1. 문제에 대한 대응책
새로운 비즈니스를 위한 보안 시스템을 설치하고 효과적으로 운영하려면 거래자산 지도를 개발, 관리하고 응용프로그램 사용자층이 요구하는 보안기술을 채택하며 서비스 수준 합의서 내용을 구체적으로 명시하는 등 비기술적인 문제를 해결해야 한다.
기술적인 차원에서 볼 때 전자상거래 사업을 한다는 것은 새로운 기능을 제공하는 것이 아니라 접속과 상호협조가 가능하게 하는 것을 뜻한다. 기업이 비즈니스체제를 외부와 연결하려면 응용프로그램과 거래내용을 새로운 형태로 대외적으로 접속할 수 있게 해야 한다.
전자를 통해 다른 기업과 비즈니스를 수행하려면 웹서버, 고객관계관리(CRM) 시스템 등과 같은 프론트엔드 시스템과 전사적자원관리(ERP), 공급망관리(SCM) 시스템과 같은 백엔드 시스템을 통합해야 한다. 시스템을 개방하면 침투 위험성이 높아지고 보안이나 거래의 안정성을 잃을 가능성도 커진다. 또한 기업 내외에 있는 응용프로그램의 컴포넌트와 데이터베이스가 실타래처럼 복잡하게 얽히고 설키게 된다. 이런 복잡한 컴포넌트 체인으로 연결된 시스템의 종단과 종단 사이의 거래는 매우 취약하다. 이런 체인은 너무 복잡해서 지도에 표시할 필요가 있다. 비즈니스의 중요도에 따라 거래 내용을 분류하고 가장 중요한 거래 내용을 확인한 다음 모든 기술 및 인프라 컴포넌트 지도를 만들어야 한다.
응용프로그램의 보안기술을 어느 정도 수준까지 채택해야 할 것인지는 사업적인 차원에서 결정해야 하기 때문에 정보보안책임자(CISO)는 사업담당 임원, 최종 사용자층, 개발팀 등과 밀접한 관계를 유지해야 한다. 때로는 관련 임원, 최종 사용자, 개발팀이 각기 원하는 우선순위가 서로 상충되는 경우가 있다. 이런 문제를 해결하기 위해서는 ‘응용프로그램 전담자’를 지명하여 응용프로그램의 기획에서 디자인, 설치, 사용에 이르는 모든 과정에 대한 책임을 지도록 해야한다. 이 응용프로그램 전담자는 CISO 및 정보담당임원(CIO)과 긴밀한 관계를 갖도록 해야 한다. 또한 CISO는 보안관련 사항을 사업부서와 협의하여 서로 완전히 합의한 내용의 서비스수준 합의서를 작성하여 추후 이해 불충분으로 인한 문제가 발생하지 않도록 해야 한다. 합의서에는 보안의 정의, 보고방법, 효과측정, 재정관리 등의 사항이 포함돼야 한다. 서비스수준 합의서가 성공적으로 이행되려면 IS 담당부서와 사업부서가 대등한 입장에서 협력해야 한다.
비즈니스 거래내용의 보안을 확보하기 위해서는 보안담당 직원들이 다음 몇 가지 기술적인 조치를 취해야 한다. 대부분의 기업체들은 서로 연관되어 있는 이들 조치 중 몇 가지에 대한 대응조치를 취하고 있는데 이들은 모두 중요하다.
먼저 거래가 중단되면 그 근본원인을 실시간으로 제거해야 한다. 거래가 중단되는 사고의 원인 중 40%는 응용 프로그램의 이상에 있다. 이런 취약성은 인프라 서브 시스템의 형태와 수가 빠르게 늘어나고 해킹 수법이 더욱 지능화되는 데서 일어난다. 그 원인 중 40%는 사람의 고의나 또는 부주의 결과로 일어나고 나머지 20%는 서버, 네트워크 등의 하드웨어의 사고, 운영체계(OS)의 오류, 환경 요인 및 재해 등으로 인해 일어난다. 이런 문제를 해결하기 위해서는 이벤트 관리, 감사 및 로깅, 종합적 행정서비스, 침투 및 도용 검출 등의 조치를 취해야 한다.
다음은 악의적인 사용자가 외부에서 침투하는 것을 막아야 한다. 이들은 기업 내 사용자 인터페이스를 뚫고 들어온다. 이를 방지하기 위해서는 인증 시스템을 강화하고 거래 승인을 통제하며 사용권을 관리해야 한다. 기술적으로는 사용자 ID와 비밀번호를 암호화하고 스마트카드나 토큰 등을 사용하여 인증 절차를 강화하며 거래 승인 서버를 설치하는 등의 조치를 취해야 한다.
거래내용이나 개인비밀의 유출, 내용의 손상 등을 방지하는 조치를 취해야 한다. 가령 SQL, XML 또는 응용 서버와 거래 서버 사이의 전자 데이터 거래내용을 캡처하여 악용하거나 손상시킬 가능성이 있고 인터넷상에서는 웹브라우저와 인터넷 서버 사이의 HTTP 거래내용을 캡처할 수도 있다. 이를 막기 위해서는 네트워크를 여러 부문으로 구분하고 보안 소켓계층(SSL), 응용 공개키인증(PKI), 가상사설망(VPN) 등을 사용할 수 있다. 또한 데이터와 데이터베이스의 보안과 안전을 유지해야 한다. 대부분의 응용 프로그램 시스템에는 여러개의 데이터 저장소를 사용하고 있는데 여기에 서드 파티가 들어오지 못하도록 해야 한다. 미리 구조를 구성한 관계형 데이터베이스 시스템(RDBMS)과 저장된 데이터는 암호화되어 있지 않은데 이런 데이터가 백업 절차에 따라 정리되어 있지 않은 상태로 여러 개의 시스템에 저장되거나 중복되어 있으면 위험성이 높다. 이런 문제를 해결하기 위해서는 데이터를 암호화하고 백업·복구, 데이터와 응용프로그램의 매핑기술 등을 채택해야 한다.
대부분의 기업체들은 복잡한 전자상거래 거래가 거부현상없이 운영되게 하기 위하여 인증기관이 인증하는 소프트웨어 기반의 PKI 기술을 채용하고 있다. 하지만 이 문제에 더욱 철저하게 대비하려면 여기에 디지털 서명, 도용 검출 툴, 심사 및 로깅 툴 등을 추가로 채택해야 한다. 이밖에 IS 보안 담당자들은 기존 시스템의 보안에 더해 기업간(B2B) 상거래나 기업과 소비자간(B2C) 상거래와 같은 새로운 전자상거래에 필요한 보안조치를 취해야 한다. B2B 환경에서 보안 담당자들은 기업 자체의 보안정책을 외부 공급업체의 시스템 환경과 조화를 이루도록 하고 B2C 환경에서는 사용자 인증 기능을 제공해야 한다.
이같은 모든 활동을 수행하는 과정이 거래사항관리(TIM:Transaction Incident Management)다. 거래사항 관리는 기업의 임직원, 고객 및 공급업체들이 사업 방침과 서비스수준 합의 내용에 따라 안정되고 안전하며 필요한 비밀을 유지하면서 사업거래를 원만히 수행할 수 있게 하는 기법인 동시에 업무처리 방법이다. 거래사항 관리의 목적은 비정상적인 사항을 실시간으로 감지하고 그 문제를 가능한 한 신속하게 해결하는데 있다. 또 거래사항 관리팀을 효율적으로 운영하려면 그 책임자가 있어야 한다.