Security Analysis - PCI 6.6
±â¾÷µéÀº PCI 6.6À» ÀÌÇØÇϱâ À§ÇÑ ³ë·ÂÀ» ±â¿ï¿©¾ß
Áö³ 6¿ù 30ÀϺÎÅÍ PCI DSS(Ú¸ ½Å¿ëÄ«µåÇùȸ µ¥ÀÌÅͺ¸¾ÈÇ¥ÁØ)ÀÇ 6.6Ç×ÀÌ Àǹ«ÈµÇ¾úÁö¸¸ ¹Ì±¹ÀÇ ±â¾÷µéÀº ¿©ÀüÈ÷ ±× ³»¿ëÀ» ¡®Çؼ®¡¯Çϱâ À§ÇØ ¸Ó¸®¸¦ ±ÜÀûÀÌ°í ÀÖ´Ù.
¾ÈÀüÇÑ ½Ã½ºÅÛ°ú ¾ÖÇø®ÄÉÀ̼ÇÀÇ °³¹ß ¹× À¯Áö¿¡ °üÇÑ ÁÖ¿ä Çìµå¶óÀÎÀÌ µÇ´Â ÇØ´ç Á¶Ç×Àº À¥ ´ë¸é ¾ÖÇø®ÄÉÀ̼ÇÀÇ º¸¾ÈÀ» Æ÷ÇÔÇÑ´Ù. 6¿ù 30ÀϺÎÅÍ´Â Á¦ 3ÀÚ°¡ ¸®ºäÇÑ Ä¿½ºÅÒ ÄÚµå(custom code)¸¦ È®º¸Çϰųª À¥ ¾ÖÇø®ÄÉÀÌ¼Ç Àü¹æ¿¡ ¾ÖÇø®ÄÉÀÌ¼Ç ·¹ÀÌ¾î ¹æȺ®À» ¼³Ä¡ÇÔÀ¸·Î½á ¾Ë·ÁÁø °ø°Ý¿¡ ´ëÇØ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» º¸È£Çؾ߸¸ ÇÑ´Ù.
ÄÁ¼³ÅÏÆ®»ç Security CurveÀÇ Ã¢¸³ÀÚ ´ÙÀֳ̾ª Ä̸®(Diana Kelley)´Â ¡°±×°ÍÀÇ Ç¥ÇöÀÌ È¥¶õÀ» À¯¹ß½ÃÄ×´Ù¡±¸ç ¡°¿¹¸¦ µé¾î ¼öµ¿ ¶Ç´Â ÀÚµ¿ ¼Ò½ºÄÚµå ¸®ºä°¡ Çã¿ë °¡´ÉÇÑÁö, ȤÀº ´ÙÀ̳»¹Í Ææ Å×½ºÆ®µµ ±¦ÂúÀºÁö¿¡ ´ëÇÑ ¾ð±ÞÀÌ ¾ø´Ù¡±°í ¸»Çß´Ù.
¼öµ¿ ÄÚµå ¸®ºä´Â Áö°ã°í ½Ã°£ ¼Ò¸ðÀûÀÎ ÀÏÀÌ¸ç ±× ÀÏÀ» Çϱâ À§ÇØ °í¿ëÇÏ´Â °¨»ç¿øµéÀÇ ºñ¿ëÀÌ ¸¹ÀÌ µé±â ¶§¹®¿¡ ÀÚ±ÝÀÌ ºÎÁ·ÇÑ È¸»ç¿¡°Ô ´õ¿í ¾î·Á¿î ÀÏÀÌ´Ù. º¸¾ÈÇ¥ÁØÀ§¿øȸ(Security Standards Council)ÀÇ ÀϺΠ³ÇØÇÑ ÈùÆ®¿¡ µû¸£¸é °³¹ß, ¶Ç´Â »ý»ê Áß¿¡ ¼öÇàµÇ±âµµ ÇÏ´Â ÀÚµ¿ ¸®ºä´Â ºÐ¸íÈ÷ Çã¿ëµÈ´Ù. SPI DynamicsÀÇ ¼±ÀÓ º¸¾È ¿£Áö´Ï¾î µ¥´Ï½º Ç㽺Ʈ(Dennis Hurst)´Â ºí·Î±×¸¦ ÅëÇØ À§¿øȸ¿Í ÁÖ°í¹ÞÀº À̸ÞÀÏÀÇ ³»¿ëÀ» °ø°³Çߴµ¥ ÀÌ À̸ÞÀÏ¿¡¼ À§¿øȸ´Â ¸¸ÀÏ ´Üü°¡ °á°ú¸¦ ÀÌÇØÇÏ°í º¯È¸¦ ²ÒÇÒ ¼ö ÀÖ´Â ±â¼ú°ú ÀÚ¿øÀ» °¡Áö°í ÀÖ´Ù¸é Á¦ 3ÀÚ ÅøÀÇ »ç¿ë¸¸À¸·Î ÃæºÐÇÒ °ÍÀ̶ó°í ¾Ï½ÃÇÏ°í ÀÖ´Ù. ±×·¯³ª ±× °æ¿ì È¥¶õÀÌ ´õ¿í °¡ÁߵȴÙ. ´ÜüÀÇ ±â¼ú°ú ÀÌÇØ·ÂÀ» ¾î¶»°Ô ÃøÁ¤ÇÒ °ÍÀΰ¡?
