PCI DSS는 기본 기준입니다: 전자상거래에서 웹 애플리케이션과 API 보호의 필요성

최신 PCI 표준이 완전히 새롭진 않지만, 지침 범위를 크게 확대했습니다. 오랜 시간 이어져온 흔한 오해는 이렇게 요약할 수 있습니다. “방화벽이 있으니 나는 안전하다.” 이제 그 오해는 신화에 불과합니다.

애플리케이션 현대화와 옴니채널 디지털 접점의 확산, 발전하는 공격 기법에 대응해 PCI DSS 준수를 위해 결제 스크립트 보안, API 보호, 자격 증명 유출 신속 탐지 및 대응, 정기 취약점 검사 등 다양한 보안 통제를 추가해야 합니다.

2025 Gartner 클라우드 웹 애플리케이션 및 API 보호 시장 가이드에서 언급했듯이, 최신 PCI 표준이 모든 결제 스크립트에 대한 보안 조치를 요구함에 따라 클라이언트 측 보호의 중요성이 점점 커지고 있습니다.

최신 웹 애플리케이션은 아키텍처의 분산화와 하이브리드 및 멀티클라우드 환경에 걸친 소프트웨어 구성 요소의 분산으로 인해 점점 더 복잡해지고 있습니다. 이러한 애플리케이션 인프라의 분리와 공급망 확산은 비즈니스 로직과 클라이언트 브라우저를 노린 위협에 대한 문(과 창)을 열며, 이는 산업화된 공격 라이프사이클의 일부입니다.

클라이언트 측 공격인 정보 탈취자는 사용자 자격 증명을 수집하여 대규모 자동화된 공격에 활용할 수 있으며, 이를 방치하면 계정 탈취와 사기로 이어질 수 있습니다.

폼재킹은 온라인 양식에 악성 자바스크립트를 삽입해 브라우저 단계에서 사용자의 입력 정보를 유출합니다. 대개 타사 스크립트의 취약점을 이용해 실행되며, 기존 중앙 집중형 보안 체계로는 감지하기 어렵습니다.

Magecart는 결제 과정 중 결제 정보를 훔치는 JavaScript 코드를 삽입해 전자상거래 사이트를 공격하는 웹 스키밍 전문 사이버 범죄 그룹들을 통칭하는 용어입니다.

웹 애플리케이션 방화벽(WAF)은 여전히 전략적 보안 통제 수단으로 자리 잡고 있습니다. 특히 새 표준에서는 모든 취약점이 공격자에게 잠재적 기회를 제공하며 정기적으로 해결해야 한다고 명확히 규정하고 있기 때문입니다. 많은 WAF가 API를 보호할 수 있지만, 현대 애플리케이션 개발의 속도는 비즈니스 로직에 깊숙이 숨겨지거나 제3자 생태계 내에서 호출되는 엔드포인트를 동적으로 감지하고 자동으로 보호하는 추가 기능을 요구합니다. 이상적으로는 코드와 테스트 단계에서 이를 수행할 수 있어야 합니다.

소프트웨어 수명 주기 프로세스와 안전한 코딩 기법이 핵심 기준이지만, 위험 평가는 지속적으로 수행해야 하며, 효과적인 공격 차단을 위해 생산 환경에서는 강력한 런타임 보안이 필요합니다. 여기에는 클라이언트 브라우저, 프런트엔드 웹 애플리케이션, 백엔드 API가 포함되어, 여러 위협 벡터를 아우르는 디지털 경험 전반의 공격을 방어하는 데 필수적입니다. 

취약점은 공격자가 악용할 수 있는 소프트웨어의 결함이나 약점입니다. 이제 애플리케이션이 본질적으로 API 기반 시스템이기 때문에, 백엔드 비즈니스 로직 기능은 남용 위험이 높아지고 있습니다.

F5 Labs 연구는 전자상거래 분야가 첨단 공격 비중이 가장 높은 부문 중 하나임을 보여주며, 모바일 자격 증명 채우기 공격의 44.82%가 첨단 공격이었다고 상세히 설명합니다. 이 공격자들은 감지를 피하기 위해 다양한 도구를 활용하여 브라우저, 모바일, 사용자 행동을 모방합니다. 여기에는 유효한 토큰 생성, 텔레메트리 신호 위조, 키보드와 마우스 이벤트 에뮬레이션이 포함됩니다. 공격자들은 방어를 우회하기 위해 끊임없이 전략을 바꾸며, 웹 애플리케이션에서 모바일 애플리케이션으로 전환하거나 전술, 기술, 절차를 확대하며 지속적으로 진화시키고 있습니다.

전자상거래 부문에 대한 공격은 장바구니 담기 기능을 남용하는 리셀러 봇을 활용하는데, 이는 실제 고객의 거래를 방해할 수 있습니다. 분석된 2,000억 건이 넘는 웹 및 API 요청 중에서, 장바구니에 담기 위한 거래의 5건 중 1건 이상이 자동화된 것으로 드러났습니다.

또한, 봇이 사용자 리뷰를 조작해 현실적인 가짜 리뷰를 만들어내며, 많은 경우 생성 AI를 활용합니다.

전자상거래 분야에서도, F5 Labs의 위협 연구는 패션 산업이 스크래퍼로 인해 가장 큰 피해를 입는 분야임을 밝혀냈습니다. 이들은 대상에서 대량의 데이터와 콘텐츠를 추출하며, 전체 웹 트래픽의 53.23%를 차지하고 있습니다. 스크래핑은 기업의 가격 경쟁력을 저하시키고, 지적 재산권 보호에도 위협이 될 수 있습니다.

최신 PCI DSS에는 전통적인 기업 전체 위험 평가 대신 목표별 위험 분석을 적용하기 위한 여러 권장 사항이 포함되어 있습니다.

특히, 업데이트된 표준은 2025년 3월 31일부터 시행되는 두 가지 클라이언트 측 요구 사항을 통해 증가하는 클라이언트 측 공격 위협에 대응하지만, 조직이 이를 충족하는 구체적인 방법은 규정하지 않습니다.

이러한 새로운 의무사항은 악성 클라이언트 측 스크립트가 결제 카드 산업에서 점점 더 큰 위협으로 부상하고 있음을 인정합니다.  이 위험에 대응하는 기존 방법, 즉 무단 코드 삽입을 차단하는 콘텐츠 보안 정책(CSP)과 타사 앱이 변경되지 않았음을 검증하는 서브리소스 무결성(SRI) 웹 기술은 구현과 유지가 어렵습니다. 특히 AI 시대에는 경쟁이 치열해지면서 고객의 마음을 사로잡기 위한 디지털 경험이 계속해서 향상되고 있어 더욱 그렇습니다.

고객은 거래가 원활하기를 기대하며 지연, 결함, 특히 보안 사고를 용납하지 않습니다. 웹 애플리케이션 방화벽 솔루션과 같은 널리 사용되는 보안 제어 기능은 클라이언트 브라우저나 백엔드 API에 대한 보호 기능을 적절히 확장하지 못할 수도 있습니다. CAPTCHA를 이용한 사용자 챌린지 방식의 봇 관리 솔루션은 숙련된 사이버 범죄자들의 악용을 막는 데 효과가 크지 않지만, 사용자 좌절에는 탁월합니다. 심지어 다단계 인증도 우회될 수 있습니다.

공격자는 플랫폼, 산업 및 비즈니스 로직에 따라 다양한 수법을 사용하며, 전자상거래에서는 잠재 고객이 상품을 장바구니에 담지 못하는 일이 큰 위협입니다. 거래, 매출, 그리고 고객 충성도가 모두 위기에 놓입니다.