2025년 3월까지 다음에서 DMARC 구현이 의무화됩니다. PCI 데이터 보안 표준 버전 4.0. DMARC 인증 프로토콜은 PCI SSC(결제 카드 산업 보안 표준 위원회)에서 향후 요구 사항으로 권장하는 것으로, 피싱과 같은 이메일 기반 공격으로부터 기업을 보호합니다.
이 문서에서는 DMARC PCI DSS 준수 규정과 조직에서 데이터 보호를 시행하는 것이 중요한 이유에 대해 설명합니다.
PCI DSS 및 PCI SSC 이해
PCI SSC는 지불 카드 산업 보안 표준 협의회의 약자로, PCI를 수립하고 유지하는 글로벌 조직입니다. 데이터 보안 표준(PCI DSS)을 수립하고 유지하는 글로벌 조직입니다.
마스터카드, 디스커버, 아메리칸 익스프레스, 비자 등 주요 카드 네트워크를 결합하여 결제 카드 거래를 보호하는 데 필요한 보안 표준을 개발하고 홍보합니다.
PCI DSS 규정 준수가 비즈니스에 필수적인 이유
PCI 데이터 보안 표준은 결제 카드 거래 시 카드 소유자의 데이터를 보호하는 것을 목표로 하는 포괄적인 보안 표준 세트입니다.
- 카드 소유자의 데이터 보호: PCI DSS의 주요 목표는 결제 카드 거래 시 카드 소지자의 민감한 정보를 보호하여 무단 액세스 또는 도난을 방지하는 것입니다.
- 안전한 결제 카드 환경 구축: 이 표준은 판매자가 안전한 네트워크 인프라, 액세스 제어 및 암호화를 포함하여 안전한 결제 카드 환경을 구축하고 유지하기 위한 요구 사항을 간략하게 설명합니다.
- 적절한 안전장치 구현: PCI DSS는 카드 소유자 데이터를 보호하기 위해 방화벽, 바이러스 백신 소프트웨어, 보안 코딩 관행과 같은 특정 보안 조치를 의무화합니다.
- 지속적인 보안 관행 유지: PCI DSS는 정기적인 취약성 검사, 침투 테스트, 직원을 위한 보안 인식 교육 등 보안 조치를 지속적으로 모니터링하고 유지하는 것이 중요하다고 강조합니다.
- 결제 카드 업계 전반의 규정 준수 보장: PCI 데이터 보안 표준은 규정 준수를 위한 통합 프레임워크를 제공하여 결제 카드 업계 전반에 걸쳐 일관된 보안 조치를 보장하고 결제 생태계에 대한 신뢰를 증진합니다.
PCI DSS v4.0 요구 사항의 영향을 받는 업종
다음 산업 및 부문이 이 새로운 의무의 영향을 받게 됩니다:
헬스케어
의료 업계에서는 의료 서비스에 대한 결제 카드 데이터를 비롯하여 민감한 환자 정보를 처리합니다.
신용카드 또는 직불카드 결제를 처리하는 의료기관은 PCI 데이터 보안 표준의 적용을 받습니다.
이메일 보안을 강화하고 이메일 기반 공격으로부터 보호하려면 DMARC 요구 사항을 준수하고 DMARC를 구현해야 합니다.
리테일
소매업체는 카드 결제를 광범위하게 처리하기 때문에 데이터 유출의 주요 표적이 됩니다.
리테일러가 고객 결제 정보를 보호하려면 PCI 데이터 보안 표준을 준수하는 것이 중요합니다. DMARC를 구현하면 보안 계층이 추가되어 안전한 이메일 통신을 보장하고 도메인 스푸핑 공격의 위험을 완화할 수 있습니다.
호스피탈리티
호텔, 리조트, 레스토랑 등 숙박 업계는 신용 카드 및 직불 카드 거래를 많이 처리합니다.
이러한 사업장이 고객 결제 데이터를 보호하려면 PCI 데이터 보안 표준을 준수하는 것이 필수적입니다.
숙박업체는 DMARC를 구현하여 브랜드 평판을 보호하고 피싱 시도 및 스푸핑으로부터 이메일 보안을 강화할 수 있습니다.
