F5 분산 클라우드 클라이언트 측 방어 솔루션, PCI DSS v4.0.1 도입 대비 고객 지원

최근 몇 년 동안, 폼재킹과 메이지카트 공격은 전자상거래와 디지털 결제 분야에서 지배적인 위협으로 급증했습니다. 이러한 클라이언트 측 공격은 조직의 서버에는 전혀 영향을 미치지 않으면서 신용카드 번호, 로그인 자격 증명, 개인 식별 정보(PII) 등의 민감한 데이터를 사용자 브라우저에서 직접 은밀하게 빼돌립니다. 이러한 공격은 악성 JavaScript를 타사 스크립트나 프런트엔드 코드에 직접 주입함으로써 기존의 경계 및 서버 측 방어를 우회합니다.

폼재킹은 악성 JavaScript를 온라인 양식에 주입하여 브라우저 수준에서 사용자 입력을 캡처하는 수법입니다. 이러한 공격은 종종 타사 스크립트나 CDN(콘텐츠 전송 네트워크)의 취약점을 악용하여 수행되므로 서버 측 보안 도구를 사용하여 감지하기 어렵습니다.

메이지카트는 웹 스키밍을 전문으로 하는 사이버범죄 집단을 통칭하는 용어입니다. 이러한 사이버범죄 집단은 일반적으로 결제 과정에서 결제 데이터를 훔치는 JavaScript 코드를 삽입하여 전자상거래 사이트를 침해합니다. 도난당한 데이터는 공격자가 제어하는 도메인으로 유출되는데, 종종 난독화되거나 합법적인 요청처럼 보이는 아래에 숨겨집니다.

두 가지 공격 유형 모두 브라우저라는 공통 벡터를 공유합니다. 그리고 그들의 성공은 조직이 클라이언트 측에서 실제로 무엇을 실행하는지에 대한 가시성이 얼마나 낮은지에 달려 있습니다.

PCI DSS(Payment Card Industry Data Security Standard) v4.0.1 이 출시됨에 따라, PCI 보안 표준 위원회는 클라이언트 측 공격의 증가하는 위협에 직접 대처하고 있습니다. PCI SSC는 이 새로운 공격 벡터를 직접 해결하기 위해 2025년 3월 31일부터 적용되는 두 가지 클라이언트 측 요구 사항을 처음으로 포함했습니다.

요구 사항 6.4.3: 소비자의 브라우저에 로드되어 실행되는 모든 결제 페이지 스크립트는 다음과 같이 관리됩니다.

• 각 스크립트가 인증되었는지 확인하는 방법이 구현됩니다.
• 각 스크립트의 무결성을 보장하는 방법이 구현되었습니다.
•  모든 스크립트의 인벤토리는 각 스크립트가 왜 필요한지에 대한 서면 비즈니스 또는 기술적 정당성과 함께 유지됩니다.

요구 사항 11.6.1 – 변경 및 변조 감지 메커니즘은 다음과 같이 배포됩니다.

• 소비자 브라우저에서 수신한 결제 페이지의 HTTP 헤더와 스크립트 내용의 보안에 영향을 미치는 무단 수정(침해 지표, 변경, 추가 및 삭제 포함)에 대해 담당자에게 경고합니다.
• 해당 메커니즘은 수신된 HTTP 헤더와 결제 페이지를 평가하도록 구성되어 있습니다.

이러한 새로운 명령은 근본적인 진실을 인정합니다. 클라이언트 측 스크립트는 이제 PCI 공격 표면의 중요한 부분입니다. 하지만 많은 조직에서 이러한 요구 사항을 충족하는 것은 운영 및 기술적 장애물로 작용합니다. 특히 JavaScript 생태계의 역동적인 특성과 타사 서비스에 대한 의존성을 고려할 때 더욱 그렇습니다.

기존의 웹 애플리케이션 방화벽(WAF), 보안 정보 및 이벤트 관리 솔루션(SIEM), 엔드포인트 도구는 서버나 네트워크 경계에서 작동합니다. 이들은 최종 실행 환경, 즉 사용자 브라우저에 대한 가시성이 부족합니다. 악성 코드가 삽입되면(손상된 태그 관리자, CDN 또는 타사 공급망 공격을 통해) 서버 측 도구는 종종 침해를 전혀 감지하지 못합니다. F5 분산 클라우드 클라이언트 측 방어가 여기에 있습니다. 들어간다.

서버 측 도구와 달리, 분산 클라우드 클라이언트 측 방어는 브라우저 자체에서 작동하여 실시간 모니터링, 무결성 검증, 악성 동작 발생 시 경고 기능을 제공합니다. 최근 PCI DSS v4.0.1 요구 사항 6.4.3 및 11.6.1에 명시된 위협을 해결하도록 특별히 구축된 서비스를 업데이트했습니다.

도움이 되는 방법은 다음과 같습니다.

• 스크립트 인벤토리 및 권한 부여 :  분산 클라우드 클라이언트 측 방어는 결제 페이지에서 실행되는 모든 스크립트(자체 및 타사)의 인벤토리를 지속적으로 추적하고 유지 관리합니다. 조직에서는 스크립트 허용 목록을 작성하여 근거를 명시하고, 새 스크립트나 승인되지 않은 스크립트가 나타나면 알림을 받을 수 있어 6.4.3 규정 준수를 입증하는 데 도움이 됩니다.
• 스크립트 무결성 검증:  분산형 클라우드 클라이언트 측 방어는 웹 애플리케이션의 런타임을 계측하여 예상치 못하고 잠재적으로 악의적인 동작, 특히 새로운 네트워크 요청과 새로운 데이터 액세스를 나타내는 의미 있는 동작 변화를 감시함으로써 스크립트의 무결성을 검증합니다.
• · HTTP 헤더 모니터링에 영향을 미치는 스크립트 및 보안 :  Distributed Cloud Client-Side Defense는 HTTP 헤더에 영향을 미치는 스크립트와 보안을 정기적으로 검사하여 승인되지 않은 수정이 있는지 확인하고, 변경 사항이 감지되면 알림을 보내 조직이 11.6.1을 준수하는지 확인할 수 있도록 돕습니다.
• 유출 감지: 고급 위협 모델은 데이터 유출 징후를 파악하기 위해 아웃바운드 요청을 모니터링합니다. 스크립트가 캡처한 양식 데이터를 의심스러운 엔드포인트로 보내려고 하면 경고가 발생하고 조직에서는 네트워크 호출과 양식 필드 읽기를 차단하는 직접적인 완화 조치를 취할 수 있습니다.
• 기업에 적합한 알림 및 보고서 : 보안 및 규정 준수 팀은 스크립트 동작, 도메인 관계, 브라우저 측 데이터 흐름에 대한 풍부한 원격 측정 데이터를 얻을 수 있습니다. 이는 PCI 감사 추적 및 법의학적 조사에 이상적입니다.