안녕하십니까?
한국인터넷진흥원 ☎118입니다.
저희 한국인터넷진흥원 ☎118을 방문하신 점에 감사드리며, 문의하신 내용에 대해 아래와 같이 회신 드립니다.

『정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령』 제15조 제4항 제3호에 의거, 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신?수신하는 “정보통신서비스 제공자”는 보안서버를 구축해야 합니다.

이 때 “정보통신서비스 제공자”란 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말합니다.

그런데 『개인정보 보호법』의 하위규정인 『개인정보의 안전성 확보조치 기준 고시』 제7조에 의거, [고유식별정보(주민등록번호 등), 비밀번호, 바이오정보](이하 “암호화대상 개인정보”라 하겠습니다)를 송?수신할 경우 이를 암호화해야 합니다.

위 고시 제7조의 규정은 “정보통신서비스 제공자”가 아니더라도 적용되는 것이며, 보안서버를 반드시 구축해야 하는 것은 아니지만 보안서버를 구축하지 않을 경우, 개인정보 그 자체를 안전한 알고리즘으로 암호화하여 전송해야 합니다.

1. 비영리 개인 사이트는 보안서버 구축 대상인가?

비밀번호 등 암호화대상 개인정보를 송?수신한다면 보안서버 구축 또는 개인정보 자체의 암호화를 하셔야 할 것입니다.

2. 비영리 개인 사이트가 보안서버 구축 대상일 경우, 어느정도 이상의 개인정보를 수집하여야 대상인가? (예-이름, 메일주소, 연락처, 주소 중에서 몇개 이상 수집)

수집하는 개인정보의 수량과는 무관하게 비밀번호를 포함한 암호화대상 개인정보를 송?수신한다면 보안서버 구축 또는 개인정보 자체를 암호화 하셔야 할 것입니다.

3. 보안서버 구축 시, 사이트에서 암호화 되어서 전송 되어야 할 부분(예-회원가입, 로그인, 정보수정, 회원탈퇴 등)

[회원가입, 로그인, 정보수정, 회원탈퇴] 등 어떤 절차인지 여부와 무관하게 정보통신망을 통하여 비밀번호 등 암호화대상 개인정보를 송?수신한다면 보안서버 구축 또는 개인정보 자체를 암호화하셔야 할 것입니다.

o 위 상담 내용은 귀 기관의 업무에 도움을 드리기 위한 답변으로 법적 효력은 없으며 법령해석이나 유권해석등 법률적인 효력을 지니는 답변을 구하고자 하신다면 행정안전부에 정식으로 법령해석 또는 유권해석을 요청하시기 바랍니다.

-담당자 연락처 : 118
-담당자 이메일 : ********@****.or.kr

해킹 스팸 개인정보 침해신고는 ☎118

위와같은 내용에 따르면, 영리건 비영리건 모두 해당된다는 말입니다.. 직접전화해서 확인도 했구요,

회원가입 받는데 치고 비밀번호를 안받는 곳이 있나요?? ㅎㅎㅎ

개인홈페이지도 대상이 된다는 말입니다.. 

DB암호화 저장과는 다른 암호화 전송에 관한 부분이기 때문에. SSL적용 되지 않은 사이트들은 전부 적용 대상입니다.

적발시 수정권고 사항이 아니라 발견 즉시, 과태료 부과입니다. 최대 3천만원까지 과태료 및 행정처분을 받는다고합니다..

물론 날이 갈수록 늘어나는 해킹을 막기 위해 필요한 조치인것 맞습니다만, 유료로 해야된다는 부담이 크네요...

한서버에 300여개 되는 사이트가 돌아가고있는데, 보안서버를 적용하게된다면,,

제가 아는 바로는 한 도메인당 한 포트로 연결해서 써야된다는 얘긴데.. 이건 도저히 답이 안나옵니다...

혹 한 서버에 여러개 사이트들에 대해 적용할 수 있는 좋은 방법있을까요???

월요일 아침부터 멘붕입니다..ㅠㅠ

다른분들은 어떻게 대응하실런지요??