개발
고객을 지키고, 홈페이지를 지키는 강력한 웹보안 방법 5가지
8분
2021.01.08.3.0K
01. 안전한 패스워드를 사용할 것을 권장한다.
안면인식이나 다중 인증 방식(MFA)과 같은 보다 강력한 기술들이 있기는 하지만, 대부분의 소프트웨어에서는 여전히 패스워드를 주된 인증 방식으로 사용하고 있습니다. 사람들은 수많은 서비스와 웹사이트에서 로그인을 해야 하기 때문에 여러 곳에서 똑같은 패스워드를 사용하기도 하는데요. 패스워드를 사용하는 방식이 가진 문제점은 이처럼 똑같이 사용되는 사용자 이름과 패스워드가 해커들에게 넘어갈 수 있다는 것입니다. 만약 그렇게 된다면 사용자의 정보가 다른 서비스에서도 악용되는 등 사기 행위로 퍼져나갈 수 있죠.
아카마이 테크놀로지(Akami Technologies)의 보안 전략 책임자인 패트릭 설리번(Patrick Sullivan)은 이렇게 설명합니다. "여러분의 전자상거래 웹사이트가 완벽하게 보안을 갖추고 있다고 하더라도 고객들은 보안에 아주 취약한 경로가 될 수 있습니다. 사람들은 일반적으로 보안에 대한 관념이 크지 않기 때문에 여러 사이트에서 똑같은 정보들을 사용하곤 합니다. 그렇기 때문에 어느 한 곳의 사이트에서만 정보가 유출되더라도 피해가 커질 수 있는 것입니다."
전자상거래 웹사이트 관리자들은 사용자와 고객들에게 패스워드를 반드시 복잡하게 설정하도록 하고, 인증 절차도 이중인증(2FA) 방식을 요구해야 합니다. 이렇게 함으로써 사용자들이 똑같은 사용자 정보를 사용하지 않게 할 수 있습니다. 회사의 인증 기술을 통합적으로 관리하고 싶다면, 아이덴티티 관리 시스템(IMS)을 찾아보세요. IMS는 다양한 서비스와 환경에서 사용자 인증 관리를 도와주는 시스템이기에 여러분에게 도움이 될 수 있습니다.
지금도 계속 패스워드 방식을 사용하고 있다면 숫자와 기호를 함께 사용해서 최소 자릿수 이상을 설정하도록 해야 합니다. 최소한 6자리, 가급적이면 8~10자리가 더 좋습니다. 또한 사용자들이 주기적으로 패스워드를 바꾸게 하는 것도 필수입니다.
02. HTTPS 프로토콜을 사용한다.
하이퍼텍스트 전송 프로토콜 보안(HTTPS)이란 인터넷에서 안전하게 통신을 주고받기 위한 온라인 프로토콜입니다. 전자상거래 웹사이트를 사기로부터 안전하게 보호할 수 있는 가장 쉬운 방법 중에 하나이기도 하죠. HTTPS를 사용하는 웹사이트들에 접속해서 브라우저의 주소창을 보시면 조그만 자물쇠 모양의 아이콘이 잠겨 있는 것이 보이실 겁니다. 이는 안전한 사이트로 인증을 받았다는 표시입니다. 즉, 해커들이 신용카드 데이터 등의 개인 정보를 얻기 위해서 만들어 놓은 가짜 웹사이트가 아니라, 진짜 사이트라서 믿을 수 있다는 것을 의미합니다.
HTTP를 사용하면 보안성뿐만 아니라 검색엔진에서의 노출에서도 좋은 영향을 끼칩니다. 구글에서는 안전한 HTTPS를 사용하는 웹사이트들을 더 높게 평가해서 검색 결과에 보여줍니다. 반대로 암호화되지 않은 웹사이트에는 '안전하지 않음(not secure)'이라는 표시를 통해 사용자들을 주의시키죠.
소비자 신용평가 회사인 엑스피리언(Experian)이 발표한 '2018년 글로벌 해킹 및 아이덴티티 보고서'에 따르면 온라인 소비자들 중에서 보안이 취약해 보이는 거래를 취소한 비율이 27%에 이른다고 합니다. 현재 미국 정부의 웹사이트에서는 HTTPS가 의무적으로 시행되고 있습니다. 즉, 전자상거래 웹사이트들에도 나중에 필수 조항이 되는 건 시간문제일 수 있죠. HTTPS 인증 없이 만들어진 기존의 웹사이트에서 나중에 이 기능을 추가하는 것은 어렵습니다. 따라서 전자상거래 웹사이트를 만들려고 계획하고 있다면 사전에 HTTPS 보안을 염두에 두고 솔루션을 설계하는 것이 좋습니다.
03. 안전한 전자상거래 플랫폼을 선택한다.
