인터넷쇼핑몰, 크로스사이트스크립팅 공격 주의!

인터넷쇼핑몰 공격포착… 해킹사고 피해예방

소프트포럼(대표 김상철 www.softforum)은 27일 자사의 실시간피싱방지서비스 ‘안티피싱존’이 한 인터넷의류전문쇼핑몰을 상대로 한 해킹공격을 감지, 해당 쇼핑몰 고객들의 해킹사고 피해를 막았다고 밝혔다.

옥션을 통해 안티피싱존을 다운받아 프로그램을 설치한 인터넷쇼핑몰 운영자 김 아무개씨는 20일 자신의 인터넷쇼핑몰 접속 뒤 ‘이 페이지는 크로스사이트스크립팅(XSS)을 이용하고 있습니다. 이 페이지를 차단하시겠습니까’라는 팝업창이 뜨는 걸 확인했다.

이에 김씨는 소프트포럼에 문의를 했고, 해당 쇼핑몰의 메인 로고가 중국의 검색포털 큐큐닷컴으로 연결되는 크로스사이트스크립팅 공격을 당한 것으로 밝혀졌다.

대표적인 웹 애플리케이션 해킹공격 중 하나인 크로스사이트스크립팅은 국제 웹 보안 표준기구인 OWASP에서 발표하는 웹 취약점 Top10에 포함돼있는 수법으로 해커가 임의로 웹페이지의 일부를 바꿔 다른 사이트로 링크를 걸거나 악성코드를 심어 피싱사이트로 유도, 개인정보를 갈취하는 치명적인 결과를 가져온다.

이번 일과 관련해 소프트포럼 박원규 소프트웨어사업본부장은 “개인정보를 다루고 있는 웹사이트의 90%가 보안에 취약해 크로스사이트스크립팅 등의 해킹위험에 빠져있다”며 “특히 최근 빈번히 일어나고 있는 크로스사이트스크립팅은 관리자 권한을 해킹당한 것과 같이 위험성이 높으므로 필수적으로 피싱방지서비스를 통해 사전에 차단, 예방조치를 하는 등 기업들의 적극적인 보안시스템 구축 노력이 필요하다”고 말했다.

[최한성 기자(boan1@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)