데이터 유출과 해킹으로부터 중소 기업이 살아남는 법

사이버 보안과 데이터 유출 사고가 계속해서 화제가 되고 있다. 소규모 전자상거래 업체, 특히 오픈소스 플랫폼을 사용하는 경우 해킹과 데이터 유출 사고에 쉽게 노출된다. 소규모 전자상거래 업체가 사이트와 중요한 고객 데이터를 보호하려면 어떻게 해야 할까? 전자상거래 보안 전문가들의 10가지 제안을 소개한다.


이미지 : Getty Images Bank

1. 직원 교육 
카보나이트(Carbonite)의 최고 기술 전도사 노만 과당고는 "사이버 공격은 갈수록 교묘해진다. 일상적인 업무 요청과 구분하기 어려운 이메일, 링크, 첨부 파일을 통해 쉽게 직원들을 속인다"며, "한 번만 클릭하면 악성코드, 바이러스, 랜섬웨어가 시스템을 감염시키고 중요한 비즈니스 데이터가 위험에 노출된다"고 말했다.

과당고는 따라서 "사이버 공격으로부터 데이터를 보호하기 위한 첫 번째 단계는 직원을 교육시켜 사이버 범죄자들이 사용하는 최신 공격 방법을 인지시키는 것"이라며, "가장 좋은 방법 가운데 하나는 피싱 이메일이나 의심스러운 링크를 판단하는 직원의 역량을 테스트하기 위해 실제와 똑같은 시나리오를 만드는 것이다. 이렇게 하면 일반적으로 저지르는 실수가 무엇인지 파악하고 개선해야 할 영역을 파악할 수 있다"고 말했다.

CBIZ 리스크 앤 어드바이저리 서비스(CBIZ Risk & Advisory Services) 총괄 책임자이자 IT 리더인 크리스토퍼 로치는 "전문 업체를 통해 소셜 엔지니어링이나 시설 침투 테스트를 실시해볼 수도 있다. 이렇게 하면 외부자가 직원에게서 직접 고객 정보를 빼내는 경우를 차단하는 데 있어 회사의 보안 정책과 인식 프로그램이 실제 도움이 되는지 여부를 알 수 있다"고 말했다.

2. 호스팅 업체의 신뢰성 확인
이메일 및 웹 보안 전문 업체 앱리버(AppRiver)의 보안 연구 관리자 트로이 질은 "사이트 호스팅은 믿을 수 있는 업체에 맡겨야 한다. 보안을 진지하게 여기는지 확인하라. 예를 들어 암호화를 사용하는지 확인해야 한다"고 말했다.

3. 보안 전자상거래 플랫폼 사용
온라인스토어헬프닷컴(Onlinestorehelp.com) 대표 크리스토퍼 플레밍은 "호스팅되는 쇼핑 카트를 사용하라. 쇼피파이(Shopify), 빅커머스(Bigcommerce), 3d카트(3dcart)와 같은 대부분의 호스팅되는 카트는 PCI 준수 감사를 거쳤으며 대부분이 PCI-DSS 레벨 1을 준수한다. 또한 이들은 보안 취약점 패치 전담 직원을 두고 있으므로 기업은 가장 중요한 마케팅에 집중할 수 있다"고 말했다.

4. SSL 암호화 구현
PC 피트스톱(PC Pitstop)의 사이버 보안 부문 부사장 도디 글렌은 "웹사이트에서 실행되는 모든 거래를 SSL/HTTPS로 보호해야 한다. 전자상거래 플랫폼을 선택할 때는 플랫폼이 SSL을 통한 보안 거래를 지원하는지 확인해야 한다. 이를 통해 민감한 정보가 일반 텍스트로 전송될 위험 없이 안전하게 금융 거래를 실행할 수 있다"고 말했다.

비즈니스 브랜딩 컨설턴트인 닉 레플러는 "결제 게이트웨이뿐만 아니라 사이트 전체를 SSL 인증서로 보호해야 한다. 이렇게 하면 인터넷을 통해 이동하는 모든 사용자 데이터를(이메일 주소까지) 안전하게 보호할 수 있다. 또한 구글은 검색 순위를 결정할 때 이 부분을 앞으로 더 많이 반영할 것"이라고 말했다.

5. 전자상거래 사이트는 PCI DSS를 준수해야 한다
크리스토퍼 로치는 "결제 카드 데이터를 처리, 저장 또는 전송하는 모든 전자상거래 기업은 PCI DSS(결제 카드 산업 데이터 보안 표준)를 준수해야 한다. PCI DSS를 준수하면 단순히 하나의 카드만이 아니라 전체 결제 네트워크에 걸쳐 디지털 데이터 보안 침해를 차단할 수 있다. QSA 인증업체에 PCI DSS 표준 준수를 맡겨도 되지만 이런 업체의 테스트가 완전하고 정확한지 잘 살펴야 한다. 표준을 준수하지 못해 데이터 침해가 발생하는 경우 과태료와 벌금 처분을 받을 수 있다"고 말했다.

