WordPress 사용자를 위한 필수 PCI DSS 규정 준수 체크리스트

결제 데이터 보호는 더 이상 선택 사항이 아닙니다. PCI DSS 준수는 이제 신용카드 결제를 처리하는 모든 WordPress 사이트의 핵심 요구 사항입니다.

사이버 공격은 매년 증가하고 있으며, 사소한 취약점조차도 고객의 민감한 데이터를 노출시킬 수 있습니다.

단 한 번의 보안 침해로 신뢰가 무너지고, 벌금이 부과되며, 사업이 하룻밤 사이에 마비될 수 있습니다. 하지만 다행히 적절한 보안 조치를 통해 이러한 위험을 예방할 수 있습니다.

명확한 체크리스트를 활용하면 사이트 보안을 강화하고 카드 소지자 데이터를 보호하며 업계 표준을 준수할 수 있습니다.

이 가이드에서는 성공적인 전자상거래 사이트가 강력한 보안을 유지하고 규정 준수 요건을 충족하기 위해 사용하는 필수적인 단계를 배우게 됩니다.

PCI DSS 준수: 무엇이며 왜 중요한가?

워드프레스 사이트에서 전자상거래 사업을 운영하거나 신용카드 결제를 받는 경우

이로 인해 악의적인 공격자들의 표적이 될 수 있습니다. 이러한 민감한 데이터를 보호하는 것은 선택 사항이 아니라 필수 사항입니다.

Payment Card Industry Data Security Standard 로 알려진 글로벌 보안 표준을 준수해야 합니다 .

이 포괄적인 PCI DSS 규정 준수 체크리스트는 WordPress 환경을 안전하게 보호하고 PCI 규정을 완벽하게 준수하기 위한 확실한 가이드 역할을 합니다.

PCI DSS 준수의 의미

PCI DSS는 신용카드 데이터를 저장, 처리 또는 전송하는 모든 기업이 안전한 환경을 유지하도록 설계된 보안 표준 세트입니다.

주요 신용카드 회사들(비자, 마스터카드, 아메리칸 익스프레스, 디스커버, JCB)이 이 표준을 만들었습니다. 그리고 이 표준을 관리하고 운영하기 위해 PCI 보안 표준 위원회(PCI SSC)를 설립했습니다.

PCI DSS 준수란 귀사가 PCI DSS의 12가지 핵심 요구사항을 충족한다는 것을 의미합니다. 이러한 요구사항은 데이터 유출 위험을 최소화하고 신용카드 사기를 방지하는 데 도움이 됩니다.

DSS 규정 준수의 궁극적인 목표는 고객 신뢰를 보호하고 민감한 사용자 데이터 노출을 방지하는 것입니다.

PCI DSS 준수 상태를 달성하는 것은 일회성 이벤트가 아니라 지속적인 프로세스입니다. 안전한 시스템과 프로세스를 유지하기 위해서는 꾸준한 노력이 필요합니다.

워드프레스 사이트에 있어 PCI DSS의 중요성

WooCommerce 와 같은 플러그인을 사용하는 전자상거래 쇼핑몰입니다 . 고객이 사이트에서 신용카드를 사용하면 해당 거래 정보가 시스템을 통해 전송됩니다.

결제 데이터, 서버, 데이터베이스, 플러그인, 심지어 관리자 대시보드 카드 소지자 데이터 환경(CDE)의 범위에 포함됩니다.

PCI DSS 표준을 무시하는 것은 매우 위험합니다. 규정을 준수하지 않으면 은행 및 카드사로부터 막대한 벌금을 부과받을 수 있으며, 신용카드 결제 승인이 중단될 뿐만 아니라 보안 사고 발생 시 기업 이미지에 돌이킬 수 없는 손상을 입을 수 있습니다.

