2012

08월

09

8월 18일 부터 갑작스런 보안서버 의무화? 이해할 수 없는 움직임.

정보통신망법 개정으로 적용된 보안서버 의무화 추가내용” 이라는 제목으로 2부를 올렸습니다. 이 글을 읽고 추가 내용을 확인 하세요.

2012년 8월 18일 부터 보안서버 의무화를 시행한다고 합니다. 갑자기 튀어나와 급하게 업체들에게 공문을 보내고, 적용하지 않는 곳은 과태료 3천만원을 물리도록 한다고 합니다.

2007년에 개인정보 보호를 위한 SSL(Secure Socket Layer) 보안서버 구축 권고에 관한 내용으로 말들이 많았습니다.

간략히 정리하자면 한마디로 개인정보를 받는 사이트들은 SSL 보안서버를 구축하도록 유지하는 것이었습니다. 강제사항은 아니였구요.

개인정보를 받는 사이트란 회원가입을 하는 사이트, 주민등록번호, 전화번호, 이름, 메일 등을 받거나, 로그인을 위해 아이디와 패스워드를 입력하는 모든 사이트를 말합니다.
또한 글을 적을 때 이메일, 전화번호등을 입력할 수 있는 게시판이 있는 사이트, 기타 회원정보를 받는 모든 웹사이트 역시 개인정보를 받는 사이트 입니다.

실질적으로 현재 존재하는 거의 모든 사이트들이 해당 되겠죠. 100% 라고 해도 과언이 아닐 정도입니다. 회원가입을 받지 않더라도 글을 올리기 위해서는 로그인을 해야하고, 글을 적어야 합니다.

90년대 중반에나 볼 수 있던 “저의 홈페이지에 오신 것을 환영합니다.” 라는 문구와 야후로 가는 링크가 전부인 html로만 구성된 홈페이지만 다시 만들어야 할 상황입니다.

2012년 7월 20일 경, 그러니까 이 글을 적는 날짜로 계산하여 20일도 안된 날에 방통위로 부터 업체들에게 공문이 전달되기 시작했습니다.

갑작스러운 이 공문은 8월 18일까지 SSL 보안인증을 의무화 하고, 이를 지키지 않는 곳은 과태료 3천만원을 물리겠다고 합니다. 심지어 이 공문을 8월 초에 받은 업체들도 있습니다. 이게 말이 되나요?

호스팅 업체들은 호스팅을 받고 있는 고객사에게 이것을 알리고 보안서버를 구축하라고 공지를 띄웠지만 얼마나 이 공지를 볼 수 있을까요? 무언가 느낌이 이상하지 않으신가요?

지금부터 좀 더 자세히 이야기 해보도록 하겠습니다.

그 전에 SSL이 무엇인지 잠시 짚고 넘어가겠습니다.

SSL 프로토콜은 넷스케이프사에서 보안을 위해 만든 통신규약입니다.
인증기관(Certificate Authority – CA) 은 인증서를 발급하게 되며, 인증서를 발급받은 서버와 통신하여 정상적인 인증서임을 확인하게 되면 인증기관이 정상사이트임을 인증하게 됩니다.

이것이 SSL을 이용한 인증방식입니다.

모든 브라우저에는 이미 인증기관들의 인증서가 설치되어 있습니다. 사용자가 무언가를 설치할 필요가 없습니다. – 보통 Verisign, Comodo, Thawte, geotrust 등의 유명한 인증기관의 인증서가 설치되어있습니다.

우리가 SSL을 통하여 사이트에 접속하게 되면 이미지처럼 http:// 가 https://로 바뀝니다. 페이스북의 경우는 로그인 후 https:// 로 바뀌게 되며, 구글의 경우는 로그인이나 애드센스 등 보안이 필요한 중요한 페이지들이 https://로 바뀌게 됩니다.

이렇게 SSL 보안 프로토콜을 접속하게 되면 브라우저에 열쇠모양과 https://로 바뀌게 되어 쉽게 알아볼 수 있습니다.

