Home > 전체기사 > 외신
[주말판] 중소기업의 웹사이트 보안을 위한 가이드 7
  |  입력 : 2020-02-08 12:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
전자상거래 기능 가지고 있거나 민감한 정보 처리하는 웹사이트는 보안 필수
중소기업에게 보안은 사치로 여겨지지만, 의외로 비싸지 않을 수 있어


[보안뉴스 문가용 기자] 중소기업들 중 웹사이트 보안을 사치로 여기는 곳이 상당히 많다. 이해가 가기도 한다. 중소기업 운영자와 근무자들은 다양한 역할을 수행해야 하기 때문에 분주할 수밖에 없고, IT 전문가와 보안 전문가를 따로따로 영입할 정도로 예산이 여유롭지 않다. 보안 하나만 잘 하는 전문가는 그러한 중소기업 분위기에 어울리지 않기도 한다.

[이미지 = iclickart]


그러나 마냥 손 놓고 지낼 수도 없는 것이 보안이다. 보안 업체 사이트록(SiteLock)의 제품 마케팅 전문가인 모니크 베센티(Monique Becenti)는 “먼저는 웹 호스팅 업체에 연락해 어떤 보안 기능을 제공하는지 알아보는 것부터 시작하라”고 권장한다. 그 다음으로는 보안 서비스 제공업체 두세 군데 찾아가 상담을 받아 보는 것이 좋다. 이 때 상담의 목적은 웹사이트 보안을 위한 모든 것을 알아내는 게 아니라 회사에 보안 전문 인력을 두거나 보안 전문 파트너사와 관계를 맺는 게 타당한 일인지 아닌지 가늠하는 것이다.

베센티는 “기초적인 웹사이트 보안 강화라면, 예산이 크게 휘청일 필요가 없다”고 조언하기도 한다. “기업에 있어 웹사이트가 어느 정도나 중요하고, 어떤 사업이 이뤄지며, 전자상거래 트래픽이 얼마나 되느냐에 따라 달라지긴 하지만, 1년에 1천 달러 정도로도 꽤나 강력하게 웹사이트를 보호할 수 있습니다.” 본지는 이번 주, 베센티 등 전문가들의 도움을 받아 웹사이트 보안 강화를 결심한 중소기업이 먼저 해야 할 일들을 일곱 가지로 정리해 보았다.

1. 현재의 사이버 보안 전략을 평가한다
중소기업들이 보안 강화를 위해 제일 먼저 해야 할 일은, 현재의 보안 전략과 수준을 정확히 평가하는 것이라고 베센티는 설명한다. “현재의 IT 인프라와 환경을 평가하고, 사이트 운영에 필요한 모든 프로그램과 플러그인을 하나하나 파악하는 겁니다. 워드프레스를 기반으로 하고 있는지, 줌라인지, 드루팔인지 짚는 것에서부터, 신용카드를 기반으로 한 전자상거래 위주인지, 민감한 의료 정보를 다루고 있는지까지 꼼꼼하게 다뤄야 합니다.”

베센티는 “공격자 입장에서 생각해보는 것도 도움이 된다”고 조언한다. 공격자였다면 어떤 피해를 가했을 것인지, 어떤 데이터를 탐낼 것인지 등을 거꾸로 연구해 보라는 것이다. “거기서부터 SSL 인증서나 서드파티 지불 시스템이 필요한지 아닌지가 결정됩니다. 즉, 예산을 아끼는 것이 이 단계에서부터 시작한다는 것입니다.”

2. SSL 인증서에 대해 물어보라
많은 중소기업들이 SSL 인증서만 설치하면 완전히 안전해진다고 생각한다. 하지만 SSL 인증서는 보안 강화라는 기나긴 여정의 시작 부분에 불과한 요소다. SSL 인증서는 사이트 방문자에서 사이트로 전송되는 데이터를 암호화 해준다.

“예를 들어 블로그 사이트를 운영한다고 했을 때, SSL 인증서는 사용자들이 다는 댓글을 암호화 한다는 것이죠. 하지만 댓글이 사이트에 등록되고서부터는 누구나 볼 수 있는 게 되어 버립니다. 등록 양식의 경우도 마찬가지입니다. SSL 인증서는 방문자가 기입하는 순간에는 데이터를 암호화 하지만, 데이터 자체가 도착해서까지 암호화 되어 있는 건 아닙니다. 즉 일부 요소에 불과하다는 겁니다.”

소프트웨어 업체 블루핀 페이먼트 시스템즈(Bluefin Payment Systems)의 창립자인 러스톤 마일즈(Ruston Miles)는 “데이터가 상업 사이트에 도달하기 전에 서드파티 업체를 통해 데이터를 암호화 하는 것도 나쁘지 않은 방법”이라고 제안한다. “그렇게 한다면 전송 중 데이터는 SSL이 책임지고, 데이터 자체는 서드파티가 암호화 하기 때문에 결국 완전 암호화 체제를 갖출 수 있게 됩니다. 민감한 의료 정보를 다루는 사업을 하는 웹사이트 운영자라면 이런 식의 추가 보호 장치를 고려하는 게 여러 모로 안전합니다.”

