으로 매입사로부터 월 5,000달러에서 10,000달러 사이의 월간 벌금을 발생시킵니다. 36개월간 비준수 상태가 지속되면 이러한 과태료는 보통 월 25,00050,000달러로 인상되며, 고질적인 위반은 월 50,000~100,000달러 이상에 달할 수 있습니다. 또한 매입사는 거래당 처리 수수료를 인상하거나 가맹점 계정을 해지할 수도 있는데, 이는 종종 벌금보다 더 큰 타격을 줍니다.
확인된 보안 사고(데이터 유출)는 차원이 다른 문제입니다. 카드 브랜드는 유출된 레코드당 약 50~90달러의 위약금을 부과하며, 여기에 의무적인 포렌식 조사 비용(15,000달러 이상), 브랜드가 가맹점에 전가하는 카드 재발급 수수료, 사기 거래에 대한 차지백 비용이 추가됩니다. 업계 연구에 따르면 중소규모 가맹점의 결제 카드 보안 사고 총비용은 평균 15만 달러에서 300만 달러에 달하며, 대규모 사고의 경우 수백만 달러에 이릅니다. 레벨 4 가맹점의 연간 준수 비용은 약 3,000달러 정도일 수 있지만, 단 한 번의 사고가 10년 치 이익을 날려버릴 수 있습니다.
주 정부 법률과 FTC 또한 가세합니다. 통지 비용, 변호사 수임료, 집단 소송 노출 및 규제 기관의 후속 조치는 일상적으로 카드 브랜드 벌금 자체를 초과합니다.
소규모 가맹점을 위한 실질적인 2026년 규정 준수 체크리스트
전체적으로 보면 이 표준은 위협적이지만, 일반적인 소규모 이커머스 또는 서비스 가맹점의 체크리스트는 유한합니다. 다음 순서대로 작업을 진행하세요.
- 매입사(Acquirer)로부터 가맹점 등급을 서면으로 확인받으세요. 등급은 전 세계 공통이 아니라 매입사와의 관계별로 지정됩니다.
- 카드 소유자 데이터 흐름을 지도화(Map)하세요. 카드 데이터가 어디로 유입되고, 어디로 이동하며, 어디서 나가는지 보여주는 다이어그램을 그리세요. 카드 데이터가 서버에 저장되는 순간, 관리 범위는 엄청나게 확장됩니다.
- 올바른 SAQ(자가 진단 설문서)를 선택하세요. 각 옵션을 주의 깊게 읽으세요. SAQ A를 주장하는 이커머스 가맹점이라면 FAQ 1588을 통해 자격 요건을 확인하세요.
- 결제 처리업체(Payment processor)로부터 임베디드 솔루션의 스크립트 공격 보호에 대한 서면 확인서를 받으세요. 이를 규정 준수 기록과 함께 보관하세요.
- 결제 페이지의 모든 스크립트를 목록화하세요. 처리업체의 확인을 받을 수 없다면 요구사항 6.4.3(승인된 스크립트) 및 11.6.1(변조 탐지)을 구현할 준비를 하세요.
- 관리자가 결제 시스템에 접속할 수 있는 모든 곳에 MFA(다요소 인증)를 활성화하세요. SMS가 아닌 인증 앱을 사용하세요.
- 비밀번호를 숫자와 문자가 혼합된 12자 이상으로 강화하세요.
- SAQ에서 요구하는 경우(대부분의 인터넷 연결 시스템에 해당), 분기별 ASV 스캔을 예약하세요.
- 주기를 직접 설정하는 모든 제어 항목에 대해 타겟팅된 위험 분석을 문서화하세요.
- 정보 보안 정책을 작성하세요 (요구사항 12). 허용 가능한 사용, 침해 사고 대응 연락처, 연간 검토 일정을 포함한 간단한 한 페이지 분량의 문서만으로도 소규모 가맹점의 기본 요건을 충족합니다.
- 결제를 취급하는 모든 직원을 대상으로 매년 교육을 실시하세요. 서명 명부나 이러닝 기록을 보관하세요.
- **SAQ 및 준수 증명서(Attestation of Compliance)**를 일정에 맞춰 매입사에 제출하세요. 달력에 표시해 두세요.
이 정도 수준의 세부 사항이라도, 집중적인 주말 작업과 ASV 스캔을 위한 수백 달러의 비용이면 대부분의 소규모 가맹점은 해결할 수 있습니다.
장부 정리가 규정 준수와 연결되는 방식
PCI 규정 준수는 단순한 보안 연습이 아닙니다. 이는 직접적인 회계적 결과를 초래합니다. 규정 준수 비용(SAQ 도구, ASV 스캔, MFA 하드웨어, 변조 탐지 서비스), 규정 준수 상태에 따라 달라지는 처리 수수료, 그리고 모든 벌금이나 복구 비용은 장부에 기록됩니다. 침해 사고로 인한 수익 영향도 마찬가지입니다. 차지백(Chargebacks), 환불, 매입사가 청구하는 재발급 수수료, 사고 대응 중 발생한 매출 손실 등이 모두 포함됩니다.
처리업체, 보안 도구, 규정 준수 서비스별로 세분화하여 모든 결제 관련 비용에 대해 깔끔한 라인 아이템(line-item) 장부 정리를 유지하면 세 가지 측면에서 이점이 있습니다. 첫째, 규정 준수 투자가 이루어지고 있음을 증명합니다(매입사나 보험사가 요청할 때 유용함). 둘째, 각 결제 채널의 실제 비용을 드러내어 처리 수수료 협상에 도움이 됩니다. 마지막으로, 침해 사고가 발생할 경우 포렌식 회계사가 보험 보상을 위해 피해 규모를 정량화할 수 있는 깨끗한 흔적을 제공합니다.
규정 준수 기록을 감사 준비 상태로 유지하세요
매입사의 설문조사, 사이버 보험 인수심사원, 또는 사고 후 포렌식 회계사에게 대응할 때, PCI 이벤트를 잘 극복하는 가맹점은 장부와 기록이 명확한 이야기를 들려주는 가맹점입니다. Beancount.io는 텍스트 기반의 버전 관리형 회계를 제공하여 모든 결제 처리 수수료, 보안 도구 및 규정 준수 비용에 대한 투명하고 타임스탬프가 찍힌 추적 경로를 제공합니다. 블랙박스나 벤더 종속성이 없으며 AI 지원 금융 시대에 적합합니다. 무료로 시작하여 규정 준수 업무를 철저한 검증을 견뎌낼 수 있는 장부 정리와 결합해 보세요.