연휴 기간 전자 상거래 보안
임박한 사이버 보안 위협에 대한 소매업체의 준비
연휴 기간에 사이버 공격의 기회가 증가하는 것은 당연한 일입니다. 전자 상거래 산업이 주요 표적이 됩니다. 특별한 이벤트는 인터넷 트래픽 급증으로 이어지며 그 중 일부는 악의적인 트래픽입니다. 그리고 전자 상거래 보안 및 IT 리더는 특히 여러 개의 특화된 포인트 솔루션을 관리해야 하는 경우 이러한 기간에 과부하가 걸리는 경우가 많습니다.
이러한 추세에 따라 문제가 되는 것은 공격에 대비할지 여부가 아니라 '어떠한 유형의 공격이 사업에 가장 큰 위험을 초래하는가'입니다.
연휴 기간의 전자상거래 준비 태세를 갖추려면 어느 정도 우선순위가 필요합니다. DDoS 공격,zero-day 취약성 익스플로잇 등 일반적인 웹 애플리케이션 위협에 대한 강력한 보호 기준을 수립하는 것 외에도 온라인 소매업체에서는 연휴 기간에 비즈니스와 수익에 영향을 미칠 수 있는 특수한 공격 유형 대비 계획을 세우고 그에 따라 준비해야 합니다.
아래 세 가지 질문에 답해보면 우선순위 지정 프로세스를 시작하는 데 도움이 될 수 있습니다. 이를 통해 전자상거래 조직에서는 이번 연휴 시즌에 성공할 수 있는 더 나은 위치에 있게 될 것입니다. 이는 전체 판매 수익의 거의 20%에 이를 수 있습니다.
귀사의 제품은 가격에 얼마나 민감한가요?
귀사는 재고 부족에 얼마나 취약한가요?
온라인에서 영향력을 강화하기 위해 API에 의존하시나요?
질문 1: 귀사의 제품은 가격에 얼마나 민감한가요?
일부 제품 및 서비스(예: 저비용이거나 고도로 범용화되었거나 널리 사용 가능한 제품 및 서비스)의 경우 경쟁 회사 간의 작은 가격 차이라도 구매 결정에 큰 영향을 미칠 수 있습니다. 어떤 회사에서 연말연시 프로모션 기간에 경쟁업체보다 약간 높은 가격을 책정하면 매출이 상당히 줄어들 수 있습니다.
이러한 이유로 가격에 민감한 제품을 보유한 기업에서는 연휴 기간에 웹 사이트에서 가격 정보를 검색하여 해당 정보를 경쟁업체에 다시 제공하는 스크래핑 봇에 대해 특히 주의해야 합니다. 웹 스크래핑이 새로운 것은 아니지만, AI의 발전으로 인해 가격 데이터, 콘텐츠 등을 스크래핑하는 데 봇이 훨씬 더 효율적이 되었습니다. 이 정보를 사용하여 경쟁업체에서는 자사의 제품이 약간 저렴하다는 것을 보장할 수 있습니다. 이는 상당한 이점입니다.
가격 스크래퍼는 인증 실패, 비정상적인 구매, 새 사용자 계정의 급증 등의 명백한 결과를 초래하지 않으므로 다른 유형의 봇보다 식별하기가 더 까다로울 수 있습니다. 가격 스크래퍼를 식별하는 데 도움이 되는 신호는 다음과 같습니다.
예상되는 소비자 행동과 일치하지 않는 트래픽 급증(가격 스크래퍼 봇이 사이트를 지속해서 스캔하므로)
사이트 성능 저하(같은 이유로)
AI 크롤러에서 사이트/앱으로 향하는 트래픽의 양 증가
경쟁업체 사이트를 다시 가리키는 트래픽의 IP 출처
사이트에서 가격 스크래퍼를 식별하거나 연휴 프로모션 기간 동안 귀하를 표적으로 삼을 수 있다고 의심되는 경우 레이트 리미팅과 같은 전술이 사이트 성능에 영향을 미치지 않도록 하는 데 도움이 될 수 있습니다. 그러나 실시간 위협 인텔리전스와 악성 봇(AI 스크래퍼 포함)을 자동으로 식별하고 필터링하는 기능을 결합한 첨단 봇 관리 서비스에 투자해야 할 수도 있습니다.
