옥션, 지마켓, 11번가, 인터파크 등으로 인터넷 쇼핑을 즐기는 일은 생활의 일부가 됐다. 전자상거래(e커머스)가 일상화되면서 이에 대한 해커들의 공격 위협도 점차 늘어나고 있는 추세다. 이에 대한 대비책으로 보안성이 강화된 '확장 유효성 검사 SSL(EV SSL)', 신용카드 정보 등에 대한 저장금지, 동일 IP주소로부터 보안성 강화 등이 거론되고 있다.
1일 국내외 보안전문가들은 e커머스 시장을 지키기 위해 필요한 몇 가지 가이드 라인을 이 같이 제시했다.
먼저 보안성이 강한 e커머스용 플랫폼을 선정할 필요가 있다. 외신에 따르면 미국 VoIP 서플라이의 소프트웨어개발 관리자 숀 헤스는 오픈소스 e커머스 플랫폼을 여러 종류 사용해왔으나 되도록이면 고도의 객체지향언어를 이용한 플랫폼을 활용하는 것이 좋다고 설명했다. 이 회사는 관리 패널로 사내 네트워크만 이용할 수 있고, 외부에 공개된 서버에서는 아무 것도 들어있지 않기 때문에 공격자가 접근하기 힘들게 한다고 말했다.
두번째로는 SSL 인증을 사용해 사이트와 사용자 PC가 주고 받는 정보들을 암호화 통신을 통해 전송할 필요가 있다. 시만텍은 기존 SSL보다 보안성을 높인 강력한 '확장 유효성 검사 SSL(EV SSL)'를 도입해 안전성을 보장할 필요가 있다고 설명했다. 윤광택 시만택 코리아 이사는 EV SSL은 현재 국내 주요 은행에도 도입돼 있다며 기존 SSL 보다 보안성을 높인 점이 특징이라고 밝혔다. 보안인증기준을 보다 엄격하게 적용한다는 것이다.
또한 금융사들이 신용카드번호, 유효기간, 카드보안식별코드(CCVV) 등을 보관하지 말 것을 권고하고 있다. e커머스 사이트가 굳이 고객들의 신용정보를 저장할 필요는 없다는 것이다. 국내에서 문제가 되고 있는 개인정보유출 사고는 주로 해당 사이트에 가입할 때 사용했던 주민등록번호, 이름, 휴대폰 번호 등을 탈취해 가는 수법을 사용했다. 지난 2011년 발생한 네이트 주민번호 유출 사건 등으로 유출된 주민등록번호가 아직까지 스미싱, 파밍 등에 악용되고 있는 것으로 볼 때 신용카드정보 역시 굳이 수집하고 저장하는 위험을 부담할 필요가 없다는 것이다.
동일 IP주소로부터 의심스러운 주문이 동시에 들어오면 이를 통지하도록 경고하는 방법도 권고사항 중 하나다. 외신에 따르면 싱가포르 보안회사 볼트는 같은 인물이 여러 종류의 신용카드로 복수 주문하거나 전화번호의 지역이 청구지 주소와 크게 다를 때, 상품 수취인이 카드 소유자와 다를 경우 등에서도 시스템 경고를 설정할 필요가 있다고 권하고 있다.
미국 소셜커머스플랫폼 개발업체 애드쇼퍼스의 존 웨스트 최고경영자(CEO)에 따르면 모든 상품에 추적번호를 부여하는 것도 e커머스 사기를 예방할 수 있는 수단 중 하나다. 이 밖에도 사이트를 수시로 백업하고, 정전이나 하드디스크 장애, 바이러스 감염 등의 사고가 발생 했을 때를 대비해 정기적인 백업계획을 이행할 필요가 있다.
성벽을 잘 쌓아놓았다고 하더라도 그 안에 있는 사람들의 관리 소홀로 성문이 열리는 경우가 있다. 때문에 직원들을 대상으로 한 보안 교육이 반드시 필요하다. e커머스 이용 고객의 개인정보를 채팅 등의 방법으로 전달하지 않도록 보다 철저한 사내 교육이 필요하다.
관련기사
- 전자상거래 소비자 피해 '오픈마켓 최고'2013.08.01
- 지난해 전자상거래 시장 1천조원 돌파2013.08.01
- "액티브X, 전자상거래 매출 걸림돌"2013.08.01
- [단독] 공공 SW사업 기능점수 단가, 올 상반기 인상 확정2024.04.19
서울여대 정보보호학과 박춘식 교수는 e커머스 영역에서 주문번호를 실시간으로 추적하고, 동일 IP 주소로 서로 다른 신용카드로 결제가 이뤄졌을 때 알람을 울려주는 등의 방법을 도입할 필요가 있다고 밝혔다.
한국소비자원에 따르면 지난해 국내 e커머스 시장은 20조원에 달한다. 지난 2008년 옥션 해킹 사건 이후 이렇다 할 해킹 피해 사례는 아직까지 나오고 있지 않고 있다. 그러나 시장 규모가 커져가고 있는 만큼 이에 대한 철저한 대비책이 필요할 것으로 전망된다.
