기술 지원
문서
로그인
문의하기
해커들은 종종 결제 카드 업계(PCI) 데이터를 표적으로 삼습니다. 이를 방지하기 위해 카드 소유자의 데이터가 처리되거나 저장되는 모든 곳에서 데이터를 보호하기 위해 PCI 데이터 보안 표준(PCI DSS)과 같은 규정 준수 제도가 마련되었습니다.
PCI DSS에는 취약점 패치와 관련된 특정 권장 사항을 포함하여 카드 소유자 데이터를 보호하기 위해 고안된 몇 가지 요구 사항이 포함되어 있습니다. 애플리케이션 보안 가이드라인 내에서 PCI DSS는 결제 거래를 지원하고 결제 데이터를 저장하는 기술 내에서 발생하는 알려진 취약점을 해결하기 위한 일정을 조직에 알려줍니다.
이 글에서는 패치에 대한 PCI DSS 요구 사항을 살펴보고 패치가 어려운 경우에도 이러한 요구 사항을 충족하기 위해 수행할 수 있는 작업에 대해 간략하게 설명합니다.
패치를 위한 PCI DSS 요구 사항은 무엇인가요?
최신 PCI DSS 표준인 PCI DSS 버전 4.0은 2022년 3월 말에 출시되었습니다(단, PCI DSS 버전 3.2.1은 2024년 3월까지 유효합니다). 몇 가지 변경 사항을 제외하면 패치 요구 사항은 PCI DSS 4.0에서도 유사하게 유지되며, 이 글에서는 표준 4.0 버전을 참조하겠습니다.
어떤 버전을 참조하든 보안 소프트웨어 및 시스템 개발 및 유지 보수 사양이 포함된 섹션 6에서 패치와 관련된 요구 사항의 내용을 확인할 수 있습니다. PCI DSS 4.0에서 패치를 다루는 섹션은 6.3: "보안 취약점 식별 및 해결"입니다.
패치 적용은 섹션 6.3에서 몇 가지 언급이 있지만, 관련 요구 사항은 요구 사항 은 6.3.3항에 있습니다. 여기에는 PCI DSS 요구 사항이 명시되어 있습니다:
모든 시스템 구성 요소는 다음과 같이 해당 보안 패치/업데이트를 설치하여 알려진 취약점으로부터 보호됩니다: 중요하거나 보안 수준이 높은 패치/업데이트(요구사항 6.3.1의 위험 순위 프로세스에 따라 식별됨)는 릴리스 후 1개월 이내에 설치합니다.
기타 모든 적용 가능한 보안 패치/업데이트는 기업이 결정한 적절한 기간 내에 설치합니다(예: 릴리스 후 3개월 이내).
요약하면, PCI DSS 규정을 준수하려면 중요 패치는 패치 릴리스 후 한 달 이내에 적용해야 하며, 덜 중요한 패치는 패치 릴리스 후 3개월 이내에 적용해야 합니다. 섹션 6.3.1에 정의된 중요도는 공급업체의 설명, 독립적인 보안 보고서, 그리고 CVSS 점수.
PCI DSS는 패치 일정에 대한 엄격한 요구 사항을 적용합니다. 이러한 요구 사항을 충족하지 못하는 적용 대상 조직은 규정 미준수로 간주됩니다.
PCI DSS 패치 일정을 맞추기 위해 할 수 있는 일
각 조직은 패치 일정에 대해 자체적인 접근 방식을 취하지만, 실제로는 기본적으로 최대한 빠른 시일 내에 패치를 적용하는 것이 원칙입니다. 그러나 PCI DSS와 같은 독립적인 표준은 기존의 사이버 보안 관행으로는 충족하기 어려운 고정된 요구 사항을 설정합니다.
참조하는 소스에 따라 패치하는 데 걸리는 일반적인 시간은 다음과 같습니다. 2개월에서 5개월까지 그리고 조직은 일반적으로 패치 일정을 맞추는 데 어려움을 겪습니다.. 패치의 현실은 PCI DSS 요구 사항과 쉽게 충돌할 수 있습니다. 패치를 충분히 신속하게 배포하지 않으면 벌금이 부과되거나 더 큰 문제가 발생할 수 있습니다.
