온라인 거래 보안

마지막 업데이트: 2022년 1월 18일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기
안랩 세이프 트랜잭션은 온라인 거래시 발생할 수 있는 개인정보 유출, 금융정보 탈취 등 다양한 보안 위협에 통합 대응하는 통합 보안 솔루션이다. 안랩 세이프 트랜잭션은 키보드 보안 기능과 PC 방화벽 기능, 악성코드 탐지, 온라인 거래 보안 웹 서비스 보호, 해킹 방지 기능을 제공한다.

정보보호개론] 16. 전자상거래 보안

· 전자화폐 : 주로 소액 거래에 사용되며 익명성 , 보안성 , 휴대 가능성 , 분할성 , 양방향성 등의 특징을 가지며 , 전자화폐는 가치 저장형과 네트워크 형이 있다
( 가치 저장형 : 스마트 카드 , IC 카드 , 자기띠 카드 등의 물리적인 매체에 정보를 저장하여 구매자가 전용 단말기가 설치되어 있는 상점을 이용할 때 지불 수단으로써 사용 - Mondex 카드 )

○ SET(Secure Electronic Transaction)

• 신용카드 기반의 전자상거래 지불 시스템 요구사항

- 비밀성 : 카드 계정정보 , 거래금액 , 거래내역 등 비밀유지

- 인증 : 상점은 신용카드 확인 , 구매자는 상점이 회원사 ?

- 무결성 : 전송되는 주문 정보 및 지불정보의 무결성

- 암호 알고리즘 및 프로토콜 : 위 3 가지를 위한 보안서비스

- 상호 운용성 : 다양한 전자상거래 , 응용 프로그램간 운용성

- 수용성 : 다양한 신용카드 , 금융 기관 및 상점에서 사용

- Visa 와 Master Card 사가 공동으로 개발

- RSA 의 암호화 기술을 기반으로 지불 데이터와 구매정보를 보호하여 정보유출을 방지 , 이중서명을 통한 신용카드 정보가 판매자에게 비공개적으로 대금결제가 가능

- 고객 등록 프로토콜 : 신용카드 이용자가 신용카드 회사의 CA 를 통해 고객의 등록과 인증서의 생성이 이루어짐

- 상점 등록 프로토콜 : 상점이 CA 에 등록하여 거래를 위한 인증서 발급

- 구매 요구 프로토콜 : 구매 계약이 성사되는 시점까지의 인증서 전달과정

- 지불 허가 프로토콜 : 상점이 지불 게이트웨이를 통하여 고객의 신용카드 사용을 허가 받는 절차

- 지불 확인 프로토콜 : 구매 계약 성립 후 입금을 요구하는 절차

- 구매자 ( 카드 소지자 ): 카드 소지자의 지불 카드 계좌에 대한 정보를 판매자에게 공개하지 않음

- 신용카드 발급 기관 : 카드 소지자의 계좌를 개설하고 카드를 발급하고 거래 약관에 따라 승인된 거래에 대한 대금지불을 보증

- 판매자 : 지불된 금액에 대한 물건이나 서비스를 제공함

- 온라인 거래 보안 판매자 측 금융기관 : 판매자의 계좌를 개설하고 카드의 승인과 대금지불을 처리

- 지불 게이트웨이 : 판매자의 지불 메시지를 처리하는 장비로서 판매자 측 금융기관이나 지정된 제 3 자에 의해 운영됨

- 카드상표 : 카드회사는 특정한 상표 (Visa, Master) 를 가진 지불 카드로 금융기관을 연결하는 네트워크를 제공

- IBM 에서 개발한 인터넷 전자지불 프로토콜

- iKP 에서 i 는 공개키를 소유하고있는 당사자의 수를 나타냄

- iKP 에서 제안한 전체적인 프로토콜의 참여자는 4 부분

- 구매자 , 판매자 , CyberCash 사 사이에서 전자거래

- 구매자는 CyberCash 사가 무료로 제공하는 CyberCash Wallet 이라는 프로그램을 이용하여 CyberCash 사에 계정을 등록하고 이 프로그램에 자신의 신용카드 정보를 기록한 후 이용

- 판매자는 CyberCash 로 부터 판매자 자격을 인증 받고 인터넷의 WWW 사이트에 자신의 상품을 판매하는 상점을 구축한다

- CyberCash 는 구매자와 판매자를 서로에게 인증하며 구매자의 신용카드 정보를 불순한 의도로부터 보호하며 신용카드 회사에게 상품 대금을 인출하여 판매자에게 전달한다

