견고한 e커머스 보안 전략 세우기

e커머스 사이트를 운영하거나 디지털 커머스 공간에서 작업하는 사람이라면 잠재적인 보안 위협에 대해 이미 잘 알고 있을 것입니다. 회사와 고객을 보호하기 위해서는 보안 위협에 잘 대처해야 합니다. 고객의 신뢰를 높이고 보안 위협으로부터 회사를 지킬 수 있는 종합적인 e커머스 보안 팁을 알아봅니다.

• 강력한 암호 만들기
• 다층 보안 구현
• 방화벽 사용
• 결제 제공업체 이용
• HTTPS 보안위을 한 SSL 인증서 설치
• 소프트웨어 및 하드웨어 업데이트
• PCI-DSS 규정 준수
• 데이터 백업
• 보안 모범 사례 구축
• 적합한 호스팅 제공업체 선택

e커머스 보안이란?

e커머스 보안은 기업이 안전하게 비즈니스를 수행하기 위한 필수 조치입니다. 이는 기업과 고객 모두에게 이롭습니다. 견고한 보안을 통해 기업은 고객에게 신뢰와 좋은 평판을 얻을 수 있습니다.

e커머스 보안은 주소, 결제 등 고객의 개인 정보를 보호합니다. 강력한 보호 조치로 기업은 비즈니스에 대한 신뢰를 높이고, 데이터 침해로 발생할 수 있는 막대한 재정적 손실을 예방할 수 있습니다.

오늘날 e커머스 사이트는 차고 넘칩니다. 고객에게는 그만큼 선택지가 많습니다. 따라서 자신의 데이터를 잘 보호해 주지 못한다면 미련없이 떠나고 말 것입니다.

비즈니스 보호를 위한 e커머스 보안 팁

e커머스 보안을 강화하는 방법은 수없이 많습니다. 그중에는 상당한 시간과 비용을 투자해야 하는 것도 있습니다. e커머스 사이트를 운영할 때 소비자와 회사를 보호하는 데 도움이 되는 10가지 주요 팁을 소개합니다.

1. 강력한 암호 만들기

강력한 암호 설정은 고객과 직원 모두가 취할 수 있는 가장 기본적인 보안 조치입니다. 숫자, 특수 문자, 소문자, 대문자를 모두 사용하여 만들도록 안내하세요.

로그인을 할 때마다 고유한 암호를 만들게 하는 것도 방법입니다. Google 설문조사에 따르면, 52%의 사용자가 여러 웹 사이트에서 동일한 암호를 사용합니다.

‘암호 매니저(Password Manager)’는 직원이 사용하는 각 툴 또는 플랫폼에서 강력한 암호를 만들도록 하는 좋은 툴입니다. 각각의 고유한 암호가 안전한 장소에 저장되므로 많은 복잡한 암호를 일일이 기억할 필요가 없으며, 다른 사이트에서 암호를 재사용할 위험도 없앨 수 있습니다.

2. 다층 보안 구현

다단계 보안으로도 불리는 다층 보안 계획을 구현하여 사용자 데이터 보호를 최우선으로 하세요. 계층화된 보안 조치가 없다면 개인 정보가 침해될 수 있습니다.

거래를 직접 처리하는 회사 직원만 개인 정보에 액세스할 수 있도록 하는 것이 중요합니다. 정보가 유출되면 데이터 침해로 비용이 발생하고 기업의 이미지가 실추될 수 있습니다. 고객과 직원에게 강력한 암호 설정을 요구하고, 추가적인 보안 조치에 투자해야 하는 이유입니다.

다층 보안이란?

대부분의 사용자는 이미 다중 인증에 익숙합니다. 예를 들어, 웹 사이트에 로그인하는 경우 사용자는 문자나 이메일을 통해 자신의 신원을 인증하기 위해 입력해야 하는 별도의 코드를 받습니다.

또 다른 예를 들자면, 사용자는 사이트에 액세스하려는 사용자임을 확인하기 위해 웹 사이트의 모바일 앱을 다운로드하고 앱에 로그인합니다. 이처럼 다층 보안은 데이터 침해를 방지하기 위해 추가 보안 장벽을 설정하는 것입니다.

콘텐츠 전송 네트워크(CDN: Content Delivery Network)는 또 다른 유용한 다층 보안 툴입니다. 이 접근 방식은 데이터를 분산된 서버 네트워크에 저장하고 DDoS 공격으로부터 보호합니다. DDoS 공격은 한 번에 여러 소스를 사용하여 웹 사이트에 많은 트래픽을 유도해 사용자의 이용을 방해하고 데이터에 액세스하는 공격 방식입니다.

