[IT월드]전자상거래와 보안

　인터넷이라는 가상공간에서 일어나는 전자상거래에서 보안의 중요성은 아무리 강조해도 지나치지 않다.

　전자상거래는 인터넷에서 이뤄지는 ‘전자적인 거래’를 의미하는 ‘e커머스’ 중에서도 휴대폰을 통해 이뤄지는 전자거래를 ‘m커머스’, 양방향 케이블TV를 통해 이뤄지는 것을 ‘t커머스’로 각각 분류하고 있다.

　또 기업이 ‘전자상거래’를 처리하기 위해서는 고객정보를 처리하는 고객관계관리(CRM) 프로그램 외에 회사의 자원 현황을 파악할 수 있는 전사적자원관리(ERP), 제품을 공급하는 데 따른 일련의 작업과정을 ‘원스톱’으로 처리하는 공급망 등과 같은 복잡한 컴퓨터 시스템의 도움을 받아야 한다.

　전자상거래에는 이처럼 여러개 응용 프로그램(애플리케이션)들이 얽혀 복잡한 고리를 형성하고 있는데 이때 전자상거래 시스템의 보안 수준은 고리의 가장 약한 연결 부분에 달려 있다는 점을 명심할 필요가 있다.

　보안과 함께 개인정보(프라이버시) 보호도 결코 소홀히 할 수 없는 문제다. 사소한 개인정보 누출도 바로 기업 이미지를 훼손해 고객 불만족과 사업상의 손해를 유발할 수 있기 때문이다.

　인터넷 가상공간은 인위적으로 통제할 수도 없을 뿐만 아니라 정기적으로 출현하는 바이러스 등으로 안전을 보장할 수 없는 것이 현실이다. 이처럼 보안이 위협받는 상황에서 영업을 하고 있는 전자상거래 회사는 항상 잠재적인 위협에 대해 적극적으로 대응할 수 있는 체제를 갖춰야 한다. 이를 위해서는 다음과 같은 대책을 세워야 한다.

　1.먼저 전자상거래를 보증하는 ‘디지털 서명’ 및 ‘인증’을 도난당하지 않도록 대비하는 것이 중요하다. 디지털 서명과 인증은 각각 오프라인 계약에서 ‘인감도장’과 ‘공증’에 해당한다.

　2.이를 위해서는 무엇보다 공개키기반구조(PKI)를 갖춘 암호를 사용하는 것이 바람직하다. 또 디지털 서명도 로제타넷(http://www.rosettanet.org) 등과 같이 믿을 수 있는 기관의 프로토콜과 일치하는 것인지 사전에 확인하고 사용해야 한다.

　이 정도 보안시스템만 갖추면 외부에서 해커가 전자상거래 시스템에 침투했다고 해도 별로 문제될 것이 없다. 해커가 정상적인 사용자로서 인증을 받지 못해 허위로 제품을 구입할 수 없다.

　3.만약 해커가 시스템에 침투해 대표적인 인터넷 언어인 HTTP, 확장성표기언어(XML)·전자문서교환(EDI) 등으로 작성된 문서까지 복사해 사용한다면 문제는 심각해진다. 전자상거래 회사는 이를 미연에 방지하기 위해 네트워크를 분할하거나 보다 강력한 암호기술(예를 들면 SSL)을 채택하는 것이 바람직하다.

　4.마지막으로 전자상거래 처리에 이상 징후가 발견되면 바로 그 원인을 찾아 해결해야 한다. 문제의 원인은 다음 네가지가 대부분을 차지한다.

　△전자상거래 시스템 고장의 약 40%는 애플리케이션 오류나 소프트웨어 인프라 서브 시스템(예:방화벽·인증 서버·키 서버)이 원인이다.

　최근 인프라 서브 시스템의 종류와 숫자가 빠른 속도로 증가하고 있는데 반해 해킹 기법은 더욱 정교해 지고 있어 보안에 취약한 ‘아킬레스 건’은 점점 더 증가하고 있다.

　△전자상거래 환경에 익숙하지 못한 사람들의 실수도 의외로 큰 비중을 차지하고 있다. 여기에는 운영자가 자리를 비우거나 또는 직원이 허가 없이 시스템에 접근하거나 해커가 시스템에 무단 침투하는 경우 등이 포함된다.

　△기업 전자상거래 시스템 사용자와 사용자 인터페이스(예를 들면 휴대폰, PC, 팜)의 수는 점점 더 증가하고 있는 추세다. 사용자 프로필은 빠르게 바뀌고 있어 자주 갱신해 주어야 한다.

　△나머지 20%는 하드웨어(서버 및 네트워크), 운용 체제, 환경적 요인(보온, 냉각 및 전원 관리상의 오류)에 의한 시스템 고장 등을 들 수 있다.

　스티브 비팅거 가트너그룹 보안 분석가