Client-Side Protection & Compliance: 위협 방어, PCI DSS v4 충족 지원
자바스크립트는 최신 웹 개발의 기본 기술입니다. 오늘날 동적 웹 애플리케이션과 웹사이트의 98% 이상이 인터랙티브, 동적 콘텐츠 로딩, 향상된 사용자 경험을 위해 자바스크립트를 사용합니다. 자바스크립트는 또한 애널리틱스, 광고, 소셜 미디어 연결 등의 기능을 제공해 반응형 웹 디자인과 써드파티 통합을 지원합니다.
확장된 공격 환경
자바스크립트는 필수적인 툴이 되었지만, 새로운 보안 리스크도 존재합니다. 분산된 클라이언트 측 실행과 써드파티에 의존적인 공급망으로 인해 자바스크립트는 기업이 모니터링하고 관리하기가 매우 어렵습니다. 공격자들은 스크립트의 취약점을 악용해 브라우저에서 웹사이트에 유해한 코드를 삽입함으로써 이러한 사각지대를 이용하고 있습니다. 이후 공격자는 최종 사용자로부터 결제 카드 데이터를 포함한 민감한 정보를 수집하고 유출할 수 있습니다.
이러한 공격은 웹 스키밍, Magecart폼재킹 등을 통해 이루어지며, 지난 몇 년 동안 더욱 정교해져 기업에 치명적인 결과를 초래할 수 있습니다. 피해자는 고객 신뢰도 하락, 비즈니스 가동 중단, 매출 손실은 물론 규제에 따른 막대한 벌금에 직면하게 됩니다.
새로운 클라이언트 측 자바스크립트 보안 요건
이러한 영향력에도 불구하고 클라이언트 측 공격 방지는 대부분의 기업에서 보안에 중점을 두지 않았으며 많은 웹사이트가 보호되지 않은 상태로 남아 있습니다. 브라우저에서 결제 데이터를 보호하기 위해 결제 카드 업계의 데이터 보안 표준은 2022년 3월에 발표된 최신 버전의 PCI DSS(버전 4.0)에 새로운 클라이언트 측 자바스크립트 보안 요건을 도입했습니다.
온라인에서 결제 카드 데이터를 처리하는 모든 기업은 규정을 준수하려면 사이트에서 어떤 스크립트가 실행되고 있는지, 해당 스크립트가 언제 변경되는지, 해당 스크립트가 어떤 작업을 수행하는지 파악해야 합니다. PCI DSS v4.0은 2025년 3월에 전면 시행되므로,기업이 이러한 요건을 충족할 수 있는 시간이 얼마 남지 않았습니다.
Akamai Client-Side Protection & Compliance 소개
Akamai Client-Side Protection & Compliance는 웹사이트를 자바스크립트 위협으로부터 방어하고 PCI DSS v4.0에 명시된 새로운 자바스크립트 보안 요건(6.4.3 및 11.6.1)을 쉽게 컴플라이언스할 수 있도록 설계된 웹 애플리케이션 보안 솔루션입니다.
Client-Side Protection & Compliance는 최종 사용자의 브라우저에서 실행되어 보호된 웹 페이지에서 클라이언트 측 자바스크립트 실행을 모니터링합니다. 스크립트에 행동 변화가 나타나면 머신 러닝 기술이 무단 행동이나 부적절한 행동의 리스크를 평가해 보안 팀이 조사할 수 있도록 실시간 알림을 트리거합니다.
사용자는 클릭 한 번으로 잠재적인 위협을 방어해 악성 자바스크립트가 결제 카드 데이터를 비롯한 민감한 최종 사용자 정보에 접속하고 유출하지 못하도록 제한할 수 있습니다.
주요 기능 활용
민감한 데이터 유출 방지
사이버 범죄자는 다양한 기술을 사용해 브라우저에서 민감한 최종 사용자 데이터를 훔치고 유출합니다. Akamai Client-Side Protection & Compliance는 실제 사용자 세션을 측정하여 스크립트 동작을 분석함으로써 가장 정교한 공격으로부터 효과적으로 방어할 수 있도록 설계되었습니다. 의심스러운 활동이 탐지되면 보안팀에 즉각적인 알림과 함께 상세한 인사이트를 제공해 신속하게 대응하고 방어할 수 있도록 지원합니다.
전용 PCI DSS v4.0 컴플라이언스 지원
Client-Side Protection & Compliance는 기업이 PCI DSS v4.0의 요건 6.4.3 및 11.6.1을 충족할 수 있도록 광범위한 지원을 제공합니다. 결제 페이지의 스크립트를 자동으로 추적하고 인벤토리를 생성해 스크립트의 무결성과 권한 부여를 보장합니다. 보안팀은 사전 정의된 정당성 및 자동화된 룰을 통해 결제 페이지에서 실행되는 스크립트의 목적을 쉽게 정당화할 수 있습니다.
또한 HTTP 헤더의 변경 사항과 결제 페이지 보호 기능을 모니터링해 페이지 변조를 방어합니다. 포괄적인 대시보드와 전용 PCI 알림을 통해 컴플라이언스 관련 이벤트에 신속하게 대응하고 감사 근거를 쉽게 제공할 수 있습니다.
자바스크립트의 위협에 대한 광범위한 가시성
이러한 WAF(Web Application Firewall)에 대한 일반적인 오해 에는 WAF가 클라이언트 측 공격을 보호한다는 것이 있습니다. 하지만 WAF는 서버 측 트래픽을 분석하기 때문에, 최종 사용자의 브라우저에서 발생하는 공격을 탐지하거나 방어할 수 없습니다. Akamai Client-Side Protection & Compliance는 웹사이트의 클라이언트 측 공격표면에 대한 탁월한 가시성을 제공함으로써 WAF를 보완합니다. 스크립트 실행 동작을 추적하고, CVE(Common Vulnerabilities and Exposure)를 탐지하고, 각 스크립트의 도달 범위와 영향을 평가합니다.
또한 Client-Side Protection & Compliance는 스크립트가 접속하는 데이터와 잠재적 위협에 대한 인텔리전스를 제공해 사각지대를 없애고 포괄적인 보호를 보장합니다. Client-Side Protection & Compliance는 업계를 선도하는 Akamai App & API Protector와결합해 서버 측 위협과 클라이언트 측 위협에 대한 종합적인 방어 기능을 제공합니다.
클라이언트 측 보호
Client-side Protection & Compliance는 CDN에 구애받지 않는 솔루션으로, Akamai Connected Cloud 내부나 외부에 배포할 수 있으며 추가적인 Akamai 보안 솔루션이 필요하지 않습니다. 복잡한 웹사이트와 단일 페이지 애플리케이션에서 작동하며 페이지 성능에 큰 영향을 미치지 않습니다. 기업은 신속한 설정을 통해 자바스크립트 위협으로부터 즉시 보호하고 PCI DSS v4.0 컴플라이언스 워크플로우를 간소화할 수 있습니다.
확인하기
직접 Akamai Client-Side Protection & Compliance 를 알아보고 테스트하세요.
