보안 서버 설치 안해도 된다(?)
제가 작성한 두 글..
를 읽고나면 현실적인 대책으로 정말로 보안서버라는 것을 설치하고 싶지 않으실 겁니다. 그래서 나름데로 준비를 해봤습니다. 법에서 말하는데로 설치를 해야한다는 쪽으로 말이죠. (그러나 전 이럴 때 거짓말쟁이인거 아시죠?)
일단 이것을 주도하는 곳이 어딘지를 찾아보니 "한국정보보호산업협회"라는 곳이군요. OR.KR이지만 국가 기관은 아닌듯 싶군요. 주된 사업을 벌이는 곳이 "협회"라고 하여서 적지 않게 실망하였습니다. 그래도 중요한 내용은 "처벌 받을 가능성은 얼마나 있고 그 대상에 내가 들어가는가?"라는 것이죠. 그렇다면 일단 문서로 정리된 것을 찾아봅시다. 제가 찾은 보안서버 FAQ라는 문서는 한국정보보호산업협회의 FAQ쪽에서 찾았으며, 해당 문서의 위치는 http://www.kisia.or.kr/secureserver/faq.php 입니다. (귀찮으신 분은 제 블로그에서 여기를 누르시면 동일한 파일을 받으실 수 있습니다) 다운로드 받아서 쭉 읽으면서 뭔가 이상하다는 것을 느꼈습니다. 제가 FAQ문서를 읽으면서 이상하다고 느낀 부분은 다음과 같습니다.
그리고 "시행할 가능성도" 있지만, "시행 안할 가능성도"있는겁니다. 개인적으로 시행되기를 바라면서 열심히 조사를 진행했습니다.
이들이 말한 법규쪽 내용을 찾아보니 친절하게 다음과 같이 되어있습니다.
※ 관련 법규 보기
자.. 그럼 이제 위에 언급된 법적인 부분을 한번 잘 뜯어서 생각해봅시다
※ [정보통신망이용촉진및정보보호등에관한법률]을 보면...
※ [정보통신망이용촉진및정보보호등에관한법률 시행규칙]을 보면...
※ [개인정보의 기술적 관리적 보호조치 기준]을 보면...
위 내용중 보안서버와 관련된 내용이 어디에 있습니까? 정말로 궁금합니다.
위에서 언급한 법을 보고나면 한가지 의문이 드셔야 정상입니다. 바로 의문으로 개인정보에 속하는 부분이 과연 어디까지인가?라는 부분입니다. 법에 개인정보에 포함되는 것을 명.확.하.게 명시하지 않은 의도는 무엇입니까? 주민등록번호야 유일하므로 개인식별코드로 사용 가능하고, 이를 개인정보에 넣는 것은 당연합니다. 그러나 사용자가 마음데로 지정할 수 있는 ID/PW/E-mail만의 정보도 개인정보에 포함되는 겁니까? 참고로 하나 더 말씀드리면 국가 기관 중에서도 보안서버 도입 안된 곳 엄.청.나.게. 많습니다.
※ 자.. 그러면 한번 정통부에서 온 문서를 봅시다. (길어서 감췄음)
이 문서는 정말 최고입니다. 국무회의의 내용은 실태 조사를 해보니 보안서버 도입이 널리 퍼지지 않았으니 홍보를 부탁한다는 것입니다. 그것과 보안 서버의 도입 여부를 절묘하게 붙였군요.
그래서, 다시 문제를 바꿔서 개인 정보가 어디까지인지, 어떤 부분인지 확인을 해봅시다. 개인정보에 해당하는 내용이 없도록 사이트 변경을 한다면 보안서버를 도입할 필요성이 없어지니까요. 근데 말이죠..... 개인정보보호법을 찾다보니 .... 최근 "디지털 타임즈"에서 나온 기사 중에 이런 제목의 기사는 있더군요.
위 기사를 보면 뭔가 한방 먹었다는 느낌 안드십니까? 통합할 수 있는 법도 제대로 없는 상태에서 애매한 중소기업만 맘고생시켜서 처벌한다고 협박해서 몇몇 업체가 배부를 수 있도록 한거라는 생각은 안드십니까? 도대체 개인정보의 범위는 어디까지이며, 그 법에서 말하는 보호 수단으로 보안서버를 도입해야 하는지에 대한 정보는 전혀 없이 진행하는게 어느나라 법입니까?
Trackback : http://www.daegul.com/trackback/2511252
-
Subject KISA, 사이트 검열이 시작된다.
