📍PCI DSS란 무엇인가요?
PCI DSS(Payment Card Industry Data Security Standard)는 신용카드 정보의 보안을 유지하기 위해 카드 결제 시스템을 운영하는 모든 기업이 따라야 하는 글로벌 보안 표준을 의미합니다.
비자, 마스터카드, 아메리칸 익스프레스 등 6개 주요 글로벌 카드사가 신용카드 정보과 결제 데이터를 안전하게 보호하기 위해 수립한 국제 데이터 보안표준이라고 할 수 있는데요. 신용카드 부정 사용과 정보유출을 방지하며 안전한 결제환경을 검증하는 금융 특화 인증으로 평가받고 있습니다.
📍PCI DSS, 왜 준수해야 하나요?
이제 카드 결제 시스템을 운영하는 기업에게 PCI DSS 준수는 '선택이 아닌 필수' 입니다. PCI DSS를 준수하지 않는 경우, 다양한 위험과 비용이 발생할 수 있는데요.
예컨대, 규정을 준수하지 않는 기업은 거래 수수료가 인상될 수 있으며 결제 네트워크가 카드 결제 서비스를 제한하거나 중단할 수 있습니다. 또한 데이터 유출 사고가 발생했을 때도 문제가 되는데요. 법적 책임과 막대한 배상 비용을 감수해야 하며 기업의 평판에도 심각한 타격을 입게 됩니다.
따라서 PCI DSS 준수는 단순히 보안 표준을 따르는 것 이상의 의미가 있으며, 이를 통해 기업은 안전한 결제 환경을 제공하고 고객의 신뢰를 유지하며, 데이터 유출로 인한 법적 리스크와 경제적 손실을 최소화할 수 있습니다.
📍PCI DSS v3.2.1? PCI DSS v4.0?
PCI DSS v4.0은 2023년 3월에 발표된 최신 표준으로 기술 발전과 사이버 위협 증가에 대응하기 위해 이전 버전(3.2.1)보다 더 강화된 보안 요건을 반영하고 있습니다.
현대의 사이버 공격이 더욱 정교해지고 빈번해짐에 따라, 기업은 실시간으로 대응할 수 있는 보안 체계를 필요로 하게 되었습니다. 이에 따라 PCI DSS v4.0은 지속적인 보안 모니터링과 자동화된 대응의 중요성을 강조합니다.
PCI DSS v4.0의 주요 특징 중 하나는 실시간 보안 모니터링과 자동화된 보안 솔루션이 요구 사항에 포함된 점입니다. 기존의 보안 점검은 주기적인 검사와 수동적 대응이 중심이었지만, PCI DSS v4.0에서는 지속적인 보안 감시와 즉각적인 대응을 통한 더 신속하고 강력한 보호를 요구합니다. 이 요건을 준수함으로써 기업은 새로운 보안 위협에도 빠르게 적응하고 대응할 수 있습니다.
🔔 2025년 4월 1일부터는 PCI DSS v4.0 준수만 인정 !
2025년 4월 1일부터는 모든 기업이 PCI DSS v4.0을 완전히 준수해야 합니다. 이 시점 이후로는 PCI DSS v3.2.1을 사용할 수 없으며, 기업들은 4.0 버전의 요구 사항을 충족하기 위해 시스템을 개선하고 보안 체계를 강화해야 합니다.
📍파이오링크 웹방화벽은 PCI DSS v4.0 준수를 어떻게 지원하나요?
PCI DSS v4.0에서는 기존 요구사항 6.4.1에 따라 선택 사항이었던 웹 보안 솔루션의 도입이 요구사항 6.4.2 항목의 신설로 의무화가 되었습니다.
파이오링크 WEBFRONT-K는 웹 환경에서 발생하는 최신 보안 위협을 대응하는 웹 애플리케이션 및 API 보호 솔루션(WAAP)으로서 고객의 PCI DSS v4.0 준수를 도와주는 역할을 수행합니다.
📍주요 항목
다음은 WEBFRONT-K가 준수하고 충족하는 주요 항목입니다.
