PCI DSS 4.0 인증: Passkeys

디지털 환경은 끊임없이 진화하고 있으며, 그에 따라 사이버 위협의 정교함과 빈도도 계속해서 증가하고 있습니다. 결제 카드 데이터는 여전히 악의적인 공격자들의 주요 표적이 되고 있으며, 따라서 이를 취급하는 모든 조직에게 강력한 보안 표준은 필수적입니다. 결제 카드 산업 데이터 보안 표준(PCI DSS)은 오랫동안 카드 소유자 데이터 보호의 기준점 역할을 해왔습니다. 최신 버전인 PCI DSS 4.0은 여러 개선 사항 중에서도 특히 대폭 강화된 인증 요구사항을 통해 현대적인 위협에 직접적으로 대응하며 중요한 진일보를 이루었습니다.

조직들이 이러한 새로운 요구에 대응함에 따라, 신흥 기술들이 유망한 해결책을 제시하고 있습니다. FIDO(Fast Identity Online) Alliance 표준과 WebAuthn 프로토콜을 기반으로 구축된 Passkeys는 이러한 새로운 인증의 물결을 선도하고 있습니다. Passkeys는 비밀번호가 없고 피싱에 강한 접근 방식을 제공하며 민감한 데이터에 대한 접근 보안을 개선합니다. 이 글에서는 PCI DSS 4.0이 가져온 중요한 변화, 특히 보안 인증에 관한 내용을 분석하고, Passkey 인증의 기능을 살펴보고, 이 기술을 활용하여 규정 준수를 달성하고 유지하기 위한 로드맵을 제공합니다.

이러한 탐색은 이 새로운 영역을 탐색하는 조직들에게 두 가지 중요한 질문으로 이어집니다.

1. 인증: PCI DSS 4.0이 인증 기준을 높임에 따라, 조직은 사용자나 보안팀에 과도한 부담을 주지 않으면서 어떻게 이 엄격한 새 요구사항을 효과적으로 충족할 수 있을까요?
2. Passkeys 및 PCI 규정 준수: Passkeys와 같은 신기술이 PCI DSS 4.0의 인증 통제를 만족시키고, 보안을 강화하며, 운영 효율성을 개선할 수 있을까요?

이 글은 이러한 질문에 대한 답을 제공하여 기술 전문가들이 더 안전하고 규정을 준수하는 미래로 나아갈 수 있도록 안내하는 것을 목표로 합니다.

현재의 규정 준수 환경에서 Passkeys의 역할을 이해하려면, PCI DSS 프레임워크와 버전 4.0으로 표시되는 중요한 진화를 이해하는 것이 중요합니다.

PCI 데이터 보안 표준은 결제 데이터를 보호하기 위해 고안된 글로벌 정보 보안 표준입니다. 이 표준은 카드 소유자 데이터를 저장, 처리 또는 전송하는 모든 주체, 즉 판매자, 처리업체, 매입사, 발급사, 서비스 제공업체에 적용됩니다. 이 표준은 주요 결제 카드 브랜드들(American Express, Discover Financial Services, JCB International, MasterCard, Visa)에 의해 개발되었으며, 이들은 2006년 9월 7일 PCI 보안 표준 위원회(PCI SSC)를 설립하여 표준의 지속적인 발전을 관리하고 있습니다. PCI DSS는 기술적 및 운영적 요구사항의 포괄적인 집합으로 구성되어 있으며, 결제 데이터의 전체 수명 주기 동안 이를 보호하기 위한 기준선을 형성합니다.

PCI SSC는 전 세계 결제 산업의 이해관계자들이 모여 안전한 결제를 위한 데이터 보안 표준과 리소스를 개발하고 채택을 주도하는 글로벌 포럼 역할을 합니다. 위원회는 PCI DSS 외에도 결제 보안의 다양한 측면을 다루는 다양한 표준을 관리합니다. 그 사명은 이해관계자에 의한 교육, 인식 제고 및 효과적인 구현을 촉진하는 표준과 지원 서비스를 개발하여 글로벌 결제 계정 데이터 보안을 강화하는 것입니다.

PCI DSS 4.0 표준은 2022년 3월에 공식 발표되었으며, 이후 이해관계자의 피드백을 반영하여 소폭 개정(v4.0.1)되었습니다. 이는 수년 만에 이루어진 가장 중요한 업데이트입니다. 이러한 진화의 주된 동인은 점점 더 정교해지는 사이버 위협 환경과 결제 산업 내 변화하는 기술 환경에 대응할 필요성이었습니다.

PCI DSS 4.0의 핵심 목표는 다음과 같습니다.

• 결제 산업의 진화하는 보안 요구 충족: AI 기반 피싱과 같은 현재 및 신흥 위협에 대해 표준이 효과적으로 유지되도록 보장합니다.
• 지속적인 프로세스로서의 보안 촉진: 특정 시점의 규정 준수에서 지속적인 보안 원칙으로 초점을 전환합니다.
• 검증 방법 및 절차 강화: 규정 준수 평가의 엄격성과 일관성을 향상시킵니다.
• 유연성 추가 및 추가 방법론 지원: 조직이 보안 목표와 결과를 달성하는 방법에 대해 더 많은 재량권을 부여합니다.

PCI DSS 4.0은 조직이 규정 준수에 접근하는 방식에 영향을 미치는 몇 가지 근본적인 변경 사항을 도입합니다.

규범적 통제 vs. 보안 결과 중심

중요한 변화는 주로 규범적인 통제에서 보안 결과에 대한 강조로의 전환입니다. 표준 자체는 이러한 유연성에 대해 다음과 같이 설명합니다.

