해킹 위협으로부터 전자 상거래 비즈니스를 안전하게 유지하는 방법
게시 됨: 2017-10-31해킹의 위협에 대한 업계의 모든 이야기와 현재 Equifax가 현재까지 가장 큰 해킹 중 하나를 경험하고 있는 상황에서 한 발 물러서서 전자 상거래 비즈니스가 실제로 얼마나 안전하지 않을 수 있는지 깨달을 가치가 있습니다.
앞으로 시장은 더욱 정교해지고 정보를 안전하게 보호할 것이라고 알고 있는 기업에 더 많은 신뢰를 주기 시작할 것입니다.
전자 상거래 상점 소유자는 일반적으로 컴퓨터에 저장되는 대량의 민감한 정보에 액세스할 수 있으므로 비즈니스가 해킹될 위험이 있습니다. 소규모 운영이라고 해도 일상적으로 비즈니스에 가해지는 위협을 무시할 수 없습니다 .
당신이 소규모 기업이기 때문에 위협에 직면하지 않고 있다고 생각하는 것은 잘못된 접근 방식이며, 해커가 당신이 입증된 것을 무시하고 있다는 사실을 알아차리면 큰 문제에 빠질 수 있습니다. 보안 조치.
귀하의 비즈니스와 고객이 해커의 위협으로부터 안전할 뿐만 아니라 해커가 귀하의 보안을 허물기 전에 포기하도록 하고 싶다면 전자 상거래 비즈니스를 안전하게 보호할 수 있는 15가지 방법이 있습니다.
#1 - 안전한 전자 상거래 플랫폼을 사용하십시오.
이것은 상점의 보안에 영향을 미치는 가장 큰 요소입니다.
예를 들어 WooCommerce를 사용하는 경우 항상 최신 릴리스로 업데이트하고 WordPress를 최신 릴리스로 업데이트하고 사용 중인 모든 플러그인을 업데이트 상태로 유지해야 합니다.
Shopify와 같은 대부분의 주류 전자 상거래 플랫폼에는 고객의 데이터를 안전하게 보호하기 위한 보안 조치가 있습니다.
그러나 새로운 전자 상거래 플랫폼을 사용 중이거나 보안을 크게 강조하지 않는 플랫폼을 사용하는 경우 보안을 이해하고 높은 수준의 보안을 유지하는 방법을 이해하는 더 개발된 플랫폼으로 마이그레이션을 시작하고 싶을 것입니다. 보안.
오래된 소프트웨어는 보안 침해의 가장 큰 원인 중 하나이며 해커는 소프트웨어가 남긴 "발자국"을 활용하여 구식일 수 있는 저장소를 찾을 수 있습니다. 그런 다음 한 번에 하나씩 해당 매장을 타겟팅할 수 있습니다.
#2 - 결제가 안전한지 확인하십시오.
계산대 영역은 상점에서 가장 큰 목표 중 하나입니다.
일부 해커는 고객 정보가 저장되어 있는 데이터베이스를 가로채려고 시도하고 다른 해커는 해당 데이터가 결제 양식에 입력된 다음 처리 서버로 전송되는 동안 해당 데이터를 가로채려고 시도합니다.
이것은 주로 전자 상거래 상점을 호스팅하는 플랫폼에서 작동합니다.
그러나 암호화된 SSL 및 보안 체크아웃과 같은 보안 기능을 구현하여 해커가 전송되는 정보를 가로챌 수 없도록 할 수도 있습니다.
SSL 인증서는 고객이 입력한 정보가 전송되기 전에 암호화하므로 해커가 이를 가로챌 수 있더라도 수집한 정보로 아무 것도 할 수 없습니다.
#3 - 민감한 데이터를 저장하지 마십시오.
Equifax가 증거라면 해커는 민감한 정보를 저장한 다음 보안 프로토콜이 만료되도록 하는 회사와 기업에 의존하여 스스로 해당 정보에 액세스할 수 있는 구멍을 이용할 수 있습니다.
Equifax는 사람들의 민감한 정보를 수집하고 저장하는 사업을 하고 있어 사람들을 해커의 주요 표적으로 삼았습니다. 해커가 서버와 데이터베이스에 대한 액세스 권한을 얻으려고 시도한 것은 이번이 처음이 아닙니다. 아마 100번째는 아닐겁니다.
대부분의 경우 비즈니스를 효율적으로 운영하기 위해 고객의 이름, 이메일 주소, 집 주소, 전화번호, 로그인 및 비밀번호 이외의 정보를 저장할 필요가 없습니다.
