PCI DSS용 DMARC: 버전 4.0 요구 사항 및 권장 사항

블로그

DMARC는 이메일 보안을 강화하기 위해 PCI DSS 4.0에서 권장하는 모범 사례입니다. 지금 바로 규정 준수 전략을 강화하여 이메일 사기를 방지하세요.

by 아호나 루드라

읽기 시간: 6
PCI DSS용 DMARC: 버전 4.0 요구 사항 및 권장 사항
목차-

DMARC 구현은 아래에서 "모범 사례"로 권장됩니다. PCI DSS 버전 4.0에 따라 '모범 사례'로 권장되며, 이메일 보호 및 사기 방지를 위한 포괄적인 접근 방식의 일부로 다른 보안 조치를 보완합니다. 결제 카드 업계의 이 이니셔티브는 카드 소유자 데이터를 취급, 저장 또는 처리하는 모든 주체의 결제 보안을 강화하는 것을 목표로 합니다. DMARC는 기업이 피싱 및 스푸핑과 같은 이메일 기반 공격을 방지하고 이메일을 통해 교환되는 민감한 정보를 보호하는 데 중추적인 역할을 합니다.

DMARC는 다른 예방 조치와 함께 현재 버전의 PCI DSS에서 모범 사례의 예로 설명되어 있지만, PCI DSS에서 의무화하거나 달리 요구하지는 않습니다. 하지만 이메일 보안 전략의 일부로 DMARC를 채택하면 도메인 보호를 크게 강화하고 피싱 공격을 방지하며 이메일 전달성을 개선하는 등 강력한 사이버 보안 프레임워크의 핵심 요소인 PCI DSS 규정 준수 노력을 보완할 수 있습니다.

주요 내용

  • PCI DSS v4.0은 카드 결제를 취급하거나 처리하는 조직에 DMARC 구현을 권장합니다.
  • DMARC는 조직이 피싱 및 이메일 스푸핑 공격으로부터 보호할 수 있도록 지원합니다.
  • PCI DSS는 강력한 이메일 보안을 위해 다른 피싱 방지 제어와 함께 DMARC, SPF, DKIM을 구현할 것을 권장합니다.
  • 카드 소유자 데이터를 보호하고 안전한 결제 거래를 보장하려면 PCI DSS v4.0을 준수하는 것이 필수적입니다.
  • DMARC를 조기에 적용하면 신뢰를 구축하고 이메일 전달성을 향상시키며 이메일 기반 보안 위험을 줄일 수 있습니다.

PCI DSS 4.0 규정 준수를 위한 주요 요구 사항(2025년 시행)

PCI DSS v4.0은 정교한 기술로 조율되는 사이버 보안 위협의 증가에 대응하기 위해 PCI DSS 버전 3.2.1을 대체합니다. PCI DSS v4.0은 사이버 위협의 최신 기술 발전을 처리하고 적절하게 대처할 수 있도록 더 잘 준비되어 있습니다. 

주요 변경 사항은 다음과 같습니다:

  1. 강화된 이메일 보안: PCI DSS v4.0은 카드 결제를 처리하는 조직이 이메일 보안을 강화하고 이메일 스푸핑 및 데이터 유출의 위험을 줄이기 위해 DMARC를 구현하도록 권장합니다.
  2. 향상된 액세스 제어: 모든 액세스에는 다단계 인증 (MFA)이 필요하며, 더 강력한 비밀번호 정책(최소 길이가 7자에서 12자로 증가)과 업데이트된 계정 잠금 규칙(로그인 시도 실패 횟수가 6회가 아닌 10회 이후)이 적용됩니다.
  3. 연례 기술 리뷰: 하드웨어와 소프트웨어는 최소 1년에 한 번씩 검토하여 취약점을 미리 파악해야 합니다.
  4. 사전 예방적 리스크 관리: 조직은 보안 제어 실패를 즉시 해결하고 고유한 사이버 보안 문제에 대한 맞춤형 접근 방식을 채택해야 합니다.
  5. 데이터 및 네트워크 보안 강화: 강력한 암호화, 더 엄격한 액세스 권한, 향상된 네트워크 보안 조치에 집중하여 카드 소유자의 데이터를 보호합니다.
  6. 간소화된 규정 준수: 오래된 요구 사항을 제거하고 테스트 절차를 개선하여 간소화하여 포괄적인 보안을 보장합니다.

전체 변경 사항 목록을 읽어보세요: PCI DSS 변경 사항 요약

영향을 받는 대상은 누구인가요?

DMARC에 대한 PCI DSS 권장 사항은 카드 소지자 데이터/결제 카드 정보/민감한 인증 데이터를 저장, 처리 또는 전송하는 모든 주체에 도움이 될 것입니다. 여기에는 조직, 개인, 시스템 구성 요소 및 서비스 제공업체가 포함됩니다.

