'해킹과 사기로부터의 방어법!' 전자상거래 사이트를 위한 15가지 조언

요즘은 하루가 멀다 하고 전자상거래 웹사이트 상의 해킹 소식이나 신용카드 등 중요 정보 유출 소식이 들려온다. 그렇다면 어떻게 전자상거래 웹사이트 해킹을 예방하고, 중요 고객 정보 유출을 막을 수 있을까?

CIO닷컴에서는 10여 명의 전자상거래 및 보안 전문가들과의 질답을 통해 그 답을 찾았다. 다음은 전자상거래 웹사이트 해킹 및 침입 예방을 위해 이들이 내놓은 15가지 조언이다.

1. 안전한 전자상거래 플랫폼 선택이 첫 걸음이다. “객체 지향형 프로그래밍 언어를 사용하는 전자상거래 플랫폼을 찾아라” 라고 VoIP 서플라이의 소프트웨어 개발 매니저 숀 헤스는 강조했다.

그는 “과거 다양한 오픈 소스 전자상거래 플랫폼을 이용해 봤는데, 현재 사용 중인 플랫폼이 지금까지는 가장 안전해 보인다. 관리 패널(administration panel)은 우리 회사 내부 네트워크에서만 접근이 가능하며 공용 서버에서는 완전히 제거된 상태이기 때문에 해커가 절대 접근할 수 없다. 게다가, 회사 내부 윈도우 네트워크 상의 사용자를 알아 내는 2중 인증 방식을 사용한다”라고 말했다.

2. 온라인 결재에 안전한 커넥션을 사용하라. 그리고 PCI 컴플라이언트(PCI compliant) 인증을 받으라. “강력한 웹 SSL(Secure Sockets Layer) 인증과 데이터 보호 방식을 사용해야 한다”고 시만텍 전자상거래 신뢰 서비스 부서 기술 디렉터인 릭 앤드류스는 전했다.

“지난 한 해 동안만 웹상 해커 공격이 30%나 증가한 상황에서, 소비자들이 무조건 전자상거래 안전성을 믿어주기를 바라는 것은 무리다. 따라서 SSL 인증서를 통해 ‘비즈니스 ID를 인증하고 전송되는 데이터를 암호화 해야만 한다. 이로써 회사나 고객의 중요한 재정 정보 해킹을 예방할 수 있다”고 앤드류스는 말했다.

그는 이어 이보다 더 좋은 방법은 “더 강력한 EV SSL(Extended Validation Secure Sockets Layer), URL 녹색바(green bar)와 SSL 보안 씰을 함께 사용 함으로써 고객에게 웹사이트의 안전성을 보장하는 것”이라고 덧붙였다.

헤스도 이에 동의했다. “전자상거래에서 SSL 인증서는 필수다. 신용 카드 거래를 승인하기 위해 거래 시점에 주소 확인 서비스를 제공하는 지불 결제 사업자를 사용하고 있다. 이렇게 하면 신용카드업체의 주소와 온라인 상에 입력한 주소를 비교할 수 있기 때문에 물품 구매와 관련된 사기 행각도 잡아낼 수 있다”고 그는 말했다.

3. 중요 정보를 오래 보관하지 마라. “고객 정보를 불필요하게 많이 보관 할 필요는 전혀 없다. 특히 신용 카드 번호나 유효기간, 카드 보안 식별 코드(CVV2) 등은 더욱 그러하다”고 트러스트웨이브의 디지털 포렌직 및 사고 대응 디렉터 크리스 포그는 말했다.

그는 이어 “사실 그런 정보를 보관하는 일은 PCI 기준에도 어긋나는 행위다”라고 지적했다. 따라서 데이터베이스에서 오래된 데이터를 지우고, 교환이나 환불 요청에 대비해 최소한의 데이터만 보관할 것이 낫다는 충고다. 그는 “개인 정보 유출의 위험을 감수하느니 결제 시 약간의 불편을 겪는 편이 더 나을 것이다. 애초에 해킹 할 여지를 주지 않는 게 최선이다”라고 덧붙였다.

4. 주소 확인 시스템을 도입하라. “신용카드 결제 시 주소 확인 시스템을 가능케 하고 CVV를 의무화 함으로써 온라인 사기 피해를 줄일 수 있다”고 언리시드 테크놀로지스(Unleashed Technologies)의 수석 개발자 콜린 오델은 전했다.