질문 2: 귀사는 재고 부족에 얼마나 취약한가요?
제품 부족은 계획된 마케팅 전술, 공급망 압박, 과도한 수요에서 비롯될 수 있습니다. 전자의 예로는 세간의 이목을 끄는 가전제품, 콘서트 티켓, 한정판 패션이 있습니다.
이러한 제품을 판매하는 회사에서는 연휴 쇼핑 시즌 동안 재고 사재기 봇(일명 '그린치 봇')에 각별히 주의해야 합니다. 이 봇은 일반적으로 중고 시장에서 가격을 올려 판매하기 위해 사람이 구매하는 것보다 더 빨리 제품이나 서비스를 자동으로 구매합니다. 예를 들어, 한정판 운동화는 전문 봇 카테고리인 '스니커 봇'의 표적이 되었습니다. 한 베스트셀러 뮤지션은 구매자가 자신의 팬 클럽 코드를 갖고 있지 않은 경우 가격을 100배로 인상하여 스니커 봇과에 대응하려고 시도하기도 했습니다.
재고 사재기 봇의 영향(몇 분 이내에 제품이 바닥나는 것)은 발견하기 어렵지 않습니다. 문제는 피해가 이미 그 시점에 이루어진다는 것입니다. 이러한 봇을 미리 차단하려면 다음과 같은 전술을 고려하세요.
관리형 인증 질문: 관리형 인증 질문을 사용하면 실제 사용자만 구매할 수 있습니다. 그러나 업계 표준인 보안 문자(캡차)는 고객과의 마찰을 일으킬 수 있으며 매번 AI 모델 때문에 효과가 없을 수도 있습니다. 이제 캡차의 단점 없이 사용자가 진짜임을 확인하는 관리형 인증 질문을 캡차 대안으로 사용할 수 있습니다.
레이트 리미팅: 특정 시간 이내에 사용자(또는 무언가)가 작업을 반복할 수 있는 빈도가 제한됩니다. 이렇게 하면 봇과 가짜 사용자가 상품을 장바구니에 담았다가 포기하는 빈도를 제한하는 데 도움이 됩니다.
'허니팟' 설정: 허니팟은 악의적인 행위자의 가짜 대상으로, 허니팟에 액세스하면 악의적인 행위자가 악의적임이 노출됩니다. 봇의 경우 허니팟은 robots.txt 파일에 의해 봇에게는 금지된 사이트의 웹 페이지일 수 있습니다. 좋은 봇은 robots.txt 파일을 읽고 해당 웹 페이지를 피합니다. 일부 악의적 봇은 웹 페이지와 상호 작용합니다. 허니팟에 접속하는 봇의 IP 주소를 추적하여 악의적 봇을 식별하고 차단할 수 있습니다.
안타깝게도 이러한 전술 중 일부의 경우 사용자 경험이 저하될 수 있으며 가장 진보된 악성 봇을 막지 못할 수 있습니다. 재고 사재기의 위험이 큰 사람들의 경우 머신 러닝 및 고급 행동 분석을 이용하는 전용 봇 관리에 투자하세요.
질문 3: 온라인에서 존재감을 강화하기 위해 API에 얼마나 의존하나요?
소매업체에서는 웹 사이트 중단, 결제 사기 등 계속되는 위협 외에도 공격면이 확장됨에 따라 더 큰 위험을 겪게 됩니다. 예를 들어, 많은 전자 상거래 기업에서는 CMS, 제품 재고, 챗봇, 결제 시스템 등을 관리하기 위해 API에 크게 의존합니다. 고도로 개인화된 경험을 활성화하는 데 도움이 되는 헤드리스 상거래 채택이 증가하면서 API에 대한 의존도가 더욱 높아졌습니다.
새로운 API는 각각 새로운 잠재적 공격면입니다. 하지만 보이지 않는 것을 보호할 수는 없으며, 조직의 약 3분의 1에서는 정확한 API 인벤토리가 부족합니다. 알려지지 않은 '섀도우 API' 때문에 조직은 데이터 노출, 내부망 이동, 기타 사이버 위험에 취약해집니다.
