비자(Visa), 마스터카드(MasterCard), 아메리칸 익스프레서(American Express)등 주요 결제 카드사가 결제 카드 데이터를 보호하기 위해 만든 ‘글로벌 결제 카드 산업 데이터 보안 표준(Payment Card Industry Data Security Standard, PCI DSS)’은 금융에 적용되는 IT 기술 발전, 이와 관련한 보안 위협의 증가에 따라, 카드 소유자의 데이터를 보호하기 위해 PCI DSS v4.0.1로 업데이트됐다.

주요 업데이트 사항으로 결제 시스템 제공 업체들은 ▲지속적인 보안 관리 ▲새로운 보안 도구와 제어 방법을 채택할 수 있는 유연성 제공 ▲즉각적인 보안 사고 대응 ▲모든 네트워크 암호화 등을 준수해야 한다.

글로벌 이커머스 보안 기업 c/side가 2025년 3월 31일 컴플라이언스 기한을 앞두고 업데이트된 PCI DSS 관련 브라우저 결제 시스템에 대한 자체 증명 요구사항을 추가했다.

결제 카드 산업 보안 표준 협의회(PCI SSC)는 지난 2025년 1월 30일에 자체 평가 질문지 A(SAQ A)에 변경 사항을 도입했다. SAQ A는 카드 소유자 데이터를 저장하지 않는 저위험 플랫폼 운영자에게 단순한 준수 경로를 제공했지만, 이번 업데이트로 운영자는 전자상거래 시스템이 클라이언트 측 스크립트 공격으로부터 보호되고 있음을 증명해야 한다.

운영자는 클라이언트 측 공격으로부터의 보호를 확인하고 증명해야 PCI DSS v4.0.1에 따른 SAQ A 자격을 유지할 수 있다. 또한 요구사항 6.4.3 및 11.6.1은 더 이상 필수 사항이 아니며, 운영자는 클라이언트 측 보안 조치를 시연해야 한다.

또한 결제 제공업체는 스크립트 조작에 대해 자동으로 보호하지 않을 수 있어, 이를 방지하기 위해 결제 데이터가 정교한 공격에 노출되는 것을 인식해야 한다.

c/side의 CEO 사이먼 윅맨스(Simon Wijckmans)는 “이커머스 비즈니스는 이제 클라이언트 측 웹 스크립트 공격으로부터 사이트가 안전하다는 것을 자체 증명해야 한다.”라며 “PCI DSS 4.0.1 준수를 보장하는 가장 좋은 방법은 실시간으로 클라이언트 측 환경을 지속적으로 모니터링하고 변화하는 위협에 앞서 나가는 것이다.”라고 말했다.