페이스북을 예로 들어 다시 정리하면 브라우저를 통해 페이스북에 접속했을 때 열쇠모양과 함께 https://로 바뀌어 있다면 Verisign 등의 SSL 인증기관으로부터 인증서 대조를 통해 문제없는 서버임이 확인이 된 것이고, 우리는 그런 인증된 페이스북에 접속하여 암호화 된 내용을 입력하게 되는 것입니다.

http:// 상태에서는 아이디와 패스워드를 로그인 창에 입력하고 엔터를 치게 되면 서버에 평문으로 전송이 되는데, SSL 프로토콜로 접속한 사이트는 모든 것이 암호화 되어 서버에 전송됩니다. 따라서 중간에서 해커가 내용을 가로채더라도 암호화 되어 알아볼 방법이 없습니다.

여기서 가장 중요한 것은 바로 인증기관과 페이스북의 관계입니다.
해외의 경우는 먼저 서비스를 제공하는 업체의 서버가 공인된 서버인지 verisign 등의 인증업체로부터 확인 후 https 프로토콜로 사용자와 연결합니다. 사용자를 의심하는 것이 아니라 서비스 업체의 서버가 안전한지 인증기관으로부터 확인 후 사용자에게 연결을 해주는 방식입니다. 평문으로 전송이 되거나 암호화 되어 전송되는 것은 그 다음의 문제입니다.

한국의 보안방식은 이러한 방식이 아닌 비표준 방식인데다가, 사용자를 의심하고 사용자에게 보안을 강제한 후 사용하게 하는 심각한 문제가 있습니다. 예전에 제가 올린 ‘잠정적 범죄자로 인터넷뱅킹과 쇼핑을 하는 현실.‘을 보시면 아실 수 있습니다.

방통위의 갑작스러운 의무화 공문.

앞서 말씀드린데로 2007년부터 권고사항으로 있던 내용이 (특정 조건에 해당하는 곳은 권고가 아니라 필수로 해야했음) 너무나 급작스럽게 한 달도 안되는 기간내에 국내의 거의 모든 사이트가 SSL 보안서버를 구축을 의무하도록 방통위에서 공문을 보냈습니다.

더욱 큰 문제는 18일 부터는 적발시 경고없이 3천만원 이하의 과태료를 부과하게 됩니다.
한달도 안되는 기간내에 모든것을 마치고, 그 이후에는 경고조차도 없이 기업, 비영리 조직, 개인 할 것없이 과태료를 부가합니다.

분명히 큰 기업들, 메이저 호스팅 업체들에게 먼저 전달이 되었습니다. 그리고 큰 기업들 중 이미 SSL 구축을 한 업체들도 많습니다. 하지만 호스팅 업체만 보더라도 그 업체들에게 호스팅을 받고 있는 사용자들 모두에게 이 내용이 한달도 안되는 기간내에 전달될 수 없으며, 알려져 있지 않은 작은 업체들, 개인서버를 돌리는 소규모 업체들에게는 이러한 공문 자체도 전달이 될지 의문입니다.

게다가 예전에는 비영리 사이트에는 해당하지 않았으나(개인사이트 포함), 이번 공문에는 비영리 사이트에게도 해당하는 내용입니다.
그 범위는 로그인, 회원정보 저장, 이메일, 전화번호, 결제정보 등을 저장하는 거의 모든 웹사이트에 해당합니다.
그리고 여러개의 도메인을 가지고 한 사이트를 운영하더라도 도메인 모두 SSL 보안인증을 받아야 합니다.

왜 이런일이 갑자기 벌어지나요? KT의 개인정보 유출때문에요? 이미 그 전에도 개인정보가 유출된 업체들이 많고, 심지어 넥슨의 경우에는 무죄판결까지 났는데 이제와서 갑자기 국가에서 어려운 사람들의 사정보다 보안의 중요성이 더 크다고 인식해서 일까요?
그랬다면 액티브-X를 없애는 일부터 시작했겠죠.

제가 순수하게 창작소설을 쓰건데, 대선을 위한 입막음 내지는 정부가 하는 것에 대한 입막음을 위한 것이라는 소설을 써 봅니다. ‘맞팔’ 좀 했다고 검찰 조사 받는 나라에서 무엇이 불가능 하겠습니까? 어차피 포털은 이미 접수했으니 언제든지 요청만 하면, 네이버는 요청 하기도 전에 알아서 차단해 버려주니까요.

