Offcanvas

How To / 검색|인터넷 / 보안

'해킹과 사기로부터의 방어법!' 전자상거래 사이트를 위한 15가지 조언

2013.06.24 Jennifer L. Schiff  |  CIO
요즘은 하루가 멀다 하고 전자상거래 웹사이트 상의 해킹 소식이나 신용카드 등 중요 정보 유출 소식이 들려온다. 그렇다면 어떻게 전자상거래 웹사이트 해킹을 예방하고, 중요 고객 정보 유출을 막을 수 있을까?

CIO닷컴에서는 10여 명의 전자상거래 및 보안 전문가들과의 질답을 통해 그 답을 찾았다. 다음은 전자상거래 웹사이트 해킹 및 침입 예방을 위해 이들이 내놓은 15가지 조언이다.

1. 안전한 전자상거래 플랫폼 선택이 첫 걸음이다. “객체 지향형 프로그래밍 언어를 사용하는 전자상거래 플랫폼을 찾아라” 라고 VoIP 서플라이의 소프트웨어 개발 매니저 숀 헤스는 강조했다.

그는 “과거 다양한 오픈 소스 전자상거래 플랫폼을 이용해 봤는데, 현재 사용 중인 플랫폼이 지금까지는 가장 안전해 보인다. 관리 패널(administration panel)은 우리 회사 내부 네트워크에서만 접근이 가능하며 공용 서버에서는 완전히 제거된 상태이기 때문에 해커가 절대 접근할 수 없다. 게다가, 회사 내부 윈도우 네트워크 상의 사용자를 알아 내는 2중 인증 방식을 사용한다”라고 말했다.

2. 온라인 결재에 안전한 커넥션을 사용하라. 그리고 PCI 컴플라이언트(PCI compliant) 인증을 받으라. “강력한 웹 SSL(Secure Sockets Layer) 인증과 데이터 보호 방식을 사용해야 한다”고 시만텍 전자상거래 신뢰 서비스 부서 기술 디렉터인 릭 앤드류스는 전했다.

“지난 한 해 동안만 웹상 해커 공격이 30%나 증가한 상황에서, 소비자들이 무조건 전자상거래 안전성을 믿어주기를 바라는 것은 무리다. 따라서 SSL 인증서를 통해 ‘비즈니스 ID를 인증하고 전송되는 데이터를 암호화 해야만 한다. 이로써 회사나 고객의 중요한 재정 정보 해킹을 예방할 수 있다”고 앤드류스는 말했다.

그는 이어 이보다 더 좋은 방법은 “더 강력한 EV SSL(Extended Validation Secure Sockets Layer), URL 녹색바(green bar)와 SSL 보안 씰을 함께 사용 함으로써 고객에게 웹사이트의 안전성을 보장하는 것”이라고 덧붙였다.

헤스도 이에 동의했다. “전자상거래에서 SSL 인증서는 필수다. 신용 카드 거래를 승인하기 위해 거래 시점에 주소 확인 서비스를 제공하는 지불 결제 사업자를 사용하고 있다. 이렇게 하면 신용카드업체의 주소와 온라인 상에 입력한 주소를 비교할 수 있기 때문에 물품 구매와 관련된 사기 행각도 잡아낼 수 있다”고 그는 말했다.

3. 중요 정보를 오래 보관하지 마라. “고객 정보를 불필요하게 많이 보관 할 필요는 전혀 없다. 특히 신용 카드 번호나 유효기간, 카드 보안 식별 코드(CVV2) 등은 더욱 그러하다”고 트러스트웨이브의 디지털 포렌직 및 사고 대응 디렉터 크리스 포그는 말했다.

그는 이어 “사실 그런 정보를 보관하는 일은 PCI 기준에도 어긋나는 행위다”라고 지적했다. 따라서 데이터베이스에서 오래된 데이터를 지우고, 교환이나 환불 요청에 대비해 최소한의 데이터만 보관할 것이 낫다는 충고다. 그는 “개인 정보 유출의 위험을 감수하느니 결제 시 약간의 불편을 겪는 편이 더 나을 것이다. 애초에 해킹 할 여지를 주지 않는 게 최선이다”라고 덧붙였다.

4. 주소 확인 시스템을 도입하라. “신용카드 결제 시 주소 확인 시스템을 가능케 하고 CVV를 의무화 함으로써 온라인 사기 피해를 줄일 수 있다”고 언리시드 테크놀로지스(Unleashed Technologies)의 수석 개발자 콜린 오델은 전했다.

5. 강력한 비밀번호 설정을 의무화 하라. 고객 정보를 안전하게 보관하는 것은 일차적으로는 소매업자의 의무이지만, 비밀번호 최소 길이를 설정하거나 특수문자, 숫자 등을 의무적으로 비밀번호에 기업하도록 함으로써 고객들 스스로 안전을 도모하게 하는 것도 한 방법이다.

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.