고객은 귀사가 고객 데이터를 안전하게 보호해 줄 것이라고 믿습니다. PCI 규정 준수 요건을 지키는 것은 데이터 보호와 모든 카드 소지자 데이터의 안전한 처리를 보장해야 할 귀사의 책임입니다.

이 규정 준수 체크리스트를 사용하면 운영 보안을 강화하고 저장된 카드 소지자 데이터를 보호할 수 있습니다.

WordPress에 대한 핵심 PCI DSS 요구 사항

PCI DSS는 6가지 통제 목표로 구성된 12가지 요구 사항을 제시합니다.

워드프레스 사이트의 경우, 이러한 제어 기능은 호스팅 환경, 플러그인, 테마 및 관리 방식에 직접 적용됩니다.

이 PCI 규정 준수 체크리스트는 반드시 따라야 할 필수 단계를 자세히 설명합니다.

방화벽 구성 및 보안 네트워크 제어

PCI DSS 요구사항은 네트워크 보안 제어를 설치하고 유지 관리하도록 의무화합니다. 웹사이트는 항상 공용 인터넷에 노출되어 있으므로 강력한 보안 체계를 구축하는 것이 매우 중요합니다.

• 웹 애플리케이션 방화벽(WAF)을 구현하세요: 크로스 사이트 스크립팅(XSS) 과 같은 일반적인 웹 공격이 WordPress 설치에 도달하기 전에 차단하도록 강력한 방화벽을 구성하세요.

• 네트워크를 분리하세요: 카드 소유자 데이터 환경을 네트워크의 나머지 리소스와 분리하십시오. 이렇게 분리하면 공격자가 결제 시스템이 아닌 다른 시스템을 침해하더라도 카드 소유자 데이터에 접근할 수 없게 됩니다.

• 문서화 및 검토 규칙: 모든 네트워크 보안 제어 및 방화벽 규칙을 설명하는 문서를 유지 관리하십시오. 이러한 규칙은 정기적으로 검토하여 관련성과 실효성을 유지하고, 승인되지 않은 트래픽이 보안 네트워크에 접근하는 것을 방지해야 합니다.

• 안전한 무선 네트워크: 무선 네트워크를 통해 WordPress 관리자 대시보드에 접속하는 경우, 공격자가 트래픽을 모니터링하고 결제 데이터를 가로채는 것을 방지하기 위해 강력한 암호화

기본 설정 제거 및 시스템 접근 보안 강화

이 방법은 공개적으로 알려진, 쉽게 악용될 수 있는 취약점으로부터 시스템을 보호하는 데 중점을 둡니다.

공격자들은 종종 공급업체에서 제공하는 기본 설정과 기본 암호를 악용하여 무단 접근을 시도합니다.

• 모든 기본 설정 변경: 서버, 방화벽, 모뎀 및 WordPress 설치를 . 일반적인 자격 증명이나 공장 초기 설정 자격 증명은 절대 사용하지 마십시오.

• 보안 구성 적용: 모든 신규 및 기존 보안 시스템을 네트워크에 연결하기 전에 보안 구성을 적용하십시오. 특정 서버 운영 체제, 웹 서버(예: Apache, Nginx ) 및 데이터베이스(예: MySQL)에 대한 업계 모범 사례 또는 보안 구성 가이드를 참조하십시오.

• 불필요한 계정 비활성화: 불필요한 기본 계정, 서비스 및 프로토콜을 비활성화하십시오. 전자상거래 운영에 필요한 기능만 활성화하십시오. 이러한 조치를 통해 공격 표면을 줄여 시스템 보안을 유지할 수 있습니다.

저장된 카드 소지자 데이터 보호

저장된 카드 소유자 데이터를 보호해야 합니다. 카드 소유자 데이터를 보호하는 가장 좋은 방법은 아예 저장하지 않는 것입니다.

