블로그

지금 행동하세요: 새로운 PCI DSS v4.0 요구 사항으로 브라우저 기반 공격에 대응

앤젤 그랜트 썸네일
엔젤 그랜트
2023년 1월 3일 게시

온라인 소매업체 및 전자 상거래 공급업체: 디지털 스키밍과 메이지카트 공격으로부터 클라이언트 측 데이터와 온라인 결제를 보호하는 문제에 관한 새로운 보안관이 등장했습니다.

2022년 3월, 결제카드업계(PCI) 보안표준협의회는 카드소지자 데이터를 저장, 처리, 전송할 때 판매자가 충족해야 하는 최소 보안 요건을 명시한 데이터 보안 표준의 개정 버전인 PCI DSS v4.0을 발표했습니다. 개정된 요구 사항에는 온라인 상거래 시 소비자, 사업자, 카드 발급기관을 보호하기 위해 안전하고 보안된 온라인 거래를 보장하기 위한 여러 가지 개선 사항이 포함되어 있습니다.

새로운 요구 사항은 결제 처리 iFrame, 챗봇, 광고, 소셜 공유 버튼, 추적 스크립트와 같은 기본 제공 기능을 제공하기 위해 전자상거래 웹사이트에 통합된 브라우저 기반 타사 JavaScript 라이브러리를 모니터링하고 관리해야 할 필요성에 초점을 맞춥니다. 이러한 JavaScript 라이브러리는 기업의 웹사이트 개발 속도를 높이는 데 도움이 되지만, 사이버 범죄자에게 광범위한 위협 벡터를 제공합니다. 이러한 스크립트는 디지털 스키밍 및 Magecart 공격을 통해 쉽게 손상되어 자격 증명, 신용카드 정보 및 기타 개인 식별 정보를 훔칠 수 있기 때문입니다.

이러한 침해는 사기를 당한 소비자에게 분명히 해로울 뿐만 아니라, 규정 위반, 수익 손실, 주가 하락, 소셜 미디어에서의 적대적인 리뷰, 브랜드 자산 손상 등으로 이어질 수 있으므로 기업에도 좋지 않습니다.   

새로운 PCI DSS 4.0 요구 사항 준수는 2025년까지 의무화되지 않지만 기다리지 마십시오! 해당 요구 사항이 다루고 있는 공격 유형은 오늘날 발생하고 있습니다. 이제는 강화된 보호 조치를 최대한 빨리 시행하여 기업 평판과 고객을 공격 및 사기로부터 보호해야 할 때입니다.

클라이언트 측 공격의 위험은 무엇입니까?

얼마 전만 해도 상업용 웹 애플리케이션은 온프레미스 웹 서버에서 제공되는 거대한 코드 조각으로 구축되었습니다. 그러나 오늘날의 최신 웹 애플리케이션은 매우 다르며 종종 타사의 JavaScript 라이브러리를 묶어서 설계되고 대부분의 처리가 소비자의 브라우저인 클라이언트 측에서 이루어집니다. 일반적인 웹 페이지의 70%-80%는 타사 라이브러리로 구성되어 있으며, 해당 스크립트 중 일부에는 다른 타사 스크립트 세트의 코드가 포함되어 있는 것으로 추정됩니다. 이러한 긴 코드 종속성 체인은 기업이 자사 웹사이트에서 실제로 실행되는 코드를 잘 파악하거나 제어할 수 없다는 것을 의미합니다.

위협 행위자들은 이러한 nth-party 종속성의 범위와 규모로 인해 조직이 환경에서 실행되는 코드를 적절하게 관리, 추적 및 보호하는 데 어려움을 겪고 있으며 코드가 변경되었거나 악용된 경우를 감지할 수 없다는 것을 깨닫습니다. 이러한 가시성 부족은 사이버 범죄자에게 합법적인 웹 페이지나 웹 애플리케이션 코드에 악성 스크립트를 삽입하고 사용자 세션을 가로채고 조작하고 하이재킹하기 위한 공격을 시작할 수 있는 기회를 제공합니다. 그런 다음 개인 데이터와 결제 정보를 훑어보고, 웹사이트를 장악하고 훼손하고, 가짜 콘텐츠를 제공하고, 새로운 양식을 만들거나 합법적인 양식을 변경할 수 있습니다. 이 모든 것이 사기를 저지르고 계정을 탈취할 수 있는 토대가 됩니다.