- Millicent 프로토콜은 구매자 , 판매자 , 중개인이 스크립 (scrip) 이라는 전자화폐를 기반으로 하는 시스템

- 구매자는 미리 신용카드 또는 은행계좌를 중개인 ( 은행 , 신용카드사 , 인터넷 서비스 제공자 등 ) 에게 등록

- 스크립 : 금액을 포함하기 때문에 거래가 이루어질 때 지불 수단으로 사용됨 ( 중개인 스크립 , 판매자 스크립 )

- 구매자는 중개인에 등록된 신용카드 또는 은행계좌를 이용해 중개인 스크립을 먼저 구입

- 구매자가 상품 또는 정보를 구매할 경우 특정 판매자 스크립을 제시하면 판매자는 구매 가격만큼 스크립의 금액을 감소시켜 변경된 금액의 스크립을 재 발행하여 줌으로써 지불처리를 완료하고 상품 온라인 거래 보안 또는 정보를 제공한다

• 시스템 매커니즘 및 보안 메카니즘

- 스크립 : 금액 , 유효기간 , 판매자 정보 등이 기록되고 지불처리시 매번 재발행함으로써
제 3 자 ( 중개인 ) 와 연계없이 이중사용을 쉽게 발견 및 방지 가능

- 스크립 보안 메카니즘 : 스크립의 이중사용과 위조를 방지하기 위해 스트립 내에 인증서를 포함

- Request Signature : Millicent 프로토콜은 구매요구 , 구매된 정보와 잔액에 해당하는 스크립을
평문으로 전송 → 도청가능 단점

- 판매자는 먼저 스크립의 금액이 기록된 스크립 데이터 필드를 구성하고 스트립 인증서를 생성해서 스크립을 발행한다 ( 처음 발행할 때 Custom_Secret 도 함께 발행 )

- 인터넷상의 소액지불을 위한 프로토콜로서 자주 쓰이는 공개키 서명을 사용하는 대신 해쉬 함수를 사용하여 계산 비용을 줄임으로서 적은 금액의 거래에 적합하도록 설계 (off-line 제공 )

- 판매자는 각각의 PayWord 을 받고 그날의 마지막에 사용자에게 받은 모든 PayWord 체인을 결제한다

- PayWord 는 사용자의 공개키 서명에 의해 중요한 정보의 안전성을 제공하고 토큰 생성에 해쉬함수를 사용함으로써 많은 계산량을 감소시킴

전자 상거래 구매의 보안을 개선하기위한 5 가지 전략

온라인 상점이나 비즈니스가 반드시 기여해야하는 주요 요소 중 하나가 상업적 운영의 보안이라는 것은 의심의 여지가 없습니다. 이 요소 없이는이 전문적인 활동을 통해 얻을 수있는 것이 거의 없습니다. 오히려, 그것은 당신이 할 수있는 봉투입니다 사업을지지하다 또는 경쟁 업체와 차별화되는 요소가 있습니다.

이러한 일반적인 맥락에서 온라인 상점의 보안을 개선하는 데 시간과 돈을 투자 할 수밖에 없습니다. 지금부터이 전략을 수행 할 수 있도록 전자 상거래의 보안을 향상시키는 것이 주요 목표 인 일련의 매우 유용한 팁을 제공 할 것입니다.

한편으로는 인프라 개선 이미 가지고 있지만 다른 하나는 고객이나 사용자에게 더 큰 신뢰를주는 다른 새로운 시스템을 가져옵니다. 이러한 관점에서 무엇보다도 상거래 또는 디지털 스토어를 개괄 할 때 우선 순위를 정의하는 것이 좋습니다. 우리가 노출 할 이러한 보안 조치를 지원하는 요소이기 때문입니다.

구매 보안 : 보증서

SSL 인증서를 제공하는 것은 지금부터이 긴급한 작업을 수행하는 데 필요한 조치 이상이 될 것입니다. 온라인 상점의 보안을 보장하는 가장 효과적인 방법 중 하나는 다음을 사용하는 것임을 잊지 마십시오. SSL 인증서. 이 인증서를 사용하면 https 프로토콜을 사용하여 탐색 할 수 있습니다. 이는 보안 강화와 동일하며 무엇보다도 클라이언트 또는 사용자의 존재에 대해 더 많은 확신을 줄 것입니다.

전자 상거래에서 가져와야하는 또 다른 리소스는 사용자에게보다 안전한 결제 시스템을 제공하는 것입니다. 이러한 의미에서 그들은 이러한 사람들의 기대에 대해 큰 자신감을 가져야합니다. 그래서 그들은 통화 거래에서 성공에 대한 완전한 보증으로 구매를 공식화 할 수 있다는 완전한 확신을 갖습니다.

