보안서버 관련해서 한국인터넷진흥원에 자문을 신청해봤습니다. > 자유게시판

자유게시판

보안서버 관련해서 한국인터넷진흥원에 자문을 신청해봤습니다. 정보

보안서버 관련해서 한국인터넷진흥원에 자문을 신청해봤습니다.

본문

보안서버 관련해서 사람들 이야기가 다들 따로 놀고 있고해서 직접 알아봤습니다.

전화통화도 했는데 메일로 더 자세하게 알려주는군요.

안녕하십니까?
한국인터넷진흥원 ☎118입니다. 
저희 한국인터넷진흥원 ☎118을 방문하신 점에 감사드리며, 문의하신 내용에 대해 아래와 같이 회신 드립니다. 

『정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령』 제15조 제4항 제3호에 의거, 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신․수신하는 “정보통신서비스 제공자”는 보안서버를 구축해야 합니다.

이 때 “정보통신서비스 제공자”란 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말합니다.

그런데 『개인정보 보호법』의 하위규정인 『개인정보의 안전성 확보조치 기준 고시』 제7조에 의거, [고유식별정보(주민등록번호 등), 비밀번호, 바이오정보](이하 “암호화대상 개인정보”라 하겠습니다)를 송․수신할 경우 이를 암호화해야 합니다.

위 고시 제7조의 규정은 “정보통신서비스 제공자”가 아니더라도 적용되는 것이며, 보안서버를 반드시 구축해야 하는 것은 아니지만 보안서버를 구축하지 않을 경우, 개인정보 그 자체를 안전한 알고리즘으로 암호화하여 전송해야 합니다.

1. 비영리 개인 사이트는 보안서버 구축 대상인가?

비밀번호 등 암호화대상 개인정보를 송․수신한다면 보안서버 구축 또는 개인정보 자체의 암호화를 하셔야 할 것입니다.

2. 비영리 개인 사이트가 보안서버 구축 대상일 경우, 어느정도 이상의 개인정보를 수집하여야 대상인가? (예-이름, 메일주소, 연락처, 주소 중에서 몇개 이상 수집)

수집하는 개인정보의 수량과는 무관하게 비밀번호를 포함한 암호화대상 개인정보를 송․수신한다면 보안서버 구축 또는 개인정보 자체를 암호화 하셔야 할 것입니다.

3. 보안서버 구축 시, 사이트에서 암호화 되어서 전송 되어야 할 부분(예-회원가입, 로그인, 정보수정, 회원탈퇴 등)

[회원가입, 로그인, 정보수정, 회원탈퇴] 등 어떤 절차인지 여부와 무관하게 정보통신망을 통하여 비밀번호 등 암호화대상 개인정보를 송․수신한다면 보안서버 구축 또는 개인정보 자체를 암호화하셔야 할 것입니다.

o 위 상담 내용은 귀 기관의 업무에 도움을 드리기 위한 답변으로 법적 효력은 없으며 법령해석이나 유권해석등 법률적인 효력을 지니는 답변을 구하고자 하신다면 행정안전부에 정식으로 법령해석 또는 유권해석을 요청하시기 바랍니다. 

-담당자 연락처 : 118
-담당자 이메일 : *** 개인정보보호를 위한 이메일주소 노출방지 ***

해킹 스팸 개인정보 침해신고는 ☎118



그러니까 사업자는 무조건 보안서버 구축.

비영리 사이트도 보안서버 구축안해도 비밀번호를 암호화해서 전송만 하면 된다는건데...

지금 비밀번호가 암호화되서 전송이 되는건가요? 아니면 전송은 그냥 되고 서버에서 암호화해서 저장을 하는건가요?

법령을 봤더니 갑자기 헷갈리기 시작함.....-_-a




추천
0

댓글 12개

더 헤깔리기 시작함 ㅎㅎ

영카트와 그누보드의 암호 알고리즘은 과연 괜찮은것인가에대한 리자님의 공지사항이 있어야 할것 같습니다.
1. 웹호스팅을 받는 곳은 단지 개인정보를 암호화하여 전송하는 부분만
  해당되는 듯 한데 그렇습니까?