2006/12/26 15:40
당신은 커뮤니티에 관심이 있는가?커뮤니티라는 건 어떤 특정한 주제를 정해서 사이트를 오픈하면 그 주제에 관심을 갖는 유저들이 모여들어 서로 글을 쓰고 답변을 받고 정보공유를 하면서 친목까지 도모하는 단체을 뜻하는 것이다.일종의 동아리 또는 동호회를 인터넷으로 옮겨놨다고 생각하면 될 것이다. 흠, 한참 하이텔, 천리안, 나우누리, 유니텔등이 전성기를 누리고 있었을 시기였는데, 인터넷에 php 기반으로 이루어진 제로보드라는 게 나타났다. 하지만 PC통신..
-
Subject 보안서버, 가격은 천차만별...성능은 비슷
2007/01/13 14:36
얼마전 부터 실시된 보안서버 구입을 필수로 한국정보보호진흥원에서 진행하고 있다. 요즘 12월 말까지 구축을 하라고 여러번 전화를 받았는데 해야 할지 NTFAQ 사이트 고민입니다. 한국정보보호 진흥원 자료구축 : 보안서버전문협의회 및 세부 자료 아래 기사는 보안서버 가격정보와 기능에 대해서 언급한 내용이다. 일반적으로 보안서버는 인터넷상에서 개인정보를 암호화해 전송하는 기능을 제공하는 서버로서 개인정보보호에 도움이 되는 장치로 알려져 있다. 개인정보가..
-
Subject 보안서버와 관련한 정보통신망 이용촉진 및 정보보호 등에 관한법률
2007/01/25 10:42
회사에서 SSL 보안서버 인증서 설치건으로 골치아파서 인터넷을 뒤지다가 다음 글을 읽게 되었습니다.참고로, PHP 스쿨 포럼에서 퍼왔습니다. 원문참조 : http://www.phpschool.com/gnuboard4/bbs/board.php?bo_table=talkbox&wr_id=455279&sca=&sfl=mb_id%7C%7Csubject&stx=kkpara&page=4 ======================..
-
-
-
-
-
데굴대굴 2006/12/27 14:05
예전에 DB 암호화 이야기 나왔을 때도 이런 스토리로 진행되었죠. 안하면 법에 어긋난다는 식의 비슷한 사건이 있었죠. 그래서.... 정부가 하는 말은 일단 안 믿고 법이 있는지 여부부터 확인하는 습관을 기르는게 좋습니다. 기관이라는 법이 없는데 실행하게 되면 권력남용이 될 것이고 개인이 한다면 사기니까요.
-
-
문스랩닷컴 2007/01/14 11:34
대굴님의 의견 잘 봤습니다만, 저의 견해는 약간 다른쪽으로~.
기존에 웹서버들이 무조건 개인정보 수집하던 관행에 제동이 걸렸으면 하는 바램입니다. 쇼핑몰이나 국가기관/은행과 같이 개인정보가 필요한 경우에는 입력해야겠지만, 조그만 회사의 사이트에 메일링 리스트를 가입하려고 해도, 사이트를 가입해야 하며, 이때 모든 정보 약 10여가지(뭔지 아실듯)를 입력받는 그런 곳이 대부분입니다.
이런 곳은 보안서버 구축하라고 하면 DB를 날리지 않을까요?-
데굴대굴 2007/01/15 00:03
저는 보안서버를 구축하라는 것 자체에는 뭐라고 하지 않습니다. 그것을 무분별하게 남발하는 국가 정책에 테클을 걸고 싶을 뿐입니다. 정상을 넘어선 한도치 이상에는 제가 아니여도 누군가 테클을 걸어야 한다고 생각했을 뿐입니다. 어디부터 어디까지인지 명확하게 정해주지도 않고 막연하게 지정하기만 한다면, 그건 지금과는 다른 또 다른 혼란을 가져올 뿐입니다. 그렇기 때문에 보다 명확한 구제와 법률을 원할 뿐입니다.
최소한의 법규가 있고, 그것을 지키라고 한다면 그 자체를 뭐라고 하지 않을것입니다. 하지만, 막연하게 지키시오라고만 하고 그 범위를 지정하지 않는다면 수많은 사람이 피해를 볼 것입니다. 해야한다면 명확하게 지키도록 정비를 하는 것이 바로 국회가 할 일 아닌가요? 그렇기 때문에 답답해서 떠든 것입니다.
저 역시 분명하게 지정되기는 바라는 사람중 한명입니다만, 벌써 몇년째 같은 법을 가지고 놀아나는지 모르겠군요. (기억이 맞다면 2002년~2006년 동안 같은 내용으로 매번 당하고 있습니다. 물론 매번 타이틀은 바꾼체로 말이죠.)
