블로그

PCI DSS 4.0.1 업데이트: 고객 결제 프로세서에 필요한 주요 신규 API 보안 업그레이드

이안 디노 썸네일
이안 디노
2024년 8월 30일 게시

최신 PCI DSS(Payment Card Industry Data Security Standard) 4.0.1 업데이트는 API와 클라이언트 측 스크립트를 포함한 소프트웨어 공급망에 더 큰 중점을 두는 중요한 업데이트입니다.

PCI DSS 3.2.1이 종료됨에 따라 결제를 처리하는 조직은 최신 마이크로서비스 기반 애플리케이션, 멀티클라우드 환경 및 API 구현 증가의 변화하는 환경에 적응해야 합니다.

이 블로그 게시물에서는 거의 모든 산업과 조직의 거래에 필수적이 된 API를 보호하기 위해 특별히 도입된 PCI DSS 4.0.1의 몇 가지 중요한 새로운 요구 사항을 살펴봅니다.

새로운 임무는 다음과 같습니다.

  • 배포 전 테스트 6.2.3: 이는 출시 전에 API를 포함한 맞춤형 소프트웨어에 대한 엄격한 검토, 테스트 및 안전한 개발 관행을 강조하여 코드 취약성을 식별하고 수정하는 것을 의미합니다.
  • 일반적인 위협에 대한 보호 6.2.4: 조직에서는 맞춤형 소프트웨어에서 일반적인 소프트웨어 공격과 관련 취약점을 방지하거나 완화하기 위한 통제 수단을 구현해야 합니다. 주요 공격 범위에는 비즈니스 로직의 남용, 주입 공격(예: SQL, LDAP, XPATH 또는 기타 명령, 매개변수, 객체, 오류 등), 액세스 제어 및 데이터에 대한 공격이 포함됩니다. 모두 API 보호에 중요합니다.
  • 맞춤형 소프트웨어에 대한 인벤토리 및 통찰력 6.3.2: 또한 기업에서는 취약성 관리 및 패치를 용이하게 하기 위해 API와 타사 구성 요소를 비롯한 맞춤형 소프트웨어의 가시성과 인벤토리를 유지해야 하며, 포괄적인 보안 태세를 보장해야 합니다.
  • 생산 가시성, 위협 탐지 및 테스트 6.4.1 및 6.4.2: 이 업데이트에서는 취약점, 알려진 공격 및 새로운 위협으로부터 공개 웹 애플리케이션과 API를 정기적으로 테스트하고 지속적으로 모니터링하며 보호해야 할 필요성을 강조합니다. 이러한 요구 사항 중에는 다음이 있습니다.
    • 공개 웹 앱 및 API에 대한 정기적(최소 연 1회) 스캐닝 및 테스트
    • 공개 웹 앱 및 API 앞에 배포되어 웹 및 API 기반 공격을 탐지하고 방지하는 기술 솔루션

조직은 2025년 3월까지 준수해야 합니다.

PCI DSS 4.0 표준에 대한 최신 개정판은 2024년 6월에 PCI 보안 표준 협의회에서 발표되었으며, 최근 몇 년 동안 관찰된 비즈니스 및 기술적 변화에 대응하기 위한 것입니다. 이러한 변화는 API의 광범위한 채택과 오늘날 점점 더 디지털화되는 경제를 뒷받침하는 점점 더 많은 서비스와 상호작용을 지원하는 앱과 인프라의 진화를 인정합니다. 여기에는 대면, 웹 및 모바일 결제 시스템이 포함됩니다.

API는 위협 패러다임의 변화를 나타내며, API OWASP TOP 10 에는 API만의 특정 위협이 다루어집니다. 이러한 앱은 기존 웹 앱과 동일한 공격 및 취약점에 취약하지만, 종종 비즈니스 로직을 직접 노출시키기 때문에 공격자에게 점점 더 바람직한 대상이 되고 있습니다. 또한 API 통신의 기밀성, 무결성, 가용성을 보장하고, 개인 정보 보호를 보장하고, 사용자와 이해관계자의 신뢰를 유지하기 위해 승인되지 않은 접근, 조작 또는 노출로부터 데이터를 보호하는 특정 제어 세트가 필요합니다.