다층 보안이 중요한 이유

다층 보안 시스템을 사용하면 기업 내부와 외부에 보호 계층을 추가할 수 있습니다. 보안 장벽을 겹겹이 쌓기 때문에 해커는 도용한 암호만으로는 로그인하기 어렵습니다. 직원과 고객 모두에게 다층 보안을 구현하도록 적극 요청하세요. 이 같은 노력이 좋은 브랜드 평판으로 이어집니다.

3. 방화벽 사용

방화벽은 사이트에 들어오고 나가는 모든 트래픽을 모니터링하여 의심스러운 트래픽을 차단합니다. 공급업체마다 방식은 다르지만, 신뢰할 수 없는 트래픽 소스를 골라내기 위해 사전 정의된 규칙을 기반으로 구축됩니다.

방화벽이 막을 수 있는 공격 유형에는 DDoS 공격과 Structured Query Language(SQL) 주입이 있습니다. SQL 주입은 데이터를 침해하거나 데이터베이스를 훼손하기 위해, 웹 사이트 구성에 악성 코드를 ‘주입’하는 일반적인 사이버 공격 수법입니다.

4. 결제 제공업체 이용

결제 제공업체를 이용하면 고객의 모든 결제 정보를 처리하고, 신용카드 데이터를 안전하게 보호할 수 있습니다. 회사 서버에 고객 결제 데이터를 저장해서는 안 됩니다. 결제 제공업체는 사이버 보안 공격으로부터 보호하기 위해 고객 결제 데이터를 암호화합니다.

5. HTTPS 보안을 위한 SSL 인증서 설치

SSL(Secure Sockets Layer)은 고객의 디바이스와 결제 프로세서 간을 이동하면서 결제 데이터를 암호화하고 보호합니다.

사이트를 방문했을 때 주소 표시줄에 ‘안전하지 않음’이 표시되어 있다면 SSL을 사용하지 않고 있는 것입니다. 웹 사이트에서 SSL을 사용하면 HTTP가 HTTPS로 표시됩니다. 이는 인터넷 보안의 표준이며, 사용자에게 더 안전합니다.

SSL을 사용하지 않으면 보안이 취약해질 뿐만 아니라, 사용자의 사이트 방문을 방해할 수 있습니다. 일부 브라우저는 페이지가 안전하지 않다는 팝업 경고 페이지를 띄우기 때문입니다. John Cabot의 연구에 따르면, 사용자의 64%는 ‘안전하지 않음’이라는 경고가 표시되면 즉시 사이트를 떠나 버립니다.

SSL과 HTTPS는 e커머스 보안의 표준이며, 반드시 사용해야 합니다. Google은 안전한 페이지에 높은 순위를 부여하므로 HTTPS는 사이트의 SEO(Search Engine Optimization, 검색 엔진 최적화)를 더욱 향상시킵니다.

6. 소프트웨어 및 하드웨어 업데이트

소프트웨어를 업데이트하라는 안내 메시지가 자주 나타나는 것은 좋지 않은 신호입니다. 그만큼 업데이트가 이뤄지지 않았으며, 보안에 문제가 있을 수 있다는 의미입니다. 이런 메시지가 여러 디바이스에서 자주 나온다면 더욱 그렇습니다.

소프트웨어 업데이트는 새로운 프런트 엔드 기능에만 릴리스되는 것은 아닙니다. 일반적으로 취약점을 패치하고 보안을 강화하기 위해 업데이트됩니다. 따라서 패치 릴리스를 자주 배포하여 코드를 최신 상태로 유지하는 플랫폼을 찾으세요.

또한, 업무에 방해되지 않도록 직원들에게 매주, 또는 매월 예정된 시간에 새로운 업데이트를 다운로드하게 하는 것도 좋습니다.

7. PCI-DSS 규정 준수

PCI-DSS(Payment Card Industry Data Security Standard)는 신용 카드 부정 사용과 정보 유출을 방지하기 위해 신용 카드 회사에서 만든 보안 표준입니다. 신용카드 정보를 수집, 처리, 저장하는 모든 기업이 이를 준수해야 합니다.

e커머스 보안 관련 팁 대부분이 바로 이 PCI-DSS 준수와 연관되어 있습니다. 예를 들어 방화벽, 강력한 암호, 카드 소유자 데이터 보호, 백신 소프트웨어는 모두 PCI-DSS에서 요구하고 있습니다. 여기에 소개된 모든 팁을 실행하면 저절로 PCI 규정을 준수하게 됩니다.

e커머스 기업을 위한 Adobe PCI 규정 준수 체크리스트 를 확인하여 현재의 보안 상태를 확인해 보세요.

