2012

08월

09

8월 18일 부터 갑작스런 보안서버 의무화? 이해할 수 없는 움직임.

정보통신망법 개정으로 적용된 보안서버 의무화 추가내용” 이라는 제목으로 2부를 올렸습니다. 이 글을 읽고 추가 내용을 확인 하세요.

2012년 8월 18일 부터 보안서버 의무화를 시행한다고 합니다. 갑자기 튀어나와 급하게 업체들에게 공문을 보내고, 적용하지 않는 곳은 과태료 3천만원을 물리도록 한다고 합니다.

2007년에 개인정보 보호를 위한 SSL(Secure Socket Layer) 보안서버 구축 권고에 관한 내용으로 말들이 많았습니다.

간략히 정리하자면 한마디로 개인정보를 받는 사이트들은 SSL 보안서버를 구축하도록 유지하는 것이었습니다. 강제사항은 아니였구요.

개인정보를 받는 사이트란 회원가입을 하는 사이트, 주민등록번호, 전화번호, 이름, 메일 등을 받거나, 로그인을 위해 아이디와 패스워드를 입력하는 모든 사이트를 말합니다.
또한 글을 적을 때 이메일, 전화번호등을 입력할 수 있는 게시판이 있는 사이트, 기타 회원정보를 받는 모든 웹사이트 역시 개인정보를 받는 사이트 입니다.

실질적으로 현재 존재하는 거의 모든 사이트들이 해당 되겠죠. 100% 라고 해도 과언이 아닐 정도입니다. 회원가입을 받지 않더라도 글을 올리기 위해서는 로그인을 해야하고, 글을 적어야 합니다.

90년대 중반에나 볼 수 있던 “저의 홈페이지에 오신 것을 환영합니다.” 라는 문구와 야후로 가는 링크가 전부인 html로만 구성된 홈페이지만 다시 만들어야 할 상황입니다.

2012년 7월 20일 경, 그러니까 이 글을 적는 날짜로 계산하여 20일도 안된 날에 방통위로 부터 업체들에게 공문이 전달되기 시작했습니다.

갑작스러운 이 공문은 8월 18일까지 SSL 보안인증을 의무화 하고, 이를 지키지 않는 곳은 과태료 3천만원을 물리겠다고 합니다. 심지어 이 공문을 8월 초에 받은 업체들도 있습니다. 이게 말이 되나요?

호스팅 업체들은 호스팅을 받고 있는 고객사에게 이것을 알리고 보안서버를 구축하라고 공지를 띄웠지만 얼마나 이 공지를 볼 수 있을까요? 무언가 느낌이 이상하지 않으신가요?

지금부터 좀 더 자세히 이야기 해보도록 하겠습니다.

그 전에 SSL이 무엇인지 잠시 짚고 넘어가겠습니다.

SSL 프로토콜은 넷스케이프사에서 보안을 위해 만든 통신규약입니다.
인증기관(Certificate Authority – CA) 은 인증서를 발급하게 되며, 인증서를 발급받은 서버와 통신하여 정상적인 인증서임을 확인하게 되면 인증기관이 정상사이트임을 인증하게 됩니다.

이것이 SSL을 이용한 인증방식입니다.

모든 브라우저에는 이미 인증기관들의 인증서가 설치되어 있습니다. 사용자가 무언가를 설치할 필요가 없습니다. – 보통 Verisign, Comodo, Thawte, geotrust 등의 유명한 인증기관의 인증서가 설치되어있습니다.

우리가 SSL을 통하여 사이트에 접속하게 되면 이미지처럼 http:// 가 https://로 바뀝니다. 페이스북의 경우는 로그인 후 https:// 로 바뀌게 되며, 구글의 경우는 로그인이나 애드센스 등 보안이 필요한 중요한 페이지들이 https://로 바뀌게 됩니다.

이렇게 SSL 보안 프로토콜을 접속하게 되면 브라우저에 열쇠모양과 https://로 바뀌게 되어 쉽게 알아볼 수 있습니다.

페이스북을 예로 들어 다시 정리하면 브라우저를 통해 페이스북에 접속했을 때 열쇠모양과 함께 https://로 바뀌어 있다면 Verisign 등의 SSL 인증기관으로부터 인증서 대조를 통해 문제없는 서버임이 확인이 된 것이고, 우리는 그런 인증된 페이스북에 접속하여 암호화 된 내용을 입력하게 되는 것입니다.

http:// 상태에서는 아이디와 패스워드를 로그인 창에 입력하고 엔터를 치게 되면 서버에 평문으로 전송이 되는데, SSL 프로토콜로 접속한 사이트는 모든 것이 암호화 되어 서버에 전송됩니다. 따라서 중간에서 해커가 내용을 가로채더라도 암호화 되어 알아볼 방법이 없습니다.

