쉽게 이해하는 e커머스 보안
온라인 비즈니스의 성공은 e커머스 보안 전략에 있다고 해도 과언이 아닙니다. 보안 위협은 다양한 곳에서 비즈니스를 위협합니다. 사이버 보안 제품 리뷰 사이트인 DataProt 연구에 따르면, 전문 해커의 88%는 단 12시간 만에 기업에 침투할 수 있습니다. 기업의 데이터가 무단으로 이용될 위험이 곳곳에 도사리고 있는 만큼, 각종 보안 위협과 사고로 인해 기업의 이미지가 실추되거나 비즈니스가 중단되지 않도록 데이터를 강력하게 보호해야 합니다.
많은 e커머스 기업이 기본적인 보안 조치를 취하고 있습니다. 그러나 해커의 공격 수법은 끊임없이 진화하고 있습니다. 방심은 금물입니다. 적합한 솔루션을 갖추는 것만으로는 해결되지 않습니다.
온라인 스토어를 보호하기 위해 사용할 수 있는 방법을 파악하고 구현하는 것이 e커머스 기업이 데이터를 보호하는 핵심입니다. e커머스 보안에 대한 모든 것을 살펴봅니다.
e커머스 보안이란?
e커머스 보안은 안전한 온라인 거래를 위한 일련의 지침입니다. 오프라인 매장이 도난을 방지하기 위해 경비원이나 카메라에 투자하는 것처럼, 온라인 스토어도 사이버 공격을 방어하기 위해 노력해야 합니다. 보안회사인 Trustwave의 2020년 글로벌 보안 보고서 에 따르면, 리테일 업계는 사이버 공격의 가장 큰 표적이었습니다.
공격으로부터 기업을 보호하려면 먼저 e커머스 보안 프로토콜을 이해하는 데 필수적인 4가지 용어를 알아야 합니다.
개인 정보 보호
e커머스 보안 측면에서 개인 정보 보호는 내부 및 외부 위협이 고객 데이터에 무단으로 액세스하지 못하도록 하는 것을 의미합니다. 고객의 개인 정보가 침해되면 기업은 '기밀 유지'를 위반한 것이므로 고객의 개인 정보와 기업 이미지에 타격을 입을 수 있습니다. 개인 정보 보호 조치에는 백신 소프트웨어, 방화벽, 암호화 등이 포함됩니다.
무결성
무결성은 기업이 보유한 고객 데이터가 얼마나 정확한지를 나타냅니다. 완전하고 선별된 고객 데이터 세트를 유지 관리하는 것은 성공적인 e커머스 비즈니스 운영에 중요합니다. 전화번호, 주소, 구매 내역 등 고객 데이터를 잘못 사용하면 기업의 고객 데이터 보호 능력과 기업 전체에 대한 신뢰를 잃게 됩니다.
인증
인증은 기업이 고지한 대로 비즈니스를 수행하고 있음을 입증하고, 고객이 자신이 누구인지를 입증합니다. 사이트에는 홍보한 대로 상품을 판매하고, 기대하는 대로 상품을 제공한다는 최소한의 증명이 있어야 합니다. 웹 사이트 전반에서 고객의 긍정적인 피드백을 인용하고, 사례 연구를 게시하는 것은 비즈니스의 신뢰를 높이는 전략입니다.
한편, 고객은 온라인 거래를 하기 전에 자신의 신원을 밝혀야 합니다. 이를 위해 기업은 계정에 로그인하도록 2단계 인증을 요구하거나 매직 링크를 사용할 수 있습니다.
부인 방지
책임을 반박할 수 없다는 뜻의 부인 방지는 기업과 고객 모두, 자신들이 참여한 거래를 거부할 수 없음을 말합니다. 부인 방지는 오프라인 매장에서 다소 암묵적이며, 온라인 구매에도 적용됩니다. 디지털 서명과 같은 부인 방지 조치는 기업과 고객 모두 구매가 이루어진 후에 구매를 거부할 수 없도록 합니다.
일반적인 e커머스 보안 위협
온라인 비즈니스를 위협하는 사이버 공격은 매우 다양합니다. 위협의 양상과 이를 방지하는 방법을 아는 것이 중요합니다. 먼저, e커머스 보안 위협의 기본 유형을 알아야 합니다.