안전한 결제 방법

의심 할 여지없이 온라인 상점이나 상거래가 현재 제공해야하는 또 다른 요소입니다. 이 경우 가장 일반적인 결제 방법은 다음과 같습니다. 신용 카드 또는 직불 카드. 카드로 결제를 구현하려면 결제 게이트웨이를 사용할 수 있지만 무엇보다도 가장 안전한 옵션임을 보장해야합니다. 디지털 결제에서 이러한 수단을 사용하여 사기 또는 기타 수익성있는 활동이 없도록하는 것이 주요 목표입니다.

반면에 전자 지불이라고하는 것을 기부 할 수도 있습니다. 그러나이 경우 운영에서 최대한의 보안을 유지합니다. 특히 클라이언트 또는 사용자의 상당 부분이 디지털 결제에서이 도구를 사용해야한다는 의혹을 고려합니다. 따라서 보증은 더 크고 손끝에서 더 많은 수단으로 이루어져야합니다. 따라서 이러한 방식으로 특성과 출처에 관계없이 전자 상거래에서 구현할 수 있습니다.

그다지 중요하지 않은 것은 대안으로 알려진 다른 지불 시스템의 채택이며 상점이나 온라인 비즈니스가 가지고있는이 요소와 관련하여 귀하의 요구에 대한 솔루션이 될 수 있습니다. 이러한 관점에서 보면 그것이 매우 중요하다는 사실을 제시하는 것은 매우 관련이있는 것 같습니다. 여러 결제 방법 제안 각 고객에 대해. 따라서 이러한 방식으로 선호하는 결제 방식을 감지하고 상업적 운영에 사용할 수있는 결제 수단에 대한 제한없이 온라인 구매를 계속할 수 있습니다.

민감한 데이터를 저장하지 않고

온라인 상점과 비즈니스의 또 다른 의무이므로 이러한 방식으로 이러한 종류의 화폐 운영에 대해 더 많은 확신을 가질 수 있습니다. 통해 민감한 데이터 삭제 신용 카드 번호, 만료일 또는 CVV 코드와 같은

반품 및 환불에 필요한 데이터 만 저장할 수 있습니다. 모든 민감한 데이터를 저장하는 것은 좋지 않습니다. 해커가 정보를 훔쳐 이익을 위해 사용할 기회를주기 때문입니다. 고객과 사용자의 신뢰를 계속 유지할 수 있다는 사실이 이들에 달려 있기 때문에 이러한 요구 사항을 준수하는 것이 매우 중요합니다. 그들 없이는 당신이 당신의 제품이나 서비스의 상업화에서 덜 긍정적 인 기록을 가질 것이라는 데 의심의 여지가 없기 때문입니다.

3D Secure 사용 선택

비즈니스 보안에서이 특별한 시스템이 무엇이며 무엇으로 구성되어 있는지 궁금 할 것입니다. 글쎄, 그것은 본질적으로 온라인 쇼핑을 할 때 확인 단계를 추가 할 수있는 프로토콜입니다. 카드가 실제로 존재하지 않는 상태에서 신용 카드로 사기 결제를 방지하는 데 도움이되는 시스템이기도합니다.

일반적으로 이러한 유형의 통화 작업에서 가장 일반적인 신용 및 직불 카드에 적용되기 때문에 사용하기가 매우 쉽습니다. 또한 PIN을 도입하기 만하면 이동이 프로세스 전반에 걸쳐 완전히 안전하고 매장이나 온라인 상점에서 구매 비용을 지불하는 이러한 종류의 온라인 이동에 부작용을 추가하지 않고 그대로 유지됩니다.

최고의 안전 기준을 준수하십시오

마지막으로, 데이터 보안 표준에 포함 된 이러한 프로세스의 최대 보안 요구 사항에 대해 매우 엄격함을 잊을 수 없습니다. 가장 관련성이 높은 결제 수단, 특히 신용 카드 또는 직불 카드와 관련된 결제 수단의 보호를 강화하고 모든 온라인 상점이 현재 준수해야합니다. 고객이 재정적 비용없이 완전한 보증으로 구매를 수행 할 수 있도록 고객에게 더 큰 신뢰를 줄 것입니다. 외부에서 규제되는 과정입니다.

기사의 내용은 우리의 원칙을 준수합니다. 편집 윤리. 오류를보고하려면 여기에.

기사 전체 경로 : 전자 상거래 뉴스 » 전자 상거래 » 전자 상거래 구매의 보안을 개선하기위한 5 가지 전략

전자 상거래 보안의 필수 요소

이 페이지의 링크에서 서비스에 가입하면 Reeves and Sons Limited가 수수료를 받을 수 있습니다. 우리의 윤리 성명서.

웹에서 비즈니스를 시작하면 세 가지 특정 유형의 사람들이 있습니다.