해당 정보를 수집하고 저장하는 경우 해당 정보가 암호화된 안전한 데이터베이스에 저장되고 있는지 확인해야 합니다. 또한 고객이 이메일이나 은행 계좌와 같은 다른 민감한 계정에 사용하는 것과 동일한 비밀번호를 상점에 사용하지 않도록 해야 합니다.
#4 - CVV 검증 시스템을 사용합니다.
CVV 또는 신용 카드 확인 값은 고객이 카드 뒷면에서 CVV 번호를 읽기 위해 신용 카드를 물리적으로 소지하도록 요구함으로써 사기 거래의 수를 제한하는 데 도움이 됩니다.
이 전략이 상점에서 신용 카드 사기를 완전히 제거하는 데 도움이 되지는 않지만 가능성을 크게 줄일 수 있습니다.
많은 해커는 실제 카드를 가지고 있지 않기 때문에 적절한 CVV를 입력하여 거래를 진행할 수 없습니다. CVV 번호가 없으면 신용 카드 사기를 저지를 수 없습니다.
다시 말하지만, 이것이 모든 사기를 막지는 못하지만 상점에서 지불 거절 및 사기 청구가 발생할 가능성을 줄일 수 있습니다. 해커가 사기 구매에 사용하는 신용 카드에서 CVV를 얻을 수 있는 경우 계속 진행할 수 있습니다.
#5 - 강력한 암호가 필요합니다.
때로는 해커가 소프트웨어 결함, 키로거 또는 기타 소프트웨어 중심 수단으로 인해 보안을 해제할 필요조차 없습니다.
때로는 약한 비밀번호에 액세스하여 민감한 정보가 저장된 데이터베이스를 인수하는 데 필요한 모든 것입니다.
그렇기 때문에 고객과 직원 모두에게 안전한 암호를 사용하도록 요구해야 합니다. 직원이 민감한 정보를 저장하는 영역에 액세스할 수 있는 경우 특히 그렇습니다.
고객이 이메일 계정이나 은행 계좌에 사용하는 것과 동일한 비밀번호를 스토어 로그인에 사용하지 않도록 하는 것 외에도 안전한 비밀번호를 사용하도록 요구해야 합니다.
진정한 보안 암호는 대문자와 소문자, 숫자 및 기호가 혼합된 것입니다. 이들은 "무차별 대입" 공격이 거의 불가능하며 추측할 수도 없습니다.
#6 - 의심스러운 활동을 모니터링합니다.
상점이 해커의 표적이 되고 있다면 그들이 제공하는 정보를 사용하여 상점이 안전한지 확인할 수 있습니다.
해커보다 앞서 나가도록 하는 가장 좋은 방법은 그들이 지금 무엇을 하고 있는지 파악하고 상점의 해당 부분이 안전하게 보호되었는지 확인하기 위해 적극적으로 노력하는 것입니다.
그러나 해커를 따라잡으려면 최신 해킹 및 익스플로잇에 대한 대부분의 대화가 발생하는 "인터넷의 어두운 하부"에서 위치를 확보해야 할 수 있습니다.
또는 상점에서 의심스러운 활동 모니터링을 시작할 수 있습니다.
해커가 매장의 한 부분을 공격하기 위해 에너지를 쏟아 부었다면 전자 상거래 매장의 해당 부분에 집중하는 해킹이나 익스플로잇이 있다고 안전하게 가정할 수 있습니다. 예를 들어, 그들이 당신의 로그인 화면을 공격하고 있다면 로그인 화면이 안전한지 확인해야 할 때라는 것을 알고 있습니다.
그러나 이러한 수준의 인식을 얻으려면 매장에 어떤 일이 일어나고 있는지 적극적으로 모니터링한 다음 해당 영역에서 보안을 강화하기 위해 무엇을 해야 하는지 이해해야 합니다.
#7 - 계층화된 보안을 사용합니다.
계층화된 보안이란 해커가 저장하는 경우 민감한 정보에 실제로 액세스할 수 있기 전에 통과해야 하는 여러 계층을 갖는 것을 말합니다.
보안을 강화하려면 먼저 방화벽이 설치되어 있고 SSL 인증서를 사용하여 서버를 통해 이루어지는 트랜잭션을 암호화하고 있는지 확인해야 합니다.
그런 다음 사용 중인 응용 프로그램을 기반으로 저장소에 다른 계층을 추가할 수 있습니다. 예를 들어, 연락처 양식, 로그인 양식 및 검색 쿼리를 보호하고 해당 정보를 고객 정보와 분리하면 SQL 공격이 무의미해질 수 있습니다.
