Offcanvas

How To / 보안 / 소매|유통 / 악성코드 / 통신|네트워크 / 훈련|교육

연말 트래픽 폭주 대비 쇼핑몰 IT운영자 체크리스트 12선

2016.11.24 Ryan Francis  |  Network World
블랙 프라이데이 시즌이 왔다. 소비자들은 싼 가격에 쇼핑할 생각에 들뜨지만, 쇼핑몰 운영 기업의 IT운영자들은 그 어느 때보다도 긴장하고 있다. IT운영자들이 쇼핑몰 사이트가 안전한지 확인하는 몇 가지 팁을 소개한다.


Credit: GettyImages

유통/소매 기업의 웹 트래픽이 1년 중 가장 많은 시기가 다가옴에 따라, 이 기업들의 IT운영팀이 바빠졌다. 일반적으로 갭(Gap) 등의 소매 기업은 연말 쇼핑 기간에 연간 판매량의 30% 이상을 달성하는데, 최근 들어서는 온라인 및 모바일 판매량이 매년 계속해서 늘어나는 추세다. NRF(National Retail Federation)에 따르면, 소매 기업의 84%는 온라인 사이트의 구매 비중이 늘어날 것으로 전망하며, 71%는 평균 1일 사이트 트래픽이 증가할 것으로 예상했다.

다음은 데브옵스 툴 개발업체인 빅판다(BigPanda)와 여러 IT운영 관리 업체들이 제시한 ‘IT운영팀이 반드시 확인해야 할 핵심 요소 목록’이다.

IT 모니터링 플랫폼을 활용하라
IT 모니터링 플랫폼을 이용해 위험을 낮추고, 번잡한 데이터의 구조화되지 않은 패턴에서 구조를 찾을 수 있다. 연말 쇼핑 시즌에 일어나는 일 중 하나는 고객의 수가 극적으로 증가하는 점이다. 이 때문에 시스템의 거대한 변동과 부하에 대비하는 것이 핵심이다.

클라우드 인프라의 자동 확장 알고리즘을 변경하라
IT운영팀은 연말 쇼핑 시즌에 극단적으로 번잡한 상태로 바뀔 수 있다. 이런 급증으로 경보 폭풍(Alert Storm)이라는 것도 발생할 수 있다. IT운영은 이 시점에 데이터를 파악하고 분류하여 팀들이 조처할 수 있도록 하는 IT운영 관련 플랫폼을 활용하는데, 그 때문에 시스템에서 쏟아져 나오는 데이터의 양에 압도될 수도 있다.

자동 모니터링 한계를 변경하라
모니터링 툴에서 어떤 일이 일어나고 있는지 상관관계를 알아보고 그것들을 그룹으로 묶으려면 이 모니터링 툴을 통합해 평가해야 한다. 이렇게 하면, IT팀이 데이터를 들여다봐야 하는 업무 부담을 덜 수 있다.

모니터링 지표를 검토하라
사람이 하는 업무 프로세스의 일부를 변경해야 할 수 있다. 개발자들과 애플리케이션의 안정성을 시험하고 피크 시즌에 맞춰 추가 지원이 필요할 수 있다.

보안 테스트
예상치 못한 부하나 해커에 대한 노출 가능성이 실제 위협이 될 수 있으니 필요한 변경사항이 잘 적용됐는지 꼭 확인하라. 소급 적용 계획과 미래 계획이 가능한 통합된 검색 기능을 활용하자.

제르토(Zerto)의 제품 담당 부사장 롭 스트레체이는 "미리 애플리케이션뿐 아니라 IT 복구 기능을 뒷받침하는 기반 기술 전반에서 비즈니스 연속성을 엄격하게 테스트해야 한다. 쇼핑 당일, 처음으로 시도해 보고 복구에 수 분이 걸리는 불상사를 원하는 사람은 없다. 온라인 판매에서는 초 단위조차도 중요하다"고 말했다.

네트워크 중단 사태를 막는 방법
자신의 핵심 서비스가 무엇인지 파악하고 그것들을 보호할 완벽한 방어 계획을 어떻게 계속해서 실행할지 알아보자. 예를 들어, 아마존(Amazon) 체크아웃에 문제가 발생한다면 이에 대한 재해복구 계획이 필요하다. 하지만 추천 엔진에 문제가 있다면, 상황이 좋은 것은 아니지만 필수 서비스에 문제가 있을 때만큼 나쁜 건 아니다.

