온라인상의 이커머스 사이트 등을 활용한 쇼핑이 일상화되면서 개인정보 유출 등 사이버침해사고도 빈발하고 있다. 특히 결제계좌 해킹, 무분별한 고객정보 공유, 사이트 접속 마비 등은 개인은 물론 관련 기업에도 추가 피해를 불러온다는 점에서 더욱 우려되고 있다. 사이버침해는 일단 발생하면 피해 자체를 막을 수 없다는 점에서 선제적 정보보호 활동이 필요하다는 목소리가 높아지고 있다. 주요 이커머스 사이버침해 사례를 진단하고 예방책 등을 짚어본다.[편집자주] 

최근 경기 광명시에서 수십명의 KT 이용자들이 휴대폰 소액결제로 수십만원이 빠져나간 피해가 발생했다. 이와 관련 경찰은 해킹에 의한 범죄 가능성을 두고 수사에 착수한 상태다.  

SK텔레콤 해킹 사태를 계기로 KT와 LG유플러스로 갈아탔던 고객들은, 이 두 통신사에도 해킹 의혹이 제기되자 불안해하는 모양새다. 

잇따른 해킹 사고에 이커머스 업계는 개인정보 보호에 사활을 걸고 있다. 

5일 이커머스업계에 따르면, 미국 덴버 대학 우르바시 키시나니 교수의 연구 결과 미국 기반의 90개 이커머스 웹사이트 가운데 38.5%에 해당하는 사이트에서 △불필요하거나 불투명한 쿠키 사용 △다중인증(MFA) 부재 △보안 알림 프로토콜 미비 등의 다양한 위험요소가 나타났다. 특히 젊은 사용자가 자주 이용하는 플랫폼일수록 이같은 경향이 두드러지게 나타났다.

또 다른 연구 결과에 따르면, 글로벌 인기 이커머스 플랫폼 전체의 30%가 고객 동의 없이 고객 정보를 제3자에게 유출했다. 특히 페이스북과 같은 소셜미디어 계정으로 회원 로그인을 하는 경우, 상당한 데이터 공유 패턴이 관찰됐다.

그리스 리서치센터 Hellas(FORTH)는 "여러 이커머스 웹사이트에서 최소한의 사용자 상호작용만으로도 광범위한 개인정보 침해가 발생하고 있음을 밝혀냈다"며 "플랫폼 간의 데이터 공유 패턴이 상당한 정도로 이뤄지고 있었다"고 지적했다.

업계 관계자는 "이커머스 플랫폼 중에서 필요 이상으로 개인정보를 공유하거나 다층 인증 체계가 충분히 갖춰지지 않은 곳들은 보안 취약점이 발생할 수 있다"며 "특히 오픈마켓 구조에서는 개인정보 제3자 제공에 대해 판매자가 명시적인 동의를 받는 형태가 많이 이에 대한 주의도 필요하다"고 말했다.

◇네이버, 다크웹 정보 유출 의혹에 해명

국내의 경우 네이버의 온라인쇼핑몰 스마트스토어 판매자 정보가 다크웹에서 거래되고 있다는 의혹이 최근 제기됐다. 다크웹은 특정 방법이나 경로로만 접속할 수 있어서 사이버 범죄의 온상으로 불린다. 주로 해커들이 해킹으로 얻게 된 정보를 거래한다.

네이버는 지난 6월 스마트스토어 판매자 73만2323명의 성명, 생년월일, 상호명, 전화번호 등 개인정보가 올해 초 다크웹 매물로 등록돼 논란이 확산된 데에 대해 해명했다. 당시 네이버 측은 자체 점검결과 네이버 시스템 내 이용자 개인정보 데이터베이스(DB) 침해 정황 등 해킹 흔적은 전혀 없다고 밝혔다. 이에 해커들이 누구나 간단하게 열람할 수 있는 통신판매중개업자의 정보를 웹페이지에서 데이터 추출 크롤링 방식으로 긁어모아 다크웹에서 유통시킨 것으로 추정됐다.

네이버는 불법적인 데이터 수집을 막기 위해 판매자 정보를 확인할 때마다 자동입력방지(CAPTCHA) 기능을 도입하고, 판매자 정보가 포함된 인터넷 주소(URL)에 무작위 문자열을 삽입하는 등의 조치를 시행 중이다.

네이버 측은 "크롤링 탐지 강화와 정보 접근 제어 고도화 등을 지속 확대할 계획"이라며 "현재까지 피해 사례가 접수되지는 않았지만 개인정보보호위원회 및 한국인터넷진흥원(KISA)과 긴밀히 협조해 피해가 발생하지 않도록 만전을 기하겠다"고 강조했다.

◇제로트러스트 체제, 보안 모델 대안되나

잇따르는 개인정보 유출 등 사이버보안 사고에 대한 대비책으로 LG유플러스, 당근마켓 등 일부 업체들이 도입하고 있는 제로트러스트 체제를 눈여겨볼 만하다.

제로트러스트 체제는 "아무도 믿지 않는다"라는 원칙을 기반으로 한 보안 모델로, 네트워크 안에 들어왔다고 해서 자동으로 신뢰하지 않는다는 점이 기존 보안 체제와 차별된다.

시스템에 접근할 때마다 내·외부 사용자 모두에게 동일한 신원 확인, 권한 검증, 행위 모니터링 등 사이버 감시체계를 반복적으로 수행한다. 모든 접근 요청은 무조건 끊임없이 확인하는 것이다.

또한 사용자는 업무에 꼭 필요한 최소한의 권한만 부여받고, 비밀번호 외 OTP·지문·기기 인증 등 다중 인증 방식을 적용한다. 네트워크를 세분화해 해커가 한 구역을 뚫어도 다른 구역으로 쉽게 확산하지 못하게 막고, 로그인 이후에도 사용자의 행동을 감시해 의심스러운 정황이 포착되면 바로 차단한다. 

업계 관계자는 "다크웹에서의 개인정보 거래 시도 등은 특정 기업의 문제로 그치지 않고 이커머스 업계 전반의 보안 신뢰를 흔들 수 있는 사안"이라며 "고도화된 보안 기술을 적극 도입하고 다크웹 등 외부 유출 경로를 상시 모니터링해야 한다"고 강조했다.

김현정 기자 / 경제를 읽는 맑은 창 - 비즈니스플러스