중요 알림: Google과 Yahoo는 2024년 4월부터 DMARC를 요구할 예정입니다.
자세히 보기
PowerDMARC

DMARC PCI DSS: 이제 버전 4.0의 필수 요구 사항입니다.

아호나 루드라
DMARC PCI DSS
읽기 시간: 5

2025년 3월까지 다음에서 DMARC 구현이 의무화됩니다. PCI 데이터 보안 표준 버전 4.0. PCI SSC에서 향후 요구 사항으로 권장하는 DMARC는 피싱과 같은 이메일 기반 공격으로부터 기업을 보호합니다. 기한이 지나면 카드 데이터를 처리하는 기업은 강력한 이메일 인증을 위해 DMARC를 구현해야 합니다.

A DMARC 정책 p=거부 또는 p=검역으로 설정하는 것은 스푸핑 공격으로부터 데이터를 보호하는 데 매우 중요합니다. 이 문서에서는 DMARC PCI DSS 컴플라이언스 규정과 조직에서 데이터 보호를 시행하는 것이 중요한 이유를 설명합니다.

PCI SSC 및 PCI DSS 표준이란 무엇인가요?

PCI SSC는 지불 카드 산업 보안 표준 협의회의 약자로, PCI 데이터 보안 표준(PCI DSS)을 제정하고 유지하는 글로벌 조직입니다. 

마스터카드, 디스커버, 아메리칸 익스프레스, 비자 등 주요 카드 네트워크를 결합하여 결제 카드 거래를 보호하는 데 필요한 보안 표준을 개발하고 홍보합니다.

PCI DSS의 목표는 무엇인가요? 

PCI 데이터 보안 표준은 결제 카드 거래 시 카드 소유자의 데이터를 보호하는 것을 목표로 하는 포괄적인 보안 표준 세트입니다.

PCI DSS v4.0의 향후 요구 사항 - 새로운 기능은 무엇입니까?

PCI DSS v4.0은 정교한 기술로 조율되는 사이버 보안 위협의 증가에 대응하기 위해 PCI DSS 버전 3.2.1을 대체합니다. PCI DSS v4.0은 사이버 위협의 최신 기술 발전을 처리하고 적절하게 대처할 수 있도록 더 잘 준비되어 있습니다. 

다음은 변경 사항을 요약한 내용입니다:

전체 변경 사항 목록 읽기: PCI DSS 변경 사항 요약

PCI DSS v4.0은 언제 시행되나요? 

이전 버전이 2024년 3월에 만료됨에 따라 2025년 3월부터 PCI DSS v4.0이 본격적으로 시행될 예정입니다. 조직은 최신 변경 사항을 준수하기 위해 새로운 정책 및 요구 사항으로 마이그레이션해야 합니다. 

DMARC PCI DSS 모범 사례 및 권장 사항

PCI SSC는 이메일 인증의 모범 사례로서 DMARC의 중요성을 인식하고 있으며 보안 조치를 강화하기 위해 이를 구현할 것을 권장합니다.

PCI DSS DMARC 가이드라인에 따라 기업은 이메일 인프라를 강화하고 도메인 스푸핑 공격으로부터 보호할 수 있습니다.

PCI DSS 요구 사항으로서의 DMARC 구현

곧 출시될 PCI DSS 버전 4.0에서는 카드 데이터를 처리, 저장 또는 전송하는 비즈니스에 PCI DSS DMARC 구현이 의무화됩니다.

2025년 3월까지 조직은 이메일 인증에 대한 포괄적인 접근 방식을 확립하기 위해 SPF(발신자 정책 프레임워크) 및 DKIM(도메인키 식별 메일)과 같은 보완 조치와 함께 PCI DSS DMARC를 반드시 구현해야 합니다.

최신 업데이트 관련 보완 조치

SPF DKIM 은 이메일 인증에서 DMARC를 보완하는 추가 프로토콜입니다.

SPF는 도메인 소유자가 도메인에 대해 권한이 있는 발신자를 정의할 수 있게 해주며, DKIM은 디지털 서명을 사용하여 이메일 메시지의 무결성을 확인합니다. 

이러한 프로토콜을 함께 사용하면 이메일 보안이 강화되고 이메일 기반 공격으로부터 보호할 수 있습니다.

DMARC로 포괄적인 이메일 인증 보장하기

동일 도메인 스푸핑 공격으로부터 효과적으로 보호하려면 조직은 다음을 설정해야 합니다. DMARC 정책 "p=거부" 또는 "p=검역"으로 설정해야 합니다.

이렇게 하면 DMARC 검사에 실패한 의심스러운 이메일이 거부되거나 추가 조사를 위해 플래그가 지정되어 이메일 기반 공격의 위험을 줄일 수 있습니다.

관련 읽기: 이메일 인증이란 무엇인가요?