2. 현재 개인정보를 암호화하여 서버로 전송하는 역할은 웹브라우저의 몫 아닌가요?
  설마 ActiveX를 이용하라는 말은 아닐테고요.
  웹브라우저가 아닌 어떤 다른 방법으로 암호화하여 전송할 수 있는지요?
  그 전송된 내용을 복호화(decrypt)하는게 보안서버라면 중복되는 내용아닌가요?

제가 서버에 대해 모르는 데 몇가지 궁금한 내용을 올려 봅니다.
잘 아시는 분의 조언 부탁드립니다 ^^
1. 가급적이면 주민번호를 안받는게 좋고 혹 받게 되더라도 풀로 받지 아니하고
  암호화 처리 할 수 있는 부분은 암호화 하시는게 좋습니다. (물론 단방향..)

2. 그 부분을 처리 해주는게 SSL 입니다. 무료 SSL 제공도 많으니 찾아보시는것도 좋습니다. 그리고 아래도 적었습니다만 '패킷' 에 대한 암호화 처리 이지 데이터에 대한 재 가공은 아닙니다.
1차적으로는 암호화 되어 있습니다. 말 그대로 평문은 아니라는 말이죠.
대신 '패킷' 은 암호화 되어 있지 않습니다. (이거 매우 중요합니다.)
때문에 모든 데이터를 스니핑 할 조건의 여지도 있다는 말이죠.
1차적으로 된 암호화가 있다고 하였습니다. 그럼에도 불구하고
이 패킷을 스니핑 하거나 스푸핑을 하여 자신이 원하는 정보로 재 가공이 가능하죠
스니핑을 하게 되면 블루 투 포싱을 하여서도 찾을 수 있고
스푸핑을 하면 아예 통신 자체를 바꿔 자신의 정보로 보내면 되죠
때문에 이러한 상황을 막고자 하는게 보안서버 SSL 입니다.
지금 하는 이야기는 암호 알고리즘과 무관한 통신 자체에 대한 것입니다.
또 주민번호 같은 경우에는 평문으로 날라다니기 때문에 더 위험하구요~ :)
IE 인터넷옵션 보면 SSL 설정하는 항이 있는데요,
패킷이 암호화 되지 않는다면 스니핑이나 스푸핑이나 서버에 도달되기 전에
엿보고 변조가능할텐데,,, 그럼 보안서버가 무슨 필요가 있을까요?
80 포트와 443 포트의 차이입니다.
80포트는 아무나 접근이 가능하지만
443 포트는 발신처와 수신처 각각의 고유 key 로만 오픈이 가능하기 때문에
설령 패킷을 잡는다고 하더라도 실제 데이터를 볼 수 없습니다.
그렇기 때문에 더더욱 보안서버가 중요하구요

아 혹 key 는 어디서 넣느냐고 물으실까봐 더 덧붙이자면

인증서를 서로 설치하여 적용합니다. 보내는 서버에서 그걸로 감싸구요
예, 그러닌까 프로토콜 자체가 다른 것이네요. http와 https.
443포트,,, 패킷이 암호화되지 않았다는 부분이 이해가 잘 가지 않지만
말씀 감사합니다 ^^

웹호스팅 받는 곳도 보안서버구축과 관계됩니까?
음.. 더 세부적으로 가면 네트워크 이야기가 되는데요..
다 생략하고 적자면 모든 통신은 와이어샤크로 잡아보면 다 잡힙니다.
거기서 움직이는게 암호화 되었냐 안되었냐 이 부분인데..
그 부분은 저보다 구글 형님이 더 잘 알려줄것입니다. 굽순..

아 그리고 마지막으로 웹 호스팅에 대한 이야기는 관계는 일단 되는데요.
적용이 되었을 수 있고 안되었을 수 있습니다.

이말이 조금 어폐가 있는데..
웹호스팅 업체에서도 보안서버 로 해서 호스팅을 해주는게 따로 명시가 되어 있다면, 그 외에는 보안서버가 디폴트로 적용이 안되어 있어 따로 설치를 해야 한다는 의미 입니다. :)
전체 195,062 |RSS
자유게시판 내용 검색

회원로그인

진행중 포인트경매

  1. 참여1 회 시작24.03.28 11:15 종료24.04.04 11:15
(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT