시스템 관리 – 2. 운영 관리 활동의 수행

시스템 관리 – 2. 운영 관리 활동의 수행

운영 활동은 크게 전자상거래 사이트가 제공하는 서비스 및 콘텐츠에 대한 운영 관리를 하는 것과 전자상거래 시스템을 운영 관리하는 것으로 구성된다.

서비스 및 콘텐츠 운영 관리는 어떤 콘텐츠를 어떻게 서비스할 것인지에 초점을 두고 있는 것으로, 팝업 및 배너의 운영이나 게시물 관리, 웹사이트 링크 등과 같은 운영 내용에 초점을 둔다. 반면, 시스템 운영 관리는 정상적으로 사이트가 운영되고 있는지에 대하여 초점을 두고 있어 주로 성능 및 장애 관리, 백업 관리 등을 다룬다.

사이트 운영 활동의 수행

가) 서비스 및 콘텐츠 운영 관리

(1) 웹사이트 신규 메뉴 개설

웹사이트를 운영하다 보면 계속해서 새로운 메뉴를 개발하는 것이 필요하다. 또 필요에 따라서 새로운 메뉴를 개발할 경우 체계적인 절차를 거쳐서 개설하는 것이 가장 합리적이다. 이때 개설하고자 하는 개설 목적, 메뉴의 위치, 화면 구성 및 주요 내용 등을 고려해야 한다.

만약 일정 규모 이상의 기업체나 기관에서 신규 메뉴를 개설하고자 할 경우에는 운영 담당자 및 담당 부서장과 협의를 거친 후 관리 책임자에게 메뉴 개설을 요청한다.

‘웹사이트 메뉴 개설 신청서’ (양식 – 회원 전용)

[회원 전용 콘텐츠] 로그인이 필요합니다!

관리 책임자에게 웹사이트 신규 메뉴 개설 신청서를 제출하는 경우에는 다음의 내용을 검토해야 한다.

・콘텐츠 중복 여부 및 구성 내용 검토
・웹사이트 구성 내역 및 업데이트 방안
・정보 보안 대책(개인 정보 보호에 관한 사항 포함)

웹사이트 관리 책임자는 신규 메뉴 개설 신청서의 내용에 대하여 다음 항목에 대한 적절성을 검토하여 메뉴 개설 여부를 결정한다.

・웹사이트 목적 및 대상 수요자 적합성
・콘텐츠의 중복 여부 및 구성 내용 검토
・웹사이트 구성 내역 및 업데이트 방안
・서버의 용량 및 시스템 환경

웹사이트 메뉴 구성에 대한 관리는 관리 책임자가 담당하지만, 웹사이트를 이용하는 고객들의 편의를 위하여 메뉴 체계를 효율적으로 구성해야 하고 고객들의 요구 사항에 대한 처리와 고객들의 참여 서비스 등 의견 수렴 기능을 반드시 고려해야 한다.

(2) 자료(콘텐츠)의 작성

웹사이트에 게재할 자료를 작성할 때는 다음의 사항을 준수하여 작성한다.

・ 고객이 쉽게 이해할 수 있도록 가급적 쉬운 용어를 사용해야 한다.
・ 오탈자・띄어쓰기 등 문법적 오류가 없게 작성해야 한다.
・ 고객들이 자주 실수하는 사항에 대해서는 안내 문구를 제시하여 주의를 환기시켜야 한다.
・ 제시하는 자료의 내용이 많을 경우에는 요약 정보를 제공하는 것이 좋다.

자료를 작성하거나 업데이트를 하는 경우 다음 사항을 고려하여 저작권에 저촉되지 않도록 주의를 기울여야 한다.
・ 저작권을 가지고 있는 곳에 연락을 취하여 사용할 수 있는 허락을 받는다.
・ 전체적인 내용을 응용하여 새롭게 편집하여 작성한다.
・ 원하는 자료가 있는 홈페이지의 자료를 직접 가져오는 것보다 링크를 통해 게시하는 것이 바람직하다.
・ 기타 저작권에 관한 내용은 한국저작권위원회 또는 한국소프트웨어저작권협회에서 확인한다.