SQL 공격은 해커가 액세스할 수 있도록 데이터베이스에 정보를 주입합니다. 고객 정보를 매장 프론트 엔드의 양식에서 수집한 정보와 동일한 데이터베이스에 저장하는 경우 보안 위험이 발생할 수 있습니다. .
#8 - 직원이 있으면 교육하십시오.
직원은 보안의 가장 취약한 부분 중 하나일 수 있습니다. 긴장을 풀고 실제로 직무 설명에 없는 비즈니스 부분에 대해서는 생각하지 않는 것이 인간의 본성입니다.
이 경우 보안은 무시해야 할 첫 번째 측면 중 하나이며 직원은 다른 사람이 처리했다고 가정합니다.
예를 들어, 직원이 채팅 세션 중 또는 이메일 로그에서 고객으로부터 민감한 정보를 수집하고 채팅 세션이 종료되면 해당 정보로 아무 작업도 하지 않을 수 있습니다.
직원이 보안 정책에 구멍을 일으키지 않도록 하고 잠재적으로 고객 정보를 위험에 빠뜨리지 않도록 직원이 잘 훈련되었는지(그리고 교육이 최신 상태인지) 확인해야 합니다.
문서화된 정책과 문서가 마련되어 있어야 하며 직원은 법률과 민감한 정보 취급에 적용되는 법을 알고 있어야 합니다.
#9 - 고객에게 추적 번호를 제공하십시오.
전자 상거래 보안은 해커가 고객 정보에 접근하지 못하도록 하는 데에만 초점을 맞춰서는 안 됩니다.
또한 해커가 도난당한 신용 카드를 사용하여 상점에서 주문하지 못하도록 하고 고객이 실제로 구매한 구매에 대해 사기 구매를 제출할 수 없도록 해야 합니다.
지불 거절 및 사기 청구는 예상보다 훨씬 더 자주 발생합니다. 다수의 해커가 대부분의 책임을 지고 있지만 일부는 구매한 제품에 대해 더 이상 비용을 지불하고 싶지 않다고 결정한 고객으로부터 왔습니다.
제품을 계속 소유하는 동안 은행이나 금융 기관에 지불 거절을 제출하거나 계정에 사기 행위가 있었다고 주장하여 가방을 들고 있게 됩니다.
이 문제를 해결하려면 주문 및 배송 세부 정보에 추적 번호를 사용하고 있는지 확인하십시오. 또한 IP 주소, 주문한 위치 및 청구가 합법적인지 확인하는 데 사용할 수 있는 기타 정보를 추적하고 있는지 확인하고 싶습니다.
#10 - 상점과 호스트를 자주 모니터링하십시오.
주류 전자 상거래 플랫폼을 사용하고 있더라도 보안이 잘 되어 있다고 가정하고 항상 편히 앉아 있을 수는 없습니다.
이렇게 하려면 실시간 분석이 필요하므로 트래픽의 출처와 해당 트래픽이 대역폭에 미치는 영향을 파악할 수 있습니다.
한 곳에서 많은 양의 트래픽이 발생한다는 사실을 알게 되면 해커라고 안전하게 가정할 수 있습니다. Clicky 및 Woopra와 같은 도구는 사용자가 상점과 상호 작용하는 방식을 기반으로 의심스러운 활동을 감지할 때마다 알림을 보낼 수 있습니다.
또한 전자 상거래 상점을 호스팅하는 사람이 활동을 모니터링하고 있는지도 확인해야 합니다. 의심스러운 활동이 있거나 트로이 목마 및 맬웨어가 설치된 것을 발견하면 사용자 개입 없이 위협을 제거하는 데 필요한 조치를 취해야 합니다.
#11 - PCI 스캔을 수행합니다.
3-4개월마다 상점과 서버에서 PCI 스캔을 수행하면 상점이 해커에 취약해질 가능성을 줄일 수 있습니다. PCI 스캔은 해킹 업계에서 앞서 나가지 않고도 현재 취약한 영역을 파악하는 데 도움이 됩니다.
Prestashop, Drupal 또는 Magento와 같은 소프트웨어를 사용하여 매장을 직접 호스팅하는 경우 특히 그렇습니다. 이러한 플랫폼은 사용자가 스스로 보안을 관리해야 하지만 일반적으로 새로운 위협이 식별되면 소프트웨어 업데이트를 릴리스합니다.
소프트웨어를 업데이트하고 보안을 유지하고 PCI 스캔이 표시하는 내용을 감사하는 데 몇 시간을 투자하면 장기적으로 비용을 크게 절약할 수 있습니다. 가장 쉬운 대상은 소프트웨어 및 보안 업데이트를 최신 상태로 유지하지 않는 저장소입니다.
