2012

09월

03

정보통신망법 개정으로 적용된 보안서버 의무화 추가내용

전에 올린 “8월 18일 부터 갑작스런 보안서버 의무화? 이해할 수 없는 움직임.” 의 후속편 입니다. 이전 글을 읽고 이 글을 읽으면 전체적인 진행과정이나 이해가 쉽습니다.

제가 8월 9일에 위 링크의 글을 올리고 그 다음 주 수요일 경에 (8월 15일) 업체들과 한국 인터넷 진흥원(KISA)에 전화를 걸어 몇가지 사실들을 확인해 보았습니다.

또한 주변에 관련된 메일을 받은 분께 양해를 부탁 드리고 관련 메일을 포워딩 하여 받아보았습니다만 이전에 올린 글에 있는 내용과 같은 메일 내용이었습니다.
사용자들에게는 8월 18일까지 보안 서버를 구축하지 않으면 과태료를 물게 된다는 호스팅 업체의 메일이었고, 방송통신위원회 (방통위)의 공문이나 그외 기타 내용에 대해서는 안내가 없었습니다.

통화는 8월 중순에 했는데 개인적으로 바쁜 상황이라 이제 정리해서 올립니다. 가급적 위 링크를 꼭 읽고 이 글을 읽어주시기 바랍니다.

한국 인터넷 진흥원(KISA)과의 통화내용.

위 링크에서 언급한 것처럼 업체들과 개인정보보호협회와의 통화를 통해 얻은 정보로는 부족하여 KISA에 문의를 해보았습니다 (국번 없이 118로 문의). 다음은 간단히 정리한 통화내용입니다.

————————————————————————————-

1. 비영리 단체는 보안서버 구축이 불필요하다.

2. 개인정보보호법은 비영리도 포함되지만 아이디, 패스워드 입력등 정보 송수신에 대해서는 (근데 이걸 개인정보로 취급하는 것 자체가 어이가 없습니다.) 암호화 해야한다. (도대체 이게 무슨 말인지..)
여기서 개인정보란 개인정보. 주민등록번호, 운전면호 등 개인정보를 식별할 수 있는 정보들이 해당.

3. 이메일, 전화번호도 유의가 필요하다. ( 이것은 개인정보로 구별하지는 않지만 자신들도 모호한 입장인 듯 합니다. 하지만 이메일과 전화번호는 언제든 변동이 가능하고, 임의로 작성이 가능한데 이것까지 개인정보의 범주에 둬야 하는지 의문입니다.)

4. 방통위에서 말하는 8월 18일까지 개인정보 보안서버 구축에 대한 것은 개인정보 수집 금지에 해당하는 것이며 보안서버를 구축해야 하는 것이 아님.

————————————————————————————-

이상이 KISA와 통화한 내용입니다. 이 중에서 4번 항목에 대해서 알아본 내용을 말씀드리려고 합니다.

상담원의 답변으로는 부족하여 개인정보 수집 금지에 대해서 알아보았는데, 2012년 8월18일부터 개정되어 시행되는 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 제 23조 “제23조(개인정보의 수집 제한 등)”과, 제 23조의 2 “주민등록번호의 사용 제한”에 의거하여, 개인정보와 주민번호를 수집하지 못하도록 하는 내용을 말하는 것입니다.

실제로 몇 몇 사이트들이 주민번호를 삭제하고 다른 인증방법을 도입하는 곳들을 보았습니다.

당장 보안서버를 구축해야 하는 것이 아니며, 주민번호를 수집하는 것에 대한 과태료 부가와 처벌을 말하는 것이라고 했습니다.
하지만 계속 알아가면서 이 말 조차 정확하지 않다는 것을 알 수 있었습니다.

정작 개정된 법령은 보안서버 미 구축시, 과태료를 물릴 수 있는 상황.

분명히 이번에 통화한 KISA와 예전에 통화한?개인정보보호협회의 답변에 의하면 보안서버 구축은 8월 18일 부터 적용되는 부분이 아니며, 개인정보 수집 특히, 주민번호 수집에 관한 부분임을 알 수 있지만 실제 개정된 법률에 의하면 꼭 그렇지만은 않습니다.