-
-
민세아빠 2007/01/18 16:08
먼저 데굴데굴님의 글을 읽고 동감하는 바가 컸습니다. 참고로, 보안서버 설치에 있어서 우리가 알아야할 것이 하나 더 있습니다.
그것은 가장 대중적인 리눅스 플랫폼에서 돌아가는 Apache 웹서버의 경우, OpenSSL과 mod-SSL이 연동해서 설치되어 있는 경우가 많다는 것입니다.
따라서 이경우 서버를 운영하는 유저/회사의 의지와 능력에 따라 SSL 서비스를 즉시 개시할 수 있으며, 매년 갱신해야할 유료 인증서를 구지 구매하지 않아도 보안서버 서비스를 제공할 수 있습니다.-
데굴대굴 2007/01/18 17:13
OpenSSL을 사용해 웹서버에 사설 인증서를 적용하는 경우 이 인증서가 맞고 유효한가에 대한 적법을 거쳐야 합니다. 이 과정에서 운영에 대한 문제가 발생하죠. 정말 이 회사가 이런 보안 솔루션을 가지고 있을 정도로 안전한가라는 궁금증이죠. 사용자가 이를 신뢰한다면 문제가 없겠지만, 사용자가 인증서를 못 믿겠다고 하면 에러난 것 처럼 보일 것이니, 다시 문제의 원점으로 돌아갈겁니다.
아마 외국의 수 많은 18금 사이트를 가보시면 아시겠지만, 대부분 이런 곳은 공인이 아닌 사설 인증서를 사용하기에 엄청난 인증서 설치 클릭이 있습니다. 더구나 이 인증서 중에서는 SSL만이 아닌 ActiveX 코드 사이닝까지 포함하는 경우가 있더군요. 이건 더 큰 재앙을 갖고옵니다. 이런게 현실인데, 과연 사람들이 사설 인증서를 신뢰할 수 있을까요?
-
-
민세아빠 2007/01/22 16:08
여러 경로로 정보를 검색해 본 결과, 일단 데굴~님;)의 지적도 일리가 있다고 생각합니다. 사이트운영자가 사설인증서와 연동해서 SSL서버를 구현해서 법령의 요건을 충족한다고 해도, 사용자가 그것을 부정해버리면 결국 그건은 운영상의 장애물로 등장하겠죠.
-
데굴대굴 2007/01/22 17:41
쩝... 사실 명확하게 법을 따져서 말하면 사설 인증서를 쓸 수 없습니다. 아니, 사용하면 바로 법을 어기고 있는겁니다. "http://open.unfix.net/전자서명법과-공인인증서in-progress/" 에 있는 내용을 쭉 보시다 보면 "4. 정통부의 처분이 전자서명법에 위반되는 이유"에 바로 "전자서명법 제4조"가 나와있습니다. 이 내용은 [공인인증 업무를 취급할려는 자는 허가받아야 한다]는 것인데, OpenSSL을 사용하여 사설 인증서를 발행하여 실제 웹서버에 올리는 경우 공인 인증 업무를 진행하는 것이므로, 법에 위반이 됩니다. 이걸 사설 업무라고 우기는 것은 거의 불가능 할 것으로 보입니다.
업체쪽에서 SSL을 잘 팔기 위해서는 적어도 다른 법을 가지고 나오는게 맞다는 느낌이 더 강하게 들고 있습니다. (그러나 대부분이 반쪽짜리 법이거나 권고 수준이기에 강제력이 많이 떨어집니다) 적어도 지금 당장은 아니고 조금 더(개인적인 생각으로는 약 1년이나 2년 정도가 되지 않을까 싶습니다만..) 두고 봐도 괜찮다는게 제 생각이죠.
오히려 제가 볼 때는 현재의 결제처리 방식(IE 전용의 플러그인 방식)이 폐기되버리면, 그때는 안전한 통신을 위해 SSL을 도입할 수 밖에 없는게 제가 보는 순서가 아닐까 싶습니다. 현재의 결제처리 방식은 신기하게도 결제업체쪽에서 모든 정보를 다 안전하게 처리해주고 있으니까, 이것이 변경되면 그때는 한동한 불만이 뜨겠지만, 그래도 조금만 지나면 구입 안할 수 없게 되지 않을까 싶군요. 근데 생각해보니, 이런 경우라 할지라도 무통장 입금만 가능하다는 곳이 나오면.. 그때는 또 이야기가 달라지겠네요. ^^;
-