PCI DSS v4.0의 주요 요구 사항(2025년 시행)
PCI DSS v4.0은 정교한 기술로 조율되는 사이버 보안 위협의 증가에 대응하기 위해 PCI DSS 버전 3.2.1을 대체합니다. PCI DSS v4.0은 사이버 위협의 최신 기술 발전을 처리하고 적절하게 대처할 수 있도록 더 잘 준비되어 있습니다.
다음은 변경 사항을 요약한 내용입니다:
- 다양한 조직의 사이버 보안 문제를 해결하기 위한 맞춤형 접근 방식
- 강력한 보안을 보장하기 위한 향상된 테스트 절차
- 네트워크 보안 제어에 더 집중
- 강력한 암호화에 더욱 집중하여 카드 소유자의 데이터 보안을 보장합니다.
- 중복 요구 사항 제거
- DMARC 배포 적용
전체 변경 사항 목록을 읽어보세요: PCI DSS 변경 사항 요약
PowerDMARC를 통한 PCI DSS 규정 준수 달성
PowerDMARC의 이메일 보안 솔루션 제품군을 사용하면 PCI DSS 규정 준수를 간소화할 수 있습니다. 방법은 다음과 같습니다:
- 이메일 인증 및 보안: PowerDMARC는 DMARC, SPF, DKIM 프로토콜을 쉽고 간편하게 구현할 수 있도록 안내하여 PCI DSS 버전 4 규정을 준수할 수 있도록 도와줍니다.
- 종합적인 보고 및 모니터링: PowerDMARC는 상세한 실시간 보고서 및 모니터링 기능을 제공하여 이메일 채널을 감사하고 규정 준수에 대한 증거 기반 접근 방식을 유지할 수 있도록 지원합니다.
- 간소화된 규정 준수 관리: 자동화된 프로세스와 탐색하기 쉬운 대시보드를 통해 PowerDMARC는 PCI DSS 규정 준수 노력을 효율적으로 관리하고 문서화하여 시간과 리소스를 절약할 수 있도록 지원합니다.
PCI DSS 규정 준수를 위한 이메일 보안에서 DMARC의 역할
PCI SSC는 이메일 인증의 모범 사례로서 DMARC의 중요성을 인식하고 있으며 보안 조치를 강화하기 위해 이를 구현할 것을 권장합니다.
PCI DSS DMARC 가이드라인에 따라 기업은 이메일 인프라를 강화하고 도메인 스푸핑 공격으로부터 보호할 수 있습니다. 곧 출시될 PCI DSS 버전 4.0에서는 카드 데이터를 처리, 저장 또는 전송하는 기업에게 PCI DSS DMARC 구현이 의무화됩니다.
2025년 3월까지 조직은 이메일 인증에 대한 포괄적인 접근 방식을 확립하기 위해 SPF(발신자 정책 프레임워크) 및 DKIM(도메인키 식별 메일)과 같은 보완 조치와 함께 PCI DSS DMARC를 반드시 구현해야 합니다.
SPF, DKIM, DMARC란 무엇인가요?
SPF, DKIM 및 DMARC는 스푸핑, 피싱 및 사칭 공격으로부터 도메인과 이메일을 보호하는 데 도움이 되는 이메일 인증 프로토콜입니다. 이러한 프로토콜은 도메인에서 전송되는 합법적인 이메일과 가짜 이메일을 구분하여 권한이 없는 출처에서 내 이름으로 피싱 공격을 시작할 수 없도록 합니다.
관련 읽기: 이메일 인증이란 무엇인가요?
이러한 프로토콜의 기능
SPF는 도메인의 합법적인 발신자에게 권한을 부여하여 권한이 없는 출처가 도메인을 대신하여 이메일을 보낼 수 없도록 합니다. DKIM은 발신 메시지에 디지털 서명을 추가하여 메시지가 목적지에 도달하기 전에 위협 행위자에 의해 변조되는 것을 방지합니다.
DMARC는 이들을 하나로 묶어주는 접착제로, 발신자가 수신 서버에 SPF 및/또는 DKIM 인증 검사에 실패한 이메일을 처리하는 방법을 지시할 수 있게 해줍니다. 발신자는 DMARC를 사용하여 인증에 실패한 이메일을 거부, 격리 또는 전달하도록 선택할 수 있습니다.