즉, 경고없이 3천만원의 과태료를 부가할 수 있는 상황이며, 이에 대한 부분을 설명하려고 합니다.

앞으로 설명할 내용은 8월18일 부터 시행된 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 나와있는 내용이므로 항목을 찾아가면서 보셔도 됩니다.
참고로 개정된 부분은 푸른색 바탕으로 되어있습니다. 만약 아래 설명에서 개정되었다는 내용을 보면 흰 바탕이 아닌 푸른색 바탕의 내용을 보셔야 합니다.

개정된 “제76조(과태료)” 의 내용을 보면 각 호에 해당하는 자에게는 3천만원의 과태료를 부가할 수 있고
“3. 제28조제1항(제67조에 따라 준용되는 경우를 포함한다)에 따른 기술적·관리적 조치를 하지 아니한 자” 라는항목이 있는데, 제28조 제1항의 내용은 아래와 같습니다.

제28조(개인정보의 보호조치) ① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다.
1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영
3. 접속기록의 위조·변조 방지를 위한 조치
4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치
5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
② 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 자를 최소한으로 제한하여야 한다.

[전문개정 2008.6.13]

 

이 중 “4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치” 에 의거하여 과태료 3천만원을 부가할 수 있습니다. 따라서 현재 개정되어 시행된 법률만으로도 과태료를 부가할 수 있는 상황입니다.

개인정보보호협회는 내년, KISA는 명확히 밝히지는 않고 이번 8월18일 부터 시행된 내용은 개인정보에 관한 부분에만 해당된다고 (제 23조의2항) 하였지만 실제 법령을 보면 분명히 과태료를 부과할 수 있는 상황입니다.

물론 이것이 아직까지 권고사항인지는 어디에서도 확실히 답변해주지 않은 상황이고, 방송통신위원회(방통위)에서 경고없이 3천만원의 과태료를 부가하는 부분도 확실하지 않은 상황이라서 그들이 그렇게 좋아하는 ‘법대로’ 한다면 권고사항이라 할지라도 우격다짐으로 부과할 수 도 있을 것이라 생각합니다.

보안서버의 종류와 문제.

이전글에서 인증기관을 통한 SSL 인증에 대해서 잠시 다루면서 일반 사용자들은 이것도 어렵고, 더 큰 문제는 SSL과? 연동문제 등 사용자들이 사이트를 운영하기에 힘든 상황에 대해서 언급했습니다.

물론 쇼핑몰 등 결제와 관련되거나 개인정보를 다뤄야 하는 곳이라면 당연히 다양한 방법으로 개인정보를 보호할 수 있는 방법을 제공해야 하겠지만 (주민번호를 받지 않는) 일반 커뮤니티나 개인홈페이지 운영자들, 개인정보로 분류하기엔 애매한 이메일과 닉네임등을 게시판에 입력하면 개인정보로 보는 등 다양한 사이트들을 운영할 수 없도록 하는 제재와 다를 바 없는 상황입니다.

어쨌든.. 보안서버를 구축하는 방법에는 몇가지가 있습니다. 중점적으로 다루지 않고 간략히 짚고 넘어가겠습니다.

공인 SSL 인증 :
Verisign, Comodo 등 국제 공인 인증기관이 발행한 인증서로 서버와 통신하여 정상적으로 인증한 서버임을 알려주고 보안연결을 해줍니다.

사설 SSL 인증 :
서버에서 자체적으로 인증서를 발급하고 SSL 프로토콜로 사용자와 서버가 통신하도록 이어줍니다. 하지만 이것은 통신 자체는 암호화 되지만 공인 SSL 처럼 서버 자체가 인증된 서버인지 알 수가 없습니다. 즉, 현재 우리나라에서 이루어지고 있는 “사용자를 못믿겠으니 액티브엑스를 설치하고 우리서버에 접속해라”와 같은 상황입니다. 서버 자체가 피싱 사이트인지, 실제로 안전한 서버인지 사용자는 알 수가 없습니다. 통신만 암호화 될 뿐입니다.

KISA 의 알고리즘 :
KISA에서 자체적으로 만든 보안 프로토콜들 입니다.