여기서 가장 중요한 것은 바로 인증기관과 페이스북의 관계입니다.
해외의 경우는 먼저 서비스를 제공하는 업체의 서버가 공인된 서버인지 verisign 등의 인증업체로부터 확인 후 https 프로토콜로 사용자와 연결합니다. 사용자를 의심하는 것이 아니라 서비스 업체의 서버가 안전한지 인증기관으로부터 확인 후 사용자에게 연결을 해주는 방식입니다. 평문으로 전송이 되거나 암호화 되어 전송되는 것은 그 다음의 문제입니다.

한국의 보안방식은 이러한 방식이 아닌 비표준 방식인데다가, 사용자를 의심하고 사용자에게 보안을 강제한 후 사용하게 하는 심각한 문제가 있습니다. 예전에 제가 올린 ‘잠정적 범죄자로 인터넷뱅킹과 쇼핑을 하는 현실.‘을 보시면 아실 수 있습니다.

방통위의 갑작스러운 의무화 공문.

앞서 말씀드린데로 2007년부터 권고사항으로 있던 내용이 (특정 조건에 해당하는 곳은 권고가 아니라 필수로 해야했음) 너무나 급작스럽게 한 달도 안되는 기간내에 국내의 거의 모든 사이트가 SSL 보안서버를 구축을 의무하도록 방통위에서 공문을 보냈습니다.

더욱 큰 문제는 18일 부터는 적발시 경고없이 3천만원 이하의 과태료를 부과하게 됩니다.
한달도 안되는 기간내에 모든것을 마치고, 그 이후에는 경고조차도 없이 기업, 비영리 조직, 개인 할 것없이 과태료를 부가합니다.

분명히 큰 기업들, 메이저 호스팅 업체들에게 먼저 전달이 되었습니다. 그리고 큰 기업들 중 이미 SSL 구축을 한 업체들도 많습니다. 하지만 호스팅 업체만 보더라도 그 업체들에게 호스팅을 받고 있는 사용자들 모두에게 이 내용이 한달도 안되는 기간내에 전달될 수 없으며, 알려져 있지 않은 작은 업체들, 개인서버를 돌리는 소규모 업체들에게는 이러한 공문 자체도 전달이 될지 의문입니다.

게다가 예전에는 비영리 사이트에는 해당하지 않았으나(개인사이트 포함), 이번 공문에는 비영리 사이트에게도 해당하는 내용입니다.
그 범위는 로그인, 회원정보 저장, 이메일, 전화번호, 결제정보 등을 저장하는 거의 모든 웹사이트에 해당합니다.
그리고 여러개의 도메인을 가지고 한 사이트를 운영하더라도 도메인 모두 SSL 보안인증을 받아야 합니다.

왜 이런일이 갑자기 벌어지나요? KT의 개인정보 유출때문에요? 이미 그 전에도 개인정보가 유출된 업체들이 많고, 심지어 넥슨의 경우에는 무죄판결까지 났는데 이제와서 갑자기 국가에서 어려운 사람들의 사정보다 보안의 중요성이 더 크다고 인식해서 일까요?
그랬다면 액티브-X를 없애는 일부터 시작했겠죠.

제가 순수하게 창작소설을 쓰건데, 대선을 위한 입막음 내지는 정부가 하는 것에 대한 입막음을 위한 것이라는 소설을 써 봅니다. ‘맞팔’ 좀 했다고 검찰 조사 받는 나라에서 무엇이 불가능 하겠습니까? 어차피 포털은 이미 접수했으니 언제든지 요청만 하면, 네이버는 요청 하기도 전에 알아서 차단해 버려주니까요.

SSL 보안서버 적용. 일반인들은 힘들다.

호스팅을 받고 있는 영세 업체들이나 설치형 블로그나 설치형 게시판으로 홈페이지를 만들어 사용하는 개인이나 커뮤니티는 호스팅 업체에서 신청을 받아 SSL 설정은 해주지만 연동을 할 줄은 모릅니다.