3. WAF와 IDS/IPS를 체크리스트에 추가한다
안전한 웹사이트들은 전부 두 가지 종류의 기술을 탑재하고 있다. 웹 애플리케이션 방화벽(Web Application Firewall, WAF)과 침투 탐지 시스템(Intrusion Detection System, IDS) 혹은 침투 방지 시스템(Intrusion Prevention System, IPS)이 바로 그것이다.

WAF는 악성 트래픽이 사이트로 오지 못하도록 막아 주는 역할을 한다. 또한 부하를 균등시켜 주는 장치(load balancer)로서의 기능도 발휘한다. 그러므로 사용자 입장에서는 사이트의 반응 속도가 항상 쾌적하게 유지되는 것처럼 보인다. 베센티는 “대부분의 WAF 상품들이 규칙 설정 기능을 가지고 있기 때문에 사용자 기업이 상황에 맞게 트래픽을 골라낼 수 있다”고 덧붙인다. “예를 들어 중국이나 러시아, 이란이나 북한에서 오는 트래픽을 막으라는 식으로 규칙을 설정하면, APT 공격을 어느 정도 방어할 수 있겠죠.”

IDS와 IPS는 차세대 방화벽에서 자주 보이는 기능으로, 웹사이트 트래픽의 모든 면을 검사한다. 그럼으로써 누군가 의도적으로 형태를 변형시키거나 망가트린 데이터를 찾아내는 것이다. 보안 업체 소닉월(SonicWall)의 제품 관리 부문 국장인 드미트리 아이라페토브(Dmitry Ayrapetov)는 “중소기업들이 반드시 이해해야 할 건, 해커들이 결국에 표적으로 삼는 건 프로그래머들의 실수와 간과”라고 강조한다. “그런 게 보이면 찌르고 보는 해커들도 굉장히 많습니다. IDS와 IPS는 그런 ‘그냥 해보는’ 시도들을 막는 데 좋습니다.”

4. 스캔과 패치에도 기술이 필요하다
베센티는 “중소기업일수록 웹사이트에서 멀웨어를 탐지해 제거하는 데에 자동 스캔 기술을 사용하는 것이 알맞다”고 말한다. 또한 “사이트 운영에 들어가는 모든 프로그램과 소프트웨어 역시 자동으로 패치되도록 하는 것이 좋다”고 설명하기도 한다. 중소기업 인력이 여러 가지 역할을 소화하는 게 보통이고, 그에 따라 패치나 스캔과 같은 일은 뒤로 밀려나기 십상이기 때문이다.

물론 스캔이나 패치를 자동으로 해주는 프로그램을 설치하는 건 꽤나 큰 초기 비용을 의미할 수 있다. 따라서 베센티는 “그런 기능을 대행해 주는 서드파티 업체와 연간 계약을 맺는 것이 나을 수 있다”고 말한다. “그러니 보안 파트너사를 물색할 때 스캔과 패치를 어떤 식으로 수행하는지 묻는 게 중요합니다. 그냥 관제만 하는 회사라면, 사용자가 스스로 뭘 할 수 있는 게 아닌 이상 큰 의미를 갖지 못합니다.”

5. 웹사이트에 대한 적절한 백업을 마련한다
베센티는 “보안 전략에 있어서 백업만큼 효과적이고 중요한 게 없는데, 많은 조직들이 이를 간과한다”고 지적한다. “특히 웹사이트에 전자상거래와 지불 기능이 있는 곳이라면, 웹사이트와 분리된 백업을 보유하고 있는 게 필수입니다. 당장 거래가 수십 개 진행되어야 하는데 웹사이트가 랜섬웨어에 걸린다면 어떻게 해야 할까요? 백업이 가장 빠르고 안전한 답입니다. 백업이 없는 상태라면 중소기업으로서 치명적인 타격을 입습니다.”

6. 돌아다닐 때는 VPN을 활용한다
경영진이나 IT 담당자가 출장을 가느라 잠시 자리를 비웠다고 해서 보안 업데이트가 미뤄지는 경우가 중소기업에서는 꽤나 자주 있다. “그래서 원격 지원 프로그램을 자주 활용하죠. 그런데 이 때 중요한 건 VPN을 사용하는 겁니다. 원격에서 VPN을 통해 사이트 관련 업무를 보세요. 특히 공항이나 커피샵 같은 곳에서 개방된 와이파이를 사용할 경우에는 VPN 사용이 필수적입니다. 금융 거래는 대단히 급한 경우가 아니라면 절대 공공 와이파이로는 하지 마시고요.”

7. 이중인증 지원 역시 필수다
아이라페토브는 “이중인증 옵션 역시 대단히 중요하지만 많이 간과되고 있는 기능”이라고 짚는다. “중소기업은 웹사이트 관리자 업무를 하는 데 있어서만큼은 반드시 이중인증을 도입해야 합니다. 다크웹에는 이미 도난당한 크리덴셜이 활발히 거래되고 있고, 그러므로 비밀번호만으로 뭔가를 보호할 수 있는 시대가 아닙니다. 이중인증이라고 해서 100% 완벽한 건 아니지만, 비밀번호만으로 관리자 페이지를 보호하는 것보다는 훨씬 안전합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)