Computer/community

보안서버(SSL) 도입 의무화를 위반하면??

알찬돌삐 2012. 8. 14. 18:50
요즘 보안서버 (SSL) 도입 의무화 관련하여 말이 많이 나오고 있습니다.

이법이 지금 처음 시행되는게 아니라, 예전부터 말이 많았고, 외화유출[각주:1]이라는 측면에서도 이야기가 나왔었습니다.




개발자 커뮤니티에서도 보안서버 해야 된다 VS 안해도 된다 열띈 토론을 벌이고 있는데요.

관련 법 조항을 알아보았습니다. 

쇼핑몰은 아래 글을 볼 필요없습니다. 주민등록번호를 수집하는 경우 하셔야 합니다.

여기서 논하고자 하는 것은 주민등록번호 이외의 정보를 받는데 이것이 의무대상자이냐 하는것입니다.


법령에서 말하는 "보안서버" 란 도대체 무엇을 말하는걸까요?

"개인정보의 기술적·관리적 보호조치 기준" 제2조 제9항에 따르면

"보안서버"라 함은 정보통신망에서 송·수신하는 정보를 암호화하여 전송하는 웹서버를 말한다.

라고 되어있습니다.


"보안서버"가 갖추어야 하는 기능은 아래와 같습니다. ("개인정보의 기술적·관리적 보호조치 기준" 제6조 제3항)

③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.

1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능

2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능


아래는 한국인터넷 진흥원에서 보안서버 도입 법적 근거라고 나타낸 그림입니다.


그럼 한국인터넷 진흥원이 내세운 법령과 시행령을 파헤쳐보면서 따져봅시다.

1. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 [바로가기]

위에 제시된 법령은 이미 제·개정 되었습니다.  

이번에 시행하는 법령링크입니다. [바로가기]

어찌되었든 위에 제시한 내용으로 파헤쳐가봅니다.

8의2. 제28조제1항의 규정을 위반하여 기술적·관리적 조치를 하지 아니한 자

제28조 (개인정보의 보호조치) 

① 정보통신서비스제공자등은 이용자의 개인정보를 취급함에 있어서 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록 대통령령이 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 조치를 하여야 한다.


흠....이거랑 보안서버랑 무슨 상관인지요? 이건 패스


2. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령

이것 역시 보안서버 의무도입에 대한 내용은 아니네요. 패스.


3. 개인정보의 기술적,관리적 보호조치 기준

이것 역시 보안서버 의무도입에 대한 내용은 아니네요. 또 패스.


Google 광고


위에 제시한 이미지로는 과태료 처분을 받지 않습니다.

하지만, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제11322호 시행 2012.8.18 

제76조(과태료) 3.제28조제1항(제67조에 따라 준용되는 경우를 포함한다)에 따른 기술적,관리적 조치를 하지 아니한 자

기술적,관리적 조치를 취하지 아니한 자입니다.

제28조제1항제4호를 보시면 개인정보를 안전하게 저장,전송할 수 있는 암호화기술 등을 이용한 보안조치

그러니깐 보안서버가 아니라 암호화해서 넘기면 됩니다.

굳이 SSL 이 아니어도 되겠죠?

결론 . 암호화해서 전송해야 한다!!!


그렇다면 결론을 내렸으니 SSL 인증서를 사야겠지요?

국내 최저가 SSL 인증서 판매업체입니다. 이것보다 더 낮은 가격을 본적이 없네요.

http://www.i-swear.com/827

위 링크로 가시면 됩니다. ^^.

.
  1. 인증서 상위업체들이 해외에 있기 때문에 인증비용을 해외에 지불하고 있습니다. [본문으로]