문제는 셋 다 암호화 통신은 이루어지지만 공인 SSL 인증 외에는 서버 자체의 안전을 확인할 수 없다는 것입니다. 서버가 인증기관으로부터 확인된 것을 알 수 없기 때문입니다.

하지만 현재 이 세가지 인증방식 중 하나로 구현한다면 보안서버를 구축한 것으로 인정합니다. 경험해보신 분들은 아시겠지만 사설 SSL의 경우에는 경고창이 뜨게 되고 오히려 신뢰가 가지 않는 문제가 발생합니다. 암호화 통신 외에는 그 암호화 통신이 정상적인 서버와 통신하고 있는지, 해커와 통신하고 있는 것인지 사용자는 알 수가 없습니다.

지금까지 보안문제가 발생하는 것은 중간에 해커가 평문으로 전송되는 데이터를 가로채서 이루어진 것만이 아닙니다. 개인정보 유출은 정보가 저장된 서버와 업체로부터 유출이 되었습니다.

분명히 보안은 필요합니다. 이 중에 저는 SSL을 통한 보안은 부분적으로 (쇼핑몰 등 결제관련) 분명히 필요하다고 봅니다. 그래도 피해를 최소화 할 수 있는 방법임에는 틀림없으니까요. 하지만 지금 정부에서 하는 것은 정부 자체가 만든 근본적인 문제인 액티브엑스와 개인정보 수집에대한 문제는 그대로 두고, 자꾸 웹의 사용환경을 옥죄는 정책으로 자신들의 노력을 증명하려고 하고 있는 것입니다.

어떠세요? 이것이 한국 인터넷 진흥원에서 운영하는 사이트에 뜨는 경고 메시지 입니다.
위 스크린샷은 앞에서 말씀드린 사설 SSL로 보안을 연결할 때 뜨는 사설 SSL 경고 메시지 입니다. 믿음이 가세요? 전 오히려 불안합니다.
아래 이미지는 멀웨어에 감연된 한국 인터넷 진흥원 컨텐츠에 접속할 때 뜨는 경고 메시지 입니다.

이런 멀웨어에 더 위험하기도 하고 DDoS 공격용 더미로 감염될 수 도 있겠죠.
정작 자신들의 사이트는 이런식으로 운영하면서 사이트를 운영하던 개인이나 영세한 1인사업자들은 사이트 운영의 의지마저 꺾고 있는 것은 아닌가 생각합니다.

익스플로러 7이나 8로 접속했다면 저런 공격 사이트 메시지도 뜨지 않고 접속이 되어 감염되는 컴퓨터들도 있을 것입니다.

법만 자꾸 만들어서 항목을 추가하고, 사람들이 그것에 따르도록 강제하는 것이 보안일까요? 그냥 인터넷을 끊고 통신시절로 돌아가는 것은 어떨까요? 제가 처음 스타크래프트를 멀티플레이로 했을 때는 배틀넷이 아니였습니다. 내부네크워크로 컴퓨터 몇 대 연결해서 친구들과 했었습니다. 컴퓨터가 아니라 한 곳에 모인 친구들과 게임을 하는 것자체가 놀라웠던 시절이었습니다. PC방이 생기기 전이죠. 딱 좋네요. 그 시절로 돌아간다면.

주민번호 사용을 제한하고 다양한 인증을 위해 정부가 준비한 정책을 보면 또 숨이 턱 막혀 옵니다.
링크의 11페이지를 보면 다음의 내용이 나오고, 12페이지는 본인확인 수단 예시가 나옵니다.

앞으로, 인터넷상에서 연령확인이나 본인확인, 성인인증 등을 위해서는 주민번호 대신에 아이핀 등 주민번호 대체수단을 이용하도록 하며 공인인증서, 신용카드, 휴대폰 인증 시에도 현재의 주민번호를 기입하는 방식에서 생년월일만을 입력하는 방식으로 변경하여 본인확인 등이 가능하도록 할 예정이다.

 

아이핀, 공인인증서 등 주민번호보다 위험하다는 아이핀과 엑티브엑스를 통한 공인인증서 인증, 신용카드 인증 등 실제로 변하는 것이 무엇인지 의심이 들 정도입니다.

