2013.07.05

'해킹과 사기 방어 방법' 전자상거래 사이트를 위한 15가지 조언

Jennifer L. Schiff | CIO

요즘은 하루가 멀다 하고 전자상거래 웹사이트 상의 해킹 소식이나 고객 정보와 신용카드 등의 정보 유출 소식이 들려온다. 그렇다면 어떻게 전자상거래 웹사이트 해킹을 예방하고, 고객 정보 유출을 막을 수 있을까?

CIO 닷컴에서는 10여 명의 전자상거래 및 보안 전문가들과의 질답을 통해 그 해답을 찾았다. 다음은 전자상거래 웹사이트 해킹 및 침입 예방을 위해 이들이 내놓은 15가지 조언이다.

1. 안전한 전자상거래 플랫폼 선택이 첫 걸음이다.
"객체 지향형 프로그래밍 언어를 사용하는 전자상거래 플랫폼을 찾아라"라고 VoIP 서플라이의 소프트웨어 개발 매니저 숀 헤스는 강조했다.

헤스는 "과거 다양한 오픈 소스 전자상거래 플랫폼을 이용해 봤는데, 현재 사용 중인 플랫폼이 지금까지는 가장 안전해 보인다. 관리 패널(administration panel)은 우리 회사 내부 네트워크에서만 접근이 가능하며 공용 서버에서는 완전히 제거된 상태이기 때문에 해커가 절대 접근할 수 없다. 게다가, 회사 내부 윈도우 네트워크 상의 사용자를 알아 내는 2중 인증 방식을 사용한다"고 말했다.

2. 온라인 결재에 안전한 커넥션을 사용하라. 그리고 PCI 컴플라이언트(PCI compliant) 인증을 받아라.
"강력한 웹 SSL(Secure Sockets Layer) 인증과 데이터 보호 방식을 사용해야 한다"고 시만텍 전자상거래 신뢰 서비스 부서 기술 이사 릭 앤드류스는 전했다.

"지난 한 해 동안만 웹상 해커 공격이 30%나 증가한 상황에서, 소비자들이 무조건 전자상거래 안전성을 믿어주기를 바라는 것은 무리다. 따라서 SSL 인증서를 통해 비즈니스 ID를 인증하고 전송되는 데이터를 암호화 해야만 한다. 이로써 회사나 고객의 중요한 재정 정보 해킹을 예방할 수 있다"고 앤드류스는 말했다.

이어 이보다 더 좋은 방법은 "더 강력한 EV SSL(Extended Validation Secure Sockets Layer), URL 녹색바(green bar)와 SSL 보안 씰을 함께 사용함으로써 고객에게 웹사이트의 안전성을 보장하는 것"이라고 덧붙였다.

헤스도 이에 동의했다. 헤스는 "전자상거래에서 SSL 인증서는 필수다. 신용카드 거래를 승인하기 위해 거래 시점에 주소 확인 서비스를 제공하는 지불 결제 사업자를 사용하고 있다. 이렇게 하면 신용카드 업체의 주소와 온라인 상에 입력한 주소를 비교할 수 있기 때문에 물품 구매와 관련된 사기 행각도 잡아낼 수 있다"고 말했다.

3. 주요 정보를 오래 보관하지 마라.
"고객 정보를 불필요하게 많이 보관할 필요는 전혀 없다. 특히 신용카드 번호나 유효기간, 카드 보안 식별 코드(CVV2) 등은 더욱 그러하다"고 트러스트웨이브의 디지털 포렌직 및 사고 대응 이사 크리스 포그는 말했다.

포그는 이어 "사실 이런 정보를 보관하는 일은 PCI 기준에도 어긋나는 행위다"라고 지적했다. 따라서 데이터베이스에서 오래된 데이터를 지우고, 교환이나 환불 요청에 대비해 최소한의 데이터만 보관할 것이 낫다는 충고다.

포그는 "개인 정보 유출의 위험을 감수하느니 결제 시 약간의 불편을 겪는 편이 더 나을 것이다. 애초에 해킹할 여지를 주지 않는 게 최선"이라고 덧붙였다.

4. 주소 확인 시스템을 도입하라.
"신용카드 결제 시 주소 확인 시스템을 가능케 하고 CVV를 의무화 함으로써 온라인 사기 피해를 줄일 수 있다"고 언리시드 테크놀로지스(Unleashed Technologies)의 수석 개발자 콜린 오델은 전했다.

5. 강력한 비밀번호 설정을 의무화 하라.
고객 정보를 안전하게 보관하는 것은 일차적으로는 소매업자의 의무이지만, 비밀번호 최소 길이를 설정하거나 특수문자, 숫자 등을 의무적으로 비밀번호에 기입하도록 함으로써 고객 스스로 안전을 도모하게 하는 것도 한 방법이다.
 



2013.07.05

'해킹과 사기 방어 방법' 전자상거래 사이트를 위한 15가지 조언

Jennifer L. Schiff | CIO

요즘은 하루가 멀다 하고 전자상거래 웹사이트 상의 해킹 소식이나 고객 정보와 신용카드 등의 정보 유출 소식이 들려온다. 그렇다면 어떻게 전자상거래 웹사이트 해킹을 예방하고, 고객 정보 유출을 막을 수 있을까?

CIO 닷컴에서는 10여 명의 전자상거래 및 보안 전문가들과의 질답을 통해 그 해답을 찾았다. 다음은 전자상거래 웹사이트 해킹 및 침입 예방을 위해 이들이 내놓은 15가지 조언이다.

1. 안전한 전자상거래 플랫폼 선택이 첫 걸음이다.
"객체 지향형 프로그래밍 언어를 사용하는 전자상거래 플랫폼을 찾아라"라고 VoIP 서플라이의 소프트웨어 개발 매니저 숀 헤스는 강조했다.

헤스는 "과거 다양한 오픈 소스 전자상거래 플랫폼을 이용해 봤는데, 현재 사용 중인 플랫폼이 지금까지는 가장 안전해 보인다. 관리 패널(administration panel)은 우리 회사 내부 네트워크에서만 접근이 가능하며 공용 서버에서는 완전히 제거된 상태이기 때문에 해커가 절대 접근할 수 없다. 게다가, 회사 내부 윈도우 네트워크 상의 사용자를 알아 내는 2중 인증 방식을 사용한다"고 말했다.

2. 온라인 결재에 안전한 커넥션을 사용하라. 그리고 PCI 컴플라이언트(PCI compliant) 인증을 받아라.
"강력한 웹 SSL(Secure Sockets Layer) 인증과 데이터 보호 방식을 사용해야 한다"고 시만텍 전자상거래 신뢰 서비스 부서 기술 이사 릭 앤드류스는 전했다.

"지난 한 해 동안만 웹상 해커 공격이 30%나 증가한 상황에서, 소비자들이 무조건 전자상거래 안전성을 믿어주기를 바라는 것은 무리다. 따라서 SSL 인증서를 통해 비즈니스 ID를 인증하고 전송되는 데이터를 암호화 해야만 한다. 이로써 회사나 고객의 중요한 재정 정보 해킹을 예방할 수 있다"고 앤드류스는 말했다.

이어 이보다 더 좋은 방법은 "더 강력한 EV SSL(Extended Validation Secure Sockets Layer), URL 녹색바(green bar)와 SSL 보안 씰을 함께 사용함으로써 고객에게 웹사이트의 안전성을 보장하는 것"이라고 덧붙였다.

헤스도 이에 동의했다. 헤스는 "전자상거래에서 SSL 인증서는 필수다. 신용카드 거래를 승인하기 위해 거래 시점에 주소 확인 서비스를 제공하는 지불 결제 사업자를 사용하고 있다. 이렇게 하면 신용카드 업체의 주소와 온라인 상에 입력한 주소를 비교할 수 있기 때문에 물품 구매와 관련된 사기 행각도 잡아낼 수 있다"고 말했다.

3. 주요 정보를 오래 보관하지 마라.
"고객 정보를 불필요하게 많이 보관할 필요는 전혀 없다. 특히 신용카드 번호나 유효기간, 카드 보안 식별 코드(CVV2) 등은 더욱 그러하다"고 트러스트웨이브의 디지털 포렌직 및 사고 대응 이사 크리스 포그는 말했다.

포그는 이어 "사실 이런 정보를 보관하는 일은 PCI 기준에도 어긋나는 행위다"라고 지적했다. 따라서 데이터베이스에서 오래된 데이터를 지우고, 교환이나 환불 요청에 대비해 최소한의 데이터만 보관할 것이 낫다는 충고다.

포그는 "개인 정보 유출의 위험을 감수하느니 결제 시 약간의 불편을 겪는 편이 더 나을 것이다. 애초에 해킹할 여지를 주지 않는 게 최선"이라고 덧붙였다.

4. 주소 확인 시스템을 도입하라.
"신용카드 결제 시 주소 확인 시스템을 가능케 하고 CVV를 의무화 함으로써 온라인 사기 피해를 줄일 수 있다"고 언리시드 테크놀로지스(Unleashed Technologies)의 수석 개발자 콜린 오델은 전했다.

5. 강력한 비밀번호 설정을 의무화 하라.
고객 정보를 안전하게 보관하는 것은 일차적으로는 소매업자의 의무이지만, 비밀번호 최소 길이를 설정하거나 특수문자, 숫자 등을 의무적으로 비밀번호에 기입하도록 함으로써 고객 스스로 안전을 도모하게 하는 것도 한 방법이다.
 



X