국내 3대 소셜커머스 업체(소셜네트워크를 통한 전자상거래)의 총거래액은 6조원 규모로 추산된다. 쿠팡·티켓몬스터(티몬)·위메이크프라이스(위메프) 등은 연간 100% 씩 성장하며 몸집을 불려왔다. G마켓·11번가·옥션 등 3강 체제를 이룬 오픈마켓 시장규모는 거래액 기준으로 40조원에 육박한다.
수십조원 돈이 오가는 전자상거래 사이트에서 내 정보도 안전하게 거래되고 있을까.
조선비즈는 지난 1월 26일 미국 데이터 보안업체 퀄리스(Qualys)가 운영하는 SSL랩(www.ssllabs.com)을 통해 주요 전자상거래 사이트 회원 가입 페이지의 암호화 통신 수준을 확인했다. SSL랩은 각 사이트의 서버에 적용된 암호화 통신 기술인 SSL 버전과 취약점을 확인해 등급을 매긴다.
웹사이트를 이용할 때 작동하는 보안 장치인 SSL(Secure Sockets Layer)은 사용자가 입력하는 내용을 암호로 바꿔 서버에 전달하는 통신 방식이다. 해커가 개인정보 데이터를 탈취하더라도 거의 해독이 불가능한 암호를 풀어야 하기 때문에 개인정보를 지킬 수 있다.
SSL랩은 쿠팡과 티몬의 암호화 통신 수준을 A 등급, 위메프는 C 등급으로 판정했다. 또 오픈 마켓 사이트인 11번가와 인터파크는 최하위인 F등급으로 표시했다. SSL랩은 최신 버전의 암호화 통신 기술을 쓸수록 높은 등급을 매긴다.
실제로 티몬은 2014년 9월부터 보안 문제가 발생한SSL 3.0 대신 TLS(Transport Layer Security)를 사용하고 있다. TLS는 SSL보다 정교한 암호화 과정을 거친다. 쿠팡은 최근까지 SSL3.0을 사용하다 지난 23일 TLS로 업데이트했다.
보안 업데이트가 국내외 인터넷 업계의 최대 이슈로 떠오른 것은 암호화 통신의 핵심 기술인 '오픈 SSL'에서 대형 버그가 발견됐기 때문이다.
지난해 4월 발견된 '하트블리드(Hearbleed)'라는 오픈 SSL의 결함(버그)을 이용하면, 해커들이 웹 서버에 침투해 개인 신용카드 번호나 아이디, 비밀번호 같은 정보를 빼낼 수 있다.
실제로 캐나다 국세청은 하트블리드를 이용한 해커의 공격으로 900명의 개인정보가 유출되는 피해를 입었다. 또 150만 명이 가입한 영국의 육아정보사이트 멈스넷(Mumsnet)은 개인정보가 유출됐을 가능성이 있다며 모든 회원들에게 비밀번호 재설정을 요구했다.
장석은 티몬 보안 실장은 “지난해 SSL의 보안 취약성이 드러나면서 보안 수준이 높은 TLS를 사용하기로 결정했다”면서 “TLS를 쓰면 인터넷 브라우저인 익스플로러 하위 버전과 호환이 잘 안돼 보안 업데이트를 망설인 것도 사실이지만, 안전이 우선이라고 판단해 보안 업데이트를 일찌감치 마쳤다”고 말했다.
김형오 쿠팡 팀장은 “익스플로러 하위 버전과의 호환성 문제 때문에 고민하다 최근 SSL을 TLS로 업데이트 했다”며 “SSL 외에도 보안 관련 인증을 7개씩 취득, 보안성을 더욱 높였다”고 말했다.
김승주 고려대 정보보호대학원 교수는 “국내 법상으로는 개인정보에 대해 암호화 통신 기술을 적용만 하면 되지만, 각종 버그가 드러난 만큼 SSL최신 버전을 사용하는지도 따져 봐야 한다”면서 “우리나라는 해외 선진국에 비하면 보안 업데이트가 늦은 편”이라고 말했다.
SSL랩에서 낮은 보안 등급이 나온 SK플래닛 11번가 측은 “11번가는 금융권에서 쓰는 EV-SSL 인증을 쓰는 등 보안에 만전을 기하고 있다”면서 “또 11번가는 이용자가 로그인 후 일정 시간이 지나면 강제 로그아웃을 시키고 패스워드를 별도로 암호화하고 있는 데, SSL 등급만으로 전체 보안 등급을 보는 것은 무리가 있다”고 말했다.
역시 낮은 보안 등급이 나온 위메프는 이와 관련한 언급을 거부했다. 위메프의 경우 1월초만해도 SSL랩 테스트 결과 F등급이 나왔으나, 취재 사실이 알려지면서 보안 등급을 C등급까지 올렸다.
2011년 9월부터 시행된 개인정보 보호법 24조 3항에 따르면 개인정보처리자가 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 해야 한다.