• 데이터 저장 최소화: 가능하면 신용카드 정보(기본 계좌 번호, PAN)를 WordPress 서버에 저장하지 마십시오. Stripe 또는 PayPal과 같이 PCI 인증을 받은 제3자 결제 처리 업체를 이용하여 데이터를 외부에서 처리하도록 하십시오. 이렇게 하면 PCI DSS 규정 준수 범위를 크게 줄일 수 있습니다.

• 데이터를 읽을 수 없도록 만들기: 카드 소지자 데이터를 저장해야 하는 경우, PAN(개인 식별 번호)을 읽을 수 없도록 만들어야 합니다. 강력한 암호화, 단방향 해시, 데이터 잘림 또는 토큰화 등의 방법을 사용할 수 있습니다. 저장된 계정 데이터는 철저하게 보호되어야 합니다.

• 민감한 인증 데이터는 저장하지 마십시오. 암호화 여부와 관계없이 인증 후에는 민감한 인증 데이터를 절대 저장해서는 안 됩니다. 여기에는 마그네틱 스트라이프 데이터 전체, CAV2, CVC2, CID 및 PIN 블록 데이터가 포함됩니다. 인증 프로세스가 완료되면 이러한 데이터를 즉시 삭제하십시오.

• 데이터 보존 정책 시행: 데이터 보존 정책을 개발하고 시행하십시오. 카드 소지자 데이터는 법적, 규제적 또는 사업적 요구 사항을 충족하는 데 필요한 기간 동안만 보관해야 합니다. 더 이상 필요하지 않은 데이터는 삭제하십시오.

자세히 보기: 워드프레스 접근성 가이드: WCAG 표준 준수

전송 중 결제 데이터 암호화

이 단계에서는 개방형 공용 네트워크를 통해 결제 데이터를 전송할 때 암호화해야 합니다.

• 강력한 암호화 기술 사용: 인터넷을 통해 카드 소유자 데이터를 전송할 때는 항상 강력한 암호화 기술, 특히 TLS(전송 계층 보안)를 사용하여 데이터를 암호화하십시오. 여기에는 결제 페이지, 고객 계정 로그인, 그리고 결제 처리 업체에 데이터를 전송하는 모든 API 호출이 포함됩니다.

• 모든 웹 페이지 보안 강화: WordPress 사이트 전체가 (유효한 SSL/TLS 인증서 사용)를 . 이를 통해 카드 소지자 데이터 전송을 위한 안전한 네트워크 환경을 지속적으로 구축할 수 있습니다.

• 프로토콜 강도를 확인하십시오. SSL 와 같은 구식 프로토콜은 사용하지 마십시오 . 서버 구성에서 최신 버전의 가장 강력하고 널리 사용되는 TLS를 사용하고 있는지 확인하십시오.

악성코드 방지 및 취약점 관리

이러한 요구 사항은 안전한 WordPress 애플리케이션 유지 관리와 함께 강력한 취약점 관리 프로그램을 구성합니다.

• 악성 소프트웨어로부터 보호: 모든 시스템, 특히 카드 소지자 데이터 환경 내의 시스템을 최신 바이러스 백신 또는 맬웨어 방지 솔루션을 사용하여 악성 소프트웨어로부터 보호하십시오. 이 소프트웨어는 항상 실행 중이어야 하고, 지속적으로 업데이트되어야 하며, 정기적인 검사를 수행해야 합니다.

• WordPress, 테마 및 플러그인을 최신 상태로 유지하세요: WordPress 사이트는 공격 대상이 되는 경우가 많습니다. WordPress 코어, 테마 및 모든 플러그인에 보안 패치를 신속하게 적용해야 합니다. 오래된 소프트웨어는 공격자가 접근 권한을 얻거나 민감한 데이터를 손상시키기 위해 악용하는 주요 취약점입니다.

• 안전한 애플리케이션 개발: 사용자 지정 테마 또는 플러그인을 개발할 때는 안전한 코딩 관행을 준수하십시오. 알려진 취약점을 포함시키지 마십시오. 개발, 테스트 및 운영 환경을 분리하여 안전하지 않은 코드가 실제 시스템에 유입되는 것을 방지하십시오.

