PCI-DSS 4.0은 생각보다 빨리 출시될 예정이며, 조직의 사이버 복원력을 향상시킬 수 있는 기회입니다.
이 기사의 버전이 게재된 곳 보안 대로.
올해 초 PCI 보안 표준 협의회는 PCI DSS(결제 카드 업계 데이터 보안 표준) 버전 4.0을 발표했습니다. 기업들은 2025년 3월까지 4.0 버전을 완전히 준수할 필요는 없지만, 이 업데이트는 현재까지 가장 혁신적인 업데이트이며 대부분의 기업은 복잡한 보안 프로세스와 기술 스택의 요소를 평가(및 업그레이드)해야 할 것입니다. 또한 개발자를 위한 역할 기반 보안 인식 교육과 정기적인 보안 코딩 교육을 실시해야 합니다.
이는 BFSI 분야의 기업들이 보안 프로그램을 대폭 강화하여 사람 중심의 사이버 회복탄력성의 새로운 시대를 열 수 있는 절호의 기회입니다.
PCI DSS 4.0을 준비할 때 가장 큰 어려움은 무엇인가요?
조직의 보안 프로그램이 비즈니스 요구사항과 가용 리소스에 따라 복잡하게 얽혀 있는 것처럼, 새로운 PCI DSS 표준은 많은 부분을 포괄하고 있습니다. 하지만 보안 요구 사항을 충족하기 위한 접근 방식이 유연하게 변화하고 있음을 보여주며, 도구, 위협, 전략, 규정 준수 조치가 순식간에 바뀔 수 있는 업계에서 이는 중요한 의미를 갖습니다.
PCI DSS 4.0은 완벽한 보안 모범 사례라는 동일한 목표를 달성하는 데는 여러 가지 방법이 있다는 개념을 수용합니다. 이는 사실이지만 보안 성숙도가 높은 조직에 가장 적합하며, 특히 내부 보안 성숙도( assessment )를 현실적으로 파악하지 못한 기업에게는 오류의 여지가 많이 남습니다. 궁극적으로 기업은 보안을 일회성 '설정 후 잊어버리는' 연습이 아니라 지속적이고 진화하는 프로세스로 받아들일 준비가 되어 있어야 합니다. 보안 인식에 대한 조직 차원의 노력과 함께 강력한 보안 문화가 필수입니다.
그리고 코드 수준 도구, 즉 개발 코호트를 사용하는 사람들은 디지털 자산과 트랜잭션을 처리하는 모든 비즈니스 환경에서 규정을 준수하는 안전한 소프트웨어를 제공할 수 있어야 합니다.
개발자가 규정을 준수하는 소프트웨어를 제공할 준비가 되어 있나요?
개발자는 소프트웨어 보안의 우수성을 달성하는 데 있어 필수적인 역할을 하며, 이는 특히 토큰 PCI DSS 규정 준수 이상의 의미를 갖습니다. 개발자는 제어할 수 있는 항목이라는 측면에서 PCI DSS 4.0의 광범위한 그림을 이해하고 소프트웨어 빌드에 대한 기본 접근 방식의 일부로 통합하는 것이 중요합니다.
개발팀과 가장 관련성이 높은 세 가지 주요 영역은 다음과 같이 세분화할 수 있습니다:
- 인증: 액세스 제어를 위한 실행 가능한 계획은 항상 PCI 규정 준수에 있어 핵심적인 부분이었지만, 버전 4.0에서는 내부 및 외부 모두에서 신중한 구현이 필요한 방식으로 한 단계 더 발전했습니다. 다단계 인증(MFA)이 표준이 되고 비밀번호 복잡성 및 시간 초과에 대한 강화된 규칙도 적용됩니다.
인증 및 액세스 제어 보안 문제는 이제 일반 개발자가 직면할 가능성이 가장 높으므로 실제 코드에서 이러한 문제를 식별하고 수정할 수 있도록 정밀한 교육을 실시하는 것이 필수적입니다. - 암호화 및 키 관리: 우리는 온라인 뱅킹과 같은 여러 액세스 지점을 통해 가장 민감한 정보에 액세스할 수 있는 세상에서 사업을 운영합니다. 이러한 고가의 데이터가 위험에 노출되어 있으므로 암호화와 강력한 암호화 관행은 필수입니다. 개발자는 정보가 전송되는 위치, 사용자가 정보에 액세스하는 방법, 심지어 정보가 악의적인 사람의 손에 들어가더라도 위협 행위자가 읽을 수 없도록 하는 방법에 대한 최신 지식을 보유하고 있어야 합니다.