SSL 보안서버 적용. 일반인들은 힘들다.

호스팅을 받고 있는 영세 업체들이나 설치형 블로그나 설치형 게시판으로 홈페이지를 만들어 사용하는 개인이나 커뮤니티는 호스팅 업체에서 신청을 받아 SSL 설정은 해주지만 연동을 할 줄은 모릅니다.

결국 도메인 당 초기 설치비용 8만원 정도에 1년 기준 3만3천원 정도로 매년 갱신해야하는 SSL 보안설정이 끝나더라도, 따로 돈을 들여 연동을 해야 하는 문제가 발생합니다. 물론 호스팅 업체에서 이것역시 별도의 금액을 받고 도와줍니다만 금액이 상당히 높습니다.

이 연동 부분은 로그인, 게시판에만 적용되는 부분입니다. (https 프로토콜은 서버의 리소스를 크게 점유하고 http 보다 매우 느린 단점이 있습니다. 따라서 보안이 필요한 로그인, 결제, 글쓰기 등의 영역에만 사용하는 것이 좋습니다. 페이스북이나 구글과 비교하지 마세요) 적게는 10만원에서 수십만원을 받기도 합니다. 개발자들에게는 쉬운 부분일 수 있을지는 몰라도 호스팅을 받는 개인이나 업체들은 개발자를 두고 운영을 할 정도의 규모는 아닌데다가, 결코 작은 비용이 아닐 수 있습니다.
게다가 개인이 큰 맘 먹고 수십만원을 들여 자신의 개인홈페이지나 블로그에 적용했다고 하더라도 매년 호스팅 비용과 더불어 인증서 유지비용이 따로 몇만원씩 발생 됩니다.

비용의 문제가 아니다.

저는 도저히 이해할 수 가 없습니다. 이것은 횡포입니다. 개인 커뮤니티와 설치형 블로거 등, 사람들의 의견을 막는 탄압이라고 생각합니다. 업체들이 아니라면 1년 몇만원 호스팅에도 벌벌 떠는 사람들이 자신의 의지로 더이상 홈페이지를 유지할까요? 적발만 되더라도 경고 없이 과태료 3천만원을 부가하는데, 누가 버틸 수 있을까요?

이것은 홈페이지를 폐쇄하도록 강요하는 조폭의 폭력과 하나 다를 바 없습니다.
몇 명만 본보기로 조져놓으면 (?) 나머지는 알아서 다 폐쇄 해버리겠죠.
인터넷이.. 언제부터 기업들만 사용하는 공간이 되어버린 것인가요? 안그래도 숨만 간신히 붙어있는 이 나라의 인터넷 문화가 또 다시 사이버망명을 해야 하는 것인가요?

문의한 결과 방통위의 공문과 내용이 틀리다?

한국인터넷 진흥원을 통하여 개인정보보호협회로 전화문의를 하였습니다.
일일이 물어볼 상황도 아니고, 전반적인 내용을 확인하기 위하여 전화를 했기 때문에 세밀하게 물어보지는 않았지만 (언론이 아닌 다음에야 제대로 해주지도 않겠죠.) 이상한 점이 많았습니다.

실제 법적 의무화는 내년에 시행될 것이라고 했습니다. 그러니까 방통위의 8월 18일 부터 의무시행은 아니라는 말입니다.
또한 비영리(개인 포함)의 경우 (내년 법적 의무화 이전에는) 예전 처럼 어느정도 융통성이 있을것이라는 대답을 들었습니다.
자신들이 방통위를 통해 요청을 보내기는 했지만 이런 내용으로 업체들에게 공문을 보낼줄은 자신들도 몰랐다는 것입니다.

