PCI DSS

누가 PCI DSS를 준수해야 하나요?

PCI 데이터 보안 표준(PCI DSS)의 목표는 처리, 저장 또는 전송되는 모든 곳에서 카드 소유자 데이터(CHD)와 민감한 인증 데이터(SAD)를 보호하는 것입니다. 결제 보안을 유지하는 것은 카드 소유자 데이터를 저장, 처리 또는 전송하는 모든 조직에 필수입니다.

PCI 보안 표준에는 다음과 같은 기술 및 운영 요구 사항이 포함되어 있습니다:

• 결제 거래를 수락하거나 처리하는 조직
• 해당 거래에 사용되는 애플리케이션 및 장치의 소프트웨어 개발자 및 제조업체

2018년 5월에 출시된 PCI 3.2.1은 해당 조직이 준수해야 하는 현재 버전입니다.

규정 준수 검증은 연간 또는 분기별로 조직의 판매자 등급 지정에 적합한 방법으로 수행되며, 이는 연간 처리되는 신용 카드 거래량에 따라 결정됩니다.

PCI 판매자 수준 및 감사 및 보고 요구 사항 요약

아래 표는 PCI 판매자 레벨, 각 레벨에서 일반적으로 사용되는 일반적인 결제 아키텍처, 해당 PCI 감사 및 보고 요구 사항에 대한 개요를 제공합니다. 참고: 신용카드 회사마다 판매자 수준 벤치마크에 미묘한 차이가 있으므로 해당 PCI 자문 및 QSA 파트너와 상담하여 조직에 적용되는 요구 사항을 정확하게 평가하는 것이 좋습니다. 

PCI DSS의 12가지 요구 사항

PCI DSS 3.2.1에는 6개의 목표, 12개의 요구 사항, 78개의 기본 요구 사항, 400개 이상의 테스트 절차가 포함되어 있습니다. 아래 표에는 PCI DSS의 목표와 관련 요구사항이 요약되어 있습니다. 하위 요구 사항 및 테스트에 대한 자세한 내용은 PCI DSS 참조 가이드를 검토하시기 바랍니다.

PCI 미준수로 인한 잠재적 리스크

PCI DSS는 12년 이상 시행되어 왔지만, 많은 조직이 감사 과정에서 계속해서 심각한 부정적 결과를 마주하고 있습니다. 또한 소수의 조직은 최근 PCI 감사를 통과한 후에도 데이터 유출을 경험했다고 계속 보고하고 있습니다. 여기서 중요한 점은 규정 준수가 반드시 데이터와 애플리케이션의 보안을 의미하는 것은 아니라는 점입니다. 규정 준수는 기본으로 간주되어야 하며, 조직은 규정 준수 의무에 반드시 포함되지 않는 위협 벡터를 식별하고 완화하는 데에도 집중해야 합니다.

이는 가장 일반적인 PCI 규정 준수 과제입니다:

1. PCI 감사 범위를 관리하고 비용을 통제해야 합니다. PCI 보안 위원회는 범위 지정 및 네트워크 세분화에 대한 가이드를 발표했습니다. 이 문서는 해당 조직이 CDE(카드 소지자 데이터 환경) 구성 요소, PCI 연결 및 PCI 보안에 영향을 미치는 시스템, 범위를 벗어난 구성 요소를 식별하는 데 도움이 되는 프레임워크를 제공합니다. 안타깝게도 데이터 센터 환경과 결제 아키텍처의 점점 더 역동적이고 복잡해지는 특성으로 인해 많은 조직에서 범위 지정 및 세분화 프레임워크를 실행하는 것은 어려운 일입니다. 정적, 특정 시점 데이터 및 네트워크 흐름 맵에 의존하여 PCI 구성 요소 인벤토리를 채우고 유지하는 것은 일관성 없는 IT 변경 및 방화벽 변경 관리 관행과 함께 스코핑 및 세분화 오류로 이어져 PCI 평가 실패와 감사 비용 증가를 초래합니다.
2. PCI 보안 규정 준수 및 세분화 태세를 지속적으로 유지할 수 없습니다. PCI 보안 표준은 조직이 PCI 세분화 태세를 지속적으로 유지하고 PCI 요구 사항 및 기본 요구 사항을 지속적으로 준수하도록 요구합니다. 동적이고 복잡한 데이터 센터 및 결제 아키텍처와 보안 프로세스 및 IT 운영 전반에 걸친 잘못된 조정이 결합되어 보안 및 제어 공백이 발생합니다. IT 관행의 결과, PCI 구성 요소는 동일한 영역, VLAN 또는 서브넷 내에서 CDE에 대한 트래픽을 제한하는 추가 제어 없이 비 PCI 구성 요소와 함께 혼용되는 경우가 많습니다. 경우에 따라 IT 변경 관리, 리소스 프로비저닝, 방화벽 변경 관리 프로세스 간의 단절로 인해 범위 내 PCI 연결 시스템의 잘못된 인벤토리와 방화벽 규칙이 잘못 구성되는 경우가 있습니다. 취약성 관리 및 패치 관리 프로세스가 부실하면 조직이 PCI 보안 태세를 지속적으로 유지할 수 없습니다. Verizon 결제 보안 보고서에서는 결제 보안 트렌드와 조직이 지속적으로 경험하는 중요한 보안 문제에 대한 자세한 검토를 제공합니다. Verizon은 2010년부터 매년 이 보고서를 발행하고 있습니다. 2020년 보고서에서 저자는 다음과 같은 PCI 요구사항이 통제 격차가 가장 심하다고 결론지었습니다:
3. Req 11. 보안 시스템 및 프로세스 테스트
4. 요구 사항 5. 악성 소프트웨어로부터 보호
5. 요구 사항 10. 액세스 추적 및 모니터링
6. 요구 사항 12. 보안 관리
7. 요구 사항 8. 액세스 인증
8. 요구 사항 1. 방화벽 구성 설치 및 유지 관리
9. 플랫 네트워크 보유. 놀랍게도 오늘날 많은 조직이 플랫 네트워크를 계속 사용하고 있는데, 그 이유는 플랫 네트워크가 설계가 간단하고 운영 및 유지 관리가 쉽기 때문입니다. 그러나 플랫 네트워크는 환경의 모든 것(PCI에 연결되지 않은 구성 요소 및 비-CDE 구성 요소 포함)이 PCI의 범위 내에 있다는 것을 의미하므로 PCI 감사 비용이 높아집니다. 플랫 네트워크는 또한 악의적인 공격자가 단일 호스트를 성공적으로 침해할 수 있다면 네트워크를 쉽게 통과하여 결제 애플리케이션과 카드 소유자 데이터베이스에 액세스할 수 있음을 의미합니다.
10. 원격 근무 운영 모델로 안전하게 전환해야 합니다. 조직은 모든 원격 근무 운영 모델로 전환함에 따라 이러한 변화가 PCI 환경의 범위에 어떤 영향을 미치는지, CDE에 대한 합법적인 트래픽을 제어하기 위해 구현해야 하는 추가 제어는 무엇인지 평가해야 합니다. 예를 들어 직원 노트북에서 결제 애플리케이션에 대한 권한 있는 관리자의 합법적인 원격 액세스 보안, 원격 고객 지원 및 청구 보안, 인터넷에 연결된 비접촉식 키오스크와 데이터 센터 애플리케이션 간의 현장 비접촉식 보안 연결이 있습니다.

PCI 데이터 보안 표준의 공통 구현 과제는 무엇인가요?

워크로드, 사용자, 디바이스, 연결 및 흐름에 대한 실시간 가시성이 중요합니다:

• PCI 환경의 범위가 최신 상태이고 정확한지 확인하는 것은 세분화 및 방화벽 규칙이 올바르게 적용되고 있음을 의미합니다.
• 의무화된 분기별 내부 취약점 스캔에 중요한 정보를 제공하고 이 정보를 사용하여 취약점과 관련된 잠재적인 측면 공격 경로를 매핑합니다.
• 잠재적 공격의 지표가 될 수 있는 워크로드, 장치, 사용자, 연결, 연결 시도 실패 등의 변화가 있는지 PCI 환경을 지속적으로 모니터링합니다.
• PCI 규정 준수 요구사항에 반드시 포함되지 않는 공격 표면 및 위협 벡터의 변화를 식별합니다.