또 웹사이트에 게재되는 자료의 추적 및 이력 관리를 위하여 정기적으로 현황을 관리하는 것이 필요하다.

‘월간 홈페이지 자료 게시/업데이트 현황 통보’ (양식 – 회원 전용)

[회원 전용 콘텐츠] 로그인이 필요합니다!

(3) 팝업 및 배너 운영

팝업이나 배너(banner)의 경우 웹사이트 이용자에게 새로운 정보를 제공하는 데 중요한 역할을 하기 때문에 반드시 게시되어야 하지만 일정한 게시 건수와 기간 등의 기준이 필요하다.

예를 들어, 일반적으로 동시에 게재되는 팝업의 수는 최대 3개(팝업 존의 경우 5개)를 초과하지 않고, 게재 기간은 최대 4주 이내가 되도록 한다.

만약 일정 규모 이상의 기업체나 기관에서 웹사이트 운영상 팝업이 필요할 경우에는 표준양식 ‘웹사이트 팝업 존 게재 신청서’에 따라 관리책임자에게 신청된 것에 한하여 게재할 수 있도록 한다.

‘웹사이트 팝업 존 게재 신청서’ (양식 – 회원 전용)

[회원 전용 콘텐츠] 로그인이 필요합니다!

(4) 웹사이트 메뉴의 폐쇄

만약 웹사이트에 개설된 부분이 일정한 기간 동안 정상적으로 운영되지 않거나 이용자가 전혀 이용하지 않는다면 이에 대한 폐쇄를 결정해야 한다.

만약 일정 규모 이상의 기업체나 기관에서 이러한 상황이 발생할 경우 웹사이트 관리 책임자가 담당 부서에 이에 대한 보완을 지시하고, 보완 지시 후 1월 이내에 보완이 이루어지지 않을 경우에는 해당 부분을 폐쇄할 수 있다.

(5) 게시물 자료 관리

게시물의 자료를 관리하는 것은 자료의 신뢰성이나 보안성 등을 유지하는 데 매우 중요한 의미가 있다.

즉, 각종 게시판에 게시되는 모든 글은 실명이나 책임자가 표시된 상황에서 게시되도록 해야 한다.

특히, 소규모의 전자상거래를 운영하는 기업에서는 개인 정보 유출에 따른 피해가 없도록 각별히 주의를 기울여야 한다.

만약 일정 규모 이상의 기업체나 기관에서 게시물에 대한 관리 업무를 수행할 경우 기관 및 부서의 장은 자료 관리를 위한 책임자를 지정하여 한다. 이때 게시판 관리 책임자를 변경 할 경우에는 변경 사항에 대하여 웹사이트 운영 부서에 통보해야 한다.

‘홈페이지 운영책임자 등 지정/변경 통보서’ (양식 – 회원 전용)

[회원 전용 콘텐츠] 로그인이 필요합니다!

또 자료 관리 담당자는 자료 관리 책임자로부터 자료의 신뢰성, 보안성 등을 검토 받고 결재를 얻은 후 자료를 입력하거나 수정하도록 하며, 「정보 통신망 이용 촉진 및 정보 보호 등에 관한 법률」제44조, 제44조의5 및 동법 시행령 제29조에 따라 웹사이트의 각종 게시판에 게시되는 모든 글은 반드시 실명으로 될 수 있도록 기술적·관리적 조치를 취해야 한다.

특히, 개인 정보 유출에 따른 피해를 없애기 위해 개인 식별 정보(주민 등록 번호, 신용카드 번호, 휴대폰 번호 등)가 웹사이트의 공지 사항, 자료실, 게시판 등에서 유출되지 않도록 시스템 관리 및 모니터링 등에 대한 대책을 적극적으로 추진해야 한다.

익명으로 비방이나 악플 등을 이용하여 타인의 명예를 손상시키거나 웹사이트의 개설 목적 및 취지에 맞지 않다고 판단되는 경우를 방지하기 위하여 관리 담당자는 웹사이트에 게재되는 모든 정보에 대하여 수시로 점검해야 하며, 삭제 또는 비공개에 대한 처리를 결정해야 한다.