이러한 전환은 PCI DSS 3.2.1이 무엇을 해야 하는지에 대한 상세한 지침을 제공한 반면, 버전 4.0은 조직이 요구사항을 어떻게 충족할지에 대해 더 많은 유연성을 허용한다는 것을 의미합니다. 기업은 자신들의 환경에 가장 적합한 통제를 구현할 수 있으며, 단, 이러한 통제가 명시된 보안 목표를 달성한다는 것을 입증할 수 있어야 합니다. 이는 Passkeys와 같이 이전의 더 경직된 통제 설명에 깔끔하게 들어맞지 않았을 수 있는 혁신적인 기술을 채택하는 데 특히 관련이 있습니다. 그러나 이러한 유연성에는 조직이 철저한 위험 평가를 수행하고 선택한 통제 방법론을 명확하게 정당화해야 한다는 기대가 따릅니다.

지속적인 보안 (일상적인 업무 프로세스)

PCI DSS 4.0의 또 다른 핵심 원칙은 보안을 지속적이고 일상적인 업무 프로세스(BAU)로 촉진하는 것입니다. 표준은 이를 섹션 5에서 자세히 설명합니다.

'일상적인 업무 프로세스'(BAU)에 대한 이러한 강조는 조직이 보안을 일상 활동에 내재화해야 함을 의미합니다. 이는 보안을 나중에 생각하거나 연례 행사처럼 서두르는 것이 아니라, 운영의 필수적인 부분으로 만들어 지속적인 모니터링, 정기적인 평가, 적응형 보안 태세를 보장하여 카드 소유자 데이터를 지속적으로 보호하는 문화를 조성하는 것입니다. Passkey 구현의 경우, 이는 효과성, 사용자 채택 패턴 및 신흥 위협을 지속적으로 모니터링하여 보안을 특정 시점의 규정 준수 활동이 아닌 지속적인 노력으로 만드는 것을 의미합니다.

맞춤형 구현 및 목표 위험 분석

PCI DSS 4.0의 중요한 새로운 특징은 엄격한 위험 평가와 본질적으로 연결된 맞춤형 구현에 대한 공식화된 옵션입니다. 표준은 요구사항 12.3.2에서 이 연결을 의무화합니다.

이 공식화된 옵션을 통해 조직은 규범적인 방법을 엄격하게 따르는 대신, 고유한 환경에 맞춰진 새로운 기술과 혁신적인 통제를 사용하여 보안 목표를 달성할 수 있습니다. 그러나 인용문이 강조하듯이, 이러한 유연성은 각 맞춤형 통제에 대한 목표 위험 분석 수행을 전제로 합니다. 이 분석은 문서화되고, 고위 경영진의 승인을 받아야 하며, 매년 검토되어야 합니다. 그런 다음 제3자 평가자(QSA, 공인 보안 평가 기관)는 조직의 문서화된 접근 방식(위험 분석 포함)을 검토하고 특정 테스트 절차를 개발하여 이러한 맞춤형 통제를 검증합니다. 이 경로는 Passkeys와 같은 솔루션의 핵심적인 조력자로서, 조직이 위험 평가를 통해 자신들의 접근 방식이 보안 목표를 충족함을 입증할 수 있다면 그 고급 보안 기능을 효과적으로 활용할 수 있게 합니다. 강력한 위험 분석에 의해 뒷받침되는 맞춤형 구현 능력은 위협과 방어 기술 모두의 빠른 진화로 인해 경직되고 규범적인 통제가 시간이 지남에 따라 적응력이 떨어진다는 이해를 반영합니다.

전환 일정

PCI DSS 3.2.1은 2024년 3월 31일까지 v4.0과 함께 유효했으며, 그 이후에는 폐지되었습니다. PCI DSS 4.0에서 도입된 새로운 요구사항은 2025년 3월 31일까지 모범 사례로 간주되었습니다. 이 날짜 이후에는 이러한 새로운 요구사항이 모든 평가에서 의무화됩니다. 이러한 단계적 접근 방식은 조직이 변경 사항을 이해하고, 계획하며, 구현할 수 있는 기간을 제공했습니다.

이러한 변경 사항들은 종합적으로 결제 카드 보안에 대한 더 성숙하고, 적응 가능하며, 위험 중심적인 접근 방식을 시사하며, 더 강력하고 현대적인 인증 메커니즘의 채택을 위한 발판을 마련합니다.

PCI DSS 요구사항을 준수하지 않는 것은 단순한 실수가 아닙니다. 이는 조직의 재정적 안정성, 법적 지위, 평판에 심각한 영향을 미칠 수 있는 중대하고 다각적인 결과를 초래합니다.

미준수의 가장 직접적인 결과는 재정적 처벌의 부과입니다. 이러한 벌금은 일반적으로 PCI SSC가 직접 부과하는 것이 아니라 매입 은행 및 결제 처리업체에 의해 부과됩니다. 벌금은 처리하는 거래량(예: 연간 6백만 건 이상의 거래에 대한 레벨 1 판매자 대 2만 건 미만의 e-commerce 거래에 대한 레벨 4)과 미준수의 기간 및 심각도에 따라 월 5,000달러에서 100,000달러에 이를 수 있습니다. 예를 들어, 몇 달 동안 규정을 준수하지 않은 레벨 1 판매자는 이 범위의 상한선에 가까운 벌금을 부과받을 가능성이 높은 반면, 소규모 레벨 4 사업체는 월 5,000달러에 가까운 벌금을 부과받을 수 있습니다.

이러한 벌금이 매월 반복되는 부담이 될 수 있다는 점을 이해하는 것이 중요합니다. 결제 처리업체가 미준수 사업체에 부과할 수 있는 증가된 거래 수수료로 인해 가중될 수 있는 이러한 지속적인 재정적 압박은 _미준수_의 누적 비용이 _규정 준수를 달성하고 유지_하는 데 필요한 투자를 훨씬 초과한다는 것을 의미합니다. 이는 규정 준수를 단순한 비용 센터가 아닌, 중요한 위험 완화 투자로 재정의하게 합니다. Passkeys와 같은 강력한 인증을 포함한 견고한 보안 조치에 투자하는 것은 이러한 더 크고, 종종 예측 불가능하며, 잠재적으로 치명적인 비용을 피하기 위한 재정적으로 신중한 결정이 됩니다.