• 당신에게서 사고 싶은 사람들
• 당신에게서 훔치고 싶은 사람들
• 당신에게서 사는 사람들로부터 훔치고 싶은 사람들

모든 웹 사이트 소유자가 직면하는 역설은 첫 번째 유형의 무기를 가진 사람을 환영하고 싶지만 다른 사람들은 종료하려고 할 것입니다. 전통적인 오프라인 상점에서는 일반적으로 문제가 발생하는 위치를 쉽게 감지 할 수 있습니다. 그러나 온라인 비즈니스는 중요한 직관을 모두 잃어버린다는 것을 의미합니다.

자신의 웹 사이트를 통해 온라인으로 판매하는 경우 보안은 항상 최우선 순위 여야합니다. 시행 착오로 온라인 보안을 수행 할 수없는 경우도 있습니다. 실수를 복구하는 것은 대기업에게는 어렵고 소기업에게는 사실상 불가능하기 때문에 처음부터 제대로해야합니다. 보안을 망쳐 놓고 보안에 대해 잘 알고 있다면 비즈니스와 명성을 처음부터 다시 구축해야합니다. 이 기사의 나머지 부분에서는 이러한 운명을 피하는 방법에 대한 몇 가지 지침을 제공합니다.

1. 실제로 필요한 것보다 더 많은 정보를 저장하지 마십시오

많은 웹 사이트는 고객이 가장 기본적인 구매를하기 전에 복잡한 양식을 작성해야합니다. 이러한 양식은 종종 판매와 관련이없는 모든 종류의 정보를 요청합니다. 이것은 일반적으로 불필요한 인구 통계를 얻으려는 마케팅 부서의 잘못입니다. CRM 정보. 문제는 사전 판매가 일반적으로 해당 종류의 데이터를 요청하는 올바른 장소가 아니라는 것입니다.

법적으로 귀하는 고객에 대해 저장 한 데이터를 보호 할 책임이 있습니다. 법적으로 저장이 허용되지 않는 특정 유형의 데이터도 있습니다 (예 : CVS 번호). 그럼에도 불구하고 많은 웹 사이트는 저장하지 않아야 할 정보를 저장합니다.

그렇게하지 않는 것이 훨씬 좋습니다. 사전 판매 단계에서는 정보를 너무 많이 요청하여 실제로 고객을 잃을 수 있습니다. 그들은 구매가 더 간단하고 그랜드 인퀴 지션에 직면하고 있다고 느끼지 않는 곳으로 갈 것입니다.

사람들은 온라인에서 공유하는 정보에 대해 더 많은 관심을 가지게되므로 신뢰를 구축하는 데 도움이되는 최소한의 정보를 수집하는 것이 항상 목표입니다. PayPal 또는 유사한 서비스를 사용하여 지불을 처리하는 경우 PayPal은 주문을 완료하는 데 필요한 모든 것을 제공하므로 고객으로부터 정보를 수집하지 않아도됩니다.

더 많은 정보를 저장할수록 누군가가 훔치고 악용 할 가능성이 더 높아집니다. 그들의 도난이 발견되어 당신에게 되돌아 가면 나중에 그로 인해 더 많은 문제가 발생할 것입니다.

2. 민감한 정보를 수집하는 경우 SSL이 필요합니다

이상적으로 모든 사이트는 기본적으로 SSL그러나 불행히도 SSL을 분류하는 것은 상당히 번거로운 일이며 잘못된 인터넷 회사도 있습니다 (사실 이름을 밝히지 않을 것입니다).

SSL은 누군가가 납치하거나 다른 사람을 가로채는 것을 더 어렵게 만드는(그러나 불가능하지는 않은) 암호화를 제공합니다wise 거래를 방해합니다. 또한 중계되는 정보를 어느 정도 보호합니다.

SSL의 가장 중요한 기능 (암호화보다 훨씬 중요)은 사이트를 확실하게 식별하는 것입니다. 이것조차 완벽하지는 않지만 아무것도 아닌 것보다 낫습니다.

3. 자신의 거래를 처리하고 있는지에 대한 의식적인 결정

사내에서 거래를 처리하면 각 거래에서 약간의 돈을 절약 할 수 있습니다. 소량의 온라인 거래 보안 고 부가가치 거래를하면 절감 효과가 클 수 있습니다. 예를 들어, PayPal은 최악의 경우 거래 가치의 4.5 % 이상을 청구합니다 (거래량이 많을수록 금액이 줄어 듭니다).