게시물 자료 삭제 또는 비공개 처리 기준
국가 안전이나 보안에 위배되는 경우
・ 정치적 목적이나 성향이 있는 경우
・ 특정 기관, 단체, 부서를 근거 없이 비난하는 경우
・ 특정인을 비방하거나 명예 훼손의 우려가 있는 경우
・ 영리 목적의 상업성 광고, 저작권을 침해할 수 있는 내용
・ 욕설, 음란물 등 불건전한 내용
・ 실명을 원칙으로 하는 경우에 실명을 사용하지 않은 경우
・ 동일인이라고 인정되는 자가 동일 또는 유사 내용을 반복하여 게재하는 도배성 글
・ 연습성, 오류, 장난성의 글
・ 기타 해당 게시판의 취지와 부합하지 않을 경우 등
게시물 자료 삭제 또는 비공개 처리 기준

이때 삭제된 자료에 대하여 일정 규모 이상의 기업이나 기관에서는 ‘게재 자료 삭제 기록부’에 기록하여 일정 기간(1년 이상) 관리할 수 있도록 조치를 취한다.

‘게재 자료 삭제 기록부’ (양식 – 회원 전용)

[회원 전용 콘텐츠] 로그인이 필요합니다!

(6) 웹사이트 링크 관리

타 기관이나 협력 업체에서 링크를 위한 협조 요청 시 이에 대한 공정성이나 타당성 등을 분석하여 특별한 사유가 없는 한 협조해야 한다.

타 기관이나 협력 업체의 웹사이트 링크를 통해 정보를 제공하는 경우 제공 정보에 대한 저작권과 책임을 명확히 하고 필요시 주의 사항을 표시한다.

따라서 해당 기업이나 기관은 자신의 웹사이트 정보가 다른 기관 웹사이트에 링크가 될 수 있음을 유념하여 웹페이지의 구축 시 게시판, 통계, 자료실, 고객 참여 마당, 정보 공개 등 특정 웹페이지의 이름 및 URL을 표준에 따라 사용하고 부득이 바꾸어야할 경우 관련 업체나 기관에 사전 통보한다.

또 자신의 사이트에 연결된 링크에 대한 등록 기록을 유지하고, 다른 사이트에서 자신의 사이트로의 링크를 구축한 경우에는 해당 링크에 대한 등록 기록을 유지하며 링크가 실제로 실행되지 않는 데드 링크(dead link)가 발생되지 않도록 링크 상태를 정기적으로 검사하고 갱신한다.

(7) 개인 정보 및 저작권 보호

웹사이트 운영 관리 기관은「정보 통신망 이용 촉진 및 개인 정보 보호 등에 관한 법률」제27조 1항에 따라 사용자의 개인 정보를 보호하고 개인 정보와 관련한 사용자의 고충을 처리하기 위하여 개인 정보 관리 책임자를 지정한다.

(가) 개인 정보의 정의

‘개인정보’란 살아 있는 개인에 관한 정보로서 성명, 주민 등록 번호 및 영상 등 을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.)를 말한다. [개인정보 보호법 제2조]

사이트 운영 시 보호해야 할 개인 정보의 운영

(나) 개인 정보 노출

개인 정보 노출이란 일반적으로 홈페이지를 이용하는 자(이하 홈페이지 이용자)가 해킹 등 특별한 방법을 이용하지 않고 정상적으로 인터넷을 이용하면서 타인의 개인 정보를 취득할 수 있도록 인터넷에 방치되어 있는 것을 말한다.