중간중간 질문에 대해서 늘 언론에서 보는 말도 안되는 설명을 해주긴 했지만 어차피 그 분들이야 그렇게 메뉴얼대로 하는것이니 따져봤자 소용 없을것이고 (실제로 한국의 엑티브엑스등의 보안방식에 대한 논의는 내부적으로 전혀 없냐는 질문도 했지만.. )? 세계에서 보안등수가 떨어지는걸 윗분들이 싫어한다는 이상한 이야기도 들었습니다. 그러니까 윗분들이 싫어서 호통치면 임기응변으로 또 이런 보안 어떨까요? 하고 끼워넣어서 누더기로 만들어진다는 뜻인지..

어쨌든 제가 전화상으로 확인한 바로는 실제로 자신들이 요청한 것과는 다르게 더 강력하고, 법적으로 큰 제재를 가할 것으로 공문을 내려보냈다는 것은 확실합니다.
다만 이제 누구의 말을 믿어야 할지는 알수가 없습니다. 녹취를 한 것도 아니니 아니라고 하면 그만이고, 위에서 말한대로 제 글이 못마땅한데 SSL 보안서버 적용과 연동을 하지 않고 있다면 저를 본보기로 삼아서 입을 막을 수 도 있겠다는 소설도 다시 한 번 등장합니다.

Active-X는 놔두고 SSL 보안서버 의무화를 진행하는 이유?

현재 액티브엑스를 사용하는 우리나라의 보안정책은 모두 폐기 되어야 합니다. 규제를 가하려면 거기서부터 칼을 뽑아야 합니다.
또한 기업들에게 보안서버를 적용시켜야 합니다. 해외의 경우는 우리나라 처럼 액티브엑스로 ‘사.용.자.들.에.게.’ 위험한 액티브엑스로 보안프로그램을 설치하지 않으면 자신들의 서비스를 사용하지 못하도록 하는 것이 아니라, 자신들의 서버가 인증기관으로부터 인증받은 정상적인 서버임을 확인받고 https 프로토콜로 사용자가 접속해서 사용하도록 합니다. 이게 정상 아닌가요?

세계 100대 은행 중 97개 은행이 인증기관인 Verisign의 인증서를 사용하고 있습니다.
그외에도 대부분의 정상적인 국가라면 SSL 인증기관을 통해 자신들 서버의 무결성을 입증하고 그것을 안심하고 사용자가 사용하고 있습니다. 거기에 더 안전할 수 있도록 OTP 발생기 등의 보조 보안도구를 사용하고요.

해외에서 소프트웨어나 제품을 구매해 보신 분들은 아시겠지만 모든 업체들이 다 SSL을 이용하여 제품결제 페이지가 구성되어 있습니다. 사용자들은 열쇠모양만 확인하고 안심하고 결제만 하면 됩니다.

이렇듯 SSL보안은 사용자들에게 서비스를 제공하는 업체들이 해야하는 보안입니다.
그런데 우리나라는 보안에 취약한 액티브엑스는 그대로 놔두고, SSL보안서버 구축까지 의무화 하고 그 범위를 비영리와 개인에게 까지 넓힌 것입니다. 이해가 가시나요?

저는 지금 방통위의 이 행동이 절대 이해가 가지 않습니다.
액티브엑스를 그대로 놔둔다는 것은 관련부처와 보안업체간의 관계를 청산할 의지도 없다는 뜻입니다. 게다가 분명히 세계에서 사용하는 SSL 보안방식을 의무화 하면서 그 범위를 기업이 아닌 개인과 비영리단체까지 확대하고 개인정보의 범위까지 확실하게 하지 않는 것은 정말 이해할 수 없는 일입니다.

지난 4년 반 동안 정말 법같은 법을 본 적도 없습니다. 그나마 법이라고는 하지만 그 법의 내용이 마법처럼 바뀌고 적용되는 것을 보아왔습니다.

도대체 이게 무엇하는 짓거리들인가요? 재벌기업들 외에는 작은 기업들과 영세업체들, 아이디어와 기술을 가지고 있는 개인들은 설 자리도 없고, 그나마 인터넷 환경마저 이렇게 막아버리면 정부가 국민을 위해 하는 것은 무엇인가요?