전자상거래 플랫폼을 선택할 때는 주로 온라인 스토어의 편리함, 다양한 디자인, 기능성 등을 중요하게 살펴보아야 하지만, 보안 기능 역시 최우선적으로 고려해야 합니다. 판매자와 구매자에게 암호화된 결제 시스템, SSL 인증서, 엄격한 인증 절차 등을 제공하는 검증된 전자상거래 솔루션을 찾아보세요.
앞서 나온 아카마이 테크놀로지의 보안 전략 책임자인 설리번은 이렇게 말했습니다. "좋은 소식이 있다면, 클라우드 기반의 보안 플랫폼이 등장하면서 중소기업들이 보다 더 쉽게 보안을 강화할 수 있게 되었다는 것입니다. 머신러닝과 클라우드 기반의 플랫폼이 마련해 놓은 엄선된 규칙들을 이용하면 많은 도움을 받을 수 있습니다. 클라우드 기반의 보안 서비스들 중에서도 특히 지능화된 기능이 있는 서비스들을 살펴보세요."
04. 민감한 사용자 정보는 저장하지 않는다.
무엇보다 중요한 것은 고객의 개인 정보와 프라이버시를 보호하는 것입니다. 애플과 구글 같은 거대 테크놀로지 기업들도 사용자의 데이터를 안전하게 지키기 위해서 굉장히 많은 노력을 하고 있습니다. 비즈니스를 하다 보면 커뮤니케이션을 강화하거나 제품에 대한 정보를 제공할 때, 혹은 반품을 쉽게 하기 위해서 고객들의 정보가 필요한 것이 사실입니다. 문제는 웹사이트에 대한 해킹이나 피싱과 같은 사이버 공격에서 주로 노리는 것이 바로 이 같은 사용자들의 데이터라는 것이죠.
첫 번째 원칙은 거래에 꼭 필요한 정보만을 수집하는 것입니다. 절대적으로 필요한 정보 이상의 데이터를 수집해서는 안 됩니다. 무리한 정보 수집은 고객들에게도 불편을 주고, 해킹이나 유출로 인한 큰 피해를 발생시킬 수 있습니다. 이 원칙이 특히 엄격히 지켜져야 하는 것은 바로 고객의 신용카드 정보입니다. 고객들의 신용카드 정보는 온라인 서버에 저장해서는 안 되며, 만약 그렇게 한다면 결제카드산업정보 보안 표준(PCI DSS)을 위반하는 것이 됩니다. PCI DSS는 결제카드 업계에서 고객의 데이터 보호를 강화하기 위해서 제정된 표준입니다.
부득이하게 온라인에 사용자의 정보를 저장해야 한다면 그것이 안전하게 보호될 수 있는지를 확실하게 확인하세요. 온라인 저장 공간이 사용자들의 정보를 안전하게 보관하기 위한 최상의 보안 조건들을 갖추고 있어야 합니다. 이를테면 접근성을 엄격히 통제하고, 정기적으로 감사를 실시한다거나 데이터 전체를 암호화하는 것과 같이 철저한 관리가 필요합니다.
05. 웹사이트를 모니터링한다.
전자상거래 호스팅 서비스들에서는 대부분 기본 패키지 안에 자체적인 모니터링 도구를 제공합니다. 그렇다고 웹사이트 모니터링을 전문적으로 제공하는 다른 서비스를 이용할 필요가 없다는 것은 아닙니다. 로직모니터(LogicMonitor)나 뉴렐릭(New Relic)과 같은 서비스들을 한 번 살펴보시는 것도 좋습니다. 이런 서비스들을 이용하면 웹사이트를 보다 '안정'적으로 운영할 수 있을 뿐만 아니라 보다 '안전'하게 운영할 수 있기 때문입니다.
모니터링 전문 서비스를 이용하면 해당 업체의 IT 및 보안 전문가들이 문제를 사전에 예방할 수 있도록 도움을 준다거나 문제 발생 시 원인을 추적해줄 수 있습니다. 따라서 여러분이 웹 보안에만 매달리지 않고, 비즈니스에만 집중할 수 있죠.
전자상거래에서의 웹 보안은 한 번 해놓고 끝나는 것이 아닙니다. 해킹과 공격 기법들은 날이 갈수록 진화하고 있으며, 그로 인한 피해를 예방하기 위해서 늘 경계심을 가지고 있어야 합니다. 전자상거래 사이트에서 고객들의 경험이 매끄럽게 이루어지면서 동시에 보안과 인증 기능을 강화하는 것은 모든 기업들이 겪는 어려움입니다.
하지만 고객들의 온라인 쇼핑 경험에서 가장 중요한 것은 보안이라는 것을 늘 명심한다면 고객들에게 안전하고 만족스러운 구매 경험을 제공할 수 있을 겁니다.
로그인하고 자유롭게 의견을 남겨주세요.
