보안 서버란, 홈페이지 접속 시 수신되는 정보를 암호화는 서버를 뜻합니다. 보안 서버는 일반적인 로그인 정보 및 전자상거래 시 전송되는 패킷값을 암호화하여 외부의 공격자부터 데이터를 보안하기 위해 사용됩니다. 암호화 대상은 인터넷 상에서 송수신되는 정보로, ID와 패스워드, 개인정보, 계좌 정보 등, 유출 시 자칫 악용되어 사용될 수 있는 정보들이 해당됩니다.
법률로 의무화된 보안!
홈페이지를 통해 대외 서비스를 하는 기업은 취약한 설정으로 인해 고객 정보가 노출될 경우 2차, 3차의 해킹 피해를 입을 수 있으며, 고개 신뢰에도 악영향을 미칠 수 있습니다. 이에 국가에서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률로써 기본적인 보안에 대한 기술적, 관리적 조치의 의무사항을 만들었습니다.
법률 의무에 위반 사항이 발생할 경우 과태료 처분에 취해질 수 있으며, 보안 서버 미 구축으로 인한 개인정보 유출 사고 시에는 과태료 이상의 형사 처벌을 받을 수 있습니다.
아래는 해당 법률 조항에 관한 내용입니다.
| 1. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 |
| ▶ 제28조(개인정보의 보호조치) 정보통신서비스제공자등은 이용자의 개인정보를 취급함에 있어서 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록 정보 통신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 조치를 하여야 한다. <개정 2004.1.29>
▶ 제67조 (과태료) ②다음 각 호의 어느 하나에 해당하는 자는 1천만원 이하의 과태료에 처한다. <개정 2004.1.29> ▶ 제28조의 규정을 위반하여 기술적·관리적 조치를 하지 아니한 자 |
| 2. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙 |
| ▶ 제3조의2(개인정보의 보호조치) ①법 제28조의 규정에 의한 개인정보의 안전성 확보에 필요한 기술적·관리적 조치는 다음 각호와 같다.(중간 생략)
▶ 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치 (이하생략) |
| 3. 개인정보의 기술적⋅관리적 보호조치 기준 |
| ▶ 제5조(개인정보의 암호화) ②정보통신서비스제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 보안서버 구축 등의 조치를 통해이를 암호화해야 한다. 보안서버는 다음 각호의 어느 하나의 기능을 갖추어야 한다. <개정 2007.1.29>
1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 개인정보를 암호화하여 송․수신하는 기능 2. 웹서버에 암호화 응용프로그램을 설치하여 개인정보를 암호화하여 송․수신하는 기능 3. 정보통신서비스제공자등은 이용자의 개인정보를 PC에 저장할 때에는 이를 암호화해야 한다. |
그렇다면 보안서버는 어떻게 구축하는 것이 좋을까요?
보안서버 구축의 두 가지 방법
보안 서버 구축 방법으로는 SSL 인증서 방식과 응용프로그램 방식이 있습니다.
- SSL 인증서 방식: 별도의 하드웨어가 추가되는 것이 아닌, 현재 운영되고 있는 웹 서버에 SSL 인증서를 설치하는 방식입니다. 그렇게 하면 사용자의 데이터가 암호화되어 전송되는 것입니다. 이 방식은 웹 서버에 직접 설치하기 때문에 구축 비용은 상대적으로 적으나, 주기적인 인증서 갱신 작업으로 인한 추가 비용이 발생합니다.
- 응용 프로그램 방식: 홈페이지 접속 시 사용자의 PC에 자동으로 보안 프로그램을 설치하여 홈페이지 접속 시 마다 사용자의 PC에서 보안 프로그램이 실행 되게 하는 방식입니다. 이 방식의 문제점은 사용자의 PC환경에 따라 자동 설치 및 실행 시 에러 등이 발생할 수 있다는 것입니다.
제세한 설치 방법은 한국인터넷진흥원의 보안서버 구축 가이드를 참고하세요.