#12 - 시스템을 최신 상태로 유지하십시오.
이미 언급했지만 시스템과 애플리케이션을 최신 상태로 유지하는 것은 보안을 유지하는 데 중요합니다. 시스템에 패치를 적용하는 것은 말 그대로 새 패치가 출시되는 날에 매장을 안전하게 유지하는 방법입니다.
한발 물러서서 잠시 생각해보세요.
상점을 호스팅하고 Magento를 사용 중이고 Magento 개발 팀이 새로운 보안 취약점을 패치했다는 공지를 발표했다면 최소한 소수의 해커가 이 취약점에 대해 알고 있었다고 말하는 것이 안전합니다.
그러나 Magento가 세계에 발표한 후? 훨씬 더 많은 해커가 알고 있으며 봇과 스크립트를 실행하여 결함이 있는 소프트웨어 버전을 실행 중인 Magento 매장을 추적하기 시작할 수 있습니다.
개발자가 새로운 업데이트, 특히 보안 결함을 해결하는 업데이트가 있다는 알림을 발표하면 시간을 내어 시스템을 업데이트하세요. 그들이 통지를 발표하면 당신은 공식적으로 표적이 됩니다.
#13 - DDoS 방어 서비스를 활용하세요.
DDoS 또는 분산 서비스 거부 공격은 일반적인 의미에서 반드시 "해킹"은 아니지만 해커가 스토어를 완전히 비활성화하고 오프라인으로 전환하는 데 사용할 수 있는 방법입니다.
이러한 유형의 공격은 예전보다 훨씬 더 자주 발생하고 있으며, 공격 대상의 유형과 함께 교묘한 수준도 높아졌습니다.
이러한 공격에 대처하는 가장 좋은 방법은 클라우드에서 매장을 호스팅하고 DDoS 공격이 발생하는 것을 감지하면 매장을 다른 서버로 마이그레이션할 수 있는 서비스를 사용하는 것입니다.
#14 - 사기 관리 서비스에 대해 생각해보십시오.
불행한 일이지만 사기가 발생합니다. 판매자의 경우 가장 좋은 방법은 사기성 청구가 상점을 통해 들어올 때마다 가방을 들고 남아 있지 않도록 하는 것입니다.
점점 더 많은 신용 카드 처리 회사에서 사기 위험을 완화하고 주머니에 더 많은 돈을 보관할 수 있는 새로운 서비스를 제공하고 있습니다.
사기가 발생하기 전에 방지하고 소비자가 적법하게 청구한 금액을 확인해야 할 때 이를 방지할 수 있습니다.
#15 - 재해 복구 계획을 수립하십시오.
단순히 상점, 데이터베이스, 이메일 및 고객 파일을 백업하는 것만으로는 충분하지 않습니다. 또한 어떤 일이 발생하여 모든 것을 잃게 되는 경우에 대비하여 복구 전략이 있는지 확인해야 합니다.
닫아야 할 백업 전략의 공백이 있을 수 있습니다. 예를 들어 백업을 현장에 저장하는 경우 정전이 발생하여 백업 서버도 다운될 수 있습니다.
이를 방지하려면 웹 사이트가 제대로 보호되고 파일을 정기적으로 백업하고 있는지 확인하십시오. 그런 다음 해당 파일이 오프사이트에서 호스팅되고 치명적인 일이 발생하는 경우 비즈니스를 쉽게 복원할 수 있는지 확인하려고 합니다.
Equifax가 보여주듯이 해커의 표적이 되지 않을 정도로 안전한 비즈니스는 없습니다.
대부분의 해커는 중소기업 소유자가 보안에 진정으로 가치가 있는 관심을 기울이지 않는다고 가정하기 때문에 전자 상거래 상점 소유자로서 귀하의 비즈니스는 훨씬 더 큰 표적이 될 수 있습니다.
즉, 여기에서 분류한 15가지 영역에 주의를 기울여야 합니다. 전자 상거래 상점이 안전한지 확인하는 데 시간이 걸릴 수 있지만 지금 보내는 시간은 앞으로 많은 시간과 비용을 절약할 수 있습니다.
현재 많은 Equifax 고객이 현재 처리해야 하는 것처럼 귀하의 고객이 신원 도용을 처리하도록 하지 마십시오. 비즈니스에서 해결해야 할 영역이 무엇인지 알면 동일한 위치에서 벗어나는 것이 쉽습니다.