[보안칼럼]연말연시 쇼핑 시즌, 사이버 공격의 덫에 걸리지 않으려면

이경준 아카마이코리아 대표
이경준 아카마이코리아 대표

크리스마스와 연말연시로 이어지는 쇼핑시즌이 다가오면서 유통·이커머스 업계는 각종 할인 행사와 이벤트를 예고하고 있다. 온·오프라인 영역에서 연중 가장 많은 거래가 발생하고 높은 금액이 오가는 시기인 만큼, 사이버 보안 위협 또한 크게 증가하기 때문에 많은 주의가 필요하다.

아카마이가 발표한 '기프트샵을 통해 들어오다: 커머스를 향한 공격' 보고서에 따르면, 지난해 1월부터 올해 3월까지 아시아태평양지역의 유통, 호텔 및 여행 업종 등 커머스 부문에서 11억5000만건 이상의 웹 공격이 발생했다. 그중 한국 유통업계에서 발생한 것으로 확인되는 공격 사례만 5200만건 이상으로, 이는 아태지역에서 다섯 번째로 높은 수치다.

유통 업계는 왜 사이버 범죄의 타깃이 되는 것일까? 원활한 상품 거래가 이뤄지기 위해선 상당량의 결제·금융 정보가 사용되는 데, 이 과정에서 인터넷과 유선을 통해 여러 장소로 이동하는 데이터량이 크게 증가한다. 바로 이러한 부분이 사이버 범죄 수익을 노리는 이들의 표적이 되는 것이다.

연말연시엔 각종 이벤트와 특별 할인을 진행해 온라인 쇼핑을 즐기는 소비자들이 증가하는데, 기업과 소비자 모두 사이버 범죄에 노출되지 않으려면 어떤 위협이 도사리고 있는지 파악할 필요가 있다. 주요 위협으로는 웹 애플리케이션 및 응용프로그램인터페이스(API) 공격, 디도스(DDoS) 공격, 악성 봇, 웹 스키밍 공격 등이 있다.

위험에 처한 것은 판매자만이 아니다. 온라인 쇼핑몰 구매는 단순히 로그인하고 결제하는 것에서 끝나지 않는다. 이커머스 플랫폼은 다양한 이해관계자가 관여하는 여러 프로세스를 통해 운영된다. 최종 판매자뿐만 아니라 공급망의 다른 이해관계자 또한 사이버 범죄자들의 공격을 받을 수 있다.

주문이 증가함에 따라 공급업체는 더 큰 공급망의 일부가 돼 보안에 취약해진다. 주문이 전송되고 결제가 처리되기까지 모든 과정이 사이버 공격의 잠재적 표적이 된다. 한편 핀테크, 결제 처리업체, 전자지갑 업체, 은행 등 모든 금융거래 과정에 관여하는 금융 서비스 사업자는 금융 데이터가 한 지점에서 다른 지점으로 전송될 때마다 유출·탈취 위험에 노출된다. 그리고 물류업체는 이름, 주소, 전화번호 등 배송에 필수인 고객 데이터를 보유하고 있어, 이를 노리는 사이버 범죄자의 매력적인 표적이 된다.

연말연시, 기업은 공격이 급증할 것에 대비해 적절한 보안 기능을 갖추고 있는지 살피는 것이 중요하다. 또, 이들은 일반적인 보안 툴로 방어할 수 없는 특수한 공격이기에, 대량의 공격을 방어할 수 있는 확장 가능한 툴을 보유하고 있어야 한다.

유통업계는 보안 태세를 지속적으로 점검하고 평가해야 하며 악성 봇, 웹 스키밍 공격 또는 데이터 스크래핑 공격을 방어하기 위해 어떤 특수한 툴이 필요한 지 파악해야 한다. 아울러 정확히 어떤 서비스가 어디에서 제공되고 있고, 그런 서비스들이 리스크에 얼마나 노출됐는지 등 자사 보안 환경에 대한 가시성을 확보해야 한다.

소비자는 이메일이나 사회관계망서비스(SNS)에서 발견한 믿기 어려울 정도로 좋은 조건의 상품은 사기인 경우가 많다는 사실을 명심해야 한다. 사이버 범죄자는 대형 브랜드를 쉽게 사칭할 수 있으며, 생성형 인공지능(AI)을 통해 피싱과 소셜 엔지니어링 시도를 더욱 실제처럼 보이게 만들 수 있다. 방어 체계를 구축하고 사이버 보안에 대한 인식을 높여야 하는 시점이다.

연말연시는 즐거운 쇼핑의 시기여야 한다. 하지만, 쇼핑 고객 정보와 자산을 탈취하려는 사이버 범죄자의 수법은 날로 교묘해지고 있다. 기업과 소비자 모두 보안 관련 리스크를 사전에 파악하고 자신의 자산을 보호하기 위한 대비책을 마련하는 데 적극적으로 나서야 할 것이다.

이경준 아카마이코리아 대표 kylee@akamai.com