여전히 외부를 사용하면 많은 장점이 있습니다 지불 시스템 PayPal과 같은 스 크릴및 WorldPay. 가장 큰 장점은 더 이상 고객으로부터 재무 정보를 직접 수집하지 않고 정보를 전혀 수집하지 않는 것입니다. 이는 PCI 준수 및 소비자 데이터 보호에 대한 모든 책임이 귀하의 어깨가 아닌 지불 서비스의 어깨에 있다는 것을 의미합니다. 중소 기업의 경우 이것은 큰 부담을 덜어주고 잠재적 책임을 심각하게 줄이고 거래 흐름을 단순화합니다.

반면에 일부 상인들에게는 공포 이야기가 있습니다. 다른 사람들의 사업을 방해하는 주범은 PayPal입니다. PayPal은 돈세탁을 막기 위해 세상을 보호해야 할 의무를지고 있기 때문에 이상한 일이 발생한다는 사실을 조금이라도 암시하고 동결을 해제하는 것은 상당히 번거로울 수 있습니다.

PayPal 문제의 큰 부분은 연락하기가 어렵다는 것입니다. PayPal에만 국한되지 않는 또 다른 불쾌한 일은 온라인 거래 보안 지나치게 열성적인 손 잡기입니다. 여기서 너무 많은 손길을 요구하지 않습니다. 이는 PayPal이 인식하지 못하는 장치에서 계정에 로그인을 시도하거나 휴대폰 번호를 등록하는 어리석은 실수를 한 경우 다음 사이트로 이동하여 계정에서 자신을 잠글 수 있습니다 다른 국가 또는 전화 서비스 변경. 비즈니스가 점점 세계화되고 사람들이 국제적으로 훨씬 더 자주 여행하는 세상에서 이것은 용납 할 수 없습니다.

이 문제는 비즈니스가 의존하는 다른 것들에도 영향을 줄 수 있습니다. 페이스 북, Twitter, Yahoo, GMail 및 기타 여러 서비스를 사용하면 평소와 다른 지역을 여행 할 때 전화가 글로벌 로밍을 사용하지 않는 경우 큰 어려움을 겪을 수 있습니다. 모국 이외의 장소에서 익숙하지 않은 장치 (또는 익숙하지 않은 SIM 카드가있는 익숙한 장치)에서 로그인하면 실제로 문제가 발생할 수 있지만 이러한 서비스 중 어느 것도 현금 흐름을 직접 제어 할 수는 없습니다. 결제 서비스는 귀하를 차단하면 결과가 더 심각합니다.

다른 사람이 귀하를 대신하여 거래를 처리하게하는 가장 큰 이유는 무엇입니까? 고객은 양식을 올바르게 작성하지 않은 것으로 악명이 높습니다. 이로 인해 제품을 배송 할 수 없으면 고객에게 책임이 있습니다. 이로 인해 지불 거절과 같은 불쾌한 일이 발생할 수 있으며 시간이 지남에 따라 비즈니스 및 평판에 영향을 줄 수 있습니다. 모든 정보 수집을 제 XNUMX 자에게 양도하면 기술적으로 문제가 없습니다.

4. 제품을 배송하기 전에 모든 거래 세부 사항을 확인하십시오

일부 비즈니스의 경우 약간 복잡 할 수 있습니다. 예를 들어 eBook과 같은 디지털 제품을 판매하는 경우 고객은 일반적으로 제품을 거의 즉시받을 것으로 기대합니다. 실제 상품을 판매하는 경우 모든 것을 확인할 시간이 조금 더 있으므로 사용해야합니다.

수량, 가격 및 제품 설명이 일치해야하는 온라인 거래 보안 것과 일치하는지 확인하십시오. 또한 할인 또는 쿠폰 코드가 유효한지 확인하십시오.

보다시피 보안 유지에는 많은 노력이나 비용이 들지 않습니다. 기본적으로 대기업의 습관을 버리는 것을 의미합니다. 다시 말해:
• 고객을 감시하지 마십시오
• 엄격하게 필요하지 않은 정보를 수집하지 마십시오
• 수집 한 정보를 보호하십시오
• 가능하면 제 XNUMX 자 거래 처리를 사용하여 준수 책임을 위임합니다.
• 제품을 배송하기 전에 주문 검토

항상해야 할 또 하나는 환불 요청이 원래 거래 금액과 일치하는지 확인하는 것입니다. 사람들이 판매 가격으로 구매하고 정가로 환불하는 것으로 알려져 있으며 직원이 항상 알지 못합니다.

전자상거래의 위기? 문제는 웹애플리케이션 보안

웹애플리케이션 보안

1)인터넷 쇼핑몰 거래정보를 조작해 1만3천원을 44억원으로 뻥튀기해 가로챈 일당이 경찰에 붙잡혔다.
2)비트코인 거래소가 해커들의 공격으로 1억달러로 추정되는 금액에 해당하는 비트코인을 도난 당했다.