직접적인 벌금 외에도, 미준수는 심각한 법적 문제로 이어질 수 있으며, 특히 데이터 유출로 이어질 경우 더욱 그렇습니다. 데이터가 유출된 고객은 소송을 제기할 수 있으며, 카드 브랜드도 법적 조치를 취할 수 있습니다. 미준수 상태는 원고가 조직의 과실을 입증하기 훨씬 쉽게 만들어, 비용이 많이 드는 합의 및 판결로 이어질 수 있습니다.

아마도 가장 해롭지만 수치화하기는 어려운 결과 중 하나는 조직의 평판에 대한 손상일 것입니다. 단 한 번의 규정 준수 실패, 특히 데이터 유출로 이어진 실패는 고객 신뢰를 심각하게 훼손할 수 있습니다. 한번 잃어버린 신뢰는 되찾기 어려우며, 종종 고객 이탈, 경쟁사에 대한 사업 손실, 브랜드 이미지에 대한 장기적인 손상으로 이어집니다. 반복적이거나 심각한 위반은 카드 브랜드나 매입 은행에 의해 조직의 결제 처리 권한이 취소되어 사실상 카드 결제를 받을 수 없게 될 수도 있습니다. 이는 규정 준수를 단지 기술적 요구사항이 아니라 브랜드 신뢰와 비즈니스 연속성의 기본 구성 요소로 보는 것의 중요성을 강조합니다.

미준수가 데이터 유출에 기여한 경우, 조직은 벌금 및 법적 비용 외에 상당한 보상 비용을 책임져야 할 가능성이 높습니다. 이러한 비용에는 피해 고객에게 무료 신용 모니터링, 신원 도용 보험, 사기성 청구 또는 서비스 수수료에 대한 상환과 같은 서비스를 제공하는 것이 포함될 수 있습니다. 또한, 유출된 결제 카드를 재발급하는 비용은 카드당 3달러에서 5달러로 추정되며, 많은 수의 카드 소유자에게 영향을 미치는 유출의 경우 수백만 달러로 빠르게 증가할 수 있습니다. 반대로, 조직이 PCI DSS를 완전히 준수하는 상태에서 유출을 겪는 경우, 관련 벌금이 낮아지거나 심지어 면제될 수 있습니다. 이는 규정 준수가 과실이 아닌, 보안에 대한 성실한 노력과 헌신을 입증하기 때문입니다.

잠재적인 부정적 결과의 배열은 PCI DSS 규정 준수가 결제 카드 생태계에 관련된 모든 기업에게 현대 비즈니스 운영의 필수적인 측면임을 강조합니다.

PCI DSS의 요구사항 8은 항상 이 표준의 초석이었습니다. 버전 4.0에서는 그 규정이 크게 강화되었으며, 이는 민감한 카드 소유자 데이터와 이를 처리하는 시스템에 대한 무단 접근을 방지하는 데 있어 강력한 인증의 중요한 역할을 반영합니다.

요구사항 8의 주요 목표는 카드 소유자 데이터 환경(CDE) 내 또는 그에 연결된 시스템 구성 요소에 접근하는 모든 개인이 고유하게 식별되고 강력하게 인증될 수 있도록 보장하는 것입니다. 이는 무단 접근을 방지하고 모든 조치가 특정하고 알려진 사용자에게 추적될 수 있도록 하여 개별적인 책임을 확립함으로써 카드 소유자 데이터의 무결성과 보안을 유지하는 데 중요합니다.

PCI DSS 4.0의 주요 진화 중 하나는 다중 인증(MFA) 요구사항의 확장 및 강화입니다.

• CDE 접근에 대한 보편적 MFA: 주로 관리자 접근 및 CDE에 대한 모든 원격 접근에 MFA를 의무화했던 PCI DSS 3.2.1과 달리, 버전 4.0은 CDE로의 모든 접근에 MFA를 요구합니다. 여기에는 관리자, 일반 사용자, 제3자 공급업체에 의한 접근이 포함되며, 접근이 네트워크 내부에서 시작되든 외부에서 시작되든 상관없습니다. 이러한 상당한 확장은 PCI SSC가 MFA를 기본적인 보안 통제로 인식하고 있음을 강조합니다. 표준은 이러한 요구사항을 다음과 같이 명시합니다:

  요구사항 8 발췌

  "8.4.1 관리자 권한이 있는 인력의 CDE에 대한 모든 비콘솔 액세스에 MFA가 구현됩니다." 

  "8.4.3 CDE에 접근하거나 영향을 미칠 수 있는, 기업 네트워크 외부에서 시작되는 모든 원격 액세스에 MFA가 구현됩니다." 

• 인증 요소 요구사항: MFA 구현은 인정된 세 가지 인증 요소 유형 중 최소 두 가지를 사용해야 합니다:

  • 알고 있는 것 (예: 비밀번호, PIN)
  • 가지고 있는 것 (예: 토큰 장치, 스마트 카드, 또는 Passkey를 보유한 장치)
  • 자신인 것 (예: 지문이나 얼굴 인식과 같은 생체 데이터). 결정적으로, 이러한 요소들은 독립적이어야 하며, 이는 한 요소의 손상이 다른 요소를 손상시키지 않음을 의미합니다.

• MFA 시스템 무결성: MFA 시스템은 재생 공격(공격자가 인증 데이터를 가로채 재사용하는 것)에 저항하도록 설계되어야 하며, 모든 필수 인증 요소가 성공적으로 검증된 후에만 접근을 허용해야 합니다.

• 무단 우회 금지: MFA는 관리자를 포함한 어떤 사용자도 우회할 수 없어야 하며, 단, 제한된 기간 동안 인스턴스별로 경영진의 특정하고 문서화된 예외 승인이 있는 경우는 제외됩니다.

• 피싱 방지 인증을 예외로 인정: PCI DSS 4.0은 또한 피싱 방지 인증 요소에 관한 추가 지침을 도입하여, 경우에 따라 MFA의 의도를 충족할 수 있도록 합니다.