90년대 후반부터 지금까지 오직 인터넷관련으로만 일을 하고 살아온 저로서는 너무나 화가나고 답답합니다. 언제 터질지 모르는 폭탄같은 이 악법을 정부의 편의를 위해서 힘으로 사용하는 곳에서 살아야 하는게 한없이 눈물날 정도로 괴롭습니다. 이 나라에서 아이를 키우고 있다는 것자체가 너무 분합니다.

.. 국민들 뒷조사 할 수 있는 주민등록번호나 없애세요.

덧 : 2011년 9월에 개정된 전보통신망법이 적용되는 것이라고는 하나, 아무리 적게 잡아도 최소한 몇개월의 기간은 있어야 합니다. 호스팅 업체도 급작스럽게 받아서 알 정도인 공문이 올바른 공문이라 말하기는 힘듭니다.

저는 실제로 8월18일 부터 정말 강력하게 적용하지는 않을 것이라 생각합니다 (실태조사는 하고 있다고 합니다). 하지만 상황에 따라 언제든지 시행할 수 있는 위험한 폭탄일 수 있습니다. 그게 더 심각한 문제입니다. 모든 것을 제자리 돌려놓기에도 늦은 상황에 갈수록 답답한 정책들로 한숨만 나옵니다.

정보통신망법 개정으로 적용된 보안서버 의무화 추가내용” 이라는 제목으로 2부를 올렸습니다. 이 글을 읽고 추가 내용을 확인 하세요.

 

  • ii39

    주민등록번호 전화번호 게다가 결제 정보까지 받는다면 당연히 https를 지원해야 합니다. 그것이 영리던 비영리던 마찬가지죠. 개인 홈페이지야 아이디 비번 닉네임 정도만 받으면 되니까(법적으로 개인정보라는 것을 받지 않으면 되겠죠) 해당 사항은 없을 꺼구요.
    게시판으로 홈페이지를 만들어서 회원제를 운영하는 분들이 개인정보를 받는게 더 문제가 아닐까 합니다.

    • 페이퍼북

      ii39 님의 말씀에 이해가 갑니다.

      또한 제 글의 전체적인 내용도 업체에 대한 부분입니다. 업체에 대해서는 당연히 그렇게 해야하는 것이 맞습니다.
      글에서도 계속 말씀드리지만 해외의 경우도 예로 들었습니다.

      하지만 회원제로 홈페이지를 운영하는 것이 문제라면 해외의 수많은 블로거들이나 커뮤니티는 보안문제가 일어나지 않기 때문에 운영이 되는 것은 아니겠죠. 개인이라도 꼭 해야 한다는 것은 보안은 잠그면 그만이라는 논리에서 벗어나지 못하기 때문입니다. 제가 계속 블로그를 통해 보안에 대해서 이야기 하면서 제약을 통한 보안은 의미가 없다고 말씀드리고 있는데, 단편적으로 국가정책으로 인한 보안이 오히려 모든 국민의 정보가 다 팔려나가다 시피한 것입니다.

      글에서도 말했지만 분명히 https 프로토콜을 통한 보안은 기업이라면 당연히 진행해야 하는 것이 맞습니다.
      쓸데없이 개인홈페이지에 과도한 정보, 가령 주민등록번호, 전화번호 등의 정보를 필수로 입력받는 것은 문제지만
      이메일, 아이디까지도 그렇게 강제를 해야 하는가? 하는 논란의 여지가 있는 문제, 그리고

      이 글에서 제가 분명히 말씀드렸지만 영리는 개인정보가 필요한 부분에는 https 로 가야하는 것이 맞습니다.
      개인 홈페이지는 주민등록 번호나 전화번호등은 수집을 할 필요가 없겠죠. (주민등록번호는 이제 수집하지 않도록 바꼈지만)
      비영리도 사실상 과도한 정보를 수집한다면 고려의 대상은 분명히 되어야 합니다. 하지만 제가 여기서 비영리에 대해서 언급한 부분은 개인을 위주로 한 비영리를 말씀드린 것입니다.

      개인이 회원을 받아서 운영하는 것은 문제가 되는 부분이 아닙니다. 개인정보를 못받게 하고, 받는 곳이라면 가입을 해서도 안되겠죠. 하지만 회원가입과 로그인이 있다고 보안서버를 강제하는 국가의 정책이 지지를 받을 하등의 이유도 없습니다.
      제가 계속 블로그에서 보안에 대해서 이야기 할 때마다 말하지만 보안은 논리로 해결되지 않습니다.