예를 들어 API에 알 수 없는 취약점이 있거나 API 상위 10대 보안 위험에 취약한 경우 공격자가 신용카드 정보를 가로챌 수 있습니다. 공격자가 관련 API 키를 훔치거나 인증 토큰을 가로채서 사용하는 인증 공격에서도 동일한 결과가 발생할 수 있습니다.
이러한 공격을 방지하는 첫 번째 단계는 API를 식별하는 것입니다. 연휴 기간을 앞두고 API 엔드포인트 검색 서비스를 사용하면 위험에 처한 엔드포인트를 식별한 다음 다음과 같은 전술을 사용할 수 있습니다.
스키마 유효성 검사: 특히 API의 '스키마'를 준수하지 않는 API 호출, 즉 수신해야 하는 요청의 패턴을 차단합니다.
API 관련 남용 감지: 악의적 트래픽을 이해하고 API 중심 레이트 리미팅을 활용하여 각 API 엔드포인트의 트래픽에 대한 최신 이해를 기반으로 과도하고 악의적인 API 트래픽을 차단합니다.
소매점의 디지털 발자국은 생성형 AI, 라이브 스트리밍 판매, 기타 API를 사용하는 기술의 부상으로 계속해서 증가하고 있습니다. 장기적으로 DevSecOps 접근 방식으로 전환하면 앱 및 API 개발 주기의 모든 단계에서 보안을 구축할 수 있습니다.
우선순위 지정 프로세스 계속
이러한 질문에 답하는 것은 위험 우선순위 지정 프로세스에서 중요한 단계이지만, 시작에 불과합니다. 이상적으로, 기업은 이전 휴가철의 공격 데이터를 분석하여 미래의 위협을 예측할 수 있습니다. 또한 다음과 같은 요소를 고려할 수 있습니다.
수익 손실 또는 완화 비용을 통해 가장 큰 재정적 영향을 미칠 수 있는 공격 유형
데이터 손실이나 손상의 위험이 가장 큰 공격 유형
사이트 가동 중지 시간을 유발할 가능성이 가장 높은 공격
애플리케이션/API 보안을 내부 사용자(즉, 직원, 계약자, 개발자)를 보호하는 보안과 통합할 수 있는지 여부
클라우드 연결성으로 더 건강한 전자 상거래 운영 달성
연중 전자 상거래 공격과 동향에 앞서 나가려면 대기 시간이 짧고 클라우드 네이티브이며 안전하고 안정적인 보안 플랫폼이 필요합니다.
Cloudflare의 클라우드 연결성은 비용을 절감하고, 민첩성을 개선하며, 중요한 데이터를 보호하고, 진화하는 위협으로부터 방어할 수 있도록 보안 및 성능 개선을 모두 제공합니다. 클라우드 연결성은 프로그래밍 가능한 클라우드 네이티브 서비스로 구성된 통합된 지능형 플랫폼으로, 조직에서 IT 환경에 대한 가시성과 제어 능력을 향상할 수 있도록 해줍니다.
Cloudflare에서는 독보적인 위협 인텔리전스로 구동되는 모든 서비스와 웹 애플리케이션 보안, API 보안, 타사 도구 보안, Zero Trust 서비스 등을 단일 제어판에 통합합니다.
Cloudflare에서는 전체 디지털 고객 경험에서 세계적인 수준의 보안 및 성능을 달성하는 동시에 IT 스택 모든 곳에서 제어 능력을 되찾고 민첩성을 개선하는 데 함께 도움을 드릴 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
연휴 성수기에 우선순위를 두어야 하는 리테일 사이버 보안 전략
사용자 경험을 저해하고 수익을 위협하는 악성 봇으로부터 보호하기 위한 전자 상거래 보안 팁
API 남용을 방어하기 위한 연휴 기간 준비 전략
관련 자료
이 주제에 관해 자세히 알아보세요.
고객이 직접 사용하는 전자 상거래 웹 사이트와 애플리케이션의 성능은 zero-day 익스플로잇, DDoS 공격, 악성 봇, 섀도우 API 등으로 끊임없이 위협받고 있습니다. 애플리케이션 보안 현황 보고서에서 발전하는 앱 보안 위험과 이를 완화하기 위한 팁에 대해 알아보세요.