5. 강력한 비밀번호 설정을 의무화 하라. 고객 정보를 안전하게 보관하는 것은 일차적으로는 소매업자의 의무이지만, 비밀번호 최소 길이를 설정하거나 특수문자, 숫자 등을 의무적으로 비밀번호에 기업하도록 함으로써 고객들 스스로 안전을 도모하게 하는 것도 한 방법이다.

비밀번호가 길고 복잡할수록 해커의 공격도 더 어려워 진다”고 맥아피의 웹 보안 부서 시니어 마케팅 매니저 새라 그레이슨은 말했다.

6. 수상한 움직임을 잡아낼 수 있는 시스템 알람을 설정하라. “같은 IP주소를 통한 여러 건의 수상한 거래 시도가 이루어질 경우 이를 알 수 있는 알람을 설정해 둬라”라고 디지털 에이전시 볼트 랩스(Vault Labs)의 매니징 디렉터 데릭 로는 충고했다.

마찬가지로, “한 사람이 여러 개의 신용카드로 주문을 여러 개 넣거나, 누가 봐도 다른 지역의 전화 번호를 여러 개 사용하거나, 신용카드 주인과 이름이 다른 사람이 주문을 넣을 경우 이를 알려줄 수 있는 알람 시스템도 있어야 한다”라고 그는 덧붙였다.

7.여러 겹의 보안 장치를 마련하라. “사이버 범죄로부터 웹사이트를 안전하게 지키려면 여러 단계의 보안을 마련하는 것도 좋은 방법이다. 방화벽이 첫 단계다. 방화벽은 해커가 네트워크에 침범해 중요 정보에 접근하는 것을 막아 준다.

다음으로는 탐색 질의, 로그인 박스, 계약 서식 과 같이 애플리케이션이나 웹사이트에 추가적인 보안대첵을 세워 놓는다. 이런 방법을 통해 SQL(Structured Query Language) 주입 공격이나 교차 웹사이트 스크립팅(XSS)같은 어플리케이션 레벨 공격으로부터 전자상거래 환경을 보호할 수 있다”고 그레이슨은 말했다.

8. 직원들에게 보안 관련 교육을 시켜라. “직원들에게 중요한 데이터를 절대 이메일이나 문자로 보내서는 안 되며, 채팅 세션 역시 안전한 커뮤니케이션 수단이 아니기 때문에 절대 고객의 사적인 정보를 드러내지 말 것을 철저히 교육 시켜야 한다” 라고 테크놀로지 업체 NIC Inc.의 associate general counsel이자 최고 보안 책임자 제인 프리들랜드 홀란드는 말했다.

그는 이어 “직원들도 고객 정보와 관련된 법 조항, 정책 등에 대해 알고 있어야 하며 그런 정보를 지키기 위해 필요한 사항에 대해서도 교육을 받아야 한다. 마지막으로, 직원들이 필수 보안 규칙을 준수하도록 철저하게 문서화 된 프로토콜 및 정책을 사용해야 한다”라고 덧붙였다.

9.모든 주문에 추적 번호를 사용하라. “환불 사기에 대응하려면, 들어오는 모든 주문 내역에 추적 번호를 사용해 보라. 이는 특히 생산자 직송으로 물건을 보내는 소매업자들에게 중요한 절차다”라고 소매업 대상 소셜 커머스 플랫폼 애드쇼퍼(AddShoppers)의 CEO 존 웨스트는 충고했다.

10. 웹사이트를 주기적으로 모니터링 하고, 누가 호스팅 하고 있는지도 알아 두어라. “언제나 실시간 애널리틱스 툴을 준비해 둬야 한다. 이는 마치 가게에 감시 카메라를 설치해 두는 것과도 같다. 우프라(Woopra)나 클리키(Clicky)같은 툴을 사용하면 웹사이트 접속자 들이 어떤 경로를 통해 웹사이트를 둘러보는지 실시간으로 알 수 있어 수상한 행동은 바로 알아챌 수 있다. 이런 툴을 통해 수상한 움직임이 보일 때면 전화로도 경고를 받을 수 있고 이를 통해 사전에 의심쩍은 행동을 예방할 수 있다”라고 온라인 보석샵 마이 트리오 링스(My Trio Rings)의 마케팅 디렉터 푸닛 샤는 말했다.