영향을 받는 엔티티는 다음과 같습니다:

  • 규모에 관계없이 카드 결제를 처리하거나 처리하는 모든 조직. 
  • 카드 소유자 데이터를 처리, 획득, 발급 또는 수락하는 모든 회사 또는 서비스 제공업체.
  • 카드 소지자 데이터(CHD) 및/또는 민감한 인증 데이터(SAD)를 저장, 처리 또는 전송하는 시스템 구성 요소, 사람 및 프로세스.
  • CHD/SAD를 직접 저장, 처리 또는 전송하지 않더라도 이를 처리하는 시스템 구성 요소에 제한 없이 연결할 수 있습니다.

영향을 받는 산업은 다음과 같습니다:

  • 전자상거래 비즈니스 
  • 금융 기관 
  • 소매업체 
  • 헬스케어 
  • 호스피탈리티 
  • 타사 서비스 제공업체 및 공급업체 
  • 카드 결제를 처리하는 모든 회사, 기업 또는 기업

PowerDMARC로 PCI DSS 규정 준수를 위한 DMARC 구현하기

DMARC는 유일한 요건은 아니지만 PCI DSS 규정 준수 노력을 보완합니다. DMARC 구현은 PowerDMARC의 호스팅 이메일 인증 솔루션 제품군을 통해 간소화할 수 있습니다. 방법은 다음과 같습니다:

  1. 호스팅된 DMARC 서비스: PowerDMARC의 호스팅 서비스는 간편하고 자동화된 DMARC, SPF 및 DKIM 구현을 통해 PCI DSS 버전 4 규정을 준수할 수 있도록 도와줍니다.
  2. 종합적인 DMARC 보고 및 모니터링: PowerDMARC는 상세하고 간소화된 DMARC 집계 및 포렌식 보고서를 제공합니다. 이를 통해 이메일 채널을 감사하고 규정 준수에 대한 증거 기반 접근 방식을 유지할 수 있습니다.
  3. 간소화된 규정 준수 관리: 자동화된 프로세스와 탐색하기 쉬운 대시보드를 통해 PowerDMARC는 PCI DSS 규정 준수 노력을 효율적으로 관리하고 문서화하여 시간과 리소스를 절약할 수 있도록 지원합니다.

DMARC를 구현하지 않을 경우의 결과

PCI DSS는 DMARC를 구현하지 않는다고 해서 직접적인 처벌을 부과하지는 않지만, 조직은 심각한 사이버 보안 위험에 직면할 수 있습니다.

DMARC를 구현하지 않으면 다음과 같은 결과가 발생할 수 있습니다: 

  1. 사이버 공격 위험 증가: DMARC를 구현하지 않으면 도메인 네임이 스푸핑, 피싱 및 사칭에 취약해집니다.
  2. 이메일 전달률 저하: 인증이 없으면 이메일 전달률이 저하되어 이메일 반송률이 높아질 수 있습니다.
  3. 평판 손상: 피싱 공격의 위험이 증가하면 브랜드 평판이 손상되고 고객 신뢰도가 떨어질 수 있습니다.

PowerDMARC로 보안을 간소화하세요!

15일 평가판 시작 데모 예약하기

PCI DSS 및 PCI SSC 이해 

PCI SSC는 지불 카드 산업 보안 표준 협의회의 약자로, PCI를 수립하고 유지하는 글로벌 조직입니다. 데이터 보안 표준(PCI DSS)을 수립하고 유지하는 글로벌 조직입니다.

마스터카드, 디스커버, 아메리칸 익스프레스, 비자 등 주요 카드 네트워크를 결합하여 결제 카드 거래를 보호하는 데 필요한 보안 표준을 개발하고 홍보합니다.

PCI DSS 규정 준수가 비즈니스에 필수적인 이유

PCI 데이터 보안 표준은 결제 카드 거래 시 카드 소유자의 데이터를 보호하는 것을 목표로 하는 포괄적인 보안 표준 세트입니다.

  • 카드 소유자의 데이터 보호: PCI DSS의 주요 목표는 결제 카드 거래 시 카드 소지자의 민감한 정보를 보호하여 무단 액세스 또는 도난을 방지하는 것입니다.
  • 안전한 결제 카드 환경 구축: 이 표준은 판매자가 안전한 네트워크 인프라, 액세스 제어 및 암호화를 포함하여 안전한 결제 카드 환경을 구축하고 유지하기 위한 요구 사항을 간략하게 설명합니다.
  • 적절한 안전장치 구현: PCI DSS는 카드 소유자 데이터를 보호하기 위해 방화벽, 바이러스 백신 소프트웨어, 보안 코딩 관행과 같은 특정 보안 조치를 의무화합니다.
  • 지속적인 보안 관행 유지: PCI DSS는 정기적인 취약성 검사, 침투 테스트, 직원을 위한 보안 인식 교육 등 보안 조치를 지속적으로 모니터링하고 유지하는 것이 중요하다고 강조합니다.
  • 결제 카드 업계 전반의 규정 준수 보장: PCI 데이터 보안 표준은 규정 준수를 위한 통합 프레임워크를 제공하여 결제 카드 업계 전반에 걸쳐 일관된 보안 조치를 보장하고 결제 생태계에 대한 신뢰를 증진합니다.