안전한 워드프레스 애플리케이션 유지 관리

이 단계는 자체 호스팅 애플리케이션에 있어 매우 중요합니다.

• 안전한 호스팅 환경: PCI 규정을 준수하고 호스트 수준 방화벽 및 강력한 물리적 보안 조치를 갖춘 안전한 서버 환경을 제공하는 웹 호스팅 업체를 선택하십시오.

• WordPress 보안 강화: 대시보드를 통한 파일 편집 비활성화(DISALLOW_FILE_EDIT), wp-config.php 파일 위치 변경, 기본 데이터베이스 접두사 변경 등 WordPress에 특화된 보안 조치를 구현하세요. 이러한 보안 설정을 통해 공격자가 일반적인 취약점을 악용하기 훨씬 어렵게 만들 수 있습니다.

• 정기적인 플러그인 감사: 설치된 플러그인을 지속적으로

접근 제어 및 최소 권한 원칙

이 요구사항은 접근 제어에 중점을 둡니다. 최소 권한 원칙에 따라 카드 소지자 데이터에 대한 접근을 제한해야 합니다.

• 접근 제한: 시스템 구성 요소 및 카드 소지자 데이터에 대한 접근은 "알 필요가 있는 사람"이라는 원칙에 따라 엄격하게 제한해야 합니다. 직원들은 직무 수행에 필요한 최소한의 카드 소지자 데이터에만 접근 권한을 가져야 합니다.

• 강력한 접근 제어 조치를 구현하세요: WordPress 사용자 역할을 신중하게 구성하십시오. 완전한 제어 권한이 필요한 사용자에게만 관리자 역할을 부여하십시오. 사용자 지정 역할이나 플러그인을 사용하여 다른 사용자에게 특정하고 제한된 권한을 , 가능한 경우 물리적 접근을 제한하십시오.

• 안전한 원격 접속: 네트워크 또는 서버에 대한 모든 원격 접속에는 VPN(가상 사설망) 또는 암호화된 SSH 연결과 같은 안전한 방법을 사용하십시오. 암호화되지 않은 직접 연결은 허용하지 마십시오.

자세히 알아보기: 전자상거래를 위한 HIPAA 규정 준수

강력한 인증 및 고유 사용자 ID

이 요구 사항은 사용자를 효과적으로 식별하고 접근 권한을 인증할 수 있도록 보장합니다.

• 고유 사용자 ID: 시스템 구성 요소 또는 카드 소지자 데이터 환경에 컴퓨터 접근 권한이 있는 모든 사용자에게 고유 사용자 ID를 할당하십시오. 공유 계정은 절대 사용하지 마십시오. 이를 통해 모든 활동을 추적하고 감사할 수 있습니다.

• 다단계 인증(MFA): 카드 소지자 데이터 환경(CDE)에 대한 모든 접근 및 콘솔을 사용하지 않는 모든 원격 접근에 대해 다단계 인증을 구현하십시오. 이는 공격자가 암호를 탈취하더라도 중요한 2차 방어 계층을 추가합니다.

• 강력한 비밀번호 정책: 모든 사용자에게 엄격하고 복잡한 비밀번호 정책을 시행하십시오. 비밀번호는 최소 길이 이상이어야 하고, 다양한 문자를 조합하여 사용해야 하며, 정기적으로 변경해야 합니다. 저장 또는 전송 시 모든 비밀번호는 읽을 수 없도록 처리해야 합니다.

중요 데이터 보호를 위한 물리적 보안

이는 카드 소지자 데이터 환경 내 시스템에 대한 물리적 접근을 제한해야 함을 의미합니다.

일반적인 워드프레스 사이트는 데이터 센터에 호스팅되지만, 이러한 규칙은 모든 사내 장비 및 관리 워크스테이션에도 적용됩니다.

