PCI DSS 4.0 규정 준수를 위해 어떤 MFA 방법을 선택해야 할까요?

2022년 3월 31일 PCI 보안 표준 위원회(PCI SSC)는 PCI 데이터 보안 표준(PCI DSS) 버전 4.0을 발표했습니다. PCI DSS v4.0은 버전 3.2.1을 대체하여 새로운 위협과 기술을 해결하고 새로운 위협에 대처하는 혁신적인 방법을 가능하게 합니다. 업데이트된 표준 및 변경 사항 요약 문서는 현재 PCI SSC 웹사이트에서 볼 수 있습니다.

​

구현 일정

​

조직에서 버전 4.0의 변경 사항을 이해하고 필요한 업데이트를 구현할 시간을 제공하기 위해 PCI DSS의 현재 버전 v3.2.1은 2024년 3월 31일에 중단될 때까지 2년 동안 활성 상태로 유지됩니다. 평가자가 PCI 교육을 완료하면 DSS v4.0, 조직은 PCI DSS v4.0 또는 PCI DSS v3.2.1로 평가할 수 있습니다.

​

전환 기간 외에도 조직은 2025년 3월 31일까지 v4.0에서 모범 사례로 처음 식별된 새로운 요구 사항을 단계적으로 도입해야 합니다. 이 날짜 이전에는 조직에서 이러한 새로운 요구 사항을 확인할 필요가 없습니다. 그러나 새로운 요구 사항을 충족하기 위해 제어 기능을 구현하고 시행일 이전에 제어 기능을 평가할 준비가 된 조직은 그렇게 하는 것이 바람직합니다. 2025년 3월 31일 이후에 이러한 새로운 요구 사항이 유효하며 PCI DSS 평가의 일부로 완전히 고려되어야 합니다.

​

그림 1: PCI DSS 4.0 구현 일정. 출처: PCI SSC

​

“업데이트된 표준을 구현하기 위해 2024년까지 기다리지 마십시오. 지금 변경 사항을 평가하고 구현을 함께 시작하십시오.”라고 Lawrence Livermore National Laboratory(LLNL)의 선임 IT 및 보안 전문가인 Lee Neely는 말합니다.

​

변경된 사항은 무엇일까요?

​

표준 업데이트는 지불 산업의 진화하는 보안 요구 사항을 충족하고, 지속적인 프로세스로 보안을 촉진하고, 보안 목표를 달성하기 위해 다양한 방법을 사용하는 조직의 유연성을 높이고, 검증 방법 및 절차를 강화하는 데 중점을 두고 있습니다. 업데이트에 대한 자세한 내용은 PCI SSC 웹사이트의 PCI DSS v4.0 변경 사항 요약 문서에서 확인할 수 있습니다.

​

PCI DSS v4.0의 변경 사항은 다음과 같습니다.

​

• 카드 소지자 데이터 환경에 대한 모든 액세스에 대해 다중 요소 인증(MFA)을 구현하기 위한 요구 사항 8의 확장.
• 방화벽 용어를 네트워크 보안 제어로 업데이트하여 기존에 방화벽이 충족하는 보안 목표를 충족하는 데 사용되는 광범위한 기술을 지원합니다.
• 조직이 보안 목표를 달성하기 위해 다양한 방법을 사용하는 방법을 입증할 수 있는 유연성이 향상되었습니다.
• 기업이 비즈니스 요구와 위험 노출에 가장 적합한 특정 활동을 수행하는 빈도를 유연하게 정의할 수 있도록 표적화된 위험 분석이 추가되었습니다.

​

MFA에 대한 요구 사항은 무엇입니까?

​

업데이트된 PCI DSS 버전 4.0에는 다중 인증(MFA:Multi fator Authentication)를 사용하여 사용자와 관리자에 대한 강력한 인증을 요구하는 세 가지 요구 사항이 포함되어 있습니다. 표준에 따르면 "사용자 식별 및 인증의 두 가지 기본 원칙은 1) 컴퓨터 시스템에서 개인 또는 프로세스의 ID를 설정하고 2) ID와 관련된 사용자가 사용자가 주장하는 사람임을 증명하거나 확인하는 것입니다. 이다." 각 사용자를 고유하게 식별할 수 있는 경우 해당 ID가 수행한 작업에 대한 책임이 있음을 확인하고 이러한 책임이 있는 경우 수행된 작업을 알려진 사용자와 승인된 사용자로 추적할 수 있습니다.

​

요구 사항은 다음과 같습니다.

​

• 8.3 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다.
• 8.4 다중 요소 인증(MFA)은 CDE에 대한 액세스를 보호하기 위해 구현됩니다.
• 8.5 다중 요소 인증(MFA) 시스템은 오용을 방지하도록 구성됩니다.