  요구사항 8 발췌

  "이 요구사항은 ... 피싱 방지 인증 요소로만 인증되는 사용자 계정에는 적용되지 않습니다." — 8.4.2 적용 참고 사항 

  "피싱 방지 인증 … 피싱 방지 인증의 예로는 FIDO2가 있습니다." — 부록 G, 피싱 방지 인증의 용어 정의 

  이러한 발췌문에서 강조된 피싱 방지 인증의 의미는 다음 섹션(4.3)에서 더 자세히 탐구할 것입니다.

PCI DSS 4.0은 피싱 방지 인증 방법의 사용을 눈에 띄게 강조합니다. 이는 기존 자격 증명을 손상시키는 데 있어 피싱 공격의 만연과 성공에 대한 직접적인 대응입니다.

• MFA의 대안/보완으로서의 피싱 방지 인증:

  • 요구사항 8.4.2 하의 중요한 발전은 피싱 방지 인증 방법이 기업 네트워크 내에서 발생하는 CDE로의 모든 비관리자 접근에 대해 기존 MFA를 대신하여 사용될 수 있다는 것입니다. 이는 본질적으로 피싱에 강한 Passkeys와 같은 기술에 대한 중요한 조항입니다. 이는 PCI SSC가 이러한 고급 방법이 이 특정 사용 사례에 대해 일부 기존 MFA 조합과 동등하거나 심지어 우수한 수준의 보증을 제공한다고 본다는 신호입니다.

• 그러나, CDE에 대한 관리자 접근(요구사항 8.4.1) 및 기업 네트워크 외부에서 CDE로 들어오는 모든 원격 접근(요구사항 8.4.3)의 경우, 피싱 방지 인증이 강력히 권장되지만, MFA 요구사항을 충족하기 위해서는 최소한 하나의 다른 인증 요소와 결합되어야 합니다. 이 구분은 Passkey 구현에 대한 미묘한 접근, 즉 일반 내부 사용자에게는 Passkey 단독으로 충분하지만, 더 높은 위험의 접근 시나리오에서는 Passkey와 다른 요소를 결합하는 계층적 전략을 필요로 합니다.

• FIDO 인정 및 전문가 통찰: 표준은 FIDO 기반 인증(Passkeys의 기반)을 MFA 달성을 위한 선호 방법으로 구체적으로 언급하며, 이는 주로 강력한 피싱 방지 특성 때문입니다. 이 주제에 대한 추가적인 통찰은 PCI SSC의 "Coffee with the Council" 팟캐스트 에피소드, "비밀번호 대 Passkeys: FIDO Alliance와의 토론"에서 공유되었습니다. (https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance).

  팟캐스트에서 PCI SSC의 저명한 표준 설계자 부사장인 앤드류 제이미슨(Andrew Jamieson)은 이러한 기술의 가치를 강조했습니다:

  "저는 피싱 방지 인증이 훌륭한 기술이라고 다시 한번 강조하고 싶습니다. 이는 우리가 비밀번호와 관련하여 겪는 많은 문제를 해결할 수 있습니다. 그리고 저는 사람들이 인증을 위해 어떤 기술을 구현할지 고려할 때, 피싱 방지 인증과 그것이 가져올 수 있는 이점을 살펴보기를 강력히 제안합니다. 하지만 동시에 이것이 사람들이 익숙한 것과는 약간 다르다는 점을 이해하고, 이를 전체 인증 아키텍처에 어떻게 정확하고 안전하게 통합할 수 있는지 살펴보는 것이 중요합니다."

  FIDO Alliance의 최고 마케팅 책임자인 메건 샤마스(Megan Shamas)(FIDO 리더십 참조)는 이러한 기술이 나타내는 근본적인 변화와 정책이 적응해야 할 필요성을 강조했습니다:

  "이는 근본적으로 우리가 익숙한 '비밀번호 + 요소, 요소, 요소' 방식과는 다릅니다. 우리는 기술을 발전시켰고, 이제 사람들도 그에 맞춰 요구사항과 정책을 발전시켜야 합니다. 그리고 그것이 조직이 피싱 가능한 인증을 없애는 올바른 길로 나아가는 데 진정으로 도움이 될 것입니다."

  이 공동의 관점은 업계가 더 안전하고 현대적인 인증 방법으로 나아가고 있음을 강조합니다.

PCI DSS 4.0은 MFA 및 피싱 방지 방법을 강력하게 추진하는 동시에, 여전히 사용되는 경우 비밀번호 및 암호 구문에 대한 요구사항을 강화합니다:

• 길이 및 복잡성 증가: 최소 비밀번호 길이가 v3.2.1의 7자에서 v4.0에서는 12자로 증가했습니다(시스템이 12자를 지원하지 않는 경우 최소 8자). 비밀번호에는 숫자와 영문자가 혼합되어야 합니다.
• 비밀번호 변경 주기: 비밀번호가 인증에 사용되는 유일한 요소인 경우(즉, 해당 계정의 해당 접근에 MFA가 적용되지 않는 경우) 최소 90일마다 변경해야 합니다. 이 요구사항은 접근에 MFA가 구현되거나, 조직이 실시간으로 접근을 동적으로 평가하는 지속적인 위험 기반 인증을 사용하는 경우 면제될 수 있습니다.

강화된 비밀번호 규칙과 확장된 MFA 의무화, 그리고 피싱 방지 접근 방식에 대한 명확한 지지는 PCI SSC의 전략적 방향을 시사합니다: 비밀번호를 기본 또는 유일한 인증 메커니즘으로 사용하는 것에 대한 의존도를 체계적으로 줄이는 것입니다. 비밀번호는 오랫동안 보안의 약한 고리로 인식되어 왔으며, PCI DSS 4.0은 단독 사용을 더 엄격하고 덜 매력적으로 만들면서 동시에 더 강력하고 현대적인 대안을 장려함으로써 그 내재된 위험을 적극적으로 완화하고자 합니다.