피싱
피싱은 이메일, 문자, 전화를 통해 암호, 주민등록번호 등 개인 정보를 제공하도록 피해자를 속이는 사이버 공격 수법입니다. 타깃이 자주 보는 것과 유사한 주소나 전화번호를 이용하여 긴급한 상황에 처해 있다는 내용의 피싱 메시지를 전송합니다. 또한 해커는 피해자가 알 수 있는 사이트를 모방한 페이지의 링크를 포함하는 등 신뢰할 수 있는 기업인 것처럼 보이도록 가장하기도 합니다.
피싱은 공격자가 요청하는 정보를 고객이 제공하는 경우에만 행해집니다. 고객에게 자사는 이메일이나 문자로 개인 정보를 절대로 요구하지 않는다는 것을 알린다면, 피싱 메시지로부터 고객의 경계심을 유발할 수 있습니다.
멀웨어와 랜섬웨어
멀웨어는 컴퓨터 시스템에 장애 문제를 일으키거나, 손상시키거나, 무단으로 액세스하도록 설계되었습니다. 예를 들어, 랜섬웨어는 피해자 파일을 암호화하고, 피해자가 파일을 열려면 공격자에게 비용을 지불할 수밖에 없도록 하는 일종의 멀웨어입니다.
멀웨어는 기업, 직원, 고객에게 큰 불편을 초래합니다. 비즈니스가 중단되고 중요한 시스템에 액세스하지 못할 수 있습니다. 멀웨어를 제거하려면 비용도 많이 듭니다.
백신 및 스파이웨어 방지 소프트웨어 설치, 지속적인 시스템 업데이트, 보안 인증 사용 등의 예방 조치를 통해 멀웨어 공격을 막을 수 있습니다.
SQL 주입
SQL(Structured Query Language) 서버 데이터베이스에 데이터를 저장하는 것이 일반적이지만, 결코 안전하지 않습니다. SQL 서버는 요청 또는 ‘쿼리’를 사용하여 애플리케이션에서 검색할 수 있는 일련의 테이블에 데이터를 저장합니다. 이 서버가 보호되지 않으면 공격자는 자체 쿼리를 쓰고 주입하여 SQL 데이터베이스의 정보를 보거나 변경할 수 있습니다.
SQL 주입을 방지하려면 개발자에게 보안 교육을 제공하고, 데이터 테이블에 편집된 모든 내용을 신뢰하지 않도록 하고, 최신 웹 개발 기술을 채택하는 것이 좋습니다.
XSS
XSS(Cross-site scripting)는 공격자가 웹 페이지에 악성 코드를 삽입할 때 발생합니다. XSS는 사이트 전체에 영향을 미치지 않지만, 해당 페이지의 고객을 피싱, 멀웨어 등 사이버 공격에 노출시킵니다.
웹 사이트의 코드 또는 API 통합에서 취약점을 정기적으로 검사하고 패치를 빠르게 적용하면 XSS 공격을 막을 수 있습니다.
무차별 대입 공격
무차별 대입 공격은 온라인 스토어의 관리자 콘솔을 표적으로 삼고 ‘무차별 대입’으로 암호를 알아내 사이트에 액세스하려는 시도입니다. 사이트에 연결되면 공격자는 스크립트라는 자동화된 프로그램을 실행하여 문자, 숫자, 기호를 조합해 보면서 암호를 찾으려고 합니다.
관리자 패널의 암호를 복잡하고 강력하게 생성하고 정기적으로 변경하여 e커머스 사이트를 보호할 수 있습니다. 고객도 이와 같은 방법으로 계정을 보호하도록 적극 요청하세요.
e스키밍
e스키밍은 e커머스 사이트의 결제 대행업체로부터 신용카드 정보와 개인 데이터를 도용하는 수법입니다. 해커는 결제 페이지에 액세스하고 고객이 실시간으로 입력할 때 결제 정보를 수집합니다. e스키밍은 XSS, 피싱, 무차별 대입 공격으로 인해 발생할 수 있습니다.
e스키밍을 방지하려면 정기적으로 웹 서버에 패치를 전달하고, 광고 서버 코드를 검토하고, 서드파티 API를 업데이트해야 합니다. 사이트가 이미 e스키밍 공격을 받았다면 가입한 사이버 보험이 손실을 보상하는지 확인하고, 장바구니 페이지를 닫아 소스를 조사하고 제거합니다.
