근래에 다량의 개인정보가 유출되는 사건들이 빈번하게 일어나고 있어, 온라인상의 개인정보보호가 이슈가 되 고 있습니다.
이에 대한 대책으로 개정된 정보통신망법<정보통신망 이용촉진 및 정보보호 등에 관한 법률>에 따라 개인정보를 수집하는 모든 온라인 사업자들에 대해 보안서버 구축의무화가 지난 2012년 8월 18일부터 본격 시행되어 보안서버구축 없이 개인정보를 수집하는 웹사이트가 있다면 사전경고 없이 최대 3000만원의 과태료가 부과됩니다.
- 보안서버 구축 관련 법령
『개인정보보호법』 제29조 (안전조치의무)
① 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.
동법 시행령 제10조2(홈페이지 개인정보보호)
① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.
- 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
※ 대상기관: 교육부 및 직속기관, 교육청 및 산하기관, 국·공립 사립대학, 각급학교, 공공기관 등
- 보안서버란?
보안서버란 인터넷상에서 전송되는 개인정보를 암호화하는 시스템을 의미하며, 이미 사용하고 있는 웹 서버에 인증서나 암호화 소프트웨어를 설치하여 구동합니다.
인증서의 경우는 해당 업체의 실존을 증명하는 과정을 거쳐 발급되기 때문에 웹사이트에 대한 인증 기능도 일부 가지고 있습니다.
- 보안서버의 종류
1)SSL인증서 - 넷스케이프사에서 전자상거래 등 의 보안을 위해 개발, 현재 전 세계적인 표준 보안 기술로 사용되고 있습니다.
(url주소 앞에 자물쇠마크로 확인가능)
2)표준보안API - SSL과 같은 보안서비스를 제공하며, 사용자신원확인 및 부인방지기능(Non-Repudiation)까지 제공합니다.
(작업상태줄의 암호화 프로그램 실행 확인)
보안서버 종류에 대한 자세한 사항은 이곳에서 확인 가능합니다.
전사서명인증센터 <<
- 보안서버구축 의무에 해당되는 웹사이트
어떤 웹사이트가 보안서버 구축 의무에 해당되는 경우를 살펴보겠습니다.
개인정보를 수집하는 웹사이트
1) 회원가입
2) 로그인
3) 온라인결제
4) 게시판
회원가입을 받지 않아도 웹사이트에 방문자가 글을 게시할 때 개인정보를 입력하게 되어있는 웹사이트 즉 사이트의 성격을 떠나서 개인정보취급행위를 하는 모든곳이 보안서버 설치에 해당된다고 생각하시면 됩니다.
※ 아이핀 : 아이핀은 개인정보를 입력이 아닌 저장된 정보를 불러와서사용하는 방식이지만, 암호화되어있는 시스템이 아니기 때문에 일반 개인정보와 동일하게 취급하며 보안서버설치 대상이 됩니다.
(개인정보의 예 - 한국인터넷진흥원 -)
- 보안서버의 필요성
1) sniffing 방지(정보유출방지) - 개인정보수집을 위한 악의적해킹 방지
2) integrity 보장(위변조 방지) - 데이터통신의 위변조를 막아 신뢰할 수 있는 데이터 통신 보장
3) phishing 방지(위조사이트 방지) - 보안서버가 구축된 사이트를 대상으로 피싱공격을 시도하기 어렵다
4) 신뢰도향상 - 사용자의 개인정보를 안전하게 보호하는 웹사이트 이미지구축
참조 : 교육부전자서명인증센터
보안서버전문협의회