결국 도메인 당 초기 설치비용 8만원 정도에 1년 기준 3만3천원 정도로 매년 갱신해야하는 SSL 보안설정이 끝나더라도, 따로 돈을 들여 연동을 해야 하는 문제가 발생합니다. 물론 호스팅 업체에서 이것역시 별도의 금액을 받고 도와줍니다만 금액이 상당히 높습니다.

이 연동 부분은 로그인, 게시판에만 적용되는 부분입니다. (https 프로토콜은 서버의 리소스를 크게 점유하고 http 보다 매우 느린 단점이 있습니다. 따라서 보안이 필요한 로그인, 결제, 글쓰기 등의 영역에만 사용하는 것이 좋습니다. 페이스북이나 구글과 비교하지 마세요) 적게는 10만원에서 수십만원을 받기도 합니다. 개발자들에게는 쉬운 부분일 수 있을지는 몰라도 호스팅을 받는 개인이나 업체들은 개발자를 두고 운영을 할 정도의 규모는 아닌데다가, 결코 작은 비용이 아닐 수 있습니다.
게다가 개인이 큰 맘 먹고 수십만원을 들여 자신의 개인홈페이지나 블로그에 적용했다고 하더라도 매년 호스팅 비용과 더불어 인증서 유지비용이 따로 몇만원씩 발생 됩니다.

비용의 문제가 아니다.

저는 도저히 이해할 수 가 없습니다. 이것은 횡포입니다. 개인 커뮤니티와 설치형 블로거 등, 사람들의 의견을 막는 탄압이라고 생각합니다. 업체들이 아니라면 1년 몇만원 호스팅에도 벌벌 떠는 사람들이 자신의 의지로 더이상 홈페이지를 유지할까요? 적발만 되더라도 경고 없이 과태료 3천만원을 부가하는데, 누가 버틸 수 있을까요?

이것은 홈페이지를 폐쇄하도록 강요하는 조폭의 폭력과 하나 다를 바 없습니다.
몇 명만 본보기로 조져놓으면 (?) 나머지는 알아서 다 폐쇄 해버리겠죠.
인터넷이.. 언제부터 기업들만 사용하는 공간이 되어버린 것인가요? 안그래도 숨만 간신히 붙어있는 이 나라의 인터넷 문화가 또 다시 사이버망명을 해야 하는 것인가요?

문의한 결과 방통위의 공문과 내용이 틀리다?

한국인터넷 진흥원을 통하여 개인정보보호협회로 전화문의를 하였습니다.
일일이 물어볼 상황도 아니고, 전반적인 내용을 확인하기 위하여 전화를 했기 때문에 세밀하게 물어보지는 않았지만 (언론이 아닌 다음에야 제대로 해주지도 않겠죠.) 이상한 점이 많았습니다.

실제 법적 의무화는 내년에 시행될 것이라고 했습니다. 그러니까 방통위의 8월 18일 부터 의무시행은 아니라는 말입니다.
또한 비영리(개인 포함)의 경우 (내년 법적 의무화 이전에는) 예전 처럼 어느정도 융통성이 있을것이라는 대답을 들었습니다.
자신들이 방통위를 통해 요청을 보내기는 했지만 이런 내용으로 업체들에게 공문을 보낼줄은 자신들도 몰랐다는 것입니다.

중간중간 질문에 대해서 늘 언론에서 보는 말도 안되는 설명을 해주긴 했지만 어차피 그 분들이야 그렇게 메뉴얼대로 하는것이니 따져봤자 소용 없을것이고 (실제로 한국의 엑티브엑스등의 보안방식에 대한 논의는 내부적으로 전혀 없냐는 질문도 했지만.. )? 세계에서 보안등수가 떨어지는걸 윗분들이 싫어한다는 이상한 이야기도 들었습니다. 그러니까 윗분들이 싫어서 호통치면 임기응변으로 또 이런 보안 어떨까요? 하고 끼워넣어서 누더기로 만들어진다는 뜻인지..

어쨌든 제가 전화상으로 확인한 바로는 실제로 자신들이 요청한 것과는 다르게 더 강력하고, 법적으로 큰 제재를 가할 것으로 공문을 내려보냈다는 것은 확실합니다.
다만 이제 누구의 말을 믿어야 할지는 알수가 없습니다. 녹취를 한 것도 아니니 아니라고 하면 그만이고, 위에서 말한대로 제 글이 못마땅한데 SSL 보안서버 적용과 연동을 하지 않고 있다면 저를 본보기로 삼아서 입을 막을 수 도 있겠다는 소설도 다시 한 번 등장합니다.