제가 안철수 교수님은 active-x(액티브엑스)를 없앨 수 있을까? 에서 이야기 했듯, 안철수 교수님 처럼 해당 분야에 지식이 있는 분이 자신 주변의 검증을 받고 이런 일을 추진할 수 있는 위치에 있어야 한다고 생각합니다.

처음부터 싸그리 정리하지 않으면 제가 봤을때 정말 답이 없다고 생각합니다. 나오는 정책들을 볼 때마다 ‘이번엔 또 어떤 덫을 하나 더 늘렸나’ 두근거리면서 봐야 한다는게 너무 힘들고 지칩니다.

결론으로..
개인 또는 비영리 단체가 아니라면 제대로 공조도 되지 않고, 명확한 답변을 주지도 못하는 담당 부처들의 이야기를 믿기보다는 그냥 준비하시는 것이 낫습니다. 물론 개인과 비영리라도 회원들로부터 개인정보를 받지 마시고 받았던 개인정보도 삭제를 하시는 게 답 입니다. 향후 보안서버 구축도 준비하셔야 정신적으로, 육체적으로 (?) 편안해 질 수 있습니다.

현재 호스팅 업체들의 협박이(?) 2007년도에 권고사항이었던 보안서버 구축에 대해 전화를 걸면서 마치 처벌 되는 듯 속였듯 (법적으로는 사기가 아니었을지는 몰라도) 아직까지는 권고사항임에도 불구하고 당시 처럼 돈벌이 수단으로 하는 것인지, 아니면 이 글에서 적은 내용들을 다 파악하고 진심으로 고객을 걱정하여 설레발을 치는 것인지는 알 수가 없으나, 그들에게는 어느 것이든 돈벌이의 기회이긴 하겠죠.

 

  • Kabkee Moon

    장문의 글과 함께 묻어나는 깊은 빡침이 감명 깊습니다.
    존경하는 마음에 댓글을 남깁니다.
    잘보았습니다. 사설ssl로 변경하고 싶지만 오히려 새누리당 색깔 화면이 신뢰도를 떨어뜨리는 것도 동감합니다. 암튼 잘봤습니다.
    만나뵙고 싶습니다.

    • 페이퍼북

      대단한 글도 아닌데 좋게 봐주셔서 제가 더 감사합니다.

  • 상당히 시간이 지난 글이라 댓글을 다는 것이 의미가 있을 지는 모르겠지만, SSL 인증서는 분명 적용하는 편이 사용자 입장에서도, 운영자 입장에서도 이로운 것이 맞습니다. 최근에는 Let’s Encrypt 등 무료로 SSL 인증서를 발급받아 간단하게 적용할 수 있게 도와주는 단체들이 생겨나 이전과는 비교도 할 수 없을 정도로 부담없이 암호화가 가능하게 되었죠. 물론 물 들어온다 노 저어라 하는 업체들은 비판받아 마땅하지만, 정부의 의도 자체가 잘못되었다고는 생각하지 않습니다. 우리가 주고받는 패킷 하나하나가 너무나도 소중한 시대가 되었으니 말입니다 :)

    • 페이퍼북

      네. 맞습니다. 저도 말씀하신 것에 동의합니다. 글 내용이 SSL의 무효성으로 보였을 수 있겠다는 생각이 드네요. 다만 정부가 관여하여 규제를 강제하고 안 하고의 문제, 그리고 그것을 위해 이루어지는 실질적인 해가 전무하다시피한 탁상행정의 결과를 말하고자 했습니다. 제 글 솜씨의 문제라 너그롭게 이해해주세요.

      실제로 서버의 성능도 좋아져서 부하 문제도 줄어들고 보안의 인식도 강해지다보니 https:// 로 시작하는 서비스가 점점 많아지고 있는 것처럼, 자율적인 움직임이 오히려 순기능을 하는 경우가 많기에 정부가 방향성은 보여줄 수 있지만 일일이 관여하여 법으로 정하고 불법 합법을 말하는 건 문제가 있다고 봅니다. 독재시대의 잔재라고 할 수 밖에요. 소중한 댓글 감사합니다.