DR 계획 마련
우수한 재해복구 계획은 비즈니스 임계점에 따라 애플리케이션을 범주화하고 각각의 RPO(Recovery Point Objective)를 명확히 정의하며 쇼핑 시즌 전 그리고 중간에 여러 번 테스트해야 한다. 틴트리(Tintri)의 제품 및 솔루션 마케팅 부사장 척 두부큐는 기업들이 장기적인 고장 정지와 관련 있는 수익 손실과 고객 경험 문제를 방지하는 데 이러한 수준의 계획이 도움된다고 말했다.

디도스 완화 전략을 재검증하라
데님 그룹(Denim Group)은 디도스 공격을 완화하기 위한 회사의 접근방식을 검토하고 재검증하라고 권고했다. 디도스 공격은 점차 구성이 단순해지고 있지만, 안타깝게도 방어는 더욱 어려워졌다. 관리형 DNS 제공자 딘(Dyn)에 대한 지난 10월의 디도스 공격은 트래픽의 10~20배를 딘 서버로 전송하여 인터넷에서 일부 유수 기업에 DNS 서비스를 제공하는 기능을 마비시켰다. 디도스 완화 인프라를 재검증하고 디도스 공격에 직면했을 때의 대응 계획을 검토하며 최근 발생한 더욱 정교한 디도스 공격에 기초하여 계획을 업데이트하는 것이 좋다.

피싱 복구 기능을 확인하라
연말 쇼핑 시즌에는 새로우면서도 아직 상상하지 못했던 동료와 고객을 노리는 피싱 공격이 나타날 가능성이 높다. 피싱은 사기꾼들이 여전히 선호하는 공격 벡터이며 올 연말에도 그럴 것이다. 피싱 이메일의 링크를 클릭하는 사람들은 항상 있지만, 최종 사용자 교육과 인식 강화 등 내외부적인 노력으로 정교한 스피어 피싱(Spear Fishing) 공격의 피해를 막을 수도 있다.

웹 공격면을 스캔하라
연말 쇼핑 시즌에 갑자기 시스템이 멈추는 불상사가 발생하기 전 미리미리 최신 기능을 웹에 출시하기에 앞서 자동화된 취약성 스캔을 실행한다면 완벽하겠지만, 현실은 그렇지 못하다. 인터넷과 연결된 애플리케이션에 한 번 더 자동화된 애플리케이션 취약성을 스캔하라. 그러면 마지막 기능으로 공격자가 손쉽게 악용할 수 있는 형편 없는 SQL 주입 또는 XSS 결함이 유입되지는 않았는지 확인할 수 있다. 연말 쇼핑 시즌 중에 시스템 중단 사태가 발생할 수는 있다. 하지만, 사기꾼들이 애플리케이션 취약성을 타고 들어올 수 있으므로 이 문제를 해결할 만한 가치는 충분히 있다.

비밀번호를 변경하거나 이중 인증을 추가하라
향후 2개월 동안 가장 민감한 기능이 있는 특정 내부 계정의 비밀번호를 변경하는 것도 한 방법이다. 기업의 트위터나 페이스북 계정이나 그 외 다른 계정과 비밀번호도 마찬가지다. 이런 계정에 이중 인증을 이행하고 소셜 미디어 사이트의 로그인을 더욱 자세히 모니터링하여 공격자가 단순한 사용자 이름/비밀번호 조합을 가진 계정을 탈취하기 어렵게 할 수 있다.

사고 대응 계획을 검토하고 사고 시 투입할 전문가 집단을 꾸려라
일단 사고가 터지면 이를 처리하는 데 필요한 잘 준비된 IR(Incident Response) 계획이 있어야 한다. IR 계획서를 꺼내 ‘핵심 전문가 IR’ 브리핑을 진행함으로써 이들의 역할을 상기시키자. 콘스(Conn’s)의 CIO 토드 리나우드는 “핵심 전문가들에게 현재가 가장 바쁜 기간이며 사건 발생 시 휴대전화로 연락을 취할 수 있어야 한다는 사실을 주지시키라"고 조언했다. 일반 소비자들이 쇼핑에 빠져 있는 이 시기에 소매/유통 기업 임직원 모두가 IR 계획을 기억한다고 해서 손해 볼 것은 없다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.