동일 도메인 스푸핑 공격으로부터 효과적으로 보호하려면 조직은 다음을 설정해야 합니다. DMARC 정책 또는 "p=거부" 또는 "p=검역"으로 설정해야 합니다.
비즈니스 요구 사항 해결 및 고객 보호
카드 데이터 처리자를 위한 필수 규정 준수
모든 형태의 카드 데이터를 처리, 저장 또는 전송하는 비즈니스는 PCI DSS 표준을 준수해야 합니다.
포괄적인 이메일 인증을 보장하고 이메일 스푸핑 및 피싱 공격으로부터 보호하려면 DMARC를 구현하는 것이 매우 중요합니다.
DMARC 시행과 고객 안전의 격차
DMARC 시행에는 상당한 격차가 존재하며, 많은 조직이 DMARC를 완전히 구현하거나 시행 수준에 도달해야 합니다.
이는 고객에게 위험을 초래하므로 고객 보호 및 보안을 강화하기 위해 이러한 격차를 해소하는 것이 중요하다는 점을 강조합니다.
브랜드 보호 및 소비자 신뢰를 위한 DMARC의 중요성
효과적인 DMARC 구현은 스푸퍼와 악의적인 행위자로부터 브랜드를 보호하여 브랜드 평판을 유지하고 고객 신뢰를 구축하는 데 도움이 됩니다.
DMARC 시행을 우선시함으로써 기업은 고객 정보를 보호하고 안전한 결제 환경을 조성하겠다는 의지를 보여줄 수 있습니다.
요약
PCI DSS는 결제 거래를 보호하기 위한 중요한 프레임워크 역할을 하며, 곧 출시될 PCI DSS 버전 4.0에서는 DMARC의 의무 구현을 강조합니다.
산업 전반의 조직은 DMARC와 다음과 같은 보완 프로토콜을 적극적으로 수용해야 합니다. SPF 및 DKIM 과 같은 보완 프로토콜을 적극적으로 도입하여 이메일 인증을 강화하고 동일 도메인 스푸핑 공격으로부터 보호해야 합니다.
DMARC를 조기에 구현함으로써 기업은 브랜드 평판을 높이고 고객 신뢰를 구축하며 이메일 기반 공격의 위험을 완화할 수 있습니다. 결제 보안에 우선순위를 두고 DMARC를 적용하면 더욱 안전한 디지털 결제 환경을 구축할 수 있습니다.
PCI DSS V4.0 FAQ
은행의 고객 데이터 물리적 보호와 관련된 PCI 보안 요건은 무엇인가요?
은행의 고객 데이터의 물리적 보호와 관련된 중요한 PCI 보안 요구 사항 중 하나가 표준에서 다루어집니다. 이 요건은 고객 데이터가 저장되거나 처리되는 영역에 대한 물리적 접근을 보호하기 위한 적절한 조치를 구현하는 데 중점을 둡니다. 은행은 이 요건을 준수함으로써 무단 물리적 접근으로부터 고객 정보를 효과적으로 보호할 수 있습니다.
v4.0 요구 사항을 미래형이라고 부르는 이유는 무엇인가요?
PCI SSC는 조직이 규정 준수 요건을 준수할 수 있도록 이전 DSS 버전이 폐기된 후 1년(2024년 이후)의 추가 기간을 제공할 것이므로 v4.0의 새로운 요건은 향후에 적용될 것이라고 발표했습니다.
PCI DSS 규정 준수를 위한 다른 향후 요구 사항은 무엇인가요?
v4.0 규정 준수를 위한 기타 향후 요구 사항은 다음과 같습니다:
- 암호화 우선 순위 지정, 보안 키 업데이트, 만료되지 않은 유효한 인증서 확인
- 데이터 저장 장치 및 펜 드라이브와 같은 이동식 미디어 모니터링
- 웹 및 애플리케이션 보안 우선 순위 지정
- 비밀번호 보안 우선 순위 지정
- 정기적인 사용자 액세스 검토
- 강화된 피싱 공격에서 구실 사기의 부상 - 2025년 1월 15일
- 2025년부터 결제 카드 업계에 DMARC가 의무화됩니다. - 2025년 1월 12일
- NCSC 메일 검사 변경 사항 및 영국 공공 부문 이메일 보안에 미치는 영향 - 2025년 1월 11일