국내 100대 전자상거래 사이트 절반 이상이 개인정보를 처리하는 페이지에 암호화 통신을 제대로 적용하지 않아 고객정보 유출 위험에 노출됐다.
전자신문이 100대 전자상거래 사이트 암호화 통신(보안서버 도입) 현황을 조사한 결과 58곳이 암호화 통신을 제대로 적용하지 않고 운영했다.
암호화 통신 적용은 누구나 브라우저에서 확인할 수 있다. 암호화 통신은 전자상거래 등 웹사이트를 이용할 때 개인정보를 안전하게 전송하는 방법이다. SSL(Secure Socket Layer) 인증서를 웹 서버에 적용하면 개인 웹 브라우저와 기업 웹 서버 간에 암호화 통신이 이뤄진다. 웹 서버에 SSL 인증서를 적용하거나 암호화 응용프로그램(SW)을 설치해 암호화 통신을 한다. 해커가 중간에서 개인정보를 탈취하더라도 암호화돼 해독이 불가능하다.
전자상거래 사이트가 고객 개인정보를 보호하기 위해서는 △로그인 △ID·비밀번호 찾기 △회원가입 △주문내역 △회원정보 △포인트·예치금 △회원탈퇴 등 개인정보가 처리되는 모든 페이지에 암호화 통신을 적용해야 한다.
이번 조사는 로그인 없이도 암호화 통신 적용 여부가 확인 가능한 세 분야(로그인, ID·비밀번호 찾기, 회원가입)에서 이뤄졌다. 조사대상은 서울시 전자상거래센터가 매년 만족도를 평가하는 100곳을 표본으로 삼았다.
조사결과 100대 전자상거래 사이트 중 58곳은 세 분야 중 일부 또는 모두에 암호화 통신을 적용하지 않았다. `ID·비밀번호 찾기`나 `회원가입`에만 제한적으로 적용한 반쪽 암호화 통신 사례가 많다. 15곳은 3개 유형에 전혀 암호화 통신을 하지 않았다. 암호화 통신 미적용 사례는 `로그인 암호화` 17개, `ID·비밀번호 찾기` 22개, `회원가입` 19개 등이다.
100대 사이트 중 세 분야 모두에 암호화 통신이 적용된 곳은 절반에 못 미치는 41곳에 불과했다. 이 중에서 주소창 녹색 변화(그린바) 기능으로 쇼핑몰 방문 고객이 피싱이나 파밍으로부터의 안전함을 한눈에 확인하는 EV SSL 인증서를 적용한 사이트는 6곳 이었다.
사용자가 EV SSL 인증서가 설치된 웹 사이트를 접속하면 브라우저 주소창이 녹색으로 변한다. 진짜와 가짜 사이트(피싱 또는 파밍 사기 사이트)를 시각적으로 즉시 구별한다. 가장 높은 수준의 사용자 보호다. 인터넷뱅킹 사이트는 대부분 EV SSL 인증서를 적용했다.
최근 가짜 로그인 사이트가 증가해 고객 개인정보유출에 골머리를 앓고 있는 네이버는 `주소창 초록색 변화`를 안내하며 시각적으로 피싱과 파밍을 막는다.
SSL 분야 글로벌 기업 코모도 한국 관계자는 “인터넷뱅킹처럼 수십조원대 규모로 성장한 전자상거래 사이트도 고객이 안심하고 사용할 수 있도록 EV SSL을 적용해야 한다”고 말했다. 그는 “피싱과 파밍 예방과 관련해 △사이트 주소 △백신프로그램 최신상태 △출처불명 파일 삭제 등 고객에게 주의하라는 경고를 위주로 한다”면서 “고객이 녹색 주소창만 보고도 안전하게 개인정보가 보호된다는 것을 알도록 전자상거래 사이트가 앞장서 EV SSL 도입을 추진해야 한다”고 말했다.
각종 개인정보가 처리되는 전자상거래 사이트는 반드시 해당 페이지에 개인정보보호 조치를 해야 한다. 전자상거래 사이트는 `정보통신망 이용촉진 및 정보보호 등에 관한 법률`과 `개인정보의 기술·관리적 보호조치 기준`(방송통신위원회 고시)에 따라 개인정보와 인증정보를 송수신 할 때 안전한 보안서버 구축(웹서버에 SSL 인증서 설치 또는 암호화 응용프로그램 설치) 등의 조치를 통해 암호화해야 한다.
김인순 보안 전문기자 insoon@etnews.com