Active-X는 놔두고 SSL 보안서버 의무화를 진행하는 이유?

현재 액티브엑스를 사용하는 우리나라의 보안정책은 모두 폐기 되어야 합니다. 규제를 가하려면 거기서부터 칼을 뽑아야 합니다.
또한 기업들에게 보안서버를 적용시켜야 합니다. 해외의 경우는 우리나라 처럼 액티브엑스로 ‘사.용.자.들.에.게.’ 위험한 액티브엑스로 보안프로그램을 설치하지 않으면 자신들의 서비스를 사용하지 못하도록 하는 것이 아니라, 자신들의 서버가 인증기관으로부터 인증받은 정상적인 서버임을 확인받고 https 프로토콜로 사용자가 접속해서 사용하도록 합니다. 이게 정상 아닌가요?

세계 100대 은행 중 97개 은행이 인증기관인 Verisign의 인증서를 사용하고 있습니다.
그외에도 대부분의 정상적인 국가라면 SSL 인증기관을 통해 자신들 서버의 무결성을 입증하고 그것을 안심하고 사용자가 사용하고 있습니다. 거기에 더 안전할 수 있도록 OTP 발생기 등의 보조 보안도구를 사용하고요.

해외에서 소프트웨어나 제품을 구매해 보신 분들은 아시겠지만 모든 업체들이 다 SSL을 이용하여 제품결제 페이지가 구성되어 있습니다. 사용자들은 열쇠모양만 확인하고 안심하고 결제만 하면 됩니다.

이렇듯 SSL보안은 사용자들에게 서비스를 제공하는 업체들이 해야하는 보안입니다.
그런데 우리나라는 보안에 취약한 액티브엑스는 그대로 놔두고, SSL보안서버 구축까지 의무화 하고 그 범위를 비영리와 개인에게 까지 넓힌 것입니다. 이해가 가시나요?

저는 지금 방통위의 이 행동이 절대 이해가 가지 않습니다.
액티브엑스를 그대로 놔둔다는 것은 관련부처와 보안업체간의 관계를 청산할 의지도 없다는 뜻입니다. 게다가 분명히 세계에서 사용하는 SSL 보안방식을 의무화 하면서 그 범위를 기업이 아닌 개인과 비영리단체까지 확대하고 개인정보의 범위까지 확실하게 하지 않는 것은 정말 이해할 수 없는 일입니다.

지난 4년 반 동안 정말 법같은 법을 본 적도 없습니다. 그나마 법이라고는 하지만 그 법의 내용이 마법처럼 바뀌고 적용되는 것을 보아왔습니다.

도대체 이게 무엇하는 짓거리들인가요? 재벌기업들 외에는 작은 기업들과 영세업체들, 아이디어와 기술을 가지고 있는 개인들은 설 자리도 없고, 그나마 인터넷 환경마저 이렇게 막아버리면 정부가 국민을 위해 하는 것은 무엇인가요?

90년대 후반부터 지금까지 오직 인터넷관련으로만 일을 하고 살아온 저로서는 너무나 화가나고 답답합니다. 언제 터질지 모르는 폭탄같은 이 악법을 정부의 편의를 위해서 힘으로 사용하는 곳에서 살아야 하는게 한없이 눈물날 정도로 괴롭습니다. 이 나라에서 아이를 키우고 있다는 것자체가 너무 분합니다.

.. 국민들 뒷조사 할 수 있는 주민등록번호나 없애세요.

덧 : 2011년 9월에 개정된 전보통신망법이 적용되는 것이라고는 하나, 아무리 적게 잡아도 최소한 몇개월의 기간은 있어야 합니다. 호스팅 업체도 급작스럽게 받아서 알 정도인 공문이 올바른 공문이라 말하기는 힘듭니다.

저는 실제로 8월18일 부터 정말 강력하게 적용하지는 않을 것이라 생각합니다 (실태조사는 하고 있다고 합니다). 하지만 상황에 따라 언제든지 시행할 수 있는 위험한 폭탄일 수 있습니다. 그게 더 심각한 문제입니다. 모든 것을 제자리 돌려놓기에도 늦은 상황에 갈수록 답답한 정책들로 한숨만 나옵니다.

정보통신망법 개정으로 적용된 보안서버 의무화 추가내용” 이라는 제목으로 2부를 올렸습니다. 이 글을 읽고 추가 내용을 확인 하세요.