      이 글에서 다루고자 하는 것은 영리냐 비영리냐의 문제가 아니라 걸레처럼 너덜해진 보안정책은 그대로인 상태이면서 명확하지 않은 범위 (가령 회원가입을 받으면 쇼핑몰이든 개인 홈페이지든 무조건 보안서버를 설치하게 하는 등)로 고민 없이 정책만 내던지는 정부와 부처의 문제를 말하고 있는 것입니다.
      게임쪽에서는 여가부를 예로 들 수 있을 것이구요.

      덧 : 이번에 다시 관련 업체에 문의를 했더니 (웹호스팅업체) 비영리는 또 빠진다고 합니다. 명확한 제시도 없이 그저 땜빵질이나 해대니 실제로 비영리가 빠지는 것이 확실한 것인지도 이젠 믿지 못하겠습니다.

      개인홈페이지가 회원가입 받으면서 과도한 개인정보를 모으는 것은 그동안 국가정책과 기업들의 행태가 습관처럼 만들어 버린 부분도 있습니다. 심각성이라는게 없어요. 어쩔 수 없이 액티브엑스를 설치하기 위해 경고메시지를 무시하고 예를 클릭하도록 무감각하게 만든 국가의 책임이 일차적이겠지요. (두둔하는게 아닙니다.)

      비몽사몽으로 댓글을 다느라 앞뒤가 안맞는 부분이 있어도 양해 부탁드립니다.

    • 나스카

      뭔가 큰 오해를 하고 계시는군요.
      특히 ‘개인정보’라는 용어와 그 범위에 대해서 말입니다.
      아울러 게시물이 얘기하는 바를 찬찬히 살피지 않고
      특정한 부분만 보고 덧글을 남기셨나 봅니다.
      제가 볼 때 ii39님께서 짧게 기재하신 내용에는,
      ‘반드시 주민등록번호를 받는 것이 문제다’라는 말씀을 하고 계시는군요.

      각설하고…
      개인 홈페이지도 무분별한 스팸을 포함한 불법적 행위를 예방하고자
      회원 가입시 암호화 처리된 이메일 주소를 입력받는 것이 현실입니다.
      포털 사이트에서 제공받는 개인 이메일주소의 상당수는 대상 개인의 정보가 될 수도 있지만,
      이 또한 100% 개인정보와 동일할 수는 없을테고,
      아울러 개인이나 기업 규모를 막론하고 자체적으로 운영하는 메일서버가 있다면,
      메일주소 하나가 개인정보와 직결되지는 않으며 수월하게 조작되는 이메일 주소도 충분히 존재합니다.

      그렇다면 여기서,
      관련법안에서 언급되는 ‘개인 정보’의 범위 중 ‘이메일 주소’는 고유한 개인정보이다?
      반드시 그렇다고 할 수 있을까요?
      아니오! 결코 반드시 그렇다고 할 수는 없습니다.

      일례로 게시글 하나를 작성해서 특정 공간(사이트)에 전송한다고 가정해 봅시다.
      여기서는 회원가입을 했느냐 하지 않았느냐와는 상관없이
      특정 데이터를 전송하는데는 그 고유의 정보가 기록됩니다.
      흔히 log라고 부를겁니다.
      그런데 이 log에는 과연 어떤 정보가 담겨 있을까요?
      단순히 게시글을 작성한 사람의 ‘글’만 들어 있을까요?
      아니죠!
      실질적인 내용인 ‘글’이 있을테고,
      그 누가 됐더라도 최소한 해당되는 ‘글’을 책임질 수 있는 누군가의 표시(작성자, 비밀번호)가 들어 있으며,
      가장 직접적으로는 어떤 IP로 글을 작성했는지의 정보가 남아 있을 것이고,
      좀 더 나아가서는 어떤 경로(접속지역, 회선, 접속 경로) 로 접근했는지의 모든 기록까지도 포함될 수 있습니다.
      사실 이러한 경로는 직접적인 ‘개인 정보’가 아니기 때문에 괜찮을까요?
      이러한 복합적인 정보들이 반드시 전부 다 ‘암호화’ 처리가 되어 있을까요?
      답은 ‘아니오!’ 입니다.