• 카드 소지자 데이터에 대한 물리적 접근 제한: 이는 서버 랙, 네트워크 장비, 서류 기록(있는 경우) 및 관리용 워크스테이션에 적용됩니다. 승인된 직원만 이러한 구역에 물리적으로 접근할 수 있어야 합니다.

• 물리적 보안 통제: 민감한 보안 시스템이나 카드 소지자 데이터가 보관되는 시설에는 카메라, 잠금 장치, 출입 통제 장치(예: 배지 판독기)와 같은 강력한 물리적 보안 조치를 시행하십시오

• 방문객 기록 관리: 방문객 기록을 유지하고 카드 소지자 구역에 물리적으로 접근하는 모든 사람에게 적절한 승인 절차를 요구함으로써 모든 접근을 통제하고 모니터링하십시오.

자세히 알아보기: WordPress의 ADA 규정 준수

워드프레스 활동 로깅 및 모니터링

이 요구사항은 네트워크 리소스 및 카드 소지자 데이터에 대한 모든 접근을 추적하고 모니터링하도록 요구합니다.

• 감사 추적 기능을 구현하십시오. 자동화된 감사 추적 기능을 사용하여 시스템 구성 요소의 모든 활동을 기록하고 카드 소지자 데이터에 대한 모든 접근 기록을 로그에 저장하십시오. 감사 추적 기록에는 사용자 식별 정보, 이벤트 유형, 날짜 및 시간, 이벤트의 성공 또는 실패 여부, 이벤트 발생 원인이 기록되어야 합니다.

• 정기적인 로그 검토: 모든 보안 시스템 및 시스템 구성 요소의 로그를 정기적으로 검토할 담당자를 지정하십시오. 이 과정을 통해 무단 활동이나 잠재적인 보안 문제를 적시에 감지할 수 있습니다.

• 감사 추적 보안: 감사 추적 기록이 변경되거나 파괴되지 않도록 보호하십시오. 로그는 최소 1년 동안 보관하고, 그중 3개월 치 기록은 즉시 분석할 수 있도록 제공하십시오. 가능하면 신뢰할 수 있는 로깅 플러그인과 원격 로깅 서버를 사용하여 로그 데이터를 안전하게 보호하십시오.

정기적인 보안 테스트 및 검사

이는 보안 시스템과 프로세스를 정기적으로 테스트해야 함을 의미합니다.

• 분기별 취약점 검사: 공인 검사 업체(ASV)를 통해 분기별로 내부 및 외부 네트워크 취약점 검사를 실시하십시오. 이러한 검사를 통해 네트워크 인프라 및 웹 애플리케이션의 알려진 취약점을 식별하고 해결할 수 있습니다.

• 침투 테스트: 최소한 연 1회, 그리고 WordPress 사이트 또는 네트워크에 대한 중요한 업그레이드나 변경 사항이 있을 때마다 침투 테스트를 수행하십시오. 침투 테스트는 실제 공격을 시뮬레이션하여 취약점을 찾아 악용하는 것입니다.

• 방화벽 및 정책 테스트: 네트워크와 보안 제어가 의도한 대로 작동하는지 정기적으로 테스트하십시오. 비즈니스 연속성을 보장하기 위해 백업 및 복구 절차를

• 위험 평가: 최소한 연 1회 공식적인 위험 평가 프로세스를 수행하십시오. 이 프로세스를 통해 핵심 자산, 위협 및 취약점을 파악하고 정보 보안에 가장 중요한 위험을 우선순위화하고 해결할 수 있습니다.

정보 보안 정책 유지

이를 위해서는 명확한 정보 보안 정책을 수립, 유지 및 배포해야 합니다.

• 보안 정책 수립: 계약직 직원 및 외부 협력업체를 포함한 모든 직원의 정보 보안을 다루는 정보 보안 정책을 수립하고 공표하십시오. 이 정책에는 보안 책임 범위를 명확하게 정의해야 합니다.