이러한 변화를 명확하게 설명하기 위해, 다음 표는 PCI DSS 3.2.1과 4.0 간의 주요 인증 측면을 비교합니다:

표 1: 인증의 주요 차이점: PCI DSS 3.2.1 vs. 4.0

PCI DSS 4.0에서 인증에 대한 이러한 강화된 초점은 조직이 현재 전략을 재평가하고 Passkeys와 같은 더 탄력적인 솔루션을 탐색하도록 명확한 방향을 제시합니다.

FIDO Alliance 표준을 기반으로 하는 Passkeys는 기존 비밀번호는 물론 일부 레거시 MFA 형태보다 근본적으로 더 안전하고 사용자 친화적인 대안을 제공합니다.

Passkey는 사용자가 비밀번호를 입력할 필요 없이 웹사이트와 애플리케이션에 로그인할 수 있게 해주는 디지털 자격 증명입니다. 이는 FIDO Alliance가 개발한 개방형 사양 세트인 FIDO2 표준을 기반으로 구축되었습니다. WebAuthn은 브라우저와 웹 애플리케이션이 암호화 키 쌍을 사용하여 강력하고 피싱에 강한 인증을 수행할 수 있도록 하는 W3C(World Wide Web Consortium) 표준입니다. 본질적으로 Passkeys는 이러한 FIDO2 표준의 구현체이며, 웹 환경에서의 상호 작용을 위해 WebAuthn을 활용합니다. 이는 기존 비밀번호를 스마트폰, 컴퓨터 또는 하드웨어 보안 키와 같은 사용자의 장치에 안전하게 저장된 고유한 암호화 키로 대체합니다.

Passkeys의 보안은 공개 키 암호화에 뿌리를 두고 있습니다. 사용자가 서비스("신뢰 당사자" 또는 RP)에 Passkey를 등록하면 고유한 암호화 키 쌍이 생성됩니다:

• **개인 키**는 사용자의 장치에 안전하게 저장됩니다. 이 키는 하드웨어 보안 모듈(예: TPM 또는 Secure Enclave) 내에 있을 수 있습니다. 개인 키는 이 안전한 저장소를 절대 떠나지 않습니다(나중에 자세히 설명할 동기화 Passkeys의 경우는 제외).
• **공개 키**는 신뢰 당사자(웹사이트 또는 애플리케이션 서비스)로 전송되어 저장되고 사용자의 계정과 연결됩니다.

인증 중 프로세스는 다음과 같습니다:

1. 신뢰 당사자는 고유한 "챌린지"(임의의 데이터 조각)를 사용자의 장치로 보냅니다.
2. 개인 키를 잠금 해제하고 사용하기 위해 사용자는 자신의 장치에서 로컬 인증을 수행합니다. 이는 일반적으로 생체 인식 식별자(지문 또는 얼굴 스캔 등)를 사용하거나, 장치 PIN을 입력하거나, 패턴을 그리는 것을 포함합니다. 중요하게도, 이 생체 데이터나 PIN은 사용자의 장치를 절대 떠나지 않으며 신뢰 당사자에게 전송되지 않습니다.
3. 잠금 해제되면 장치의 개인 키가 신뢰 당사자로부터 받은 챌린지에 서명합니다.
4. 이 서명된 챌린지("어설션")는 신뢰 당사자에게 다시 전송됩니다.
5. 신뢰 당사자는 해당 사용자에 해당하는 저장된 공개 키를 사용하여 어설션의 서명을 확인합니다. 서명이 유효하면 인증이 성공합니다.

주로 두 가지 유형의 Passkeys가 있습니다:

• 동기화 Passkeys: 이 Passkeys는 Apple의 iCloud Keychain이나 Google Password Manager와 같은 클라우드 기반 자격 증명 관리자를 사용하여 사용자의 신뢰할 수 있는 장치 간에 동기화될 수 있습니다. 이는 편의성을 제공하여 한 장치에서 생성된 Passkey를 동일한 생태계 내에서 동일한 사용자가 소유한 다른 장치에서 사용할 수 있게 합니다.
• 기기 귀속 Passkeys: 이 Passkeys는 USB 하드웨어 보안 키(예: YubiKey)나 특정 휴대폰의 애플리케이션과 같은 특정 물리적 인증자에 연결됩니다. Passkey는 이 특정 장치를 떠나지 않습니다.

이러한 암호화 기반과 로컬 사용자 인증 프로세스는 많은 일반적인 공격 벡터를 직접적으로 해결하는 내재된 보안 이점을 제공합니다.

Passkeys의 설계는 기존 인증 방법에 비해 몇 가지 보안 이점을 제공합니다:

• 피싱 저항성: 이것이 핵심적인 이점입니다. Passkeys는 생성된 특정 웹사이트 오리진(신뢰 당사자 ID 또는 RP ID)에 암호학적으로 바인딩됩니다. 사용자가 합법적인 사이트를 모방한 가짜 피싱 사이트를 방문하도록 속더라도, 브라우저나 운영 체제는 현재 도메인이 Passkey와 연결된 RP ID와 일치하지 않음을 인식합니다. 결과적으로 Passkey는 작동하지 않으며 인증은 실패합니다. 이는 피싱 시도를 식별하는 부담을 종종 실수를 저지르는 인간 사용자에게서 기술 자체의 강력한 보안 프로토콜로 이전합니다.
• 공유 비밀 없음: Passkeys를 사용하면 사용자와 서버 모두가 알고 있고 도난당할 수 있는 비밀번호와 같은 "공유 비밀"이 없습니다. 인증의 핵심 구성 요소인 개인 키는 사용자의 안전한 장치를 절대 떠나지 않습니다. 서버에 저장된 공개 키는 개인 키와 수학적으로 연결되어 있지만, 개인 키를 유추하거나 사용자를 사칭하는 데 사용할 수 없습니다. 이는 신뢰 당사자의 서버가 침해되어 공개 키가 도난당하더라도 해당 개인 키 없이는 공격자에게 쓸모가 없다는 것을 의미합니다.
• 크리덴셜 스터핑 및 재생 공격 방지: 공격자가 도난당한 사용자 이름과 비밀번호 목록을 사용하여 다양한 계정에 접근하려는 크리덴셜 스터핑 공격은 훔쳐서 재사용할 비밀번호가 없기 때문에 효과가 없습니다. 또한, 각 Passkey 인증에는 고유한 챌린지-응답 메커니즘이 포함됩니다. 개인 키에 의해 생성된 서명은 해당 특정 로그인 세션에 대해 받은 챌린지에만 국한되므로, 공격자가 인증 어설션을 가로채 나중에 무단 접근을 위해 재생하는 것이 불가능합니다.
• 계정 탈취(ATO) 위험의 현저한 감소: 피싱을 효과적으로 무력화하고, 공유 비밀을 제거하며, 크리덴셜 스터핑 및 재생 공격을 방지함으로써 Passkeys는 계정 탈취에 사용되는 주요 공격 벡터를 대폭 줄입니다. 공격자가 사용자의 인증 자격 증명을 쉽게 획득하거나 오용할 수 없으므로 성공적인 ATO의 가능성은 급격히 떨어집니다.

지식 기반 인증(사용자가 아는 것, 예: 비밀번호)에서 소유 기반(사용자가 가진 것 - 보안 키가 있는 장치)과 고유성 기반 또는 로컬 지식 기반(생체 인식을 통한 사용자 자신, 또는 장치 PIN을 통한 로컬 지식)의 조합으로의 이러한 근본적인 전환은 원격으로 사용 가능한 공유 비밀을 손상시키는 데 의존하는 공격 체인을 근본적으로 깨뜨립니다. 마찰을 추가하는 많은 보안 조치와 달리, Passkeys는 복잡한 비밀번호를 기억할 필요 없이 더 빠르고 간단한 로그인을 제공하여 사용자 경험을 개선하는 경우가 많으며, 이는 채택을 촉진하고 전반적인 보안 태세를 강화할 수 있는 이중의 이점입니다.

Passkeys에 내재된 강력한 보안 기능은 PCI DSS 4.0에서 의무화된 강화된 인증 통제, 특히 요구사항 8에 명시된 내용과 매우 잘 부합합니다. Passkeys는 이러한 요구사항을 충족할 뿐만 아니라 종종 기존 방법이 제공하는 보안을 능가합니다.

Passkeys는 PCI DSS 4.0에서 정의한 다중 인증의 핵심 원칙을 본질적으로 만족시킵니다:

• 다중 인증 특성: Passkey 인증 이벤트는 일반적으로 "가지고 있는 것"(개인 키를 포함하는 물리적 장치, 예: 스마트폰 또는 하드웨어 보안 키)과 "자신인 것"(장치에서 Passkey를 잠금 해제하는 데 사용되는 지문 또는 얼굴 스캔과 같은 생체 인식) 또는 "알고 있는 것"(장치 PIN 또는 패턴)을 결합합니다. 이러한 요소들은 독립적입니다. 예를 들어, 장치 PIN이 손상되더라도 장치 자체가 안전하게 유지된다면 암호화 키가 본질적으로 손상되지는 않습니다.
• 피싱 저항성: 광범위하게 논의된 바와 같이, Passkeys는 암호화 특성과 오리진 바인딩으로 인해 설계상 피싱에 강합니다. 개인 키는 신뢰 당사자에게 노출되거나 네트워크를 통해 전송되지 않으며, Passkey는 등록된 합법적인 도메인에서만 작동합니다. 이는 피싱 위협 완화에 대한 PCI DSS 4.0의 강력한 강조와 직접적으로 일치합니다.
• 재생 저항성: 각 Passkey 인증에는 서버로부터의 고유한 암호화 챌린지가 포함되며, 이는 개인 키에 의해 서명됩니다. 결과적인 서명은 해당 특정 챌린지 및 세션에 대해서만 유효하므로 재생 공격에 강합니다. 이는 MFA 시스템이 이러한 공격을 방지해야 한다고 규정한 요구사항 8.5를 충족합니다.

기존 비밀번호와 비교할 때, Passkeys는 훨씬 우수한 보안 모델을 제공합니다. 비밀번호는 피싱, 소셜 엔지니어링, 비밀번호 재사용으로 인한 크리덴셜 스터핑, 무차별 대입 공격, 침해된 데이터베이스에서의 도난 등 다양한 공격에 취약합니다. Passkeys는 공유 비밀(비밀번호)을 방정식에서 완전히 제거함으로써 이러한 취약점을 제거합니다. 인증은 로컬 장치 보안으로 보호되는 개인 키의 소유에 대한 암호화 증명에 의존하며, 쉽게 도난당하거나 추측할 수 있는 비밀에 의존하지 않습니다.

PCI 보안 표준 위원회는 Passkey 기술의 잠재력을 인정했습니다. FIDO Alliance와의 토론을 다룬 PCI SSC의 "Coffee with the Council" 팟캐스트에서 얻은 통찰은 그들의 입장을 명확히 합니다:

• 기업 네트워크 내에서 카드 소유자 데이터 환경(CDE)으로의 비관리자 접근(요구사항 8.4.2)에 대해, PCI SSC는 Passkeys와 같은 피싱 방지 인증 방법이 기존 MFA를 대신하여 사용될 수 있음을 시사합니다. 이는 Passkeys의 강점을 크게 인정한 것입니다.
• CDE에 대한 관리자 접근(요구사항 8.4.1) 및 네트워크로의 모든 원격 접근(요구사항 8.4.3)에 대해, Passkeys(피싱 방지 인증으로서)가 권장되지만, MFA 요구사항을 충족하기 위해서는 다른 인증 요소와 함께 사용되어야 합니다. 이는 더 높은 권한이나 더 높은 위험의 접근 시나리오에는 추가적인 계층이 필요하다는 위험 기반 접근 방식을 시사합니다.
• PCI SSC는 조직이 Passkeys를 규정을 준수하는 방식으로 구현하는 방법을 이해하도록 돕기 위해 FAQ와 같은 지침을 적극적으로 개발하고 있으며, Passkeys가 기존 비밀번호 기반 사고방식에서 근본적인 전환을 나타낸다는 것을 인식하고 있습니다.
• 또한, PCI DSS 4.0 문서는 FIDO 기반 인증을 MFA 구현을 위한 선호되는 방법(의무는 아님)으로 명시적으로 언급하며, 표준의 목표와의 일치성을 강조합니다.