배경

e커머스 초창기에는 신용카드 번호, 데이터 추적 등 민감한 데이터조차 제대로 보호할 수 없었습니다. 웹 사이트 아키텍처 설계나 구성에 대해 정의된 표준이 없었기 때문에 PCI 규정 준수 체크리스트가 필요했습니다. 소비자로부터 무단 거래에 대한 불만이 쇄도하자, Visa 카드사는 인터넷에서 비즈니스를 수행하고 Visa 카드 결제를 처리하는 모든 리테일 업체가 준수해야 하는 요구 사항 및 표준 플랫폼을 출시했습니다.

당시 비슷한 프로젝트를 진행하는 신용카드 브랜드도 있었지만, Visa가 가장 강력한 요구 사항을 가지고 있었습니다. 결국 카드사들은 모든 카드 브랜드를 포괄하는 공식적인 요구 사항 및 표준을 설정하기 위해 PCI DSS(Payment Card Industry Data Security Standard) 위원회를 결성했습니다. 이 표준은 카드 브랜드뿐만 아니라 리테일 업체와 소비자를 보호하는 데 도움이 됩니다.

PCI 규정 준수 체크리스트 정의 및 중요한 이유
PCI DSS는 '카드 소유자 데이터(CHD)’라고 하는 ‘소비자 신용카드 데이터’를 보호하는 방법에 대한 기본 요구 사항과 표준을 제공합니다. 이를 통해 기업이 내부 정보 보안 프로그램을 구축하는 방법과 비즈니스 요구 사항을 충족하도록 보안 프로그램을 설계하는 방법을 알 수 있으며, CHD가 어디에서 어떻게 유입되고 이동하여 최종적으로 저장되는지 파악하는 데도 도움이 됩니다. 회사 네트워크 전체에서 데이터가 이동하는 방식을 매핑하는 것은 데이터를 보호하는 첫 단계입니다.

포괄적인 PCI 규정 준수 체크리스트를 통해 얻을 수 있는 이점
PCI 규정 준수 프로그램은 회사의 수많은 정보 보안 프로그램 중 한 부분입니다. 보안 프로그램은 서로 공생 관계입니다. 즉, 하나가 있으면 다른 하나도 강력해집니다. PCI 규정 준수 프로그램이 제대로 구현되면, 회사의 모든 정보 보안 프로그램을 강화할 수 있는 기본 표준을 설정할 수 있습니다.

규정을 준수하지 않을 시 발생하는 리스크
리스크는 카드 발행사가 부과하는 금전적 제재부터 규정을 준수하지 않는 것으로 판명된 기업에 대한 소비자 신뢰 상실에 이르기까지 다양합니다. 신뢰는 수년에 걸쳐 쌓이며, 판매하는 제품만큼 가치가 있습니다. 소비자의 카드 데이터를 보호하지 않아 보안 사고가 발생하고 신뢰를 잃게 되면, 비즈니스는 꽤 오랫동안 회복하기 어렵습니다.

기업을 보호하기 위해 해야 할 일
최근에 업데이트된 PCI DSS v3에는 준수해야 하는 300개 이상의 표준이 포함된 12개의 하위 요구 사항으로 분류된, 6개의 주요 요구 사항이 있습니다. 이러한 표준은 카드 소유자의 데이터를 보호한다는 동일한 목표를 가집니다. 악의적인 의도를 가진 사람은 이 데이터를 얻고자 합니다. 카드 소유자 데이터가 확보되면 그들은 소비자, 파트너, 기업, 카드 발행사에 피해를 주면서 이익을 취하려고 할 것입니다.

PCI 규정 준수 체크리스트에 포함해야 하는 사항

PCI DSS는 모든 비즈니스 모델에서 구현할 수 있는 일반적인 표준을 제공합니다. 수년 동안 위원회는 요구 사항의 언어, 정의, 적용성을 개선하여 전반적인 PCI DSS 규정 준수를 점진적으로 강화했습니다. PCI 규정 준수 체크리스트에 포함해야 하는 사항은 다음과 같습니다.

• 결제 카드 데이터와 공용 네트워크 사이에 방화벽을 사용하고, 방화벽을 최신 상태로 유지합니다.
• 결제 처리에 사용되는 네트워크 장비 또는 디바이스에서 공급업체가 제공하는 기본 암호를 사용하지 않도록 합니다.
• 카드 소유자 데이터를 저장하지 마세요. 업무상 카드 소유자 데이터를 유지해야 한다면 강력한 암호화를 사용해야 합니다. Magento의 BrainTree 확장을 사용하여 시스템에서 카드 소유자 데이터의 스토리지를 이동시킬 수 있습니다.
• 암호화를 사용하여 공용 네트워크를 통해 전송되는 모든 카드 소유자 데이터를 보호합니다.
• 카드 소유자 데이터 환경의 모든 시스템에 백신 소프트웨어를 사용하고, 정기적으로 업데이트합니다.
• 카드 처리 시스템에 공급업체가 제공하는 보안 패치가 설치되어 있는지 확인합니다.
• 일부 사용자만 카드 소유자 데이터에 액세스하도록 합니다.
• 각 사용자가 책임질 수 있도록 모든 사용자에게 고유한 ID 번호를 할당합니다.
• 카드 소유자 데이터 환경에 대한 물리적 액세스를 제한합니다.
• 네트워크와 카드 소유자 데이터 환경에 대한 모든 액세스를 모니터링합니다.
• 보안 시스템과 네트워크 환경을 정기적으로 테스트합니다.
• 보안 정책을 유지하고 모든 직원이 이를 인지하도록 합니다.