• 사고 대응 계획을 수립하십시오: 공식적이고 문서화된 사고 대응 계획을 수립하십시오. 이 계획에는 데이터 유출 또는 보안 사고 발생 직후 피해를 최소화하고 관련 당사자에게 알리기 위해 팀이 즉시 취해야 할 단계가 명시되어 있습니다.

• 보안 인식 교육: 공식적인 보안 인식 프로그램을 시행하십시오. 모든 직원은 카드 소지자 데이터 보호에 따른 위험과 책임에 대해 이해해야 합니다.

추가 정보: 워드프레스 웹사이트를 위한 SOC 2 규정 준수

WordPress의 PCI DSS 규정 준수 검증

PCI DSS 규정 준수를 달성하는 것은 두 단계로 이루어집니다. 첫째는 통제 조치를 구현하는 것이고, 둘째는 이를 검증하는 것입니다.

인증 절차는 가맹점 등급에 따라 달라지며, 가맹점 등급은 연간 신용카드 결제 처리량에 따라 결정됩니다.

• 판매자 등급을 확인하세요: 네 가지 판매자 등급은 각각 인증 요건을 결정합니다(예: 레벨 4는 거래량이 가장 적고, 레벨 1은 가장 많습니다).

• 자체 평가 설문지(SAQ)를 작성하세요: 대부분의 중소 규모 워드프레스 전자상거래 사이트는 자체 평가 설문지(SAQ)를 작성합니다. SAQ 유형(예: SAQ A, SAQ A-EP, SAQ D)은 사이트의 결제 처리 . 예를 들어, 완전히 호스팅된 결제 페이지(외부 사이트)를 사용하는 경우 더 간단한 SAQ A를 작성할 수 있습니다. 결제 양식이 워드프레스 페이지에 내장되어 있는 경우에는 요구 사항이 훨씬 더 까다로워집니다.

• 분기별 ASV 검사: 승인된 검사 업체(ASV)가 수행한 분기별 외부 취약점 검사를 통과했다는 증빙 자료를 제출해야 합니다.

• 규정 준수 보고서(ROC): 레벨 1 가맹점은 자격을 갖춘 보안 평가자(QSA)가 실시하는 연례 현장 평가를 받아야 하며, QSA는 평가 결과를 바탕으로 규정 준수 보고서(ROC)를 작성합니다.

결제 대행 은행 또는 결제 처리 업체와 항상 소통하십시오. PCI 규정 준수는 궁극적으로 해당 업체에서 시행하며, DSS 규정 준수 체크리스트를 완료했음을 증명하기 위해 제출해야 하는 서류가 무엇인지 정확히 알려줄 것입니다.

PCI DSS 규정 준수를 통한 WordPress 보안 강화 요약

고객의 민감한 데이터를 보호하는 것은 성공적인 전자상거래 사업의 기본입니다.

워드프레스 사이트 소유자에게 PCI DSS 규정 준수는 부담스러워 보일 수 있지만, 이 포괄적인 PCI DSS 규정 준수 체크리스트를 따르면 과정이 훨씬 간소화됩니다.

네트워크 보안 제어를 구축하고, 강력한 접근 제어 조치를 시행하고, 카드 소지자 데이터를 적절히 보호하고, 보안 시스템을 지속적으로 검토함으로써 데이터 유출 위험을 크게 줄일 수 있습니다.

정보 보안에 대한 이러한 노력은 PCI DSS 표준 준수를 보장할 뿐만 아니라 고객과의 지속적인 신뢰를 구축하고, 귀사가 고객의 금융 정보를 보호하기 위해 최선을 다하고 있음을 보여줍니다.

이를 단순히 넘어야 할 장애물이 아니라 데이터 보호에 대한 지속적인 노력으로 받아들여야 합니다.

PCI DSS 준수 관련 FAQ