두 사건에 대한 언론의 분석은 단조롭다. 마치 전자상거래 자체의 문제 때문에 벌어진 사건인 것처럼 보도한다. 정말 전자상거래의 위기일까? 공개키기반구조, 디지털 서명, 디지털 봉투, 암호화 통신, 신용인증 등 전자상거래를 이루는 핵심 시스템들은 이론상 안전하다.

비트코인도 마찬가지. 그 자체로는 안전한 전자화폐다. 안전성을 조금이라도 의심한다면 지금 우리가 안락하게 누리고 있는 지식정보사회 유지에 결정적 조건인 정보통신기술의 밑바탕이 무너지는 셈이다. 사실이라면 이는 매우 심각한 위기일 것이다.

전자상거래를 구성하는 시스템들이 모두 안전하다면 왜 해킹 사고는 끊임없이 발생하는가? 위의 두 사건에는 공통점이 있다. 웹 해킹, 구체적으로는 웹 애플리케이션 해킹이라는 점이다.

■전자상거래의 허점 = 웹

전자상거래는 가상공간에서 벌어지는 일이지만 개인 온라인 거래 보안 신용을 바탕으로 상품과 재화 등 실제적 가치가 오가는 거래이므로 기밀성, 인증, 무결성, 부인방지 등 보안성을 완벽하게 갖춰야 한다. 하지만 애초에 정보의 공유와 개방을 목적으로 개발된 웹의 근본적 보안 취약성 때문에 거래내용이나 신용카드번호, 계좌번호, 비밀번호 등 개인 비밀정보가 유출될 위험성이 상존한다는 문제가 있다.

전자상거래는 어떻게 이뤄지는가? 우선 판매자와 소비자 그리고 인증국이 주체로서 참여자 삼각형을 이룬다. 거기에 TCP/IP 및 HTTP 등 웹 요소와 HTML 및 XML 등 문서 요소, 각종 네트워크 장비와 서버 컴퓨터, 그리고 판매자 기업의 데이터베이스와 웹 애플리케이션 등 기술적 요소가 결합되어 전체 전자상거래 체계가 구성된다.

웹 애플리케이션은 브라우저/엔진/데이터베이스 등 다층 구조로 이루어진다. 브라우저를 통해 입출력 정보를 전달받아 엔진의 동적 웹 콘텐츠 기술에 따르는 인터페이스를 통해 데이터베이스를 조작하는 응용 소프트웨어다.

전자상거래의 보안 취약성은 위 구성요소 중 주로 어디에서 발생할까? 1)과 2) 두 사건의 경우를 살펴보자.

1) 해당 쇼핑몰웹 애플리케이션이 주문 및 결제 데이터의 조작 여부에 대한 검증 기능이 취약한 점을 노려, 웹사이트와 통신하는 데이터를 중간에 변조하여 주문금액보다 결제금액이 적어지도록 조작하거나, 개발 단계에서 고려하지 않은 입력값(예를 들어, 음수값)을 넣어 결제금액을 조작하는 등의 수법을 사용했다.

2) 비트코인의 채광과 거래 과정은 암호화되어 있지만 주로 웹 상에 존재하는 비트코인 전자지갑은 암호화되어 있지 않다는 점을 악용해 비트코인 거래소 서버를 공격해 마비시킨 뒤 고객 전자지갑에서 비트코인을 훔치거나 거래소 DNS 서버를 장악해 정상적인 도메인 접속을 부정한 사이트로 연결한 후 로그인 세션을 통해 이동하는 메시지와 인증 쿠션 등의정보를 탈취함으로써 고객 계정을 해킹했다.

1)과 2) 모두, 웹 애플리케이션 해킹이다.

■네트워크/시스템/애플리케이션, 문제는 애플리케이션

모든 IT 시스템 구성은 네트워크/시스템/애플리케이션 3개 영역으로 나눌 수 온라인 거래 보안 있다. 최근 일어났던 온갖 보안 사고들은 대부분 애플리케이션 영역에서 발생했다. 보안은 쇠사슬과 같고 그 사슬은 가장 약한 고리만큼 약하다는 유명한 격언이 있다.

그 가장 약한 고리가 바로 애플리케이션이다. 하지만 대부분의 기업은 애플리케이션 보안을 가볍게 보고 등한시하는 경향이 있다. 애플리케이션 보안에 투자하는 노력과 비용은 네트워크 보안 투자의 10%도 채 되지 않는다. 가장 취약한 부분을 가장 덜 신경 쓰는 것이다.

혹자는 애플리케이션을 생산하는 개발자들이 안전한 코드를 만들기만 하면 저절로 해결되는 문제일 뿐이라고 말하기도 한다. 이론상 틀린 주장은 아니다. 그러나 현실적으로는 안전한 코드를 작성하는 개발자는 거의 찾아볼 수 없다.