또, 전자상거래 웹사이트를 호스팅 하는 곳에서 “주기적으로 서버의 말웨어나 바이러스, 기타 유해 요소를 확인하는 지 알아 둬야 한다”고 SEO 및 웹사이트 디자인 업체 엠베스터 미디어(Mvestor Media)의 SEO이자 웹 개발자인 이안 로저는 말했다.

11. 주기적으로 PCI스캔을 받아라. 웨스트는 “트러스트웨이브 같은 업체를 통해 분기별로 PCI스캔을 받고 전자상거래 플랫폼의 해킹 위험을 줄여야 한다. 마젠토(Magento)나 프레스타숍(PrestaShop)처럼 제3의 소프트웨어를 다운받아 사용하고 있다면, 업데이트를 통해 가장 최신 버전을 유지해야 한다. 이렇게 몇 시간을 투자하는 것 만으로도 미래에 어마어마한 피해를 줄일 수 있다”라고 강조했다.

12.시스템을 패치하라. “무엇이든 즉시 패치시켜라. 글자 그대로 새 버전이 출시 된 바로 그 날 패치시켜야 한다. 여기에는 웹 서버 자체 뿐 아니라 자바나 파이썬(Pychon), 펄(Perl), 워드프레스(WordPress) 및 줌라(Joomla)같은 제3의 코드도 포함 된다. 이들 모두 해커의 주요 타깃이다”라고 주니퍼 네트워크(Juniper Networks) 주노스 웹앱 보안 수석 소프트웨어 아키텍트 카일 아담스는 말했다.

13.디도스(Ddos) 공격에 대비하고 차단 서비스를 갖춰라. “디도스(Distributed Denial of Service, Ddos)공격의 빈도가 잦아짐에 따라, 타깃의 복합도와 범위도 다양해지고 있다. 전자상거래 웹사이트 들에서는 클라우드 기반 디도스 보호 서비스와 관리형 DNS서비스를 통해 사전에 디도스 공격을 차단하고 장비, 인프라스트럭처, 전문 인력 등에 들어가는 투자 비용을 줄일 수 있다”고 베리사인(Verisign)의 테크놀로지 부대표 션 리치는 말했다.

그는 이어 “클라우드를 통한 접근은 전자상거래 업체의 운영 비용을 간편하게 줄여 줄 뿐 아니라 복잡하고 거대한 규모의 공격 마저도 막아낼 수 있도록 방어를 철저히 할 수 있다. 게다가, 관리형 클라우드 기반 DNS호스팅 서비스는 100%의 DNS 레솔루션(resolution)을 자랑하며 온라인 결제와 커뮤니케이션을 지원하는 인터넷 기반 시스템의 가용성을 개선하기도 한다”라고 말했다.

14. 사기 범죄 관리 서비스도 고려 대상에 포함시켜라. “실제로 사기 범죄는 일어난다. 상인의 입장에서 최선은 그런 일이 일어났을 때 그 피해를 고스란히 뒤집어쓰지 않는 것이다. 대부분 신용 카드 업체들은 사기 범죄 관리 및 환불 관리 서비스를 제공한다. 대부분 보안 전문가들은 100% 안전한 방법은 세상에 없다고 지적한다. 그만큼, 이런 대비를 하는 것은 매우 실용적인 선택이다”라고 .NET 컨텐트 관리 및 전자상거래 제품 업체 EPiServer의 제품 관리 부대표 밥 에그너는 말했다.

15. 호스팅하는 곳이나 나 스스로 데이터 백업에 대한 계획을 세워 두었는지, 그리고 재해 복구 계획이 있는지 확인한다. “최근 카보나이트(Carbonite)에서 진행한 연구에 따르면 많은 기업들이 데이터 백업 플랜에 허점을 보이고 있다. 이는 정전이나 하드 드라이브 문제, 바이러스 등으로 인해 중요한 정보를 소실할 수 있는 위험으로 이어진다”고 카보나이트 CEO 데이빗 프렌드는 지적했다. 따라서 웹사이트를 제대로 보호하기 위해서는 주기적으로 백업을 하거나, 웹사이트 호스팅 서비스에서 제대로 백업을 하고 있는지 확인할 필요가 있다고 그는 설명했다.