온라인 쇼핑몰 보안 관련

쇼핑몰 보안

 

[질문]

온라인 쇼핑몰을 운영중에 있습니다.

회원수가 약 80만명이고, 일평균 방문자수는 약 4만명 수준의 중형 쇼핑몰을 운영중에 있습니다.

얼마전부터 외부로 피싱공격을 받고 있습니다. 화면내 네이버 로그인 페이지 노출됨

이전까지 보안에 대하여 크게 신경을쓰지 않았던 상황이라 이번 계기로 보안을 강화하고자 합니다.

방향은 보안전문 업체를 통한 아웃소싱의 형태를 가고자 하는데, 안정적인 보안수준을 유지하기 위하여 어느정도의 월비용을 집행해야 할까요? 또한 믿고 맡길수 있는 업체는 없을까요?

 

 

 

 

[답변]

 

안녕하세요. IT전문 컨설턴트 입니다.

보안전문업체를 통해서 보안에 대한 강화를 하는것은 기본중의 기본입니다. 

문제는 그 전단계에서 할수 있는 최선을 다 했느냐 하는 점입니다. 

​

집을 예를들어서 생각해 보겠습니다. 사설보안업체를 통해서 출동서비스나 24시간 모니터링 서비스를 진행한다고 100% 안전하다는 보장을 할수 있을까요?. 기본적으로 생각해 볼수가 있는 부분이 안전에 대한 여러가지 요소입니다. 물론 보안업체가 더 효율적인 방안이 있지만, 그 이전에 기초적인 안전에 대한 점검이 우선이 아닐까 합니다. 창문이 외부에서 쉽게 열리는데 현관문만 잘 단속한다고 해결이 될까요?... 정전이나 인터넷 장애시에 외부에서 침입이 시도 되면 어떻게 될까요?. 벽이 종이처럼 얇아서 쉽게 칩입할수 있다면 어떻게 될까요?.  이런 많은 경우의 수들을 보안업체가 점검할수 있는것은 아닙니다. 오히려 집을 지을때부터 내진설계를 비롯하여 안전한 구조를 만드는것이 중요합니다. 

​

모순이라는 한자에서 볼수 있듯이 해킹(공격)과 보안은 창과 방패의 문제입니다. 사이트가 커지고, 비즈니스가 본격적으로 전개될수록 다양한 이슈들이 발생할수 밖에 없습니다. 최근 대기업의 전산시스템이 해킹을 당해서 전체 기업의 업무가 몇일동안 마비된 케이스가 있습니다. 이 대기업이 보안서비스를 하지 않고 있었을까요?.. 해킹기술이나 공격기술은 나날이 진화되고 있으며, 보안기술 또한 마찬가지입니다. 아이러니 하게도 보안서비스에서 관제될수 있는 범위의 공격이 아니라 기초적인 웹로직상의 결함으로 인한 문제였습니다. 

​

개발자가 쇼핑몰을 개발할때, 오픈소스를 기반으로 하거나 독립형 소스를 기반으로 구축을 했다고 가정해 보겠습니다. 이 경우 누구나 소스 및 알고리즘에 쉽게 접근하고 분석할수 있기때문에 이를 기반으로한 공격을 할수 있습니다. 즉. 기초적인 공사가 부실한데 제대로 건물을 지을수 없는 상황이 되겠죠. 아무리 좋은 방화벽에 보안업체가 24시간 모니터링 하더라도 이 경우는 대책이 없습니다.  특히 쇼핑몰 및 웹사이트에서 사용하는 80포트의 경우에는 대부분의 경우의 수가 열려있고, 이를 정책방화벽이나 웹방화벽을 통해서 루틴을 제거하는 방법으로 차선책을 수립해 볼수 있습니다.  하지만, 이 방법이 안전하다는 장담은 그 누구도 못할것입니다.  시장에서 이런 유사한 패턴으로 인한 문제가 흔히 발생합니다. 오픈소스 기반의 사이트가 공격에 노출되면, 해당 계열이나 해당 버전의 소스를 기반으로한 사이트가 동시에 문제를 발생시키는 현상은 1년에도 수차례씩 나타나는 상황입니다. 특히 무료 OS와 무료DB, 오픈소스를 기반으로한 리눅스 계열의 PHP언어에서는 더욱더 치명적이겠죠. 

​

가장 단순하면 가장 강력했던 공격시도중 하나는 [or 1=1] 입니다.  로그인창에 ID와 비번을 입력하는 구조로 회원이나 관리자의 권한을 확인합니다. 가장 기본적인 로직이죠... 하지만, 이 로직은 위와 같은 쿼리를 외부에서 추가한다면 치명적인 공격수단이 될수 있습니다. 

