Security Analysis - PCI 6.6

기업들은 PCI 6.6을 이해하기 위한 노력을 기울여야

지난 6월 30일부터 PCI DSS(美 신용카드협회 데이터보안표준)의 6.6항이 의무화되었지만 미국의 기업들은 여전히 그 내용을 ‘해석’하기 위해 머리를 긁적이고 있다.

안전한 시스템과 애플리케이션의 개발 및 유지에 관한 주요 헤드라인이 되는 해당 조항은 웹 대면 애플리케이션의 보안을 포함한다. 6월 30일부터는 제 3자가 리뷰한 커스텀 코드(custom code)를 확보하거나 웹 애플리케이션 전방에 애플리케이션 레이어 방화벽을 설치함으로써 알려진 공격에 대해 웹 애플리케이션을 보호해야만 한다.

컨설턴트사 Security Curve의 창립자 다이애나 켈리(Diana Kelley)는 “그것의 표현이 혼란을 유발시켰다”며 “예를 들어 수동 또는 자동 소스코드 리뷰가 허용 가능한지, 혹은 다이내믹 펜 테스트도 괜찮은지에 대한 언급이 없다”고 말했다.

수동 코드 리뷰는 지겹고 시간 소모적인 일이며 그 일을 하기 위해 고용하는 감사원들의 비용이 많이 들기 때문에 자금이 부족한 회사에게 더욱 어려운 일이다. 보안표준위원회(Security Standards Council)의 일부 난해한 힌트에 따르면 개발, 또는 생산 중에 수행되기도 하는 자동 리뷰는 분명히 허용된다. SPI Dynamics의 선임 보안 엔지니어 데니스 허스트(Dennis Hurst)는 블로그를 통해 위원회와 주고받은 이메일의 내용을 공개했는데 이 이메일에서 위원회는 만일 단체가 결과를 이해하고 변화를 꾀할 수 있는 기술과 자원을 가지고 있다면 제 3자 툴의 사용만으로 충분할 것이라고 암시하고 있다. 그러나 그 경우 혼란이 더욱 가중된다. 단체의 기술과 이해력을 어떻게 측정할 것인가?

한편, PCI 보안표준위원회의 밥 루소(Bob Russo) 본부장은 이달 내로 추가 가이드와 설명이 있을 것이라고 밝혔다. 컨설턴트사 도노반 네트웍스(Donovan Networks)의 창립자 프레드 도노반(Fred Donovan)은 웹 애플리케이션 방화벽의 초기값은 스캔하도록 설정되어있을 뿐 보호하거나 차단하도록 되어있는 것은 아니라고 지적했다. 그는 “웹 애플리케이션 방화벽이 기회를 놓칠 것 같다. 나는 소스코드 평가로 후퇴할까 생각 중이다. 어떤 것들은 꽤 괜찮지만, 그렇다고 그것이 소스코드 테스트나 개발코드 평가를 대체하지는 않는다. 그럼에도 이것은 양자택일의 상황으로 보인다”고 말했다.

한편, 감사원이 어떻게 컴플라이언스를 테스트 하게 될지 상세히 설명하고 있는 PCI 감사 절차는 코드가 반드시 리뷰되어야만 할 뿐만 아니라 취약성도 반드시 수정되어야만 하며 애플리케이션은 치료 후 재평가 받아야 한다고 말하고 있다. 더욱 혼란스럽게도 감사 절차의 두 번째 소구분은 감사원은 반드시 애플리케이션 레이어 방화벽이 공격을 감지하고 방지하기 위해 웹 대면 애플리케이션의 전방에 제대로 위치하고 있는지를 검증해야만 한다고 설명하고 있다.

온스 랩(Ounce Labs)의 창립자이자 CTO인 잭 대너히(Jack Danahy)는 “어떤 애플리케이션들은 소스코드를 보호하기 위한 방법으로 소스코드 리뷰를 한다. 또 어떤 애플리케이션은 소스코드들을 보호하기 위해 앞에 세워둘 것을 필요로 한다”며 “그들이 서로 대립되어야만 한다는 것을 이해할 수가 없다”고 말했다.

그러나 미국 내 기업 및 단체들은 6월 말까지는 이에 대한 파악을 마쳐야만 한다. 대너히는 “우리 고객들은 그들이 두 가지 모두 사용할 수 있는 것으로 알고 있다”고 말했다.

Copyright ⓒ 2006 Information Security and TechTarget

[정보보호21c 통권 95호(info@boannews.com)]   

        <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>