테크정보
홈페이지 및 웹사이트 제작과 운영에서 필수 보안 사항
쇼핑몰과 웹사이트를 운영할 때 개인정보가 유출되거나 해킹에 대한 위험이 있기에 기본적인 보안 사항을 지키는 게 좋은 방법이지만 실무자 이외에도 관리 요원들은 개인정보 포털 사이트에서 온라인 교육을 받는 걸 추천합니다.
여기에서는 보안서버, 개인정보취급방침, 로봇수집정책, 관리자 접근 권한과 로그인 보안 4가지에 대해서 설명하고자 합니다.
1. 보안서버
사용자 컴퓨터에서 개인정보를 보내거나 요청할 때 네트워크에 개인정보가 그대로 노출되는 문제가 있습니다. 만약 같은 네트워크에 바이러스가 걸린 컴퓨터가 있다면 같은 네트워크에서는 개인정보가 유출되는 문제가 발생합니다. 이런 문제를 해결하기 위해 나온 게 영어로는 SSL : Secure Sockets Layer 보안 소켓 계층이라고 하며 전송되는 데이터를 암호화 하여 인터넷에서 연결되어 있는 정보를 보호하기 위한 기술입니다. 간편하게 SSL이라고 하며 한국어로는 보안 서버라고 부르고 있습니다.
보안 서버의 경우 도메인과 매칭하여 사용되므로 1개의 도메인 또는 여러 도메인을 사용하는 경우에 따라 비용이 많이 차이가 있습니다. 금액으로는 1년에 7,000원 ~ 350,000원까지 차이가 있고 암호화 기술에 대한 등급이나 개인정보에 대한 문제가 생겼을 때 배상책임보험과 접속량에 따른 커버리지에 따라 차이가 있습니다.
무료로 가능한 서비스가 있으나 기간이 3개월이므로 그전에 계속 업데이트해야 하는 단점이 있고 서버가 필요하기에 어느 정도 서버 관리가 가능해야 사용할 수 있습니다.
2. 개인정보처리방침
개인정보를 웹사이트에서 수집받으면서 방침이 없다면 개인정보 유출시 더 큰 법적 제제를 받을 수 있기에 반드시 준비하는 게 좋습니다. 워드프레스나 앱을 스토어에 등록할 때에 필수가 된 만큼 일반 웹사이트에서도 개인정보포털 사이트에서 문서를 다운 받아 내용을 작성해야 합니다. 참고 내용 : https://www.opm.kr/story/3/56
개인정보 유출이 되지 않게 하는 게 중요하지만 만약 침해사고 발생 시 통지 및 관련 기관에 신고할 의무가 있습니다.
3. 로봇 수집 정책
웹사이트를 운영하면 검색엔진에 등록하고 노출하는 게 필수이며 사용자들에게 내 사이트에 접근하기 쉽게 하고 관련된 웹 문서와 키워드에 노출하는 장점이 있어 방문자를 늘리는 데 도움이 됩니다. 그렇지만 주의해야 할 부분은 프로그램 오류나 유지 보수가 잘 이루어지지 않고 패치가 되지 않은 경우 입니다. 이런 경우 검색엔진에 개인정보가 그대로 노출되는 경우가 있습니다.
웹사이트 주소/robots.txt와 같은 형식으로 파일을 만들게 됩니다.
아래 설정은 Googlebot 수집을 허용하나 /nogooglebot/ 폴더의 수집은 금지 합니다. 그 외 User-agent: * 모든 검색엔진 수집을 허용하며 Allow: / 사이트맵 파일 Sitemap: https://www.example.com/sitemap.xml 수집하도록 합니다.
User-agent: Googlebot
Disallow: /nogooglebot/
User-agent: *
Allow: /
Sitemap: https://www.example.com/sitemap.xml
아래 설정은 네이버만 접근 가능하게 하며 /admin/ 이라는 폴더는 수집하지 않도록 합니다. 그리고 Yati 검색 엔진외에는 모든 수집을 금지하는 설정입니다.
User-agent: Yati
Disallow: /admin/ User-agent: * Disallow: /
오픈메이크의 robots.txt 파일은 https://www.opm.kr/robots.txt 링크를 눌러 확인 해 볼 수 있습니다.
4. 관리자 권한과 로그인 보안
가장 간편하면서도 주의해야 할 부분은 관리자 아이디와 비번에 대한 부분입니다. 아이디는 admin 비번 admin 또는 1234와 같이 유추하기 너무 쉬운 비밀번호는 개인정보를 쉽게 노출 시키는 문제이므로 특수 문자나 숫자 영문과 같이 쉽게 유추가 되지 않은 암호를 사용하는 게 기본 입니다.
관리자 접속의 경우 특정 IP만 접근이 가능하도록 개발할 수 있습니다. 개인정보 관리가 중요한 사이트의 경우에는 고정 IP 서버스나 VPN을 이용하여 해당 IP만 접근이 가능하도록 관리자를 설정하면 불필요한 접근을 막을 수 있습니다.
추가적으로 비밀번호를 3개월마다 변경하거나 접속 로그를 따로 관리하고 모니터링 하고 특정 시간 로봇접근 금지 등의 기술적 방법도 도움이 됩니다.
오픈메이크에서는 네이버로 로그인을 사용하고 있어 네이버 로그인을 통해서만 관리자에 접근하고 있습니다. 로그인 후에도 별도의 암호화 코드의 세션 값을 생성하여 세션이 없거나 변조되는 경우 관리자에 접근이 되지 않도록 막고 있습니다.
웹사이트 운영에 필요한 기본적이면서도 필수적인 보안 사항에 대해서 알아보았습니다. 개인정보 보호에 대한 법률이 강화되고 있어 개인정보에 대한 강의를 듣고 관리자에 대한 교육이 필요한 때 입니다.
