PCI DSS v4.0: 증가하는 스크립트 모니터링 및 관리의 요구사항 충족
PCI DSS란?
PCI DSS(Payment Card Industry Data Security Standard)는 결제 카드 계좌 데이터 보안을 권장 및 강화하고 전 세계적으로 일관성 있는 데이터 보안 조치의 광범위한 채택을 촉진하기 위해 개발되었습니다.
결제 카드 산업 표준은 온라인 결제를 수용하는 모든 비즈니스에 가장 중요한 컴플라이언스 규정 중 하나이며, 4년 전에 마지막으로 업데이트되었습니다. PCI 표준은 신용카드 데이터를 사기와 오용으로부터 보호하기 위해 개발되었습니다. 이 표준들은 카드 소유자 데이터를 저장, 처리 또는 전송하는 모든 가맹점 또는 기업에 적용됩니다.
PCI DSS v4.0의 큰 차이점은 무엇일까요?
PCI DSS의 주요 개정(v4.0)은 2022년 3월에 발표되었습니다. 규정 준수를 원하는 고객에게는 판도를 완전히 바꾸는 새로운 표준과 권장 사항이 있습니다. 이러한 표준에는 Akamai Page Integrity Manager의 핵심 기능인 브라우저 스크립트의 모니터링 및 관리 필요성이 포함됩니다.
또한 PCI DSS v4.0은 디지털 커머스 공급업체가 JavaScript 기반의 카드 스키밍 공격에 대한 방어를 강화해야 한다는 새로운 요구사항을 추가했습니다. 이에 따라 결제 페이지의 클라이언트 측 보안은 그 어느 때보다 중대한 사안이 되었습니다.
필수 사항이 된 스크립트 모니터링
아직 새로운 요구사항이 적용되지 않았습니다(2025년이 기한). 그러나 Magecart 공격이 산발적으로 이어지게 되면 스크립트 행동 변화의 모니터링과 관리는 고객들이 단순히 관심을 가지는 수준이 아니라, 매일 필요한 요구사항이 될 것입니다.
Client-Side Protection & Compliance는 PCI DSS v4.0 컴플라이언스의 새로운 요구사항을 충족하므로 당사 고객들에게 한층 더 필수 제품으로 인식될 것입니다.
다음 표는 곧 적용될 일부 변경 사항의 개요를 소개하고 Client-Side Protection & Compliance가 이런 변경 사항을 어떻게 반영할지 설명합니다.
Client-Side Protection & Compliance가 PCI DSS v4.0 컴플라이언스를 지원하는 방법
PCI DSS v4.0 섹션 |
요구사항 |
Client-Side Protection & Compliance의지원 방식 |
|---|---|---|
6.4.3 |
각 스트립트의 권한 여부를 확인하는 방법을 구축합니다. |
Client-Side Protection & Compliance는 이벤트를 트리거하거나 스크립트 인텔리전스를 사용하여 사전에 정의된 특정 권한 동작을 모니터링함으로써 스크립트별 권한 여부를 확인하는 다양한 옵션을 제공합니다. |
6.4.3 |
각 스크립트의 무결성을 보장하기 위한 방법을 구축합니다. |
Client-Side Protection & Compliance는 이벤트를 트리거하거나 스크립트 인텔리전스를 사용하여 특정 사전 정의 권한 동작을 모니터링함으로써 각 스크립트의 무결성을 확인하는 다양한 옵션을 제공합니다. |
6.4.3 |
스크립트별 필요성에 대한 서면 근거를 통해 모든 스크립트의 인벤토리를 유지합니다. |
Client-Side Protection & Compliance의 스크립트 인텔리전스는 기본적으로 고객의 스크립트 인벤토리를 수집하고, 분석하고, 기록하여 고객이 ‘스크립트별 필요성에 대한 서면 근거’ 작업을 처리하는 데 도움을 줍니다.
|
11.6 |
결제 페이지의 무단 변경 사항을 탐지하고 대응합니다. 이커머스 스키밍 코드나 기법은 적시에 알림이 생성되지 않으면 소비자 브라우저에서 받은 대로 결제 페이지에 추가될 수 없습니다. 즉시 알림이 생성되지 않으면 결제 페이지에서 스키밍 방지 조치를 제거할 수 없습니다. |
Client-Side Protection & Compliance가 웹 스키밍과 Magecart 공격으로부터 웹사이트를 보호하고 즉시 실행할 수 있는 알림을 제공하므로 보안팀은 스크립트 기반의 위협을 신속히 파악하고 차단할 수 있습니다. |
이제 어떤 조치를 취해야 할까요?
바로 지금 귀사의 사이트에서 스크립트를 모니터링하고 관리하는 기존의 기능들을 평가하세요. 요구사항은 단순히 주기적인 점검이 아니라 지속적인 모니터링을 위한 것임에 유의하세요. 또한 정당성 문서를 구성할 수 있도록 귀사의 사이트에 스크립트의 인벤토리와 그 역할을 반드시 기재하시기 바랍니다.
Client-Side Protection & Compliance와 새로운 요구사항을 충족하는 지원 방식에 대해 자세히 알아보려면 Akamai 담당자에게 문의하거나 info@akamai.com으로 이메일을 보내주세요.