그럴 수밖에 없는 까닭은 첫째, 보안의 창과 방패는 경쟁적으로 진화하는 법이라 시시각각 그 모습을 달리한다. 기업 시스템과 데이터 등 가치를 노리고 접근하는 모든 위협에 대해 개발자가 일일이 직접 대응하기란 사실상 불가능한 일이다.

위협수준이 높아짐에 따라 기술적 분업의 필요도 커져, 현재 정보보안 기술은 완전히 전문가의 영역에 속하게 되었다. 보안 관련 기술의 개발은 이제 각 기업에 속한 개발자들의 고유업무인 애플리케이션 개발과 함께 병행할 수 있는 수준의 일이 아니다.

둘째, 초인급 개발자가 있어 애플리케이션 자체의 기능성과 보안성을 모두 만족하는 완벽한 코드를 생산할 수 있다고 치더라도, 애플리케이션의 온라인 거래 보안 플랫폼 소프트웨어 등 전체 환경의 취약점은 어쩔 수 없다. 특히 소프트웨어 보안 관련 패치가 배포되기 전 빈틈을 노리는 제로데이 공격 등은 평소 제아무리 안전한 코드를 생산하려 애쓴다고 하더라도 피할 수 없는 불가항력이다.

셋째, 조직에 온라인 거래 보안 소속된 개발자는 한정된 기간 내에 임무를 완수해야 한다. 대개의 경우 주어진 기간은 그리 길지 않다. 그런데 업무 중 우선순위가 가장 높은 일은 보안성 확보가 아니라 애플리케이션 기능 구현과 로직 개발이다. 그러니 보안은 주어진 임무 중 상대적으로 중요도가 낮기 때문에 뒤로 밀려나고, 보안에 신경을 쓰고 싶어도 쓸 시간적 여유가 없는 상황이 대부분이다.

그러니 일선 개발자가 안전한 코드를 생산하게끔 교육함으로써 웹 공격을 막아내자는 주장은 사실상 지나치게 낙관적인 이상론으로 볼 수 있다. 보다 현실적이고 구체적인 다른 방법이 필요하다는 뜻이다.

■웹 애플리케이션 보안

기존 네트워크 방화벽과 IPS 및 IDS 등 네트워크 보안장비의 성능 및 효과는 충분히 믿을 만하다. 그런데도 웹이 만날 뻥뻥 뚫리는 까닭은 뭘까? 앞서 언급했듯, 기업 보안정책이 주로 네트워크 영역에 집중되어 있는데 최근 공격은 대부분 콘텐츠 레벨에서 일어나기 때문이다.

▲ 데티어의 패킷 분할과 네트워크 전송

어떤 데이터든 네트워크를 통해 공유하기 위해서는 기본 전송 단위인 ‘패킷’으로 분할해 전달한다. 패킷 앞부분에 할당된 패킷 헤더에 송신과 수신 주소와 해당 패킷을 어떻게 처리할지를 지시하는 조작 정보 등이 기록된다. 패킷이 네트워크를 통해 전달되어 수신자 컴퓨터에 도달하면 헤더에 기록된 정보에 따라 패킷들끼리 연결하고 합치하여 데이터로 복원된다.


▲ 네트워크/시스템/애플리케이션 등 IT 시스템 각 영역에서의 데이터 상태

방화벽과 IPS 및 IDS 등 네트워크 보안장비들은 네트워크 영역을 오가는 패킷 상태를 분석하여 위협을 탐지한다. 하지만 최근 문제시되고 있는 SQL 인젝션, XSS, 디렉토리 노출 등의 공격과 각종 데이터 위변조 그리고 부정 로그인 등 웹 보안 위협들은 콘텐츠, 즉 패킷이 웹 데이터로 해석되도록 모아야만 비로소 탐지 가능한 것들이 대부분이다.
게다가 이러한 콘텐츠를 웹 프로토콜 상의 묶음, 즉 웹 세션 단위로 분석해야만 정확한 검사가 가능하다. 이러한, 웹 세션을 포함하여 콘텐츠를 검사하는 기능은 기존 네트워크 보안장비만으로는 처리할 수 없는 부분이다.


▲ 지능형 웹 애플리케이션 방화벽의 룰 기반 탐지 체계

애플리케이션 계층의 콘텐츠 수준에서 위협을 탐지하는 웹 애플리케이션 보안이 중요한 시점이다. 웹사이트에 존재하는 취약점을 검색하는 웹 스캐너 등을 이용해 지속적 모니터링을 하고 동시에 웹 애플리케이션 방화벽 등의 도구로 방어해야 한다.