PCI DSS용 DMARC: 중요한 이유 

DMARC, SPF 및 DKIM 은 스푸핑, 피싱 및 사칭 공격으로부터 도메인과 이메일을 보호하는 데 도움이 되는 이메일 인증 프로토콜입니다. 이러한 프로토콜은 도메인에서 전송되는 합법적인 이메일과 가짜 이메일을 구분하여 권한이 없는 출처에서 도메인 네임을 위조할 수 없도록 합니다. 동일 도메인 스푸핑 공격으로부터 효과적으로 보호하려면 조직은 다음과 같은 DMARC 정책 또는 최소한 "p=거부" 또는 "p=검역"으로 설정해야 합니다.

PCI SSC는 스팸 방지 및 피싱 방지 노력의 일환으로 DMARC 구현을 포함하고 있습니다. DMARC를 구현하는 조직에는 다음과 같은 여러 가지 이점이 있습니다: 

  • 이메일 전달률 향상 
  • 이메일 사기 및 도메인 이름 사칭 최소화 
  • 스팸 불만 및 이메일 반송 감소 
  • 브랜드 평판, 신뢰도 및 신뢰도 향상 
  • 글로벌 및 현지 정부 규정 준수  

PCI DSS 요구 사항 및 권장 사항을 준수하는 방법 

PCI DSS 권장 사항을 준수하기 위해 기업은 다음과 같이 할 수 있습니다: 

  1. 관련 피싱 방지 기술과 함께 DMARC, SPF, DKIM을 구현하세요. 
  2. 이메일 기반 사이버 공격 방지를 시작하려면 강제 DMARC 정책(예: p=거부)으로 전환하세요. 
  3. 멀웨어 방지 및 URL 보호 솔루션을 구현하여 악성 스팸 캠페인이 직원에게 도달하는 것을 차단하세요. 
  4. 팀 전체가 한 달에 한 번 이상 보안 인식 교육을 통해 최신 피싱 기법을 숙지하도록 하세요.

요약

PCI DSS는 결제 거래를 보호하는 중요한 프레임워크 역할을 합니다. 곧 출시될 PCI DSS 버전 4.0은 민감한 결제 카드 데이터를 보호하는 데 있어 이메일 보안의 중요성을 강조합니다. 업계 전반의 조직은 데이터 유출에 대한 방어를 강화하기 위해 DMARC, SPF 및 DKIM과 같은 보완 프로토콜 또는 이와 유사한 피싱 방지 제어 기능을 적극적으로 도입하는 것이 좋습니다. 

DMARC를 조기에 구현함으로써 기업은 브랜드 평판을 높이고 고객 신뢰를 구축하며 이메일 전달률을 개선할 수 있습니다. 결제 보안과 DMARC 시행을 우선시하면 전 세계적으로 더 안전한 디지털 결제 환경이 조성될 것입니다.

가입 지금 바로 가입하여 PowerDMARC로 이메일 보안을 강화하고 PCI DSS 모범 사례로 규정 준수 노력을 강화하세요!

PCI DSS V4.0 FAQ

은행의 고객 데이터 물리적 보호와 관련된 PCI 보안 요건은 무엇인가요?

은행의 고객 데이터의 물리적 보호와 관련된 중요한 PCI 보안 요구 사항 중 하나가 표준에서 다루어집니다. 이 요건은 고객 데이터가 저장되거나 처리되는 영역에 대한 물리적 접근을 보호하기 위한 적절한 조치를 구현하는 데 중점을 둡니다. 은행은 이 요건을 준수함으로써 무단 물리적 접근으로부터 고객 정보를 효과적으로 보호할 수 있습니다.

v4.0 요구 사항을 미래형이라고 부르는 이유는 무엇인가요?

PCI SSC는 조직이 규정 준수 요건을 준수할 수 있도록 이전 DSS 버전이 폐기된 후 1년(2024년 이후)의 추가 기간을 제공할 것이므로 v4.0의 새로운 요건은 향후에 적용될 것이라고 발표했습니다.

PCI DSS 규정 준수를 위한 다른 향후 요구 사항은 무엇인가요?

v4.0 규정 준수를 위한 기타 향후 요구 사항은 다음과 같습니다:

  • 암호화 우선 순위 지정, 보안 키 업데이트, 만료되지 않은 유효한 인증서 확인
  • 데이터 저장 장치 및 펜 드라이브와 같은 이동식 미디어 모니터링
  • 웹 및 애플리케이션 보안 우선 순위 지정
  • 비밀번호 보안 우선 순위 지정
  • 정기적인 사용자 액세스 검토

아호나 루드라의 최신 포스트 (전체 보기)
554 5.7.5 DMARC 정책 평가 시 영구적 오류 [해결됨]554 5.7.5 DMARC 정책 평가 시 영구 오류 발생DMARC 정책에 따라 거부된 이메일 문제 해결"DMARC 정책에 따라 이메일이 거부됨" 문제 해결[해결됨]