      ….
      어쨌거나 아직까지도 ‘개인 정보’라고 하는 그 한계가 명확하지 않습니다.
      이것은 즉 ‘코에 걸면 코걸이, 귀에 걸면 귀걸이’가 될 수 있다는 겁니다.
      굳이 직전에 언급한 내용이 무엇이라는 것은 구체적으로 기재하지 않아도 아시시라 생각하며,
      이것은 명백한 횡포이며 탄압이라고 밖에는 볼 수 없습니다.

      당장 8월 18일부터 시행된다고 한다면,
      직전에 개인정보를 유출했던 KT와 같은 기업들은,
      이 법에는 직접 관련이 없지만 가장 중요하게 다루고 있는 ‘개인정보’를 유출했기에,
      관련자들은 ‘3천 만원’ 운운하는 것 이상의 벌금 또는 실형을 선고받아야 마땅할 것입니다.
      이러한 문제들의 시발점은 바로 거대기업들의 석연치 않은 개인정보 유출과 함께,
      책임을 진다거나 아무런 법적, 경제적 제재를 받지 않았던 일들이 끊이지 않았기 때문입니다.

      개인, 연구, 공공의 목적을 비롯한 비영리 사이트들…
      이렇듯 비합리적인 잣대와 함께 전례가 없을 정도로 개개인에게까지 우격다짐하듯
      밀어 부치고 있는 각종 정보관련 제재들은,
      사실상 개인 및 그에 준하는 정보 매체의 ‘전면적인 폐쇄’를 염두에 두고 있다고 밖에는 할 수 없습니다.

      사실상 소규모 정보 주체에 대해,
      전면 감시체제가 아니라면 전면 폐쇄시키겠다는 매우 강력한 의지의 표현일 수 밖에 없습니다.

      -. 개인정보 유출? 유출 방지?
      -. 웃기지 말라고 그러십시오!
      -. 이미 알게 모르게, 손으로 셀 수도 없이, 계획적인 유출 문제들…

      표면적으로는 ‘소 잃고 외양간 고치겠다’는 모양새이나,
      실제적으로는 ‘모든 것을 통제하겠다’는 표현이라고 봅니다.

      • 페이퍼북

        일부러 계획적이라는 말은 안했는데.. 그런 움직임들에 대해서 알고 계시나보네요.
        실은 그런 것들을 이야기 하면 음모론으로 역정내는 사람들이 많아서 그냥 말하지 않습니다.
        그런 세력을 외면하면 현실적으로 논리적 안정을 찾을 수 있다고 본능적으로 그러는 것인지, 전체에 퍼져있는 의식의 문제인지는 모르겠으나.. 또한 음모론은 코나 귀 어디에도 걸 수 있는 명예회손의 죄악이기도 하지요;; 적어도 이 나라에서는요.

        넥슨에서 개인정보가 유출됐을 때 시끄럽다가 얼마 후 일본으로 본사를 옮긴다는 기사가 나오니 이제 한국에서 게임 만들기 힘들어 일본으로 가서 해외진출을 하려 한다는.. 그 속도 제대로 모르면서 오히려 힘을 실어주던 멍청한 사람들이 떠오릅니다.

        집단지성이요? 집단지성따위는 군중에게는 원래 없습니다. 집단최면만 있지.
        이런 이야기를 하는 자리가 아니므로 패스..

        미네르바가 현재 어떻게 살고 있는지 아는 분들이라면 욕망이 한 사람을 파괴하는 것은 식은 죽먹기라는 것을 알 수 있습니다. 한 놈(?) 죽여서 모두를 입 다물게 할 수 있다면, 한 사람을 보고 두려워 하게 하기 위해 그 한 사람을 고통속에 쳐박는 것 정도는 우습게 여기는 시대 입니다.