(다) 개인 정보 노출 유형

1) 여행 업체 게시글 노출 사례

  • ‘여행 예약 확인 요청’ 글에서 주민 등록 번호, 여권 번호 노출
  • ‘현금 영수증 요청’ 글에서 주민 등록 번호 노출
  • ‘질문과 답변’ 글에서 주민 등록 번호 노출
  • ‘자주 묻는 질문 FAQ’ 글에서 주민 등록 번호 노출

2) 의료 업체 게시글, 첨부 파일 및 홈페이지 설계 오류 등

  • 건강 상담의 ‘복약 상담’ 글에서 주민 등록 번호 노출
  • 정보 광장의 ‘채용 공고’ 파일에서 주민 등록 번호 노출
  • ‘요양 급여 비용 청구서’ 파일에서 주민 등록 번호 노출
  • ‘건강 진단 결과표’에서 주민 등록 번호 노출

3) 협회 게시글 및 첨부 파일

  • ‘선수 등록 및 탈퇴 신청’ 글에서 주민 등록 번호 노출
  • ‘자원봉사 신청서’ 첨부 파일에서 주민 등록 번호 노출
  • ‘내용 증명서’ 파일에서 주민 등록 번호 노출

(라) 개인 정보 포함 여부 확인 방법

1) 게시글

  • 게시글을 작성한 개인 정보 취급자 외 1명 이상의 검토자가 개인 정보 포함 여부를 확인한다.
  • 개인 정보 검색/차단 솔루션 및 웹 방화벽을 이용하여 개인 정보 포함 여부를 확인한다.

2) 첨부 파일

  • 엑셀 내 개인 정보 포함 여부: Ctrl+F → 옵션 → ‘범위 : 통합문서’설정 후 검색
  • 엑셀의 숨김 처리된 필드 내용: 행(1, 2…), 열(A, B…) 전체 선택 → 오른쪽 마우스 클릭 → 숨기기 취소
  • 엑셀의 숨김 처리된 Sheet 내용: Ctrl+F → 옵션 → ‘범위: 통합 문서’설정 후 검색(생년월일 혹은 “-”검색)
  • 엑셀의 함수 치환된 내용: 마스킹된 부분을 마우스로 클릭하여 육안으로 확인
  • 엑셀의 [메모] 내용: Ctrl+F → 옵션 → ‘범위 : 통합문서, 찾는 위치 : [메모]’ 설정 후 검색
  • 엑셀 첨부 파일 내 OLE 객체 삽입: 문서 내의 도표를 클릭하여 OLE 객체 삽입 여부 확인
  • 엑셀 첨부 파일 내 글자색 변경: Ctrl+F → 옵션 → ‘범위 : 통합문서’설정 후 검색→ 해당 위치 드래그 하여 확인

(마) 사이트 운영에서 개인 정보 노출 방지 대책

1) 홈페이지 운영 및 관리

  • 운영 중인 홈페이지 및 FTP(file transfer protocol) 서비스 운영 현황 조사를 한다.
  • 홈페이지 개인 정보 취약점을 점검한다. 이는 홈페이지 중 로그인이 필요한 페이지(회원 페이지, 관리자 페이지)의 인증 절차 점검을 통해 인증 우회 및 소스 코드를 통한 개인 정보 노출이 발생하지 않는지 점검한다.
  • 관리자 페이지는 기본적으로 외부에서 접근이 불가능하도록 운영해야 한다.
  • 외부에서 접근을 해야 할 경우에는 가상 사설망(VPN: virtual private network)을 이용하여 비인가자의 접근을 제한하고 전송되는 정보를 암호화해야 한다.

2) 개인 정보 노출 예방 솔루션 운영 및 관리

  • 웹 서버 및 홈페이지에 게시된 자료에 개인 정보가 포함되었는지 주기적으로 점검해야 한다.
  • 홈페이지 개인 정보 노출 차단 솔루션을 점검한다.
  • 개인 정보 취급자 PC에는 암호화 솔루션 및 개인 정보 파일 검색 솔루션을 도입하는 것도 좋다.

‘웹사이트 개인정보 보호 관리 대장’ (양식 – 회원 전용)

(8) 웹 보안 취약점 점검 및 대응

웹 서비스의 안정성 및 신뢰성을 확보하기 위하여 웹사이트의 웹 보안 취약점에 대한 상시 대응 체계를 마련해야 한다.