|
요구사항 6.4 (외부 공개 웹 애플리케이션 보호)
|
|
✅ WEBFRONT-K는 다양한 탐지 기술과 보안 엔진을 통해 웹 트래픽 및 API를 보호하는 WAF/WAAP로서 외부에 공개된 웹 애플리케이션에 대한 자동화된 보호 기능을 제공합니다. ✅ OWASP Security Top 10 및 OWASP API Security Top 10과 같은 취약점을 방어하며 웹 변조 방지 기능을 통해 브라우저에 로드되는 각 스크립트의 무결성을 보장합니다. |
|
요구사항 7.2 (시스템 구성 요소와 적절한 데이터 접근 정의)
|
|
✅ WEBFRONT-K는 사용자 관리 기능을 통해 사용자의 역할에 따라 System 그룹, Application 그룹, Monitor 그룹으로 차등 권한을 부여할 수 있습니다. ✅ GUI/API 사용자, Shell 사용자, DB 사용자 등으로 구분하여 관리되며, 이 모든 권한 부여 는 admin 권한을 가진 관리자가 승인하고 통제합니다. |
|
요구사항 8.2 (사용자 식별 및 관련 계정에 대한 엄격한 전체 수명 주기 관리)
|
|
✅ WEBFRONT-K는 사용자들에게 개별 계정을 할당하고, 관리자가 계정을 관리합니다. ✅ 미사용 계정은 주기 설정 및 비활성화 기능을 통해 자동으로 비활성화되며, 지정된 IP 주소에서만 접근이 가능하도록 설정할 수 있습니다. ✅ 로그인 유지시간 설정으로 사용자가 일정 시간 이상 유휴 상태일 경우 자동으로 로그아웃되도록 하여 재인증을 요구합니다. |
|
요구사항 8.3 (사용자 및 관리자에 대한 강력한 인증 설정 관리)
요구사항 8.4 (다중 인증(MFA) 시스템 구성) |
|
✅ WEBFRONT-K는 패스워드와 구글 OTP를 통한 MFA를 지원하여 인증된 사용자만 접근이 가능합니다. ✅ 사용자 계정 정보는 암호화된 상태로 저장되며, 패스워드 변경 시 추가 인증을 요구하여 보안성을 강화합니다. ✅ 패스워드는 영문, 숫자, 특수 문자를 포함해 최소 12자 이상으로 설정되며, 최근 사용된 패스워드는 재사용할 수 없도록 관리합니다. |
|
요구사항 10 (시스템 구성 요소와 데이터에 대한 모든 접근을 기록하고 모니터링)
|
|
✅ WEBFRONT-K는 보안 로그, 감사 로그, 접근 로그를 실시간으로 저장하고, 자동 백업 기능을 통해 로그를 안전하게 관리합니다. ✅ 로그는 최대 60개월까지 보관 가능하며, 시간 동기화 기능을 통해 로그 발생 시간이 정확하게 기록되도록 합니다. ✅ 메일 알람 기능을 통해 시스템 장애나 긴급 보안 이벤트 발생 시 관리자에게 신속하게 전파하여 대응할 수 있습니다. |
📍PCI DSS v4.0 평가 항목 및 충족 여부
|
PCI DSS v4.0 평가 항목
|
충족
|
|
6.3.1 보안 취약점은 다음과 같이 식별되고 관리됩니다.
|
O
|
|
6.3.2 맞춤형 소프트웨어 및 맞춤형 소프트웨어에 통합된 타사 소프트웨어 구성 요소의 인벤토리가 유지되어,
취약점 관리 및 패치 관리를 용이하게 합니다. |
O
|
|
6.3.3 모든 시스템 구성 요소는 다음과 같이 관련 보안 패치/업데이트를 설치하여 알려진 취약점으로부터
보호됩니다. |
O
|
|
6.4.1 외부 공개 웹 애플리케이션의 경우, 새로운 위협 및 취약점이 지속적으로 처리되고, 다음과 같이 알려진
공격으로부터 이들 애플리케이션이 보호됩니다. |
O
|
|
6.4.2 외부 공개 웹 애플리케이션의 경우, 최소한 다음과 같은 기능을 갖춘 자동화된 기술 솔루션이 배포되어 지속
적으로 웹 기반 공격을 탐지하고 방지합니다. |
O
|
|
6.4.3 소비자의 브라우저에서 로드되고 실행되는 모든 결제 페이지 스크립트는 다음과 같이 관리됩니다.
|
O
|
|
7.2.1 접근 제어 모델이 정의되고 다음과 같은 접근 권한을 부여합니다.
|
O
|
|
7.2.2 접근은 다음 사항에 따라 사용자, 특히 권한이 있는 사용자에게 할당됩니다.
|
O
|
|
7.2.3 요구되는 권한은 승인된 인력에 의해 승인됩니다.
|
O
|
|
7.2.5 모든 응용 프로그램 및 시스템 계정과 관련된 접근 권한은 다음과 같이 할당되고 관리됩니다.
|
O
|
|
7.2.6 저장된 카드 소유자 데이터의 쿼리 저장소에 대한 모든 사용자 접근은 다음과 같이 제한됩니다.
|
O
|
|
8.2.1 모든 사용자는 시스템 구성 요소 또는 카드 소유자 데이터에 접근하기 전에 고유 ID가 할당됩니다.
|
O
|
|
8.2.5 해지된 사용자의 접근 권한은 즉시 철회됩니다.
