보안서버 안해도 된다!! > 취미/생활

본문 바로가기
사이트 내 전체검색

취미/생활



자유롭게 글을 쓰실수 있는공간입니다.

방송사,신문 사이트에서 내용을  복사하지마세요 !!

보안서버 안해도 된다!!

페이지 정보

작성자 no_profile 이즈 쪽지보내기 자기소개 아이디로 검색 전체게시물 댓글 0건 조회 2,805회 작성일 07-02-03 21:13

본문

적어도 이 글은 현 상황을 꽤나 열심히 분석하여 쓴 것임을 미리 알려드리며.....

제가 작성한 두 글..

를 읽고나면 현실적인 대책으로 정말로 보안서버라는 것을 설치하고 싶지 않으실 겁니다. 그래서 나름데로 준비를 해봤습니다. 법에서 말하는데로 설치를 해야한다는 쪽으로 말이죠. (그러나 전 이럴 때 거짓말쟁이인거 아시죠?)

일단 이것을 주도하는 곳이 어딘지를 찾아보니 "한국정보보호산업협회"라는 곳이군요. OR.KR이지만 국가 기관은 아닌듯 싶군요. 주된 사업을 벌이는 곳이 "협회"라고 하여서 적지 않게 실망하였습니다. 그래도 중요한 내용은 "처벌 받을 가능성은 얼마나 있고 그 대상에 내가 들어가는가?"라는 것이죠. 그렇다면 일단 문서로 정리된 것을 찾아봅시다. 제가 찾은 보안서버 FAQ라는 문서는 한국정보보호산업협회FAQ쪽에서 찾았으며, 해당 문서의 위치는 http://www.kisia.or.kr/secureserver/faq.php 입니다. (귀찮으신 분은 제 블로그에서 여기를 누르시면 동일한 파일을 받으실 수 있습니다) 다운로드 받아서 쭉 읽으면서 뭔가 이상하다는 것을 느꼈습니다. 제가 FAQ문서를 읽으면서 이상하다고 느낀 부분은 다음과 같습니다.


보안서버 FAQ중 일부 #1
--> 정보보호진흥원에서 연락이 온다면 개선 권고만을 할 뿐 권고를 듣고 하지 않아도 됩니다. 즉, 강제사항이 아니라는 사항입니다. 권고는 어디까지나 권고일 뿐이니까요. 더군다나, 해당 FAQ의 1번에 있는 것은 "한국정보보호진흥원"(KISA)에 대한 이야기이지 "한국정보보호산업협회"(KISIA)는 아닙니다. 설령 한국정보보호산업협회한국정보보호진흥원의 하위기관이라 하더라도, 업무가 어디까지인지는 명시되어 있지않군요. 한국정보보호산업협회라 는 기관의 정체성부터 한번 따져봐야 할 것입니다. 어쩌면 보안서버 파는 업체들이 모여서 만든 협회일 수도 있으니까요. ("블로그 열심히하는 사람들 협회"라는 것을 만들면 블로그를 하는 사람들이 강제적인 힘이라도 얻을 수 있나요? 예를 들면 1인 1블로그를 해야한다는 식의...)

보안서버 FAQ중 일부 #2
--> 어디까지나 있을 수 있습니다."수"라는 말이 있으므로 없을 수도 있습니다. 말장난하자는 것 처럼 보이시겠지만, 기관에서 문서에 사용된 이런 말 한마디한마디는 상당히 중요합니다. 몇 명의 직장이 달려있기도 하기 때문에 공문서에 실수가 있어서는 안됩니다. 누가 뭐라고 해도 공문서로 올라간 이상 명확하게 표현되어야만 하는 것이지요. 위 말을 바꿔서 기업 입장에서 말하자면 보안서버를 도입할 수도 도입 안할 수도 있는겁니다.

보안서버 FAQ중 일부 #3
--> 관련 법규가 시행되고 있다고 하지만, 정보통신부에서 행정조치 여부를 결정하지 않았습니다. 바꿔 말하면 법을 시행하지 않고 있다는 것입니다. 있는 법을 왜 시행하지않고 있을까요? 그건 관련 법이 애매모호하기 때문이 아닐까요? 아니면 법적 조치나 규제 부분에 심각한 문제가 있다거나요. 저는 그렇게 생각이 들었습니다. 그래서 기사를 찾아봤습니다. 밑에 쭉 읽어보세요. 링크 걸어뒀으니....

그리고 "시행할 가능성도" 있지만, "시행 안할 가능성도"있는겁니다. 개인적으로 시행되기를 바라면서 열심히 조사를 진행했습니다.

보안서버 FAQ중 일부 #4
--> ID/PW/주민번호가 바로 그 대상이였군요! 근데 누가누군지 모르는 ID/PW가 개인정보에 속하나요? 예를 들면 MSN이나 gmail같은 사이트는 본인여부를 안묻는데, 한국에 진출했으니 한국법에 따라 보안서버를 사용해야 하는 것이겠군요? (물론 이들은 이 법 때문에 설치한 것이 아닙니다)


이들이 말한 법규쪽 내용을 찾아보니 친절하게 다음과 같이 되어있습니다.

