디지털 보안은 새로운 규칙을 얻었으며, 카드 데이터를 처리하는 기업들은 적응해야 합니다. 결제 카드 산업 보안 표준(PCI DSS) 버전 4.0이 PCI 보안 표준 위원회(PCI SSC)에 의해 도입됨에 따라, 변화는 중요하며 고객 데이터 보호와 결제 데이터의 저장, 처리 및 전송 방식에 직접적인 영향을 미칩니다. 그렇다면, 결국 무엇이 정말로 달라지나요?
가장 큰 변화는 더욱 높은 수준의 디지털 보안이 필요하다는 점입니다. 기업들은 강력한 암호화 및 다중 인증과 같은 첨단 기술에 투자해야 합니다. 이 방법은 시스템, 애플리케이션 또는 거래에 대한 액세스를 허용하기 전에 사용자 신원을 확인하기 위해 최소 두 가지 인증 요소를 요구하여, 범죄자가 비밀번호 또는 개인 정보를 입수하더라도 침입을 어렵게 만듭니다.
사용되는 인증 요소는 다음과 같습니다
- 사용자가 아는 것비밀번호, PIN 또는 보안 질문 답변.
- 사용자가 소유한 것물리적 토큰, 인증 코드가 포함된 SMS, 인증 앱(구글 인증기 등) 또는 디지털 인증서.
- 사용자가 무엇인지디지털 생체 인식, 얼굴 인식, 음성 인식 또는 홍채 인식.
이 보호 계층은 무단 액세스를 훨씬 더 어렵게 만들고 민감한 데이터의 보안을 강화한다고 설명합니다.
간단히 말해서, 무단 접근을 방지하기 위해 고객 데이터 보호를 강화하고 추가 조치를 시행해야 한다고 Conviso의 CEO인 Wagner Elias가 설명한다. "필요할 때 적응하는 것이 아니라 사전에 예방적으로 행동하는 것"이라고 강조한다.
새로운 규칙에 따라 구현은 두 단계로 이루어지며, 첫 번째 단계는 13개의 새로운 요구 사항으로 2024년 3월까지 완료되었습니다. 두 번째 단계는 더 엄격하며 51개의 추가 요구 사항을 포함하며 2025년 3월 31일까지 완료되어야 합니다. 즉, 준비하지 않은 사람은 엄격한 처벌에 직면할 수 있습니다.
새로운 요구 사항에 맞추기 위해 주요 조치 중 일부는 다음과 같습니다: 구현하다방화벽견고한 보호 시스템; 데이터 전송 및 저장 시 암호화 사용; 지속적으로 접근 및 의심 활동 모니터링 및 추적; 취약점을 식별하기 위해 프로세스와 시스템을 지속적으로 테스트; 엄격한 정보 보안 정책 수립 및 유지.
바그너는 실질적으로 이것이 카드 결제를 처리하는 모든 기업이 자신의 디지털 보안 구조를 전면적으로 재검토해야 함을 의미한다고 강조한다. 이것은 시스템을 업데이트하고 내부 정책을 강화하며 팀을 교육하여 위험을 최소화하는 것을 포함합니다. 예를 들어, 전자상거래는 고객 데이터가 종단 간 암호화되고 승인된 사용자만 민감한 정보에 접근할 수 있도록 보장해야 합니다. 반면에 소매 네트워크는 지속적으로 사기 시도와 데이터 유출 가능성을 모니터링하는 메커니즘을 구현해야 합니다.
은행과 핀테크도 생체 인식 및 다중 인증과 같은 기술의 사용을 확대하여 인증 메커니즘을 강화할 필요가 있다. 목표는 고객 경험을 해치지 않으면서 거래를 더 안전하게 만드는 것입니다. 이는 보호와 사용 편의성 사이의 균형을 요구하며, 금융 부문은 지난 몇 년 동안 이를 지속적으로 개선해 왔습니다.
그렇다면, 왜 이 변화가 그렇게 중요한가요? 디지털 사기가 점점 더 정교해지고 있다고 말하는 것은 과장이 아니다. 데이터 유출은 수백만 달러의 손실과 고객 신뢰에 돌이킬 수 없는 손상을 초래할 수 있습니다.
바그너 엘리야스 경고: "많은 기업들이 여전히 수동적인 태도를 취하며 공격이 발생한 후에야 보안에 신경을 쓰고 있습니다. 이러한 행동은 우려스럽습니다. 보안 실패는 막대한 재정적 손실과 조직의 명성에 돌이킬 수 없는 피해를 초래할 수 있으며, 이는 예방 조치를 통해 방지할 수 있습니다."
그는 또한 이러한 위험을 피하기 위해 가장 큰 차별점은 새로운 애플리케이션 개발 초기부터 애플리케이션 보안(보안)을 실천하는 것이라고 강조하며, 소프트웨어 개발 주기의 각 단계마다 보호 조치를 이미 갖추도록 보장하는 것이라고 강조한다. 이것은 소프트웨어의 전체 수명 주기 동안 보호 조치를 삽입하는 것을 보장하며, 사고 후 피해를 복구하는 것보다 훨씬 비용 효율적입니다.
이것은 전 세계적으로 증가하고 있는 추세임을 기억하는 것이 중요합니다. 2024년에는 116억 2천만 달러의 규모를 가진 애플리케이션 보안 시장이 2029년까지 259억 2천만 달러에 이를 것으로 Mordor Intelligence는 예측하고 있습니다.
바그너는 DevOps와 같은 솔루션이 각 코드 라인이 보호 관행과 함께 개발될 수 있도록 하며, 침입 테스트 및 취약점 완화와 같은 서비스도 제공한다고 설명합니다. 지속적인 보안 분석과 테스트 자동화를 수행하면 기업이 효율성을 희생하지 않고 규정을 준수할 수 있다고 강조합니다.
또한, 전문 컨설팅은 이 과정에서 중요하며, 기업들이 PCI DSS 4.0의 새로운 요구 사항에 적응할 수 있도록 돕습니다. 가장 많이 찾는 서비스에는 침투 테스트, 레드 팀, 제3자 보안 평가가 있으며, 이는 범죄자가 악용하기 전에 취약점을 식별하고 수정하는 데 도움을 준다고 합니다.
점점 더 정교해지는 디지털 사기와 함께 데이터 보안을 무시하는 것은 더 이상 선택이 아닙니다. 예방 조치에 투자하는 기업들은 고객의 안전을 보장하고 시장에서의 입지를 강화합니다. 새로운 지침을 시행하는 것은 무엇보다도 더 안전하고 신뢰할 수 있는 결제 환경을 구축하기 위한 필수적인 단계입니다.