6. 웹 애플리케이션 방화벽(WAF) 활용
도디 글렌은 "전자상거래 기업은 WAF를 활용해 크로스 사이트 스크립팅(Cross Site Scripting), 서비스 거부(Denial of Service), 무차별 대입 공격(brute force attacks) 등 다양한 공격으로부터 사이트를 보호해야 한다"면서, "여러 업체가 저렴한 가격에 또는 무료로 WAF 보호를 제공한다. WAF 구성 역시 몇 분이면 된다"고 말했다.

7. 직원 비밀번호의 주기적인 변경
디지털 에이전시 아로요 랩스(Arroyo Labs) CEO 존 아로요는 "관리자에게 자주 암호를 바꿀 것을 지시해야 한다"며, "대부분의 해킹은 소셜 엔지니어링이나 취약한 비밀번호로 인해 발생한다. 강력한 비밀번호를 필수화하고 정기적으로 바꾸도록 해야 한다. 이는 아무런 비용 없이 안전을 지킬 수 있는 방법이다. 예를 들어 매그니토 엔터프라이즈(Magneto Enterprise)에는 비밀번호 수명 설정 기능이 있다. 수명을 90일 이하로 설정하라"고 조언했다.

스팀 청소기와 스팀 다리미를 판매하는 듀프레이(Dupray) IT 책임자 앤소니 줄리엔은 "대문자, 특수 문자, 숫자가 포함된 비밀번호를 사용하되, 같은 비밀번호를 반복 사용할 수 없도록 하는 것이 핵심"이라고 덧붙였다.

사이버 보안 업체 업가드(UpGuard)의 공동 창업자이자 공동 CEO인 마이크 복스는 "비밀번호를 저장하면 안 된다. 만들고 있는 애플리케이션에 사용자 계정이 꼭 필요하다면 가급적 비밀번호를 저장하지 말아야 한다. 구글, 페이스북, 트위터 등 믿을 수 있는 업체의 2단계 검증과 함께 오오스(OAuth)라는 인증 프로토콜을 사용하라"고 말했다.

8. 다중 요소 인증 사용
드림호스트(DreamHost) 브랜드 및 커뮤니티 담당 부사장 브렛 던스트는 "다중 요소 인증은 무차별 대입 봇넷 공격 및 이와 유사한 위협에 대한 보호 기능을 강화해 워드프레스(WordPress) 전자상거래 사이트에 부가적인 보안 계층을 더해준다"면서, "구현하기도 쉽다. 예를 들어 이 플러그인을 사용해 구글 인증자를 구현하면 사이트에 로그인하기 위해서는 모바일 기기를 통한 인증과 암호가 필요하게 된다"고 말했다.

9. 오픈소스 플랫폼에 대한 최신 보안 패치 항상 적용
비즈젠 캐나다(BizZen Canada) 공동 창업자이자 최고 콘텐츠 전략가 존 맥컬리는 "웹사이트의 1/4이 워드프레스 플랫폼으로 구축된다. 워드프레스는 오픈소스이므로 워드프레스 웹사이트의 경우 적절한 주의를 기울이지 않으면 보안 문제 위험에 노출된다. 이런 위험을 완화하기 위해 중소기업은 항상 사이트와 모든 플러그인을 최신 버전으로 업데이트해야 한다. 또한 사이트에 고품질 보안 플러그인을 설치하고, 최악의 경우를 대비해 전체 사이트를 오프사이트 클라우드 스토리지에 정기적으로, 자동으로 백업해야 한다"고 말했다.

디지털 상거래 컨설팅 업체 수모 헤비(SUMO Heavy) CEO 바트 므로츠는 "전자상거래 사이트가 매그니토와 같은 일반적인 오픈소스 플랫폼을 기반으로 구축된 경우 개발자가 매월 정기적으로 보안 패치 업데이트를 설치하도록 해야 한다"며, "웹사이트를 자동 운영 모드로 두고 문제가 발생하면 그때그때 사후에 처리하면 된다고 생각하기 쉽지만 새로운 취약점이 수시로 발생하는 지금과 같은 환경에서는 사전 예방적인 자세를 갖고 최신 보안 패치를 적용해 전자상거래 웹사이트의 보안을 확보해야 한다"고 말했다.

10. 정기적인 사이트 백업 
소프트웨어 개발 및 시스템 통합 업체인 인포테크(InfoTech)의 창업자이자 CEO 매티 콘은 "데이터를 두 곳에 백업하라. 하드 드라이브와 클라우드에 각각 데이터를 백업하면 하드 드라이브가 고장나거나 사무실 또는 시설에 화재나 홍수가 발생해도 클라우드의 데이터를 가져오면 된다. 또한 하드 드라이브와 클라우드에 정기적인 데이터 백업을 예약해서 비즈니스 정보를 안전하게 유지해야 한다"고 말했다. editor@itworld.co.kr

Read more: http://www.itworld.co.kr/news/99064?page=0,1#csidxa1ebb17a625ff15b007accae13bb9d7 
Copyright © LinkBack