- 악성 소프트웨어: 이전 가이드라인에서는 악성 코드로부터 소프트웨어를 보호하는 보안 제어를 "안티바이러스 소프트웨어"라고 불렀지만, 이는 바이러스만 차단하는 것이 아니라 훨씬 더 많은 것을 방어하는 다계층적 접근 방식이어야 하는 것을 지나치게 단순화합니다. 멀웨어 방지 솔루션은 필요한 곳에 적용되어야 하며 지속적인 로깅과 모니터링이 필수입니다.
특히 대부분의 코드베이스가 적어도 부분적으로 타사 코드에 의존하는 경우 개발자는 취약한 구성 요소를 식별하는 학습 경로를 확보하는 것이 중요합니다.
개발자를 위한 '충분한' 교육이란 무엇인가요?
이전 권장 사항과 마찬가지로 PCI DSS 4.0은 개발자가 "최소한" 매년 교육을 받을 것을 제안합니다. 그러나 1년에 한 번이면 안전한 소프트웨어 제작을 위한 접점이 충분하다는 의미라면, 이는 적절하지 않으며 더 안전하고 규정을 준수하는 소프트웨어로 이어질 가능성이 낮습니다.
개발자 교육은 언어와 관련이 있고 비즈니스에 중요한 기타 취약점뿐만 아니라 OWASP 상위 10가지에 대한 기초 교육부터 시작해야 합니다. 이러한 교육은 지속적인 프로그램의 일부로 진행되어야 하며, 이러한 기술을 지속적으로 구축하고 처음부터 소프트웨어 개발뿐만 아니라 개발자의 사고방식과 역할에 대한 접근 방식에 보안을 포함시킬 수 있도록 해야 합니다. 또한 개발 집단과 관리자에게 역할과 책임을 명확히 해야 합니다. 보안은 공동의 책임이어야 하지만, 기대치를 문서화하고 이를 제대로 충족할 수 있도록 보장하는 것이 공정합니다.
PCI DSS 4.0 컴플라이언스를 준비할 수 있는 리드 타임을 확보하면 조직 전반의 보안 문화를 개선하는 데 상당한 진전을 이룰 수 있으며, 이는 가장 보안에 민감한 개발 코호트를 성장시킬 수 있는 비옥한 토양이 됩니다.
피터 다뉴
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
PCI-DSS 4.0은 생각보다 빨리 출시될 예정이며, 조직의 사이버 복원력을 향상시킬 수 있는 기회입니다.
이 기사의 버전이 게재된 곳 보안 대로.
올해 초 PCI 보안 표준 협의회는 PCI DSS(결제 카드 업계 데이터 보안 표준) 버전 4.0을 발표했습니다. 기업들은 2025년 3월까지 4.0 버전을 완전히 준수할 필요는 없지만, 이 업데이트는 현재까지 가장 혁신적인 업데이트이며 대부분의 기업은 복잡한 보안 프로세스와 기술 스택의 요소를 평가(및 업그레이드)해야 할 것입니다. 또한 개발자를 위한 역할 기반 보안 인식 교육과 정기적인 보안 코딩 교육을 실시해야 합니다.
이는 BFSI 분야의 기업들이 보안 프로그램을 대폭 강화하여 사람 중심의 사이버 회복탄력성의 새로운 시대를 열 수 있는 절호의 기회입니다.
PCI DSS 4.0을 준비할 때 가장 큰 어려움은 무엇인가요?
조직의 보안 프로그램이 비즈니스 요구사항과 가용 리소스에 따라 복잡하게 얽혀 있는 것처럼, 새로운 PCI DSS 표준은 많은 부분을 포괄하고 있습니다. 하지만 보안 요구 사항을 충족하기 위한 접근 방식이 유연하게 변화하고 있음을 보여주며, 도구, 위협, 전략, 규정 준수 조치가 순식간에 바뀔 수 있는 업계에서 이는 중요한 의미를 갖습니다.
PCI DSS 4.0은 완벽한 보안 모범 사례라는 동일한 목표를 달성하는 데는 여러 가지 방법이 있다는 개념을 수용합니다. 이는 사실이지만 보안 성숙도가 높은 조직에 가장 적합하며, 특히 내부 보안 성숙도( assessment )를 현실적으로 파악하지 못한 기업에게는 오류의 여지가 많이 남습니다. 궁극적으로 기업은 보안을 일회성 '설정 후 잊어버리는' 연습이 아니라 지속적이고 진화하는 프로세스로 받아들일 준비가 되어 있어야 합니다. 보안 인식에 대한 조직 차원의 노력과 함께 강력한 보안 문화가 필수입니다.