Magento를 통해 규정을 준수하는 방법

Magento는 PCI DSS의 특정 버전인 PA DSS(Payment Application Data Security Standard)를 준수하는 결제 애플리케이션/브릿지를 제공합니다. 이 표준은 위원회에서 제공하는 독립형 인증 프로세스입니다. Magento의 결제 애플리케이션/브릿지는 PA DSS 인증을 받았습니다. 한편 Magento는 PA-DSS 규정 준수 애플리케이션/결제 브릿지를 제공하지만, Magento 플랫폼 외부에 있는 PCI 제어 수로 인해 PCI 규정을 자동으로 준수하지는 않습니다.

PCI 규정 준수 체크리스트 작성 및 QSA(Qualified Security Assessor) 권장 사항에 대한 자세한 내용은 Magento 팀에 문의하세요.

규정 준수 상태를 진단하는 방법

'패치 관리 보고서(Patch Management Reports)'는 규정 준수 상태를 진단하기 위한 툴로 e커머스 플랫폼이 PCI 규정을 준수하는 방법에 대한 정기적인 업데이트를 제공합니다. 보안 취약성에 대비하기 위해 하드웨어, 소프트웨어, 서버, 사용자 계정 또한 정기적으로 평가해야 합니다.

규정 준수 상태를 진단하는 또 다른 전략으로 ‘모의 침투 테스트’가 있습니다. 모의 침투 테스트는 내부 또는 외부에서 자체 시스템을 해킹하려고 시도하는 것으로, 취약점을 발견하고 시스템을 안전하게 유지하는 좋은 방법입니다.

8. 데이터 백업

침해 또는 시스템 충돌 시 복구할 수 있도록 모든 데이터를 정기적으로 백업합니다. 대부분의 보안 팁은 사이버 공격을 차단하는 것이 목적입니다. 하지만 다른 보안 방법이 실패할 경우를 대비하여 데이터 복구 계획을 세워야 합니다.

9. 보안 모범 사례 구축

보안과 관련된 모든 팁은 직원과 고객 모두가 실천으로 옮겨야만 가치가 있습니다. 강력한 암호를 만드는 방법, 다층 인증을 구현하는 방법 등 온라인 보안 방법에 대해 직원과 고객을 교육하세요.

고객 데이터를 보호하기 위해 e커머스 기업이 수행한 보안 조치는 사용자와 공유하는 것이 좋습니다. 보안 노력을 공개하여 투명성을 높이고 사용자의 실천을 독려하면, 온라인에서 현명하게 쇼핑하도록 도울 수 있습니다.

10. 적합한 호스팅 제공업체 선택

우수한 호스팅 제공업체는 다음을 통해 e커머스 보안 전략을 향상합니다.

1. 위협 모니터링
2. 업그레이드를 제공하여 지속적으로 보안 강화
3. 적시에 기술적인 문제 수정
4. 강력한 보안 기능 내장

Adobe Commerce 시작하기

많은 기업이 온라인 비즈니스로 전환함에 따라, 사이버 보안은 더욱 중요해졌습니다. 한 번의 데이터 유출로 고객 결제와 브랜드 이미지에 큰 타격을 입을 수 있습니다. e커머스 보안에 경계를 늦춰서는 안 됩니다.

먼저, 회사의 모든 직원이 모든 로그인에 강력한 암호를 사용하도록 하세요. 모든 로그인에 대한 암호를 제안하고 저장하는 암호 관리 툴을 이용하면 도움이 됩니다.

Adobe Commerce는 레벨 1 솔루션 제공업체로서 PCI 인증을 받았으며, PCI 인증 프로세스를 지원합니다. Adobe Commerce를 사용하여 보안 위험, 멀웨어, 무단 액세스에 대한 자동 업데이트를 제공하면 온라인 비즈니스를 안전하게 운영할 수 있습니다.

제품 둘러보기 또는 Adobe Commerce 개요 영상을 통해 Adobe Commerce로 얻을 수 있는 이점을 알아보세요.