이러한 입장은 조직이 Passkeys를 전략적으로 배포할 수 있게 합니다. 내부적으로 CDE에 접근하는 광범위한 비관리자 사용자의 경우, 원활한 Passkey 로그인으로 규정 준수 요구사항을 충족할 수 있습니다. 관리자 및 원격 사용자의 경우, Passkeys는 MFA 솔루션을 위한 강력하고 피싱에 강한 기반을 제공합니다.

Passkeys가 상당한 보안 업그레이드를 제공하지만, PCI DSS 공인 보안 평가 기관(QSA)은 특히 CDE에 대한 관리자 접근(요구사항 8.4.1)과 같은 고위험 접근 시나리오에 대해 그 구현을 면밀히 조사하여 진정한 다중 인증 원칙이 충족되는지 확인할 것입니다. 주요 고려 사항에는 Passkey 유형, 인증 요소의 독립성, 그리고 증명의 사용이 포함됩니다.

이미 논의한 바와 같이 Passkeys는 두 가지 주요 형태로 제공됩니다:

• 동기화 Passkeys: Apple iCloud Keychain이나 Google Password Manager와 같은 클라우드 서비스를 통해 사용자의 신뢰할 수 있는 장치 간에 동기화됩니다. 한 장치에서 생성된 Passkey를 다른 장치에서도 사용할 수 있어 편리합니다.
• 기기 귀속 Passkeys: USB 하드웨어 보안 키(예: YubiKey)나 특정 휴대폰의 보안 하드웨어와 같은 특정 물리적 인증자에 연결됩니다. 개인 키는 이 특정 장치를 떠나지 않습니다.

PCI DSS는 MFA 요소가 독립적이어야 한다고 규정하며, 이는 한 요소의 손상이 다른 요소를 손상시키지 않음을 의미합니다. Passkey는 일반적으로 "가지고 있는 것"(개인 키가 있는 장치)과 "알고 있는 것/자신인 것"(키를 잠금 해제하기 위한 로컬 장치 PIN 또는 생체 인식)을 결합합니다.

동기화 Passkey는 많은 공격에 대해 매우 안전하지만, 일부 QSA는 관리자 접근(요구사항 8.4.1)에 대한 '소유' 요소의 절대적인 독립성에 대해 의문을 제기할 수 있습니다. 우려 사항은 Passkeys를 동기화하는 사용자의 클라우드 계정(예: Apple ID, Google 계정)이 손상되면 개인 키가 잠재적으로 공격자가 제어하는 장치에 복제될 수 있다는 것입니다. 이로 인해 일부 평가자는 고위험 상황에서 동기화 Passkey가 동기화 메커니즘 자체가 강력한 MFA로 안전하게 보호되지 않는 한, 두 개의 완전히 독립적인 요소를 충족하지 못할 수 있다고 볼 수 있습니다. 예를 들어, NIST 가이드라인은 동기화 Passkeys를 AAL2 준수로 인정하는 반면, 기기 귀속 Passkeys는 종종 내보낼 수 없는 키를 포함하는 AAL3를 충족할 수 있습니다.

• WebAuthn 인증자 플래그 이해: WebAuthn 절차(Passkeys의 기반) 동안, 인증자는 특정 플래그를 보고합니다. 두 가지 중요한 플래그는 다음과 같습니다:
  • uv=1 (사용자 확인됨): 이 플래그는 사용자가 일반적으로 장치 PIN 또는 생체 인식을 사용하여 인증자에게 로컬에서 자신의 존재를 성공적으로 확인했음을 나타냅니다. 이 확인은 인증 요소 중 하나인 "알고 있는 것"(PIN) 또는 "자신인 것"(생체 인식)으로 작동합니다.
  • up=1 (사용자 존재함): 이 플래그는 사용자가 절차 중에 존재했으며 인증자와 상호 작용했음(예: 보안 키 터치)을 확인합니다. 사용자 의도를 증명하고 특정 원격 공격을 방지하는 데 중요하지만, 사용자 존재 자체는 일반적으로 MFA의 다중 요소 요구사항을 충족하기 위한 별도의 독립적인 인증 요소로 간주되지 않습니다. 이는 중요한 보안 기능이지만 일반적으로 두 번째 _요소_로 계산되지는 않습니다.
• 기기 귀속 Passkeys 및 하드웨어 보안 키의 역할: 관리자 접근(요구사항 8.4.1) 및 기타 고보증 시나리오의 경우, 하드웨어 보안 키에 저장된 기기 귀속 Passkeys는 요소 독립성에 대한 더 강력한 주장을 제공합니다. 개인 키가 하드웨어 토큰을 절대 떠나지 않도록 설계되었기 때문에, "가지고 있는 것" 요소는 소프트웨어 기반 공격이나 클라우드 계정 손상을 통한 복제에 대해 더 강력하게 보호됩니다. 이로 인해 많은 조직이 관리자 MFA에 대한 엄격한 QSA 기대치를 충족시키기 위해 선호하는 옵션이 됩니다.

증명은 WebAuthn의 기능으로, 인증자가 Passkey 등록 과정에서 자신에 대한 검증 가능한 정보(예: 제조사, 모델, 인증 상태, 하드웨어 기반 여부)를 신뢰 당사자(FIDO 서버)에게 제공하는 것입니다.

