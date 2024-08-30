규제 당국은 API에 대한 리스크를 인지하고 있으며, 기업은 데이터 감염을 방지하기 위한 가시성과 제어 기능을 갖추었음을 입증해야 합니다.

Verizon의 2023년 데이터 유출 조사 보고서에 따르면 데이터 유출 사고의 37% 이상에서 결제 카드 데이터가 유출되었습니다. PCI DSS v4.0은 결제 업계의 공격 표면에서 인간 요소를 보호하기 위해 멀티팩터 인증 및 비밀번호 길이 관련 새로운 요구사항을 포함합니다.

그러나 데이터 유출은 항상 직원의 비밀번호를 노리는 피싱처럼 널리 알려진, 사람을 겨냥한 공격 기법 때문만은 아니라는 점을 기억해야 합니다.

예를 들어, 이커머스 기업을 대상으로 한 공격의 18%는 카드 결제 웹페이지에 멀웨어가 삽입되어 발생했습니다. 오늘날의 공격자들은 점점 더 정교해지고 있으며, 종종 제대로 보호되지 않은 API와 같은 IT 환경 내 자동화된 비인간 구성요소를 노리고 있습니다.

Akamai 리서치에 따르면, 기업의 78%가 API 관련 보안 인시던트를 경험한 바 있습니다. API 위협의 시급성을 반영해 PCI DSS v4.0에는 새로운 API 보안 룰, 가이드라인, 모범 사례가 포함되었습니다. 먼저 요구사항 6.2.3을 자세히 살펴봅시다.