NEWS‎ > ‎

e마켓플레이스 보안 여전히 '취약'

게시자: 한솔, 2013. 6. 26. 오전 1:33

2008. 03. 18


최근 발생한 옥션 해킹 사고로 보안 걱정이 커지고 있다. 이런 가운데 국내 주요 e마켓플레이스들의 보안도 허술한 것으로 드러나 대책 마련이 시급한 상황이다. 


사이트 보안을 위한 기본적인 보안 제품을 갖추지 않고 있을 뿐 아니라 보안 전담인력조차 없는 업체가 대부분인 것. 이에 따라 최근 급증하고 있는 웹 해킹 공세가 집중될 경우엔 무방비 상태로 당할 우려가 있다는 지적이 제기되고 있다. 

◆웹 애플리케이션 공격에 '무방비' 

국내 주요 인터넷 종합쇼핑몰업체들은 웹 애플리케이션 공격에 대한 대응이 취약한 것으로 나타났다. 이들은 침입탐지시스템(IPS)이나 방화벽 같은 기본 보안 솔루션을 갖추긴 했지만 웹 해킹 방어를 위한 솔루션 도입에는 소극적이라는 평가를 받고 있다. 

쇼핑몰업체인 A사는 IPS로 웹 애플리케이션 방화벽(웹방화벽) 역할을 대신하고 있다. 또 다른 쇼핑몰 회사인 B사의 경우 아예 웹 방화벽을 도입하지 않았다. C사 역시 웹 해킹에 대한 별도 솔루션을 도입하지 않은 상태다. 

해커가 네트워크 앞단에 침투, 직접적으로 공격해 올 경우엔 IDS와 방화벽 같은 기본적인 보안 솔루션으로도 감지할 수 있다. 하지만 이상 문자열을 이용해 웹 취약점을 공격하거나 정상적인 접근을 가장해 우회 침투를 시도할 경우엔 웹방화벽 같은 보안 시스템을 갖춰야 한다는 것이 전문가들의 주장이다. 

실제로 에이쓰리시큐리티가 최근 인터넷쇼핑몰들을 모의해킹을 해 본 결과 보안 상태가 심각한 것으로 드러났다고 밝혔다. 

에이쓰리시큐리티 컨설팅 전일성 이사는 "최근 해커들은 네트워크 앞단의 다양한 경로를 통해 침입을 시도, 보안 상태를 확인한 후 우회 공격을 시도한다"며 "웹 애플리케이션 취약점을 노린 공격이 늘고 있어 IPS와 방화벽 같은 최소한의 보안 솔루션 외에도 다양한 영역에서의 침투를 막을 수 있는 보안 시스템을 갖추는 것이 필요하다"고 말했다. 

인터파크 시스템운영팀 윤혜정 부장은 "웹서비스 앞단에 대량의 트래픽을 감당할 수 있고, 기존 보안 솔루션과 충돌을 일으키지 않는 성능의 웹방화벽 제품을 찾기 힘들다"며 "현재 검토중이지만 성능 문제가 먼저 해결돼야 한다"고 말했다. 

보안 전담 인력의 부재 문제도 심각하다. B사의 경우 보안 및 개인정보보호를 전담하는 인력이 없다. 현재 인프라를 단기간에 바꾸기 힘들다는 이유로 다른 회사 정보보호팀에 보안을 의존하고 있는 상태다. 

C사의 경우 상황은 더 심각하다. 엄청난 회원 수를 자랑하고 있는 이 회사는 보안 전담팀 없이 정보기획팀 1인이 전체 보안 영역을 담당하고 있다. A사의 경우도 보안전담팀이 없기는 마찬가지. 이 회사는 시스템운영팀 인력이 개인정보관리책임자(CPO)를 겸임하고 있다. 

◆IT보안성 심사·보안 의무 규정 강화해야 

인터넷을 통해 물건을 사고파는 e마켓플레이스는 회원의 기본 신상정보 외에도 금융결제 정보를 보유하고 있다. 따라서 해킹 사고에 노출됐을 경우 그 피해는 더욱 심각하다. 

정부는 지난 해 7월 전자거래의 안정성을 강화하기 위해 '전자금융거래법(이하 전금법)'을 시행, 전자지급결제대행(PG)업체와 오픈마켓 등의 보안시스템 강화에 나섰다. 해킹·피싱 등 사이버 범죄가 기승을 부리면서 사용자 보호를 위한 법·제도적인 마련이 시급했던 것. 

이에 따라 지난 해 말 오픈마켓 등은 보안을 강화하고 침입탐지시스템(IPS)·이중 방화벽 등을 설치했다. 하지만 웹방화벽 등 웹 취약점을 방어할 수 있는 솔루션 구비는 의무사항에 포함되지 않았다. 

또 오픈마켓이 아닌 종합 인터넷 쇼핑몰의 경우는 전자금융거래법 대상에서 제외, 오픈마켓보다 상대적으로 낮은 보안 수준을 유지해도 된다. 

이 같은 점을 이용, 보안 투자를 줄이기 위해 전자금융업자에서 탈퇴한 업체도 있다. 오픈마켓이 전자금융거래법에 적용될 경우 보안 투자를 강화해야 하기 때문이다. 

한국정보통신산업협회 조동군 선임연구원은 "전자금융거래법에 의해 보안 투자를 강화한 오픈마켓이라 하더라도 최근 고도화·다양화 되는 해킹 수법에 속수무책인 경우가 많다"며 "IT보안성 심사를 강화하고, 보안 의무 준수 사항을 현실에 맞게 상향 조정할 필요가 있다"고 말했다. 

또 인터넷쇼핑몰, 인터넷 포털사이트 등 개인정보를 취급하는 정보통신서비스제공자가 개인정보보호를 위해 준수해야 할 기술적·관리적 조치 기준을 높여야 한다고 덧붙였다. 

안철수연구소 김홍선 최고기술책임자(CTO)는 "개인정보보호를 위해서는 ▲보안 전담 인력 배치 ▲PC보안 ▲내부 사용자 정보 유출 방지 ▲데이터베이스(DB)·웹방화벽 보안솔루션 도입 등 일관적·체계적인 보안 로드맵을 수립해야 한다"며 "우선적으로 기업 정책 차원에서 전방위적인 보안 프로세스를 정립하고, 개인정보보호법 등을 통해 개인정보보호에 대한 사회적 인식을 전환하는 것이 시급하다"고 말했다. 

서소정기자 ssj6@inews24.com
Comments