스팸
스팸은 사용자가 악성 링크를 클릭하도록 유도하는 메시지입니다. 스패머는 주로 이메일을 사용하여 이러한 링크를 퍼뜨리지만 블로그, 소셜 미디어 게시물, 연락처 양식의 댓글에 악성 링크를 남길 수도 있습니다. 스팸은 웹 사이트의 보안에 영향을 미치고 브라우징 속도를 떨어뜨립니다.
원치 않는 댓글을 삭제하고 양식에 reCAPTCHA를 포함하면 스팸 공격을 막을 수 있습니다. reCAPTCHA를 사용하려면 스팸봇이 읽을 수 없는 약간 왜곡된 일련의 숫자와 문자를 입력해야 합니다.
남겨진 스팸 댓글을 삭제하고 근본 원인 분석을 수행하여 해당 댓글의 출처를 확인하면, 양식 응답 보고서를 깔끔하게 정리하고 해결책을 명확히 결정할 수 있습니다.
봇
봇은 가격과 재고를 조작하기 위해 웹 사이트를 스크랩하도록 설계되었습니다. 그런 다음, 해커는 사이트에 액세스하여 이 정보를 사용해 가격을 인상하거나 가장 인기 있는 재고를 장바구니에 추가합니다. 이렇게 하면 고객이 원하거나 필요한 품목을 구매할 수 없게 되므로, 매출이 감소하고 스토어는 부정적인 평가를 받거나 이미지가 실추될 수 있습니다.
봇 문제를 근절하려면, 사이트에 reCAPTCHA 툴을 포함하고, API 연결을 확인하고, 이전 브라우저 버전을 차단하는 것이 좋습니다. 이례적으로 높은 웹 트래픽, 기프트 카드 인증 실패, 로그인 시도 실패 등에 대한 알림을 설정할 수도 있습니다. 봇이 사이트에 액세스하려는 신호일 수 있기 때문입니다.
트로이 목마
트로이 목마는 유용한 프로그램으로 위장한 일종의 멀웨어입니다. 유익한 것 같이 보이기 때문에 팀원이나 고객이 컴퓨터에 트로이 목마를 다운로드할 수 있으며, 이때 멀웨어 코드가 활성화되고 공격자가 개인 정보를 도용할 수 있습니다.
강력한 백신 소프트웨어와 방화벽은 어느 정도 보호 기능을 제공합니다. 하지만 직원과 고객에게 이메일 첨부 파일에 주의하고 승인되지 않은 서드파티 다운로드를 피하도록 상기시켜야 합니다.
e커머스 보안 모범 사례
해커는 데이터 도용을 위한 새로운 전략을 끊임없이 모색하고 있습니다. 알려진 위협으로부터 보호하는 것 외에도, 다음과 같은 방법으로 e커머스의 보안 수준을 높여보세요.
1. 다층 보안을 사용합니다
다층 보안은 기술 시스템 전체에 보안 제어의 2차 또는 3차 계층을 추가하는 방식입니다. 한 계층이 손상되면, 공격자는 원하는 정보를 얻기 위해 다른 계층에 침투해야 합니다. 이처럼 공격자가 사이트에 침투하기 위해 뚫어야 하는 보안 계층, 즉 장애물을 많이 추가하면 그만큼 안전할 수 있습니다.
특히, 콘텐츠 전송 네트워크(CDN: Content Delivery Network)는 중요한 보안 계층입니다. 최고의 CDN은 머신 러닝을 사용하여 위협과 감염된 트래픽을 차단합니다. 또 다른 중요한 보안 계층으로는 기업 시스템에 로그인하는 직원과 계정에 로그인하는 고객을 위한 '다중 인증'이 있습니다. 정보를 입력할 때 문자, 이메일, 인증 앱을 통해 전송된 다른 코드를 입력하는 방식입니다.
2. SSL 인증서로 웹 사이트를 보호합니다
SSL(Secure Sockets Layer) 인증서는 웹 사이트의 ID를 검증하고 암호화된 연결 방식을 제공합니다. 신용카드 세부 정보와 e커머스 웹 사이트에서 발생하는 민감한 거래를 보호하고, 해커가 피싱 공격의 일부로 사이트를 사용하지 못하도록 방지합니다.