        덧 : 오랜만에 들르셨네요. 소위 애플빠의 블로그로 변해서 안오시는게 나으실 수… (응?)

        • 나스카

          참… 종이책은 dolphin브라우저에서만 페이지가 깨지는 것 같습니다.
          폰에 기본으로 설치되어 있는 브라우저에서는 정상적으로 출력되는군요.

          • 페이퍼북

            사이트라면.. 폐쇄할거구요, 블로그라면.. 얼마전 html5로 내부구조를 다 바꿨습니다. (보기에는 기존의 블로그랑 똑같아 보이지만 코드는 다 뜯어고쳤..;;) 돌핀브라우저에서 확인 해봤는데 이상없이 나오고 있습니다. ㅡ.ㅡ;

            사이트를 말씀하시는 거라면.. 어차피 거긴 게시판 자체가 쓰레기 코드라 제가 손 댈 수 있는 범주를 벗어났으니까요. 폐쇄할거고.

            덧 : 돌핀브라우저는 확실히 사파리보다는 불편하네요. 특히 url입력은 왜 url용 키보드로 바뀌지 않도록 제작해놓은것인지. 확인차 다시 설치해봤는데 변함이 없네요. 감사합니다.

  • Pingback: 8월18일, 정보통신망법 개정으로 적용된 보안서버 의무화 추가내용 | 페이퍼북()

  • A2

    저도 이거는 횡포라고 봅니다. kisa에서 조속히 고치라고 지적을 하길래 링크따라 갔더니 인증받지 않은 인증서를 쓰고 있어서 접속되 안되더군요.

    • 페이퍼북

      사설인증서 입니다. 사실 그것도 서버 자체에서 인증서 배포가 가능합니다만 인증기관의 인증을 거치는 것이 아니라, 서버 자체를 신뢰해야 합니다. 그 서버가 실제 kisa 에서 운영하는지, 피싱을 위해 만들어진 가짜 사이트인지 그럴경우엔 사용자가 알 수가 없죠.

      하지만 이 위험을 내재한 사설 인증은 보안으로 인증하고, 가장 기본적인 문제들은 기존의 관행과 부처와 기업간의 이익에만 얽매여 모른 채 하는 것이죠.

      앞으로 더 큰 제약들이 많이 생길 것입니다. 가령 뱅킹은 공인인증서를 재발급 받고, PC지정제, 휴대폰 문자 인증, 2채널 인증 셋 중 하나를 도입하도록 할 것입니다.

      문제를 고치는 것이 아니라 보안업체들이 만들어낸 문제는 그대로 놔두고, 그들이 새로 제안하는 내용으로 덕지 덕지 걸래를 만들어 가는 것이죠.

      이 둘 간의 관계를 먼저 청산하지 못하면 한국은 앞으로 매우 심각한 상태로 고립 될 것이라 예상합니다.

  • Thkim1349

    맞는 말 입니다.
    한국은 특이한게 선택의 자유를 선악의 관계에 대입시키는 경우가 있더군요. 자신이 개인 정보를 지키고 싶다면 자신이 신경써서 SSL등을 사용하는 것이고 그렇게 중요치 않다면 단순한 암호화 만으로 통신을 할 수 있게 해야 해 줘야 하는데 왜 강제하는 것인지 잘 모르겠네요ㅎㅎ

    • 페이퍼북

      감사합니다. 요즘 뉴스를 보면 세금이 모자라서 저러나 하는 생각까지..

      서버가 문제가 생겨서 9월 이후의 데이터를 날렸는데 댓글은 다행히 살아있네요 ㅠ_ㅠ

  • 지나가던컴공생

    쉽게 말해 굳이 별로 위험하지 않는 정보까지 건들 필요가 있느냔 말입니다. 물론 위험하다면 보내질 말던가 그럼에도 보내야만 한다면 보호해서 보내야겠죠. 근데 저도 비슷한 계열에서 공부하는 사람으로서 이런 정책은…. 에효, 참 어이가 우주끝으로 날아가고야 마네요.

    • 페이퍼북

      가장 큰 문제는 국가가 모든 것에 관여하고 강제하여 그것을 법으로 만드는 것입니다.