​

admin이라는 DB Table 에서 AAA라는 회원의 BBB라는 비밀번호가 맞는지 아닌지를 채크한다고 가정했을때, 

select * from admin where id='AAA' and pw='BBB' 라는 기초적인 쿼리언어를 작성하게 됩니다. 

이때 위의 [or 1=1] 을 추가 한다면 어떻게 될까요?.

select * from admin where id='AAA' and pw='BBB'  or 1=1

어떤 값이 들어가더라도 1=1이라는 요소로 인해서 회원의 권한을 얻을수가 있게 됩니다. 

​

이 경우 보안업체가 할수 있는 일은 없습니다. 웹방화벽도 제어하기 쉬운일은 아니죠..  

정상적인 방법으로 로그인을 시도했고, 1=1이기 때문에 관리자 권한을 내어줄수가 있는거죠. 

이런 케이스만 보더라도 개발자의 기초적인 보안이 얼마나 중요한지를 알수 있습니다. 

​

개발자가 다양한 경험을 통해서 이런 케이스를 많이 알고 있다면, 개발 알고리즘에도 기본적으로 반영이 될것이며, 이런 다양한 케이스를 수년~수십년간 반복하면서 위험도를 줄일수 있을것입니다. 

DDOS나 몇가지 공격수단에 대해서는 보안업체가 최적화되어있는것은 맞습니다. 

​

경영적인 관점에서 고민해 본다면 조삼모사의 케이스를 이해하는것이 좋습니다. 

개발비용은 1회성 비용이지만, 보안이나 유지보수상에서 발생하는 비용은 지속적인 비용입니다. 

무료로 만든 쇼핑몰을 관리하기 위해서 2명의 인력을 투입해야 하는 상황과, 5000만원의 개발비용을 투입해서 만들었지만, 운영인력이 거의 필요없는 사이트를 비교해 본다면 이해가 되실듯 합니다. 전자의 경우 200만원 정도의 인건비만 책정을 하더라도 재경비를 포함하면 최소 1달에 500만원 가까운 손실이 발생합니다. 1년에 6천만원 3년에 1억 8000만원의 경비가 소요될것입니다. 후자의 경우는 추가적인 비용이 거의 들지 않겠죠. 

이 둘이 시장에서 경쟁한다면 누가 이길수 있을까요?.. 사업이 더 커지고, 운영경비가 더 늘어나고, 지속적인 매달 투입해야 되는 서비스가 느는 만큼 수익율을 현저하게 떨어질 것입니다. 후자에 해당하는 업체의 경우 수익이 전자에 해당하는 업체보다 낮더라도 더 많은 수익을 가져갈수 있는 구성이 됩니다.  보안 서비스 또한 거의 대부분 전자의 상황을 연출할 가능성이 높습니다. 최근 대부분의 스타트업이나 기술혁신기업들의 공통적인 요소를 분석해보면, 인력이 아니라 시스템이 대부분의 위험요소를 막아주며, 최소의 인력으로 최대의 효과를 올릴수 있는 구조가 대부분입니다.   

​

[IT컨설턴트의 생각]

모순에 답이 없듯이, 보안에 대해서는 정답이 없습니다. 

하지만, 소잃고 외양간 고치듯이.. 반복적으로 후처리를 중심으로하는 대응전략은 좋은 방안이 아닙니다. 

외양간을 튼튼하게 짓는것도 하나의 방법이지만, 보안업체를 통하는 방법은 외양간 출입문을 강화하는 방법입니다. 

소가 머물고 싶은 외양간을 짓는 방법도 좋은 방법이 될수 있습니다. 실수로 소가 외부로 나가더라도 외양간을 찾아오게 만들수는 없을까요? 아니면, 외양간을 지을때 처음부터 튼튼한 벽을 짓는 방법도 좋은 방안이 될수 있습니다. 

쇼핑몰과 같은 웹을 기반으로한 비즈니스에서는 불가결한 요소중 하나가 보안입니다.  하지만, 보안관련 컨설팅을 진행해보면, 거의 대부분 기초적인 문제를 해결하지 않고, 보안업체를 통해서만 해결해 보려는 시도가 많습니다. 이와 유사한 경우로 속도최적화나 DB튜닝에 대한 컨설팅을 진행했을때도 마찬가지 현상이 보이고 있습니다. 가장 중요한 것은 제대로된 개발방법론과, 개발알고리즘, 개발정책수립이 우선입니다. 작은 비즈니스 모델에는 거기에 맞는 전략이 대형 비즈니스 모델에는 또한 거기에 맞는 전략이 필수 입니다. 전문적인 컨설턴트를 통해서 다양한 시장경험을 반영하고, 비즈니스의 목적에 최적화된 시스템을 도입해 보실것을 추천드립니다.