​

이러한 요구 사항은 다음을 포함하되 이에 국한되지 않는 모든 시스템 구성 요소의 모든 계정에 적용됩니다.

​

• POS(Point-of-Sale) 계정
• 관리 기능이 있는 계정
• 시스템 및 애플리케이션 계정
• 카드 소유자 데이터를 보거나 액세스하거나 카드 소유자 데이터가 있는 시스템에 액세스하는 데 사용되는 모든 계정.

​

​

여기에는 직원, 계약자, 컨설턴트, 내부 및 외부 공급업체, 기타 제3자(예: 지원 또는 유지 관리 서비스 제공)가 사용하는 계정이 포함됩니다.

​

악의적인 사용자가 시스템을 손상시키는 일반적인 접근 방식은 취약하거나 존재하지 않는 인증 요소(예: 암호/암호구문)를 악용하는 것입니다. 두개 이상의 인증 요소가 요구되면 여러 인증 요소를 손상시켜야 하기 때문에 공격자가 합법적인 사용자로 가장하여 시스템에 액세스할 수 있는 가능성이 줄어듭니다. 그러나 표준에 따르면 잘못 구성된 MFA 시스템은 공격자가 우회할 수 있으므로 선택한 MFA 솔루션이 "재공격에 취약"해서는 안 됩니다.

​

어떤 종류의 MFA로 필요할까요?

​

“MFA가 많을수록 항상 좋습니다. 그러나 이 시점에서의 질문은 귀하 또는 귀하가 MFA가 필요한지에 대한 것이 아닙니다. 문제는 특정 애플리케이션에 어떤 종류의 MFA가 필요하고 충분한가로 바꿔야 합니다.”라고 SANS Technology Institute의 연구 책임자인 Dr. Johannes Ullrich는 말합니다.

​

사실 모든 MFA 솔루션이 동일한 수준의 보안을 제공하는 것은 아닙니다. 예를 들어, SMS 기반 다중 인증은 보안이 낮은 것으로 간주되며, NIST와 ENISA가 조직에서 사용을 재고해야 한다고 제안합니" 다. ENISA의 "조직의 사이버 복원력을 향상"이라는 제목의 출판물은 조직이 SMS를 인증 방법으로 사용하는 것은 피해야 한다고 제안합니다. 또한 NIST의 SP 800-63 간행물에는 SMS 기반 인증이 "제한된" 인증이라고 명시되어 있어 오늘날의 위협 환경에서 덜 안정적입니다. 이 제안의 핵심 이유는 SIM 스와핑 공격 때문입니다.

​

최근 Lapsus$ 범죄 조직의 Okta 침해는 Push OTP 인증의 취약점인 "MFA 프롬프트 폭탄 공격"을 부각시켰습니다. 많은 조직에서는 모바일 장치에 푸시 알림을 구현했습니다. Lapsus$는 사용자가 인증을 수락할 때까지 최종 사용자의 합법적인 장치에 여러 개의 푸시 요청을 발행하여 그룹이 결국 계정에 액세스할 수 있도록 했습니다.

​

이것이 정부 보안 정책에서 피싱 방지 MFA를 포함하여 더 강력한 인증 형식의 채택을 요구하는 이유입니다. 미국의 OMB(예산 관리국)와 EU의 ENISA는 모두 조직이 민감한 사용자 및 사용 사례를 위한 FIDO2 키와 같은 "피싱 방지" MFA 방법을 배포하도록 요구하는 지침을 발표했습니다.

​

PCI DSS 4.0과 MFA에 관한 정부 규정을 모두 준수하려는 조직은 다양한 인증 방법과 폼 팩터를 제공하여 다양한 사용 사례와 보증 수준을 처리할 수 있는 Thales의 SafeNet Trusted Access와 같은 솔루션을 찾아야 합니다. 이 액세스 관리 및 인증 서비스는 Single Sign-On과 MFA 및 적응형 인증의 유연성을 결합하여 모든 직원에게 안전하고 편리한 로그온 환경을 보장합니다. SafeNet Trusted Access는 FIDO2 및 인증서 기반 인증을 비롯한 광범위한 표준 기반 다중 요소 방법을 지원합니다.

​

SafeNet Trusted Access가 MFA 구현을 어떻게 강화할 수 있는지 알아보십시오.

---

탈레스 소개

​

개인정보를 중요시하는 기업들은 데이터 보안을 위하여 탈레스의 솔루션을 사용합니다. 기업은 데이터 보안과 관련된 결정적인 순간에 직면하곤 합니다. 탈레스의 보안 솔루션을 사용하면 이러한 순간(암호화 전략 구축, 클라우드 이전, 규정 준수 요건 충족)에도 끊임없는 디지털 혁신이 가능합니다.