PCI DSS DMARC의 영향을 받는 업종

헬스케어

의료 업계에서는 의료 서비스에 대한 결제 카드 데이터를 비롯하여 민감한 환자 정보를 처리합니다. 

신용카드 또는 직불카드 결제를 처리하는 의료기관은 PCI 데이터 보안 표준의 적용을 받습니다. 

이메일 보안을 강화하고 이메일 기반 공격으로부터 보호하기 위해 DMARC 요구 사항을 준수하고 DMARC를 구현해야 합니다.

리테일

소매업체는 카드 결제를 광범위하게 처리하기 때문에 데이터 유출의 주요 표적이 됩니다. 

리테일러가 고객 결제 정보를 보호하려면 PCI 데이터 보안 표준을 준수하는 것이 중요합니다. DMARC를 구현하면 보안 계층이 추가되어 안전한 이메일 통신을 보장하고 도메인 스푸핑 공격의 위험을 완화할 수 있습니다.

호스피탈리티

호텔, 리조트, 레스토랑 등 숙박 업계는 신용 카드 및 직불 카드 거래를 많이 처리합니다. 

이러한 사업장이 고객 결제 데이터를 보호하려면 PCI 데이터 보안 표준을 준수하는 것이 필수적입니다. 

숙박업체는 DMARC를 구현하여 브랜드 평판을 보호하고 피싱 시도 및 스푸핑으로부터 이메일 보안을 강화할 수 있습니다.

비즈니스 요구 사항 해결 및 고객 보호

카드 데이터 처리자를 위한 필수 규정 준수

모든 형태의 카드 데이터를 처리, 저장 또는 전송하는 비즈니스는 PCI DSS 표준을 준수해야 합니다. 

포괄적인 이메일 인증을 보장하고 이메일 스푸핑 및 피싱 공격으로부터 보호하려면 DMARC를 구현하는 것이 매우 중요합니다.

DMARC 시행과 고객 안전의 격차

DMARC 시행에는 상당한 격차가 존재하며, 많은 조직이 DMARC를 완전히 구현하거나 시행 수준에 도달해야 합니다. 

이는 고객에게 위험을 초래하므로 고객 보호 및 보안을 강화하기 위해 이러한 격차를 해소하는 것이 중요하다는 점을 강조합니다.

브랜드 보호 및 소비자 신뢰를 위한 DMARC의 중요성

효과적인 DMARC 구현은 스푸퍼와 악의적인 행위자로부터 브랜드를 보호하여 브랜드 평판을 유지하고 고객 신뢰를 구축하는 데 도움이 됩니다. 

DMARC 시행을 우선시함으로써 기업은 고객 정보를 보호하고 안전한 결제 환경을 조성하겠다는 의지를 보여줄 수 있습니다.

결론

PCI DSS는 결제 거래를 보호하기 위한 중요한 프레임워크 역할을 하며, 곧 출시될 PCI DSS 버전 4.0에서는 DMARC의 의무 구현을 강조합니다.

업계 전반의 조직은 이메일 인증을 강화하고 동일 도메인 스푸핑 공격으로부터 보호하기 위해 DMARC와 SPF 및 DKIM과 같은 보완 프로토콜을 적극적으로 도입해야 합니다.

DMARC를 조기에 구현함으로써 기업은 브랜드 평판을 높이고 고객 신뢰를 구축하며 이메일 기반 공격의 위험을 완화할 수 있습니다. 결제 보안에 우선순위를 두고 DMARC를 적용하면 더욱 안전한 디지털 결제 환경을 구축할 수 있습니다.

PCI DSS V4.0 FAQ

은행의 고객 데이터 물리적 보호와 관련된 PCI 보안 요건은 무엇인가요?

은행의 고객 데이터의 물리적 보호와 관련된 중요한 PCI 보안 요구 사항 중 하나가 표준 내에서 다루어집니다. 이 요건은 고객 데이터가 저장되거나 처리되는 영역에 대한 물리적 접근을 보호하기 위한 적절한 조치를 구현하는 데 중점을 둡니다. 은행은 이 요건을 준수함으로써 무단 물리적 액세스로부터 고객 정보를 효과적으로 보호할 수 있습니다.

v4.0 요구 사항을 미래형이라고 부르는 이유는 무엇인가요?

PCI SSC는 조직이 규정 준수 요건을 준수할 수 있도록 이전 DSS 버전이 폐기된 후 1년(2024년 이후)의 추가 기간을 제공할 것이므로 v4.0의 새로운 요건은 향후에 적용될 것이라고 발표했습니다.

PCI DSS 규정 준수를 위한 다른 향후 요구 사항은 무엇인가요?

v4.0 규정 준수를 위한 기타 향후 요구 사항은 다음과 같습니다:

 

아호나 루드라의 최신 포스트 (전체 보기)
모바일 버전 종료