최근 10여년간 인터넷이 빠르게 보급되고 발달되면서, 크게 성장하고 있는 인터넷 상점은 오프라인 장소, 재고관리 등의 유지 관리비용을 줄일 수 있지만, 해킹위험을 감수해야 하는 단점이 있다. 여러 해킹 방법 중 최근에 정보보안에 심각한 위험을 초래하고 있는 SQL injection에 대해 알아보도록 하겠다.
SQL injection은 해킹방법 중 하나로 홈페이지와 데이터베이스가 자료를 주고받을 때 공격자가 주입한 SQL 명령문이 실행되면서 발생하는 것으로 시스템이 잘못 구성된 웹서버, 데이터베이스 서버 그리고 부적절하게 구성된 규칙 혹은 시스템 서버의 보안 시스템이 정기적으로 업그레이드되지 않은 곳에서 발생될 수 있다. 이 공격은 카드 소유자의 데이터를 저장하고 전송하는 시스템에서 정보를 유출시키는 큰 위험을 초래하므로 정보 유출의 피해를 줄이기 위해서는 다음과 같은 방침을 따라야 한다.
첫째, 인터넷 거래의 경우 보안상태가 잘 되어 있으며 데이터 보안규격에 맞게 인증된 장바구니만을 사용하여야 한다. 둘째, 웹에 사용되는 모든 정보입력 기능은 반드시 보안을 충분히 보장할 수 있도록 구성되어야 하며, 모든 시스템은 보안이 검증된 웹이나 데이터베이스 서버만을 취급해야 한다. 셋째, 웹서버와 데이터베이스를 포함한 모든 시스템은 정기적으로 공급자가 제공하는 보안패치를 실행하여 업그레이드해야 한다. 넷째, CVV, CVV2, PIN 데이터와 같이 저장이 금지된 정보는 절대로 저장해서는 안 된다. 다섯째, 웹의 정보입력 기능에는 반드시 방화벽을 설치하여 SQL injection 공격을 방어해야 한다.
국제 웹보안표준기구인 OW ASP(www.owasp.org)를 방문하여 웹사이트의 보안 상태를 확인하는 것이 필요하다. 그러나 무엇보다 중요한 것은 보안이 취약한 인터넷 거래임을 항상 인지하여 시스템 보안에 많은 신경을 써야 한다. 자세한 사항은 각 해당 프로세싱 회사와 뱅크카드 서비스로 문의하면 알 수 있다.
(213)365-1122 패트릭 홍 <뱅크카드 서비스>