3. 방화벽을 사용합니다
방화벽 소프트웨어와 플러그인은 신뢰할 수 있는 트래픽을 허용하지만, e커머스 사이트에서 신뢰할 수 없는 연결을 차단합니다. 트래픽 흐름을 조정하면 이상치를 쉽게 감지하고 네트워크에 침입하기 전에 막을 수 있습니다. 따라서 방화벽은 XSS, 스팸, 악성 SQL 주입 등 사이버 위협으로부터 보호하는 데 특히 유용합니다.
4. 백신 및 멀웨어 방지 소프트웨어를 설치합니다
공격자는 도용된 신용카드 정보를 사용하여 주문을 하므로 스토어가 위조 행위에 노출될 위험이 있습니다. 백신 및 멀웨어 방지 소프트웨어는 고급 알고리즘을 사용하여 악의적인 거래에 플래그를 지정하고 위조 위험 점수를 제공하여 거래가 합법적인지 여부를 결정합니다. 사이트를 정기적으로 검사하면 멀웨어 공격을 크게 줄일 수 있습니다.
5. 직원을 교육합니다
모든 직원은 고객 정보를 보호하는 규정을 알아야 합니다. 암호 업데이트 시행, 민감한 정보에 대한 액세스 제한, 사이버 보안 및 개인 정보 보호에 대한 직원 교육은 사이버 공격으로 인한 기업의 책임을 최소화하기 위해 취할 수 있는 가장 기본적인 조치입니다. 직원이 퇴사하면 사이버 공격자에게 데이터를 판매하거나 사이버 범죄를 자행하지 못하도록 모든 시스템에 대한 이용 권한을 취소해야 합니다.
6. 고객을 교육합니다
보안이 허술하면 고객의 행동으로 위험이 초래됩니다. 고객은 여러 사이트에 동일한 암호를 사용하여 로그인하는 경우가 많습니다. 길고 복잡한 암호를 요구하고 고객에게 피싱 공격의 위험을 상기시키면 사이버 공격의 가능성이 낮아집니다.
e커머스 보안이 중요한 이유
시장조사기관인 Juniper Research의 연구에 따르면, 2023년에는 해커가 330억 개의 계정을 침해할 것으로 예상됩니다. 많은 사람들이 온라인 쇼핑을 하게 되면서 사이버 공격자는 취약한 보안 프로토콜과 네트워크 취약성을 이용하는 새로운 수법을 찾을 것입니다.
공격에 대응하는 가장 좋은 방법은 사이버 범죄를 사전에 예방하는 것입니다. 경계를 늦추지 않고 e커머스 보안 모범 사례를 준수하면 기업과 고객의 데이터를 보호할 수 있습니다. 고객은 기업이 자신을 보호하고 존중하고 브랜드 친화력을 강화하기 위해 취하는 추가 조치를 높이 평가할 것입니다.
e커머스 사이트를 보호하세요
고객과 기업을 위해 e커머스 보안에 신경 써야 합니다. 고객의 신용카드와 개인 정보를 보호하는 것은 신뢰할 수 있는 브랜드로서 좋은 평판을 얻고 유지하는 데 매우 중요합니다. 사이트를 안전하게 보호하면 약속한 대로 상품과 서비스를 제공할 수 있는 재정 및 운영 역량을 갖출 수 있습니다.
그러나 온라인 리테일이 지속적으로 성장하고 진화함에 따라 e커머스 보안 모범 사례를 따르는 것만으로는 부족할 수 있습니다. 일부 e커머스 툴에는 새로운 사이버 위협이 등장할 때 여기에 선제적으로 대응할 수 있는 보안 기능이 통합되어 있습니다.
Adobe Commerce는 e커머스 보안을 염두에 두고 설계되었습니다. 클라우드 기반의 헤드리스 아키텍처 모델을 사용하면 데이터를 안전하게 전송할 수 있으며, 기술 스택의 다른 필수 시스템과도 통합할 수 있습니다. 그리고 Adobe Commerce는 백엔드에서 지속적으로 취약성을 테스트하고, 서버 레벨에서 패치를 배포하고, 방화벽 구성을 관리하고, 사고 대응을 지원합니다.
개요영상에서 Adobe Commerce를 통해 사이버 공격으로부터 기업을 보호하는 방법을 자세히 알아보세요.