기업이 이러한 규정을 준수해야 하는 마감일은 2025년 3월로, 기업이 API와 클라이언트 측 스크립트를 보호하기 위해 새로운 사양을 준수해야 하는 시급성을 강조합니다.

규정 준수를 보장하기 위한 몇 가지 전략

PCI DSS 4.0 표준을 효과적으로 충족하고 전체 위협 표면을 보호하려면 조직에서는 기존 보안 인프라, 프로세스 및 역량을 평가하고 다음을 제공하는 솔루션 구현을 고려해야 합니다.

  • 포괄적인 API 검색: 이는 코드 저장소와 통합하여 소스에서 직접 완전하고 정확한 인벤토리와 문서를 구축하는 것으로 시작됩니다. 하지만 여기에는 섀도우 API, 좀비 API, 관리되지 않는 API 및 타사 API를 식별하기 위한 트래픽 기반 분석과 도메인 크롤링도 포함되어 있습니다.
  • 강력한 API 테스트: 이러한 테스트는 API 코드에 대한 사전 프로덕션 분석과 공개 앱 및 API에 대한 동적 테스트를 결합하여 취약성을 컨텍스트 및 수정 지침에 따라 지속적으로 식별합니다.
  • 런타임 보호: 적절한 API 동작을 차단, 제한하고 시행하기 위해서는 인라인 시행 및 제어 메커니즘이 필요합니다. 여기에는 API 보호 규칙, 속도 제한, 데이터 마스킹, 스키마 적용 기능을 구현하여 긍정적인 보안 모델을 제공하는 WAF 및 기타 API 관련 기능이 포함됩니다.
  • 지속적인 모니터링 및 이상 감지: API 엔드포인트의 남용이나 손상을 나타낼 수 있는 잠재적 공격, 민감한 데이터 노출 및 기타 비정상적인 API 동작을 식별하기 위해 AI/ML 기반 행동 분석 및 API의 지속적인 트래픽 검사가 포함됩니다.

업데이트는 상당하지만 규정 준수가 어려울 필요는 없습니다.

PCI DSS 4.0.1은 API 보안에 중점을 두고 있으며, 이는 오늘날의 복잡하고 끊임없이 변화하는 IT 환경에서 디지털 거래를 보호하기 위한 중요한 단계를 의미합니다.

마감일이 다가오면서 API 보안을 강화하기 위한 사전 조치가 규정 준수를 달성하고 유지하는 데 매우 중요해질 것입니다. 또한 API와 클라이언트 측 스크립트를 타겟으로 하는 사이버 위협과 공격으로부터 인프라의 회복력을 높이고, 고객의 결제 카드 데이터와 정보에 대한 보호를 강화하고, 고객과 규제 기관에 대한 조직의 신뢰와 신용을 더욱 강화합니다.

현재 API 보안 관행을 평가하고 , 차이점을 파악하고, 필요한 개선 사항을 구현하여 조직이 PCI DSS 4.0.1 규정을 준수하도록 준비할 수 있습니다. 2025년 3월까지 준비를 완료하기 위해 PCI 보안 표준 위원회 에서 제공하는 추가 리소스와 지침에 대한 정보를 받아보세요.

이것은 어려운 일이 될 필요는 없습니다. F5는 조직이 새로운 요구 사항에 맞춰 제어 기능을 평가하고 구현하고 웹 앱 및 API 보안 태세를 강화하는 데 도움이 되는 전문성과 솔루션을 보유하고 있습니다.

F5의 완벽한 API 보안이 실제로 구현된 데모를 확인해 보시고, 오늘 저희에게 연락하여 전문가와의 미팅을 예약하세요.