ÇÑÆí, PCI º¸¾ÈÇ¥ÁØÀ§¿øȸÀÇ ¹ä ·ç¼Ò(Bob Russo) º»ºÎÀåÀº ÀÌ´Þ ³»·Î Ãß°¡ °¡À̵å¿Í ¼³¸íÀÌ ÀÖÀ» °ÍÀ̶ó°í ¹àÇû´Ù. ÄÁ¼³ÅÏÆ®»ç µµ³ë¹Ý ³×Æ®¿÷½º(Donovan Networks)ÀÇ Ã¢¸³ÀÚ ÇÁ·¹µå µµ³ë¹Ý(Fred Donovan)Àº À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ¹æȺ®ÀÇ ÃʱⰪÀº ½ºÄµÇϵµ·Ï ¼³Á¤µÇ¾îÀÖÀ» »Ó º¸È£Çϰųª Â÷´ÜÇϵµ·Ï µÇ¾îÀÖ´Â °ÍÀº ¾Æ´Ï¶ó°í ÁöÀûÇß´Ù. ±×´Â ¡°À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ¹æȺ®ÀÌ ±âȸ¸¦ ³õÄ¥ °Í °°´Ù. ³ª´Â ¼Ò½ºÄÚµå Æò°¡·Î ÈÄÅðÇÒ±î »ý°¢ ÁßÀÌ´Ù. ¾î¶² °ÍµéÀº ²Ï ±¦ÂúÁö¸¸, ±×·¸´Ù°í ±×°ÍÀÌ ¼Ò½ºÄÚµå Å×½ºÆ®³ª °³¹ßÄÚµå Æò°¡¸¦ ´ëüÇÏÁö´Â ¾Ê´Â´Ù. ±×·³¿¡µµ ÀÌ°ÍÀº ¾çÀÚÅÃÀÏÀÇ »óȲÀ¸·Î º¸Àδ١±°í ¸»Çß´Ù.
ÇÑÆí, °¨»ç¿øÀÌ ¾î¶»°Ô ÄÄÇöóÀ̾𽺸¦ Å×½ºÆ® ÇÏ°Ô µÉÁö »ó¼¼È÷ ¼³¸íÇÏ°í ÀÖ´Â PCI °¨»ç ÀýÂ÷´Â Äڵ尡 ¹Ýµå½Ã ¸®ºäµÇ¾î¾ß¸¸ ÇÒ »Ó¸¸ ¾Æ´Ï¶ó Ãë¾à¼ºµµ ¹Ýµå½Ã ¼öÁ¤µÇ¾î¾ß¸¸ ÇÏ¸ç ¾ÖÇø®ÄÉÀ̼ÇÀº Ä¡·á ÈÄ ÀçÆò°¡ ¹Þ¾Æ¾ß ÇÑ´Ù°í ¸»ÇÏ°í ÀÖ´Ù. ´õ¿í È¥¶õ½º·´°Ôµµ °¨»ç ÀýÂ÷ÀÇ µÎ ¹ø° ¼Ò±¸ºÐÀº °¨»ç¿øÀº ¹Ýµå½Ã ¾ÖÇø®ÄÉÀÌ¼Ç ·¹ÀÌ¾î ¹æȺ®ÀÌ °ø°ÝÀ» °¨ÁöÇÏ°í ¹æÁöÇϱâ À§ÇØ À¥ ´ë¸é ¾ÖÇø®ÄÉÀ̼ÇÀÇ Àü¹æ¿¡ Á¦´ë·Î À§Ä¡ÇÏ°í ÀÖ´ÂÁö¸¦ °ËÁõÇؾ߸¸ ÇÑ´Ù°í ¼³¸íÇÏ°í ÀÖ´Ù.