그리고 코드 수준 도구, 즉 개발 코호트를 사용하는 사람들은 디지털 자산과 트랜잭션을 처리하는 모든 비즈니스 환경에서 규정을 준수하는 안전한 소프트웨어를 제공할 수 있어야 합니다.
개발자가 규정을 준수하는 소프트웨어를 제공할 준비가 되어 있나요?
개발자는 소프트웨어 보안의 우수성을 달성하는 데 있어 필수적인 역할을 하며, 이는 특히 토큰 PCI DSS 규정 준수 이상의 의미를 갖습니다. 개발자는 제어할 수 있는 항목이라는 측면에서 PCI DSS 4.0의 광범위한 그림을 이해하고 소프트웨어 빌드에 대한 기본 접근 방식의 일부로 통합하는 것이 중요합니다.
개발팀과 가장 관련성이 높은 세 가지 주요 영역은 다음과 같이 세분화할 수 있습니다:
- 인증: 액세스 제어를 위한 실행 가능한 계획은 항상 PCI 규정 준수에 있어 핵심적인 부분이었지만, 버전 4.0에서는 내부 및 외부 모두에서 신중한 구현이 필요한 방식으로 한 단계 더 발전했습니다. 다단계 인증(MFA)이 표준이 되고 비밀번호 복잡성 및 시간 초과에 대한 강화된 규칙도 적용됩니다.
인증 및 액세스 제어 보안 문제는 이제 일반 개발자가 직면할 가능성이 가장 높으므로 실제 코드에서 이러한 문제를 식별하고 수정할 수 있도록 정밀한 교육을 실시하는 것이 필수적입니다. - 암호화 및 키 관리: 우리는 온라인 뱅킹과 같은 여러 액세스 지점을 통해 가장 민감한 정보에 액세스할 수 있는 세상에서 사업을 운영합니다. 이러한 고가의 데이터가 위험에 노출되어 있으므로 암호화와 강력한 암호화 관행은 필수입니다. 개발자는 정보가 전송되는 위치, 사용자가 정보에 액세스하는 방법, 심지어 정보가 악의적인 사람의 손에 들어가더라도 위협 행위자가 읽을 수 없도록 하는 방법에 대한 최신 지식을 보유하고 있어야 합니다.
- 악성 소프트웨어: 이전 가이드라인에서는 악성 코드로부터 소프트웨어를 보호하는 보안 제어를 "안티바이러스 소프트웨어"라고 불렀지만, 이는 바이러스만 차단하는 것이 아니라 훨씬 더 많은 것을 방어하는 다계층적 접근 방식이어야 하는 것을 지나치게 단순화합니다. 멀웨어 방지 솔루션은 필요한 곳에 적용되어야 하며 지속적인 로깅과 모니터링이 필수입니다.
특히 대부분의 코드베이스가 적어도 부분적으로 타사 코드에 의존하는 경우 개발자는 취약한 구성 요소를 식별하는 학습 경로를 확보하는 것이 중요합니다.
개발자를 위한 '충분한' 교육이란 무엇인가요?
이전 권장 사항과 마찬가지로 PCI DSS 4.0은 개발자가 "최소한" 매년 교육을 받을 것을 제안합니다. 그러나 1년에 한 번이면 안전한 소프트웨어 제작을 위한 접점이 충분하다는 의미라면, 이는 적절하지 않으며 더 안전하고 규정을 준수하는 소프트웨어로 이어질 가능성이 낮습니다.
개발자 교육은 언어와 관련이 있고 비즈니스에 중요한 기타 취약점뿐만 아니라 OWASP 상위 10가지에 대한 기초 교육부터 시작해야 합니다. 이러한 교육은 지속적인 프로그램의 일부로 진행되어야 하며, 이러한 기술을 지속적으로 구축하고 처음부터 소프트웨어 개발뿐만 아니라 개발자의 사고방식과 역할에 대한 접근 방식에 보안을 포함시킬 수 있도록 해야 합니다. 또한 개발 집단과 관리자에게 역할과 책임을 명확히 해야 합니다. 보안은 공동의 책임이어야 하지만, 기대치를 문서화하고 이를 제대로 충족할 수 있도록 보장하는 것이 공정합니다.
PCI DSS 4.0 컴플라이언스를 준비할 수 있는 리드 타임을 확보하면 조직 전반의 보안 문화를 개선하는 데 상당한 진전을 이룰 수 있으며, 이는 가장 보안에 민감한 개발 코호트를 성장시킬 수 있는 비옥한 토양이 됩니다.