웹사이트 관리자와 보안 담당자는 운영 계획에 따라 정기 혹은 수시로 다음의 웹사이트 보안 취약점 점검 및 보완 조치를 수행해야 한다. (홈페이지 개인정보 노출방지 안내서, 개인정보보호위원회, 2020.12월)

  • 디렉터리 리스팅 취약점, 파일 다운로드 및 업로드 취약점
  • 크로스 사이트 스크립트(XSS), SQL Injection
  • 쿠키 암호화, 접근 통제 취약점 등

나) 시스템 운영 관리

웹 시스템의 구축, 환경 설정 변경, 백업 등 운영 관리는 해당 업체나 기관의 정보 시스템 운영 관리 지침을 준수해야 한다.

(1) 구성 및 변경 관리

웹사이트 서버 관리자는 응용 시스템 구성도, 소프트웨어 구성도 등의 운영에 관련된 산출물 등 주요 구성 요소들에 대한 관리를 주기적으로 수행한다.

장애 혹은 사용자 요구로 인하여 웹사이트의 변경이 발생했을 시 변경 관리 대장 등을 활용하여 변경 관리를 한다.

(2) 성능 및 장애 관리

웹사이트 운영 책임자는 웹사이트를 통하여 제공하는 웹 서비스의 안정적인 제공을 위하여 시스템의 성능 및 용량을 파악하여 사전에 대처할 수 있도록 한다.

  • CPU 사용량, 디스크 용량 및 I/O, 응답 속도 등

정상적인 서비스의 범주를 벗어난 모든 장애에 대하여 효율적으로 대처할 수 있도록 장애 이력을 관리 하고 이를 통해 문제점을 파악하고 대응 방안을 수립하는 것이 필요하다. 장애 발생 시 신속한 대처를 위하여 장애 유형별 대응 시나리오를 수립하고
비상 연락망은 항시 업데이트하여 관리한다.

(3) 백업 및 보안 관리

비상시 긴급 복구를 위하여 필요한 백업목록 및 스케줄을 정의하고 주기적으로 백업을 실행한다.

백업 용량을 주기적으로 점검하여 정상적인 백업 관리가 가능하도록 충분한 용량을 확보해야 한다.

웹 서버의 사이버 침해 및 관리 소홀로 인한 개인 정보의 노출 등을 방지하기 위하여 보안 강화에 대한 기술적 조치 및 보안에 대한 사항을 주기적으로 점검해야 한다.

내부 관련자(직원, 유지 보수 요원, 시스템 개발 요원)로부터의 내부 정보 유출 및 해킹 방지를 위한 관리적·기술적 보안 장치를 마련하고, 상시 점검해야 한다.

웹 서버의 보안 취약점으로 인한 보안 사고의 근본적 예방을 위하여 정기적으로 웹 서버의 보안 취약점을 점검하고 시정·조치한다.

(4) 업무 연속성 계획(BCP)

천재지변이나 테러 등 갑작스런 사고로 정상적인 서비스 제공이 불가한 경우를 대비하여 비상 서비스 제공 및 응급 복구를 위한 계획을 수립하고 정기적으로 점검해야 한다.

업무 연속성 계획 수립은 일반적으로 다음의 단계에 따라 수립할 수 있다. 단, 외부 전문 기관(컨설팅 업체 등)을 통해 수립하는 경우에는 전문 기관(컨설팅 업체 등)의 대처 방법에 따른다.

단계주요 내용
정의재해의 정의
분석업무 현황 분석, 재해 위험 요인 분석, 업무 중요도 분석, 업무 복구 순위 결정
설계복구 목표 시간 설정, 단계별 재해 복구 전략 및 실행 계획 수립(단기/중기/장기)
구현IT 재해 복구 계획서, 테스트, 유지 관리
업무의 연속성

업무의 연속성 계획은 서비스 운영 조직과 인프라 운영 조직 간 상호 유기적인 협조 체제가 필요한 사항으로 재해 복구 전담팀을 구성하여 재해 복구 계획을 수립하고 주기적으로 테스트를 하는 것이 필요하다.

출처

NCS 학습모듈: 10.영업판매 > 03.판매 > 01.e-비지니스 > 02.전자상거래 (일부 수정)

코멘트 제출

Don`t copy text!