¿Â½º ·¦(Ounce Labs)ÀÇ Ã¢¸³ÀÚÀÌÀÚ CTOÀÎ Àè ´ë³ÊÈ÷(Jack Danahy)´Â ¡°¾î¶² ¾ÖÇø®ÄÉÀ̼ǵéÀº ¼Ò½ºÄڵ带 º¸È£Çϱâ À§ÇÑ ¹æ¹ýÀ¸·Î ¼Ò½ºÄÚµå ¸®ºä¸¦ ÇÑ´Ù. ¶Ç ¾î¶² ¾ÖÇø®ÄÉÀ̼ÇÀº ¼Ò½ºÄÚµåµéÀ» º¸È£Çϱâ À§ÇØ ¾Õ¿¡ ¼¼¿öµÑ °ÍÀ» ÇÊ¿ä·Î ÇÑ´Ù¡±¸ç ¡°±×µéÀÌ ¼·Î ´ë¸³µÇ¾î¾ß¸¸ ÇÑ´Ù´Â °ÍÀ» ÀÌÇØÇÒ ¼ö°¡ ¾ø´Ù¡±°í ¸»Çß´Ù.
±×·¯³ª ¹Ì±¹ ³» ±â¾÷ ¹× ´ÜüµéÀº 6¿ù ¸»±îÁö´Â ÀÌ¿¡ ´ëÇÑ ÆľÇÀ» ¸¶Ãľ߸¸ ÇÑ´Ù. ´ë³ÊÈ÷´Â ¡°¿ì¸® °í°´µéÀº ±×µéÀÌ µÎ °¡Áö ¸ðµÎ »ç¿ëÇÒ ¼ö ÀÖ´Â °ÍÀ¸·Î ¾Ë°í ÀÖ´Ù¡±°í ¸»Çß´Ù.
È¥¶õÀ¯¹ß ´ÙÀ½Àº PCI 6.6 ³»¿ë ÀϺδÙ. ´ÙÀ½ Áß¿¡¼ ¼±Åá¤Àû¿ëÇÏ¿© ¸ðµç À¥ ´ë¸é ¾ÖÇø®ÄÉÀ̼ǵéÀº ¾Ë·ÁÁø °ø°Ý¿¡ ´ëÇØ º¸È£ÇØ¾ß ÇÑ´Ù. 쪾¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È Àü¹® ´Üü¸¦ ÅëÇØ ÀϹÝÀûÀÎ Ãë¾à¼º¿¡ ´ëÇØ ¸ðµç Ä¿½ºÅÒ ¾ÖÇø®ÄÉÀÌ¼Ç Äڵ带 ¸®ºä 쪾¾ÖÇø®ÄÉÀÌ¼Ç ·¹ÀÌ¾î ¹æȺ®À» À¥ ´ë¸é ¾ÖÇø®ÄÉÀ̼ǿ¡ ¼³Ä¡ ´ÙÀ½Àº PCI 6.6ÀÇ °¨»ç ÀýÂ÷ Áß ÀϺδÙ. - Ä¿½ºÅÒ ¾ÖÇø®ÄÉÀÌ¼Ç Äڵ尡 ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È Àü¹® ´Üü¿¡ ÀÇÇØ ÁÖ±âÀûÀ¸·Î ¸®ºäµÇ°í ÀÖ´ÂÁö °ËÁõ : ¸ðµç ÄÚµù Ãë¾à¼ºÀÌ ¼öÁ¤µÇ¾ú´ÂÁö, ¼öÁ¤ ÈÄ ¾ÖÇø®ÄÉÀ̼ÇÀÌ ÀçÆò°¡ µÇ¾ú´ÂÁö µî - À¥ ±â¹Ý °ø°ÝÀ» °¨ÁöÇÏ°í ¹æÁöÇϱâ À§ÇØ ¾ÖÇø®ÄÉÀÌ¼Ç ·¹ÀÌ¾î ¹æȺ®ÀÌ À¥ ´ë¸é ¾ÖÇø®ÄÉÀÌ¼Ç Àü¹æ¿¡ ÀûÀýÈ÷ À§Ä¡ÇÏ°í ÀÖ´ÂÁö °ËÁõ
<±Û¡¤¸¶ÀÌŬ ¸¶À̸ð¼Ò(Michael Mimoso)>
Copyright ¨Ï 2006 Information Security and TechTarget
[Á¤º¸º¸È£21c Åë±Ç 95È£(info@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>