PCI DSS v4.0에 필요한 사항

개정된 표준에서는 특히 온라인 결제를 수락하는 모든 기업에 있어 클라이언트 측 웹 보안을 강화하는 것이 매우 중요하다고 명시하고 있습니다. 이 표준은 소비자의 브라우저에 로드되고 실행되는 모든 결제 페이지 스크립트에 포괄적인 관리가 필요하다고 명시하고 있습니다. 구체적으로, 새로운 표준 6.4.3은 전자상거래 공급업체가 다음을 구현하도록 요구합니다.

  • 각 스크립트가 인증되었는지 확인하는 방법
  • 각 스크립트의 무결성을 보장하는 방법
  • 각 스크립트가 필요한 이유를 서면으로 설명한 모든 스크립트의 인벤토리

새로운 표준에서는 판매자가 소비자의 브라우저에 로드되고 실행되는 모든 결제 페이지 스크립트를 관리하기 위한 프로세스가 정의되어 있는지 확인하기 위해 정책과 절차를 검토해야 합니다. 또한, 소비자의 브라우저에 로드되고 실행되는 모든 결제 페이지 스크립트가 이 요구 사항에 명시된 모든 요소에 따라 관리되는지 확인하기 위해 책임 있는 직원을 인터뷰하고 재고 기록 및 시스템 구성을 검토해야 합니다.

또한, 개정된 표준의 섹션 11.6에서는 결제 페이지에서 승인되지 않은 변경 사항을 감지하고 대응해야 한다고 규정하고 있습니다. 이를 위해서는 소비자 브라우저에서 수신한 HTTP 헤더와 결제 페이지의 내용이 무단으로 변경된 경우 이를 직원에게 경고하는 변경 및 변조 감지 메커니즘이 필요합니다. 구성 설정은 최소한 7일에 한 번 또는 조직의 위험 분석 평가에서 정의한 빈도로 검사해야 합니다.

이러한 요구 사항을 수동 또는 기존 솔루션을 통해 준수하는 것은 비용이 많이 들고 리소스도 많이 필요합니다. 결제 양식 스크립트가 클라이언트 측에서 실행되므로 판매자는 결제 양식 스크립트의 동작을 파악할 수 없으며, 이로 인해 악성 코드가 감지되지 않기가 쉽습니다. 또한 판매자는 결제 프로세서, 쿠키 동의 양식, 챗봇 또는 광고 추적기와 같은 웹 페이지 기능을 작동하는 동적 JavaScript 라이브러리와 같은 타사 코드를 거의 제어할 수 없습니다. 이는 이러한 코드가 판매자의 지식 없이 자주 업데이트되고 변경되기 때문입니다.

스크립트가 변조되지 않았는지 확인하기 위한 무결성 검사를 수행하는 하위 리소스 무결성(SRI) 및 브라우저가 스크립트를 로드하고 데이터를 보낼 수 있는 위치를 제한하는 콘텐츠 보안 정책(CSP)과 같은 기존의 탐지 기술은 더 이상 오늘날 끊임없이 변화하는 웹 애플리케이션을 보호하기에 충분하지 않습니다.

PCI DSS v4.0을 조만간 준수하도록 비즈니스를 지원하세요

PCI DSS v4.0에서 요구하는 보안 의무를 준수하기 위해 2025년까지 기다릴 이유가 없습니다. 지금 행동하여 기업을 공격으로부터 보호하고 고객을 사기와 계정 인수로부터 보호하세요.

F5 Distributed Cloud Client-Side Defense를 사용하면 새로운 PCI DSS v4.0 요구 사항을 즉시 충족하고 Magecart, 폼재킹, 디지털 스키밍, PII 수집 공격으로부터 보호할 수 있습니다. 이를 위해 의심스러운 코드가 있는 웹 페이지 모니터링을 자동화하고, 실행 가능한 알림을 생성하며, 한 번의 클릭으로 데이터 유출을 즉시 차단합니다.

고객의 개인 정보와 기업을 규정 위반으로부터 보호하고, 동시에 소비자의 신뢰와 브랜드 평판을 유지하는 방법에 대한 자세한 내용을 알아보려면 이 솔루션 개요를 읽 거나 이 제품 데모를 시청하세요.