|
O
|
|
8.2.6 비활성 사용자 계정은 90일 이상의 비활동 기간이 지나면 제거되거나 비활성화됩니다.
|
O
|
|
8.2.7 원격 접근을 통해 시스템 구성 요소에 접근, 지원 또는 유지 관리하는 제3자가 사용하는 계정은 다음과
같이 관리됩니다. |
O
|
|
8.2.8 사용자가 15분 이상 유휴 상태인 경우, 터미널이나 세션을 다시 활성화하려면 재인증이 필요합니다.
|
O
|
|
8.3.1 시스템 구성 요소에 대한 모든 사용자와 관리자의 액세스는 다음 인증 요소 중 적어도 하나를 통해 인증
됩니다. |
O
|
|
8.3.2 강력한 암호화를 사용하여 모든 인증 요소가 전송 및 저장 중에 읽을 수 없도록 처리됩니다.
|
O
|
|
8.3.3 모든 인증 요소를 수정하기 전에 사용자의 신원을 확인합니다.
|
O
|
|
8.3.4 인증 시도가 잘못될 경우 다음과 같은 제한이 적용됩니다.
|
O
|
|
8.3.6 비밀번호 또는 암호구를 인증 요소로 사용하는 경우, 다음 최소 복잡성을 충족해야 합니다.
|
O
|
|
8.3.7 사용자는 마지막에 사용된 4개의 비밀번호 또는 암호구와 동일한 새 비밀번호/암호구를 제출할 수 없습니다.
|
O
|
|
8.3.9 비밀번호/암호구가 사용자 액세스에 유일한 인증 요소로 사용되는 경우(즉, 단일 요소 인증 구현에서)
|
O
|
|
8.3.11 보안 토큰, 스마트 카드 또는 인증서와 같은 인증 요소가 사용되는 경우
|
O
|
|
8.4.1 CDE(카드 데이터 환경)에 대한 비콘솔 접근에 대해 관리자 접근 권한을 가진 모든 인원에 대해 MFA가
구현됩니다. |
O
|
|
8.4.2 모든 CDE 접근에 대해 MFA가 구현됩니다.
|
O
|
|
10.2.1 모든 시스템 구성 요소와 카드 소유자 데이터를 위한 감사 로그가 활성화되어 있습니다.
|
O
|
|
10.2.1.1 감사 로그는 카드 소유자 데이터에 대한 모든 개별 사용자 접근을 기록합니다.
|
O
|
|
10.2.1.2 감사 로그는 관리자 접근 권한을 가진 모든 개인이 수행한 모든 행동을 기록하며, 여기에는 애플리케이션
또는 시스템 계정의 상호 작용적 사용도 포함됩니다. |
O
|
|
10.2.1.3 감사 로그는 감사 로그에 대한 모든 접근을 기록합니다.
|
O
|
|
10.2.1.4 감사 로그는 모든 잘못된 논리적 접근 시도를 기록합니다.
|
O
|
|
10.2.1.5 감사 로그는 다음을 포함한 신원 확인 및 인증 자격 증명에 대한 모든 변경 사항을 기록합니다.
|
O
|
|
10.2.1.6 감사 로그는 다음을 기록합니다.
|
O
|
|
10.2.1.7 감사 로그는 시스템 레벨 객체의 모든 생성 및 삭제를 기록합니다.
|
O
|
|
10.2.2 감사 로그는 각 감사 가능한 이벤트에 대해 다음과 같은 세부 사항을 기록합니다.
|
O
|
|
10.5.1 감사 로그 기록은 최소 12개월 동안 보존되며, 가장 최근 3개월의 기록은 즉시 분석할 수 있도록 준비되어
있어야 합니다. |
O
|
|
10.6.1 시스템 클록과 시간이 시간 동기화 기술을 사용하여 동기화됩니다.
|
O
|
|
10.7.2 중요한 보안 제어 시스템의 장애는 신속하게 감지되어 경고 처리되며, 다음과 같은 중요한 보안 제어
시스템의 장애를 포함합니다. |
O
|
'제품·서비스 > 웹방화벽(WAAP)' 카테고리의 다른 글
| 웹방화벽 + 보안관제를 한번에! 보안관제 포함 완전관리형 웬방화벽 I 파이오링크 SECaaS (0) | 2024.11.04 |
|---|---|
| 보안 제품의 클라우드 이전, 어렵고 까다롭다? 이젠 쉽고 간편하게! (0) | 2024.04.16 |
| API 보안과 파이오링크 WAAP / 2023 OWASP Security API top 10 (0) | 2023.08.25 |
| 웹·API보안 / WAAP 네이버클라우드 웨비나 신청하세요! (0) | 2023.08.16 |
| API 보호도 역시 파이오링크! OWASP API 취약점, 파이오링크 WAAP로 대비하세요! (0) | 2023.08.07 |