조직에서 패치 시간을 줄이고 PCI DSS 규정을 준수하기 위해 취할 수 있는 몇 가지 단계는 다음과 같습니다:
- 가시성을 소개합니다. 사이버 보안의 많은 부분이 그렇듯이, 모르는 것은 보호할 수 없습니다. 카드 소지자 데이터 및 결제 처리를 위해 어떤 시스템에 의존하는지 파악한 다음, 해당 시스템의 종속성도 매핑하세요.
- 중요한 것에 집중하기. 규정 준수 체제인 PCI DSS에서 결제 관련 기술을 제때 패치해야 한다고 요구하는 경우 리소스를 집중해야 합니다.
- 더 나은 커뮤니케이션 및 조정. 패치를 위해 위기 모드에 빠지지 마세요. 패치 목표를 지속적으로 모니터링하고, 이해 관계자에게 패치 필요성을 알리고, 유지 보수 기간을 계획하세요.
- 기술을 사용하여 판도를 바꾸다. 재부팅을 수반하는 수동 패치는 시간이 오래 걸리고 운영이 중단됩니다. 라이브 패치 사용 살펴보기 라이브 패치로 적용할 수 있는 결제 관련 시스템에 대해 살펴보세요. 여기에는 엔터프라이즈 Linux 배포, 오픈 소스 라이브러리, 데이터베이스 및 가상화 환경이 포함됩니다.
- 올바른 리소스 활용. 패치의 필요성은 이제 더 이상 새로운 소식이 아니며, 대규모 기술 자산에 대한 일관된 패치 적용에 필요한 리소스가 많이 필요하다는 사실에 놀라지 않으셔도 됩니다. PCI DSS 규정을 준수하려면 패치 컴플라이언스를 위한 리소스를 적절히 확보해야 합니다.
PCI DSS를 포함한 패치 요건을 충족하려면 모든 역량을 총동원해야 합니다. 여기에는 취약점 스캔부터 실시간 패치에 이르기까지 모든 기술 솔루션을 마음대로 배포하는 것이 포함됩니다.
PCI DSS 패치에 대한 몇 가지 기타 참고 사항
패치는 몇 가지 다른 PCI DSS 요구 사항에서도 언급됩니다. 예를 들어, 1.2.5에서는 활성화되어 있고 사용 가능한 기술 서비스를 식별하고 이러한 각 서비스에 정의된 비즈니스 요구 사항이 있는지 확인해야 한다고 지적합니다. 사용하지 않는 서비스는 종종 잊혀지고 그 결과 패치되지 않은 채 취약한 상태로 방치되는 경우가 많습니다.
마찬가지로 섹션 11.3에서는 외부를 향한 디바이스를 스캔하고 발견된 취약점을 패치하거나 다른 방법으로 해결해야 한다고 언급하고 있습니다. 이 표준의 다양한 부록에도 몇 가지 사소한 언급이 있습니다.
필요한 모든 도움 받기
PCI DSS 섹션 6.3에 설정된 패치 기한을 지키지 못하면 PCI DSS 표준을 준수하지 않는 것입니다.. PCI DSS 요구 사항이 적용되는 조직은 에 해당하는 조직은 무거운 벌금이 부과됩니다.
또한 부적절한 패치 적용으로 인해 보안 침해가 발생하면 막대한 복구 비용과 비즈니스 폐쇄까지 이어질 수 있는 위험도 있습니다.
TuxCare는 패치 접근 방식을 가속화하여 PCI DSS 규정 준수를 훨씬 쉽게 달성하고 유지할 수 있도록 지원합니다.
실시간 패치 솔루션을 사용하면 최신 Linux 취약성 패치가 제공되는 즉시 시스템에 패치를 적용할 수 있습니다. TuxCare를 사용하면 팀이 유지 보수 기간을 예약하거나 재부팅할 필요 없이 시스템이 실행되는 동안 백그라운드에서 패치가 자동으로 배포됩니다.
TuxCare 라이브 패치는 가장 널리 사용되는 엔터프라이즈 Linux 운영 체제는 물론 일반적으로 사용되는 오픈 소스 라이브러리 및 데이터베이스, 심지어 가상화 환경까지 지원합니다. TuxCare의 다양한 라이브 패치 솔루션에 대한 자세한 내용은 여기에서 확인하세요..
