온라인 쇼핑몰을 위한 사이버 보안 ABC(출처: 2015.03.23 ciokorea.com)

성수기 시즌이 다가오고 있다. 각 온라인 쇼핑몰들이 수요에 대응하기 위해 준비하겠지만, 이를 준비하는 이들은 또 있다. 성수기 시즌은 악질적인 사이버 범죄자들이나 해커들이 당신의 고객 정보를 훔치기 위해 노리는 최적기이기도 하다.

해커들은 온라인 행동을 추적하고 고객 신원정보를 훔치기 위한 혁신적인 방법을 잇달아 선보이고 있다. 체크, 신용카드 정보를 훔치는 것부터 프라이버시 공격과 전자상거래 데이터 탈취에 이르기까지 이 온라인 골칫거리는 수많은 형태를 가지고 있다. 이런 사이버 범죄로부터 자신과 소비자를 보호하려면 어떻게 해야 할까? 전자상거래 사이트를 이런 범죄자들로부터 보호하는 몇 가지 효과적인 방안에 대해 알아본다.

1. 전자상거래 웹 호스팅 서비스를 확인하라

전자상거래 사이트 보안이 회사의 소프트웨어에 기반해있다고 생각하는 이들이 많다. 물론 웹 애플리케이션도 중요하다. 그러나 이 사이트가 사용하는 웹 호스팅이 더 중요한 보안 요인인 경우가 많다.

일단 공유 호스팅과 전용 호스팅 사이에서 전용 호스팅이 좀 더 안전하고 전자상거래에 이상적이다. 공유 호스팅은 많은 사용자들이 동일 서버에 접속하는데 이는 동일 운영 체제하에서 구동되고, 동일 자원을 활용한다는 의미다. 전용 호스팅은 코로케이션 서버, 전용서버, VPS 무엇이던 오직 단일 사용자만 그 서버를 사용한다. (VPS 사례에서는 가상 서버다.)

동일 서버(공유 호스팅)를 다수의 사용자들이 이용하는 것은 두 가지 측면에서 위험하다. 우선 공유 사용자들 중 한 명이라도 잘못된 의도를 가진다면, 다른 이의 사이트가 부당하게 이용될 수 있다.

예를 들어 당신의 사이트가 월드-라이터블(world-writeable) 디렉토리를 가지고 있다면, 그 디렉토리가 (추가 조치가 취해지지 않는 한) 동일 서버상 다른 사용자에 의해 기록돼 버릴 수 있다.

둘째로 다른 공유 사용자가 올바른 의도를 가지고 있더라도, 보안 위험을 가진 웹사이트나 소프트웨어를 운영한다면 당신의 웹사이트 역시 그 위험에 취약해진다.

즉 보안 측면에서는 전용 VPS 호스팅 제공자를 선택하는 것을 추천한다. 추가적으로 가상 사설 서버를 보호하는 방법에 대해서도 알고 있어야 해커가 침투할 수 없다.

좋은 웹 호스팅 서버 제공자를 선택하는 것도 중요하지만 그들이 사용하는 소프트웨어와 하드웨어 유형도 확인해야 한다. 고급이면서 업데이트된 소프트웨어를 쓰는 호스팅 서비스 제공자를 선택하는 것이 최우선이다. 그래야 해킹되기 어렵고 모든 필수 보안 기능을 갖추고 있기 때문이다.

웹 호스트의 하드웨어에 대해서도 잘 알고 있어야 한다. 웹 호스팅 하드웨어 요건에는 스토리지가 포함되는데, 서비스 제공자가 어떤 유형의 스토리지를 제공하는지도 반드시 알아야 한다. 만약 전자상거래 웹사이트를 기획하고 있다면 하드웨어가 그 핵심 역할을 담당하기 때문이다.

2. 데이터를 암호화하라

회사의 웹서버와 고객의 웹사이트 사이에 흐르는 모든 데이터는 도청이나 피싱 공격을 피하기 위해 암호화되어야 한다. SSL 인증은 모든 규모의 소매 전자상거래 사이트들에게 반드시 필요하다. SSL은 효과적으로 민감한 데이터가 웹으로 흐르는 것을 막고, 신용카드 정보와 암호 같은 민감한 정보를 암호화한다. SSL 인증서는 이런 중요한 데이터를 의도한 수신자 이외에는 읽지 못하게 만들어 사이버 범죄자나 해커들로부터 보호해준다.

3. PCI를 준수하라

SSL 보호를 활용하는 것에 더해 PCI 준수도 추천할 만하다. 그리고 이는 미국에서 강제사항이기도 하다. 온라인과 오프라인에서 체크, 신용카드를 받는 모든 상점들은 고객의 결제 데이터를 안전하게 보호하기 위해 PCI 보안 표준 협의회에 맞춰 모든 규정을 준수해야 한다. PCI 보안 표준 협의회의 규정을 어기면 강력한 불이익이 따른다.

4. 민감한 데이터는 저장하지 말라

서버상의 고객 신용카드나 체크카드 번호 같은 비밀 정보들을 보유하는 것은 그런 민감한 정보를 훔치려는 해커들을 끌어 모을 가능성이 있기 때문에 위험하다. 게다가 PCI 규정상으로는 그런 민감한 데이터를 보관하는 것이 금지되어 있다.

환불과 입금취소를 처리하기 위한 최소한의 데이터만 남겨두고 정기적으로 다른 정보들은 지워서 도둑들이 훔칠게 없도록 PCI 표준을 준수하라. 또한 모든 온라인 거래의 주소와 CVV2 코드를 확인함으로써 온라인 사기를 방지할 수 있다.

5. 강력한 암호를 강제

많은 사람들이 강력한 암호를 만들어 사용하지 않는다. 온라인 쇼핑몰 기업으로써 고객이 사이트에 계정을 설정할 때 강력한 암호를 쓰도록 만드는 것은 기업 책임이다.

이를 통해 전자상거래 웹사이트의 백엔드의 모든 민감한 정보를 보호할 수 있을 뿐 아니라 사이트 유출 가능성도 최소화할 수 있다. 암호는 글자에 기호와 문자, 숫자를 포함하는 것이어야 한다.

6. 침투 테스트하기

침투 테스트 혹은 윤리적 해킹(ethical hacking)은 당신의 전자상거래 사이트가 해커와 사기꾼들로부터 안전한지를 확실히 알아보는 필수적인 단계다. 이런 서비스를 제공하는 침투 테스트 회사들이 여러 곳 있다. 윤리적 해커들은 보안 취약점을 찾기 위한 의도로 당신의 서버를 공격할 것이다.

침투 테스트가 끝나면 그들은 보안 위협에서 드러난 모든 취약점을 아우르는 보고서를 작성할 것이다. 이 보고서는 당신의 웹사이트를 완벽히 안전하게 지키고 웹 자산을 보호하는데 도움을 줄 수 있다.