블로그

봇에 대한 방어는 PCI-DSS 규정 준수에도 도움이 되어야 합니다.

에드워드 오코넬 썸네일
에드워드 오코넬
2023년 9월 18일 게시

사이버범죄는 쉽게 이용 가능한 자동화 도구와 도난당한 자격 증명으로 인해 이익을 위한 애플리케이션 공격이 훨씬 쉬워져 증가해 왔으며 앞으로도 계속 증가할 것입니다. 이로 인해 규정 준수와 신뢰를 보장하기 위해 업계와 정부의 보안 기준이 더욱 강화되었습니다. 이러한 산업 보안 표준의 한 예로 v4 요구 사항이 발표된 PCI-DSS(Payment Card Industry Data Security Standard)를 들 수 있습니다. 이 릴리스의 목표 중 하나는 클라이언트 측 보안을 위한 전반적인 보호 체계를 업데이트하는 것입니다.

PCI-DSS는 결제 처리업체와 서비스 제공업체가 서로를 신뢰하고 보호할 수 있도록 하는 중요한 표준입니다. 증가하는 전자 거래 요구를 충족하기 위해 다양한 상인과 서비스 제공자는 확장 가능하고 지연 시간이 짧은 운영을 보장하기 위해 애플리케이션을 클라우드 기반 인프라로 마이그레이션했습니다. PCI-DSS 준수 표준은 상인과 서비스 제공자가 결제를 처리하는 데 어떤 인프라를 사용하는지와 관계없이 모든 전자 거래에 적용됩니다. PCI-DSS는 네트워크 보안, 데이터 암호화 및 관리를 다루지만 자동화된 공격으로부터 애플리케이션(및 데이터)을 보호하는 것은 다루지 않습니다.

클라우드 기반 애플리케이션과 데이터를 자동(또는 수동) 공격으로부터 보호하기 위해, 결제 처리업체와 판매자는 타사 보안 서비스 제공업체에 의존하여 애플리케이션과 데이터에 대한 분산형 보호 기능을 제공합니다. SaaS 보안 공급업체의 PCI-DSS 인증은 결제 발급자가 규정을 준수하고, 연결된 다른 공급업체와 거래하고 있다는 신뢰를 유지하는 데 매우 중요합니다. PCI-DSS 규정을 준수하지 않는 보안 서비스 공급업체가 있으면 결제 발급자가 결제 처리를 위해 연결된 제3자 조직과 규정을 준수하고 지속적으로 신뢰를 유지하거나 이를 증명하기가 훨씬 어려워집니다.

PCI-DSS 용어집 에 따르면, 서비스 제공자는 다른 법인을 대신하여 카드 소지자 데이터를 처리, 저장 또는 전송하는 데 직접적으로 관여하는 결제 브랜드가 아닌 사업체입니다. 여기에는 카드 소유자 데이터의 보안을 제어하거나 영향을 미칠 수 있는 서비스를 제공하는 회사도 포함됩니다. 이러한 예로는 관리형 방화벽, 침입 탐지 시스템 및 기타 서비스를 제공하는 관리 서비스 제공업체와 호스팅 제공업체 및 기타 기관이 있습니다.

F5 Distributed Cloud(XC) Bot Defense는 애플리케이션을 자동화된 공격으로부터 보호하고 서비스 공급자로서 PCI-DSS 규정 준수 요구 사항을 충족하는 SaaS 솔루션입니다. F5 XC Bot Defense는 금융 서비스, 소매 및 전자 상거래, 의료, 전 세계 정부 등 광범위한 산업의 자동화된 공격으로부터 결제 발급자와 관련 기관을 보호합니다.

서비스 제공업체로서 F5가 PCI-DSS 규정 준수 요구 사항을 충족할 수 있는 좋은 예는 아래에 나열된 PCI 요구 사항을 엄격히 준수(정책, 운영 및 문서화)하는 것입니다.

1.3 카드 소지자 데이터 환경(CDE)에 대한 네트워크 접근이 제한되어 있습니다.

1.3.1 CDE로의 인바운드 트래픽은 다음과 같이 제한됩니다.

  • 필요한 트래픽만 허용합니다.
  • 그 외의 모든 트래픽은 명시적으로 거부됩니다.

1.3.2 CDE에서의 아웃바운드 트래픽은 다음과 같이 제한됩니다.

  • 필요한 트래픽만 허용합니다.
  • 그 외의 모든 트래픽은 명시적으로 거부됩니다.

1.4.1 NSC는 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 사이에 구현됩니다.

1.4.2 신뢰할 수 없는 네트워크에서 신뢰할 수 있는 네트워크로의 인바운드 트래픽은 다음으로 제한됩니다.

  • 공개적으로 접근 가능한 서비스, 프로토콜 및 포트를 제공하도록 승인된 시스템 구성 요소와의 통신입니다.
  • 신뢰할 수 있는 네트워크의 시스템 구성 요소가 시작한 통신에 대한 상태 기반 응답입니다.
  • 그 외의 모든 교통은 거부됩니다.

1.4.3 신뢰할 수 있는 네트워크에 위조된 소스 IP 주소가 유입되는 것을 감지하고 차단하기 위해 스푸핑 방지 조치가 구현됩니다.

PCI-DSS 서비스 공급업체인 F5는 PCI-DSS 요구 사항을 충족해야 할 뿐만 아니라 이를 기반으로 빠르게 확장되거나 변형될 수 있는 자동화된 공격으로부터 분산 애플리케이션과 데이터를 손쉽게 보호해야 합니다.

F5 Distributed Cloud Bot Defense가 애플리케이션과 데이터를 공격으로부터 보호할 뿐만 아니라 PCI-DSS 규정 준수 프로세스를 간소화하는 방법에 대해 자세히 알아보려면 다음을 확인하세요.