오픈마켓, 셀러툴 보안 간담회

안녕하세요

최근 AI열풍이 불고 있기도 하고 IT산업군의 성장세가 두드러 지게 나타나고 있습니다.

그 와중 최근 본 뉴스가 눈에 띄었습니다. 말 그대로 우리나라 대한민국은 세계적은 IT강국은 맞습니다.

하지만 세계적인 IT강국인 한국에 사이버보안 부문에서 유니콘(기업가치 1조 원 이상)으로 평가받는 기업이 한 군데도 없다는 게 현실입니다.

 우리나라의 경우 지정학적 위치상으로도 휴전선 바로위엔 북한이 있고 러시아, 중국 등의 나라에서도 해커집단이 왕성하게 활동을 하고 있습니다. 당장 최근으로 본다면 이태원 사태나 카카오 대란 등 사회적인 이슈가 한창일 때 이 이슈를 이용해서 악성코드를 유포하려는 북한발 시도가 다수 확인된 바 있습니다.

실제로 외국의 경우에는 1년동안 이뤄질 사이버공격들이 한국에서는 매일 벌어지는 것이 현실이라고 합니다. 당연히 예전보다는 지능화되고 기술이 고도화를 이루어서 피해가 줄었지만 확인되지 않은 허점을 노린 공격들도 계속 진행되고 있다고 봐야 한다고 합니다.  최근에 LG유플러스는 DDos(분산서비스거부) 공격으로 세 번이나 서비스 장애를 일으키기도 했습니다. 그리고 29만 명의 개인정도 유출사고 또한 있었습니다.

전 세계에 사이버보안 관련 유니콘으로는 42개 기업이 있지만 이 중 31곳은 미국의 기업이고 지정학적 위치가 우리나라와 비슷한 이스라엘에 6개의 사이버보안 유니콘기업이 있다고 합니다. 이스라엘은 우리나라와 비교하였을때 GDP가 약 4분의 1에 불과하다고 하는데 GDP기준으로 본다면 우리가 사이버 보안에 대해서 그만큼 투자를 하지 않았다는 것이 됩니다.

그래서 최근 통신.온라인 쇼핑 등에서도 사이버 공경이 심화되어 이커머스 업계에서도 사이버 보안에 주목하고 있습니다. 개인정보보호위원회와 오픈마켓, 셀러툴 사업자들이 모여 조치방안을 논의했다고 합니다.

 

오픈마켓으로는 11번가, 네이버, 롯데쇼핑, 버킷플레이스, 인터파크, 위메프, 카카오, 지마켓, 쿠팡, 티몬 등이 참여햇고

셀러툴분야로는 네모커머스, 가비아씨엔에스, 다우기술, 샵플링, 셀러허브, 셀메이트, 신세계아이앤씨, 플레이오토 등이 참여했습니다.

**셀러툴 이란 오픈마켓과 판매자의 중간에서 오픈마켓 플랫폼가 연동하여 판매자의 업무(상품등록, 주문관리 등)를 대행하는 쇼핑몰 통합관리 프로그램입니다.**

 

지난 1월에는 인터파크와 지마켓이 해커들로부터 '크리덴셜 스터핑'공격을 받기도 했습니다. 크리덴셜 스터핑 공격이란 기존에 다른 곳에서 유출된 아이디와 비밀번호를 여러 웹사이트나 어플에서 무작위로 로그인하면서 개인정보 등 자료를 유출하는 수법입니다. 이는 주로 여러 사이트에서 아이디와 비밀번호를 동일하게 사용하는 유저들이 다수로 많기 때문에 가능한 공격이라고도 합니다.

이커머스 기업들에 여러 가지 사이버보안에 관한 문제가 있는 가운데 어떻게 보면 IT사업에서 게임분야로 다른 분야인 업종이지만 게임업계 자체에서는 해킹이나 크리덴셜 스터핑 공격을 약 15년 전부터 겪어 오기도 했기에 엔씨소프트의 개인정보보호실 실장이 참석하여 보안 시스템에 대하여 소개를 하였다고 합니다. 또한 엔씨소프트의 정보보안실뿐만 아니라 과거에는 지마켓에서도 15년간 개인정보. 정보보안을 담당하기도 했던 담당자라고 합니다.

 

크리덴셜 스터핑의 경우 방어를 하는 사람의 입장에서는 탐지하기도 까다롭고 초창기의 경우 해외 IP가 많아지고 짧은 시간에 접속량이 많아지면 모니터링이 되었지만 최근의 사이버공격은 클라우드를 사용하고 시간에 대한 텀을 두는 등 갖가지 아이디어 공격들을 사용하여 많이 까다로워진 것이 사실이라고 합니다.

 

사이버공격에 대한 방안으로는 엔씨인증, OTP기기등록, 캐릭터 비밀번호 설정등 여러 가지 보안방법들을 유저가 선택이 가능하지만 엔씨인증의 경우는 엔씨소프트에서 직접 개발하였지만 사용률이 저조하였다고 합니다. 이유는 여러가지 다른 게임들을 즐기는 유저 입장에서는 엔씨에서만 사용가능한 OTP이기에 범용성이 떨어지기 때문입니다. 그래서 최종적으로 현재 유저들이 가장 많이 사용하는 보안서비스로는 기기등록입니다.

그래서 가장 보안성이 좋은 방법으로는 패스워드리스 라고 합니다. 말 그대로 같은 아이디와 비밀번호를 계속 사용하기 때문에 해킹을 당하는 것이기에 비밀번호가 아닌 생체인식이나 인증서 같은 패스워드리스 방법을 사용하면 유저 입장에서는 비밀번호를 잊어버리는 일도 없어지다는 것입니다.

개인적으로 IT에 대하여 관심도 많고 IT를 좋아하는 것도 사실입니다. 우리나라가 IT강국인 것도 사실인데 제가 생각해도 IT업계가 앞으로 나아가는 것도 좋지만 우리의 것이 뺏기지 않는 것 또한 중요하다고 생각합니다. 총칼을 들지 않았을 뿐 사이버공격은 현시대의 가장 치열한 전투 중 일부분이라는 생각입니다. 우리나라도 뛰어난 기술로 사이버보안을 유지할 수 있는 유니콘 기업이 하루빨리 등장했으면 좋겠습니다.