효과적인 PCI DSS 규정 준수에 있어 실시간 가시성의 중요성

• 실시간 가시성은 PCI 범위에 속하는 CDE, PCI 연결 시스템, PCI 보안에 영향을 미치는 시스템의 모든 연결을 지속적으로 모니터링하여 PCI 범위의 정확성을 보장하는 데 도움이 됩니다. 그런 다음 조직은 호스트 기반 마이크로 세분화를 적용하여 해당 방화벽 규칙을 적용하여 PCI 환경에 대한 인바운드 및 아웃바운드 트래픽을 '허용' 또는 '합법적'인 트래픽으로만 제한할 수 있습니다. (요구 사항 1)
• PCI 환경을 효과적이고 정확하게 세분화하여 지속적으로 유지하면 PCI 감사 비용을 관리하는 데 도움이 됩니다.
• 잘못 구성되거나 오래된 방화벽 규칙을 제거하면 해당 조직이 잠재적인 데이터 유출에 노출되는 것을 완화할 수 있습니다.
• IT 자동화 도구(예: Chef, Puppet, Ansible, Terraform)와의 통합을 활용하여 워크로드 리소스 프로비저닝 및 프로덕션 환경으로의 릴리스와 동시에 세분화 정책이 프로비저닝되도록 하세요.
• 실시간 가시성은 조직이 원격 근무로 전환할 때 PCI 범위에 대한 변경 사항을 평가하는 데 도움이 됩니다. 이를 통해 조직은 중요한 제어 격차와 잠재적인 공격 경로를 식별할 수 있습니다. 그런 다음 조직은 호스트 기반 마이크로 세분화를 적용하여 재택 기기에서 원격 사용자의 노트북으로의 P2P 연결을 제한하고 사용자와 데이터 센터 애플리케이션 간의 연결을 제어할 수 있습니다.
• 네트워킹 환경을 재설계하지 않고도 여러 VLAN, 영역 및 서브넷에 흩어져 있는 인증된 PCI 워크로드, 사용자 및 장치 간의 연결을 제어하고 IT 운영 변경 사항을 따라잡을 수 있습니다.
• 클라우드 네이티브 및 그린필드 환경에서 조직은 컨테이너 오케스트레이션 플랫폼과의 통합을 활용하여 워크로드가 생성될 때 '세분화 정책'을 프로비저닝할 수 있습니다.
• 조직은 PCI 규정 준수 요구 사항을 직접 충족하는 것 외에도 마이크로 세분화를 적용하여 공격 표면을 줄이고 측면 이동을 차단하며 랜섬웨어의 빠른 전파를 억제할 수 있습니다.

호스트 기반 마이크로 세분화를 사용하여 PCI 규정 준수 및 사이버 보안 문제 해결

• 실시간 가시성은 PCI 범위에 속하는 CDE, PCI 연결 시스템, PCI 보안에 영향을 미치는 시스템의 모든 연결을 지속적으로 모니터링하여 PCI 범위의 정확성을 보장하는 데 도움이 됩니다. 그런 다음 조직은 호스트 기반 마이크로 세분화를 적용하여 해당 방화벽 규칙을 적용하여 PCI 환경에 대한 인바운드 및 아웃바운드 트래픽을 '허용' 또는 '합법적'인 트래픽으로만 제한할 수 있습니다. (요구 사항 1)
• PCI 환경을 효과적이고 정확하게 세분화하여 지속적으로 유지하면 PCI 감사 비용을 관리하는 데 도움이 됩니다.
• 잘못 구성되거나 오래된 방화벽 규칙을 제거하면 해당 조직이 잠재적인 데이터 유출에 노출되는 것을 완화할 수 있습니다.
• IT 자동화 도구(예: Chef, Puppet, Ansible, Terraform)와의 통합을 활용하여 워크로드 리소스 프로비저닝 및 프로덕션 환경으로의 릴리스와 동시에 세분화 정책이 프로비저닝되도록 하세요.
• 실시간 가시성은 조직이 원격 근무로 전환할 때 PCI 범위에 대한 변경 사항을 평가하는 데 도움이 됩니다. 이를 통해 조직은 중요한 제어 격차와 잠재적인 공격 경로를 식별할 수 있습니다. 그런 다음 조직은 호스트 기반 마이크로 세분화를 적용하여 재택 기기에서 원격 사용자의 노트북으로의 P2P 연결을 제한하고 사용자와 데이터 센터 애플리케이션 간의 연결을 제어할 수 있습니다.
• 네트워킹 환경을 재설계하지 않고도 여러 VLAN, 영역 및 서브넷에 흩어져 있는 인증된 PCI 워크로드, 사용자 및 장치 간의 연결을 제어하고 IT 운영 변경 사항을 따라잡을 수 있습니다.
• 클라우드 네이티브 및 그린필드 환경에서 조직은 컨테이너 오케스트레이션 플랫폼과의 통합을 활용하여 워크로드가 생성될 때 '세분화 정책'을 프로비저닝할 수 있습니다.
• 조직은 PCI 규정 준수 요구 사항을 직접 충족하는 것 외에도 마이크로 세분화를 적용하여 공격 표면을 줄이고 측면 이동을 차단하며 랜섬웨어의 빠른 전파를 억제할 수 있습니다.

Learn more

지금 바로 시작하여 PCI 규정을 준수하고 고객과 회사를 보호하기 위한 단계를 구현하세요.

마이크로 세분화가 PCI DSS 범위를 줄이고 규정 준수를 달성하는 데 어떻게 도움이 되는지 백서( "PCI 규정 준수를 효과적으로 세분화하는 세 가지 단계)에서 자세히 알아보세요."