보안인증서(SSL) 의무화에 따른 대응?

   조회 6715   추천 0    

안녕하십니까?
한국인터넷진흥원 ☎118입니다.
저희 한국인터넷진흥원 ☎118을 방문하신 점에 감사드리며, 문의하신 내용에 대해 아래와 같이 회신 드립니다.

『정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령』 제15조 제4항 제3호에 의거, 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신?수신하는 “정보통신서비스 제공자”는 보안서버를 구축해야 합니다.

이 때 “정보통신서비스 제공자”란 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말합니다.

그런데 『개인정보 보호법』의 하위규정인 『개인정보의 안전성 확보조치 기준 고시』 제7조에 의거, [고유식별정보(주민등록번호 등), 비밀번호, 바이오정보](이하 “암호화대상 개인정보”라 하겠습니다)를 송?수신할 경우 이를 암호화해야 합니다.

위 고시 제7조의 규정은 “정보통신서비스 제공자”가 아니더라도 적용되는 것이며, 보안서버를 반드시 구축해야 하는 것은 아니지만 보안서버를 구축하지 않을 경우, 개인정보 그 자체를 안전한 알고리즘으로 암호화하여 전송해야 합니다.

1. 비영리 개인 사이트는 보안서버 구축 대상인가?

비밀번호 등 암호화대상 개인정보를 송?수신한다면 보안서버 구축 또는 개인정보 자체의 암호화를 하셔야 할 것입니다.

2. 비영리 개인 사이트가 보안서버 구축 대상일 경우, 어느정도 이상의 개인정보를 수집하여야 대상인가? (예-이름, 메일주소, 연락처, 주소 중에서 몇개 이상 수집)

수집하는 개인정보의 수량과는 무관하게 비밀번호를 포함한 암호화대상 개인정보를 송?수신한다면 보안서버 구축 또는 개인정보 자체를 암호화 하셔야 할 것입니다.

3. 보안서버 구축 시, 사이트에서 암호화 되어서 전송 되어야 할 부분(예-회원가입, 로그인, 정보수정, 회원탈퇴 등)

[회원가입, 로그인, 정보수정, 회원탈퇴] 등 어떤 절차인지 여부와 무관하게 정보통신망을 통하여 비밀번호 등 암호화대상 개인정보를 송?수신한다면 보안서버 구축 또는 개인정보 자체를 암호화하셔야 할 것입니다.

o 위 상담 내용은 귀 기관의 업무에 도움을 드리기 위한 답변으로 법적 효력은 없으며 법령해석이나 유권해석등 법률적인 효력을 지니는 답변을 구하고자 하신다면 행정안전부에 정식으로 법령해석 또는 유권해석을 요청하시기 바랍니다.

-담당자 연락처 : 118
-담당자 이메일 : ********@****.or.kr

해킹 스팸 개인정보 침해신고는 ☎118

 

 

위와같은 내용에 따르면, 영리건 비영리건 모두 해당된다는 말입니다.. 직접전화해서 확인도 했구요,

회원가입 받는데 치고 비밀번호를 안받는 곳이 있나요?? ㅎㅎㅎ

 

개인홈페이지도 대상이 된다는 말입니다.. 

 

DB암호화 저장과는 다른 암호화 전송에 관한 부분이기 때문에. SSL적용 되지 않은 사이트들은 전부 적용 대상입니다.

 

적발시 수정권고 사항이 아니라 발견 즉시, 과태료 부과입니다. 최대 3천만원까지 과태료 및 행정처분을 받는다고합니다..

 

물론 날이 갈수록 늘어나는 해킹을 막기 위해 필요한 조치인것 맞습니다만, 유료로 해야된다는 부담이 크네요...

 

한서버에 300여개 되는 사이트가 돌아가고있는데, 보안서버를 적용하게된다면,,

 

제가 아는 바로는 한 도메인당 한 포트로 연결해서 써야된다는 얘긴데.. 이건 도저히 답이 안나옵니다...

 

혹 한 서버에 여러개 사이트들에 대해 적용할 수 있는 좋은 방법있을까요???

 

월요일 아침부터 멘붕입니다..ㅠㅠ

 

다른분들은 어떻게 대응하실런지요??

짧은글 일수록 신중하게.
김동범 2012-08
하지만 실제로 개인사이트는 확인을 안하는 것으로 알고 있는데요. 인터넷에 개인홈페이지가 한두개도 아니구요. 물론 원칙상으로는 하는게 맞지만요..

적어도 사업자등록이 되어있는 사이트들(돈 거래가 오가는 사이트들)에는 적용해야 한다고 생각합니다.

SSL을 거는건 서버운영자의 책임이 아니라 웹사이트 관리자의 책임으로 알고 있습니다. 그래서 호스팅 업체들에서도 각 사이트 담당자들에게 안내를 해줄뿐이지 강제하진 않는 것 같더군요. SSL을 걸지 않을 때 책임이 누구에게 있는지를 명확하게 답변을 받으시는게 좋을듯합니다.

물론 서버관리자는 각 사이트 관리자들에게 이런 점을 안내해주고 원할 경우 유료든 무료든 설치를 지원해줘야겠죠.
임승환 2012-08
법이라는게 참 애매합니다만, 8월18일 이후에 관련 법령 개정으로 보안서버 미구축 사이트에 대해서는 최대 3천만원까지 정부에서 과태료를 부과할 수 있는 의무사항으로 변경 되었다는데,,,, 이게 과연 걸리면 무조건 벌금이라는 얘긴지,,, 의무사항이라는 참 애매합니다... 물론 KISA에서 단속할 인력이 부족한건 확실한거고, 아무래도 영리기관 위주로 단속을 할것으로 예상되지만, 운 나쁘게 걸리면,, 답이 없네여,,, 멀티인증서로 묶어버릴 예정입니다..


QnA
제목Page 4084/5705
2014-05   5126560   정은준1
2015-12   1661535   백메가
2014-07   6708   박상범
2016-06   6709   Lucyed
2005-06   6709   김재평
2017-01   6709   Sakura24
2016-07   6709   늘파란
2004-09   6709   정힘찬
2004-10   6709   김주영
2010-03   6709   에스프레소
2004-12   6709   우승엽
2009-09   6709   꾸럭씨
2011-07   6709   예관신규식
2008-09   6709   최인수
2004-12   6710   최윤석
2015-04   6710   무아
2014-03   6710   metaljw
2014-09   6710   장동건2014
2012-12   6710   제로콜라
2016-08   6710   무아
2014-03   6710   천마건빵
2008-05   6710   김현종