• PCI DSS에 중요한 이유: 증명은 사용 중인 인증자가 조직의 보안 정책을 충족하고 실제로 주장하는 것(예: 인증된 하드웨어 보안 키)임을 QSA에게 입증하는 중요한 증거를 제공할 수 있습니다. 이는 인증 요소의 강도와 독립성을 입증할 때 특히 중요할 수 있습니다.
• 권장 사항: 관리자 CDE 접근과 같은 고보안 접근의 경우, 강력한 증명을 지원하는 하드웨어 보안 키에서 Passkeys를 사용하는 것이 강력히 권장됩니다. 이를 통해 조직은 허용 가능한 인증자 유형에 대한 정책을 시행하고 규정 준수에 대한 더 강력한 증거를 제공할 수 있습니다.

실제로, 요구사항 8.4.1에 대한 감사 마찰을 피하기 위해 많은 기업은 키 보호 및 잠재적 증명에 대한 강력한 보증을 제공하는 하드웨어 보안 키에 기기 귀속 Passkeys를 발급하는 것을 선택합니다.

Passkeys가 어떻게 격차를 해소하고 요구사항 8에 상세히 기술된 통제를 만족시키는지 명확하게 설명하기 위해, 다음 표는 특정 Passkey 기능 및 특성을 관련 하위 조항에 매핑하고 다양한 시나리오에 대한 적합성을 나타냅니다.

이 매핑은 Passkeys가 단지 이론적인 적합성을 넘어 PCI DSS 4.0의 고급 인증 요구를 충족하기 위한 실용적이고 강력한 솔루션임을 보여줍니다.

결제 보안 환경은 복잡하고 끊임없이 진화하고 있습니다. PCI DSS 4.0은 이러한 현실을 반영하여 보안 통제, 특히 인증 영역에서 더 높은 기준을 설정합니다. 조직들이 이러한 새롭고 더 엄격한 요구를 충족시키기 위해 노력함에 따라, FIDO/WebAuthn 표준을 기반으로 구축된 Passkeys는 단지 규정을 준수하는 솔루션이 아니라, 안전한 접근을 재정의할 준비가 된 혁신적인 기술로 부상하고 있습니다.

이 분석 전반에 걸쳐 두 가지 중심 질문이 우리의 탐색을 이끌었습니다:

1. PCI DSS 4.0이 인증 기준을 높임에 따라, 조직은 사용자나 보안팀에 과도한 부담을 주지 않으면서 어떻게 이 엄격한 새 요구사항을 효과적으로 충족할 수 있을까요? 증거는 조직이 Passkeys와 같은 피싱 방지 다중 인증(MFA) 솔루션을 전략적으로 채택함으로써 PCI DSS 4.0의 인증 요구사항을 효과적으로 충족할 수 있음을 강력하게 시사합니다. 이러한 기술은 강력하고 암호학적으로 검증된 보안과 현저하게 개선되고 종종 더 빠른 사용자 경험 사이의 균형을 본질적으로 맞춥니다. 또한, PCI DSS 4.0의 "맞춤형 구현" 허용은 조직이 이러한 고급 솔루션을 특정 환경 및 위험 프로필에 맞게 조정하여 획일적인 접근 방식에서 벗어날 수 있도록 합니다. PCI SSC 자체의 지침은 더 나아가, 대다수 사용자에 대한 규정 준수를 간소화하는 동시에 더 높은 위험의 관리 및 원격 접근에 대해서는 더 계층적인 접근 방식을 유보함으로써 이를 용이하게 합니다.
2. Passkeys와 같은 신흥 기술이 PCI DSS 4.0의 강력한 인증 통제를 만족시킬 뿐만 아니라, 향상된 보안 및 개선된 운영 효율성과 같은 단순한 규정 준수를 넘어서는 실질적인 이점을 제공할 수 있을까요? 답은 명백히 '예'입니다. Passkeys는 MFA, 피싱 저항성, 재생 저항성 기준을 포함하여 PCI DSS 4.0 요구사항 8 내의 핵심 인증 통제를 만족시킬 수 있음이 입증되었습니다. 그러나 그 가치는 단순한 규정 준수를 넘어섭니다. 공유 비밀을 제거하고 인증을 특정 오리진에 바인딩하는 Passkeys의 고유한 설계는 성공적인 피싱 공격 및 계정 탈취의 위험을 대폭 줄여 사기 관련 손실을 실질적으로 감소시킵니다. 운영적으로, 비밀번호에서 벗어나는 전환은 비밀번호 관련 헬프데스크 티켓 감소로 이어져 비용을 절감하고 IT 리소스를 확보합니다. 사용자는 더 간단하고, 빠르며, 덜 번거로운 로그인 경험의 이점을 누리며, 이는 생산성과 고객 만족도를 향상시킬 수 있습니다. 더욱이, 특정 접근 경로에 대해 비밀번호가 Passkeys로 완전히 대체되는 경우, 비밀번호 관련 통제에 대한 감사 부담이 제거되어 해당 영역의 규정 준수 노력을 간소화할 수 있습니다.

진정으로 안전한 결제 생태계로의 여정은 계속됩니다. PCI DSS 4.0은 새로운 이정표를 세웠고, Passkey 인증은 이를 달성하기 위한 강력한 수단을 제공합니다. 카드 소유자 데이터를 처리, 저장 또는 전송하는 조직은 Passkeys 채택을 평가하고 계획을 시작하는 것이 강력히 권장됩니다. 이는 단순히 최신 버전의 표준을 준수하는 것에 그치지 않습니다. 이는 디지털 신원의 미래와 부합하는 더 안전하고 효율적이며 사용자 중심적인 인증 방식을 수용하는 것입니다. Passkeys를 전략적으로 구현함으로써 기업은 진화하는 위협에 대한 방어를 강화하고, 귀중한 결제 데이터를 보호하며, 점점 더 디지털화되는 세상에서 고객과의 더 큰 신뢰를 구축할 수 있습니다.