※ 관련 법규 보기


개인정보 관련 법


자.. 그럼 이제 위에 언급된 법적인 부분을 한번 잘 뜯어서 생각해봅시다
 

※ [정보통신망이용촉진및정보보호등에관한법률]을 보면...

 
제28조 - 회원 정보를 담고있는 곳에 아무나 접근하지 않도록 조치를 취하면 됩니다. 회원정보가 있는 곳을 말하는 것 같으니, DB에 대한 접근성을 제한하기를 말하는 것이겠네요. DB 앞에 방화벽을 두면 되지 않을까요? 그리고 모든 DB는 접근시 ID와 PW를 물어보게끔 되어 있으니 어느 정도 문제가 될 것은 아니라고 봅니다.
 
제55조 - 불행하게도 시정조치를 받은 업체가 아직 없군요. 참고로 권고시정조치는 다른 레벨의 이야기입니다.
 
제67조 - 벌금만 명시하고 있군요.
 
 

※ [정보통신망이용촉진및정보보호등에관한법률 시행규칙]을 보면...

 
제3조
- 2. DB 앞에 방화벽만 있으면 되겠군요.
- 3. DB에 접근하는 내역을 모니터링하면 되겠군요.
- 4. DB에 저장되는 개인정보를 암호화하라는 이야기군요. 통신 부분은 따로 있을것 같습니다. 아.. 보니까 제5조의 내용이군요.
- 5. 백신 설치의 강제성을 말하는 것 같은데, 백신이 문제가 있어서 제거해야할 경우도 있습니다. 따라서 특별히 언급하고 싶지는 않군요. 이 부분은 보안서버 도입과는 별개의 이야기입니다.
- 6. 진실로 그 밖의 내용이 뭔지 궁금합니다.

그리고 이걸 보니 구체적은 기준을 정하여 고시하여야 한다는데, 이 기준이 뭡니까? 알아야 할것 아닙니까? 관련 법규 명시해주시지요.

 

※ [개인정보의 기술적 관리적 보호조치 기준]을 보면...


제5조 - 회원정보의 외부 전송시에 관한 부분입니다. 즉, 타업체와 제휴시에 회원 정보를 암호화해서 보내야한다는 소리인데, 외부로의 회원전송을 할 일이 없는 일반적인 웹사이트는 이 법에 대한 대상이 아닙니다.


위 내용중 보안서버와 관련된 내용이 어디에 있습니까? 정말로 궁금합니다.

위에서 언급한 법을 보고나면 한가지 의문이 드셔야 정상입니다. 바로 의문으로 개인정보에 속하는 부분이 과연 어디까지인가?라는 부분입니다. 법에 개인정보에 포함되는 것을 명.확.하.게 명시하지 않은 의도는 무엇입니까? 주민등록번호야 유일하므로 개인식별코드로 사용 가능하고, 이를 개인정보에 넣는 것은 당연합니다. 그러나 사용자가 마음데로 지정할 수 있는 ID/PW/E-mail만의 정보도 개인정보에 포함되는 겁니까? 참고로 하나 더 말씀드리면 국가 기관 중에서도 보안서버 도입 안된 곳 엄.청.나.게. 많습니다.


※ 자.. 그러면 한번 정통부에서 온 문서를 봅시다. (길어서 감췄음)


많은 분들이 받아 보셨을 부분이 바로 이 문서 입니다.

정통부에서 온 문서

이 문서는 정말 최고입니다. 국무회의의 내용은 실태 조사를 해보니 보안서버 도입이 널리 퍼지지 않았으니 홍보를 부탁한다는 것입니다. 그것과 보안 서버의 도입 여부를 절묘하게 붙였군요.

그래서, 다시 문제를 바꿔서 개인 정보가 어디까지인지, 어떤 부분인지 확인을 해봅시다. 개인정보에 해당하는 내용이 없도록 사이트 변경을 한다면 보안서버를 도입할 필요성이 없어지니까요. 근데 말이죠..... 개인정보보호법을 찾다보니 .... 최근 "디지털 타임즈"에서 나온 기사 중에 이런 제목의 기사는 있더군요.


위 기사를 보면 뭔가 한방 먹었다는 느낌 안드십니까? 통합할 수 있는 법도 제대로 없는 상태에서 애매한 중소기업만 맘고생시켜서 처벌한다고 협박해서 몇몇 업체가 배부를 수 있도록 한거라는 생각은 안드십니까? 도대체 개인정보의 범위는 어디까지이며, 그 법에서 말하는 보호 수단으로 보안서버를 도입해야 하는지에 대한 정보는 전혀 없이 진행하는게 어느나라 법입니까?

댓글목록

등록된 댓글이 없습니다.

회원로그인

설문조사

현재 사용하시는 os 는?

접속자집계

오늘
314
어제
291
최대
733
전체
149,348

그누보드5
Copyright © www.qdata.co.kr. All rights reserved.