웹 애플리케이션 방화벽은 콘텐츠 레벨에서의 검사를 통해 공격을 탐지 및 차단하고 웹사이트 위변조를 방지하는 등,악의적 공격으로부터 웹사이트를 보호한다. 보다 진일보한지능형 웹방화벽은 공격을 분석하고, 공격별로 유형화된 룰을 도출, 모든 유형에 대응하는 룰 체계를 구성함으로써 기존에 알려진 공격뿐 아니라 아직 알려지지 않은 신종 공격까지도 탐지해 낸다.

그리고 만에 하나 침입을 막지 못해 데이터가 유출되는 경우를 대비해 암호화를 통해 탈취당한 데이터의 내용 노출만큼은 막아야 한다.

이 같은 조치만 취했더라도 위 1)과 2) 공격쯤은 가볍게 막아 낼 수 있었을 것이다. 다시 말해, 전자상거래 위기설은 사실이 아니다. 문제는 웹 애플리케이션 보안 위험이다. 그리고 그 위험은 미리 대비만 한다면 충분히 막을 수 있는 것들이다.

빗썸, 온라인 거래 보안 강화 ‘안랩 세이프 트랜잭션’ 도입


암호화폐(가상화폐) 거래소 빗썸이 보안업체 안랩의 통합보안 솔루션인 ‘안랩 세이프 트랜잭션’을 도입하고, 안드로이드 백신 앱인 ‘V3 모바일 플러스 2.0’도 2월 안에 구축을 완료할 계획이라고 22일 밝혔다.

빗썸은 보안 강화를 위해 ▲웹 해킹 차단 시스템 도입 ▲망 분리 ▲24시간 상시 사이버침해 모니터링 ▲보안컨설팅 ▲정보보호관리체계(ISMS) 인증 ▲일회용비밀번호(OTP) 추가인증 도입 ▲빗썸 홈페이지 접속 정보 확인 ▲고객 단말 해킹 차단을 위한 안랩 보안 솔루션 도입 등을 추진하고 있다.

이번에 빗썸이 도입한 안랩의 보안 온라인 거래 보안 솔루션은 제1금융권에서도 적용 중인 서비스다. 이번 보안 솔루션 구축으로 빗썸 회원은 모바일과 PC 모두에서 해킹 등으로부터 보다 안전하게 거래할 수 있게 됐으며, 거래소 서버 보안도 강화돼 보다 신뢰할 수 있는 환경을 구축했다고 설명했다.

안랩 세이프 트랜잭션은 온라인 거래시 발생할 수 있는 개인정보 유출, 금융정보 탈취 등 다양한 보안 위협에 통합 대응하는 통합 보안 솔루션이다. 안랩 세이프 트랜잭션은 키보드 보안 기능과 PC 방화벽 기능, 악성코드 탐지, 웹 서비스 보호, 해킹 방지 기능을 제공한다.

PC 부팅과 동시에 실행되는 비액티브엑스(Non-Active X) 방식의 보안 모듈로, 액티브엑스 관련 이슈도 없다.

이번 구축은 개인용 스마트폰이나 PC 뿐 아니라 서버까지 폭넓게 적용돼 회원과 거래소 모두 보안이 강화되게 됐다. 보안 솔루션이 설치되지 않은 PC에서는 서비스 이용이 제한된다.

앞으로 안드로이드 스마트폰용 백신 앱인 V3 모바일 플러스 2.0이 도입되면 악성코드는 물론 프라이버시 침해 걱정 없이 안심하고 암호화폐를 스마트폰으로 거래할 수 있다. V3 모바일 플러스 2.0은 빗썸 앱이 실행되면 자동으로 실행돼 상시 안전한 거래를 보장한다. 회원 스마트폰에 V3 모바일 플러스 2.0이 설치되지 않았더라도 빗썸 앱을 실행하면 자동으로 설치 페이지로 이동하게 된다.

한편, 빗썸은 ISMS를 5월 내 인증을 획득하기 위해 준비 중이다. 개인정보보호관리체계(PIMS), ISO27001 국제표준 등 정보보호 관련 인증 획득도 추진하고 있다.

빗썸 관계자는 “이번 보안 솔루션 구축으로 고객에게 보다 안전한 거래 환경을 제공하는 한편, 거래소 보안 수준도 크게 강화돼 빗썸의 신뢰도가 한층 높아질 것으로 전망된다”며 “빗썸은 거래소 운영에서 보안을 최우선 순위로 두고 있다. 고객의 소중한 자산 보호와 안전한 거래 환경을 제공하기 위해 앞으로도 지속적으로 보안 시스템을 강화할 예정”이라고 밝혔다.

글. 바이라인네트워크
[email protected]


0 개 댓글

답장을 남겨주세요