[정보통신망법] 보안서버의 정의 및 관련 규정

이번 포스팅에서는 보안서버의 정의 및 종류와 보안서버를 강제하는 법률 조항에 대해 정리해 보도록 하겠습니다.

1. 보안서버란?

보안서버란 인터넷상에서 사용자 PC와 웹 서버 사이에 송/수신되는 개인정보를 암호화하여 전송하는 서버를 의미합니다. 

인터넷에서 송/수신되는 개인정보의 대표적인 예로는 로그인시 ID/패스워드, 회원가입시 이름/전화번호, 인터넷 뱅킹 이용시 계좌 번호/계좌 비밀번호 등이 해당됩니다.

아래의 예시에서, 정보통신망법에서 정의하는 유형별 개인정보를 확인할 수 있습니다.

* [정보통신망법]에서 정의하는 개인정보의 예시

<참고 - 정보통신서비스 제공자를 위한 개인정보 법령 해설서, 방송통신위원회 / 한국인터넷진흥원, 2012>

2. 보안 서버의 필요성

인터넷상의 암호화되지 않은 개인정보는 가로채기 등의 해킹을 통해 해커에게 쉽게 유출될 수 있습니다. 반면 암호화된 개인정보는 해킹을 당해도 보호받을 수 있습니다.

• 정보유출 방지 (sniffing 방지)
• 위조사이트 방지 (phising 방지)
• 기업의 신뢰도 향상

<그림 - 보안서버 구축의 필요성>

3. 보안서버의 방식

보안서버는 구축방식에 따라 SSL방식과 응용프로그램 방식 2가지 방식으로 구분됩니다. 

1) SSL 방식

• 사용자 컴퓨터에 별도 보안 프로그램을 설치할 필요가 없으며, 웹 서버에 설치된 [SSL 인증서]를 통해 개인정보를 암호화하여 전송하는 방식입니다.
• 보안서버 구축에 소요되는 비용이 상대적으로 저렴하지만 주기적으로 인증서 갱신을 위한 비용이 소요됩니다. 
• 로그인 페이지 등 보안이 필요한 웹페이지에 접속한 상태에서 브라우저 하단 상태 표시줄에 자물쇠 마크로 확인할 수 있으나, 웹사이트의 구성 방법에 따라 자물쇠 모양의 마크가 보이지 않을 수도 있습니다.

2) 응용프로그램 방식

• 암호화 응용 프로그램을 이용한 보안서버는 웹 서버에 접속하면 사용자 컴퓨터에 자동으로 보안 프로그램이 설치되고 이를 통해 개인정보를 암호화하여 전송합니다.
• 해당 웹사이트에 접속하게 되면 윈도우 오른쪽 하단 작업표시줄 알림영역에 아래 그림과 같은 아이콘을 통해 암호화 실행여부를 확인할 수 있습니다. (응용프로그램에 따라 아이콘이 다를 수 있습니다.)

* 세부 구축 방법 및 자세한 설명은 [보안서버 구축가이드,KISA] 를 참고하세요. 

4. 보안서버 관련 규정

4-1. 정보통신망법
보안서버와 관련된 규정은 [정보통신망법] 에 명확히 명시되어 있습니다.
해당 규정은 보안서버의 기능과 일맥상통합니다. 즉 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송/수신 할때는 보안서버 구축 조치를 통해 이를 암호화 해야합니다.  

4-2. 정보보호관리체계 (ISMS)

ISMS 통제항목에서는 아래와 같이 보안서버 구축을 규정하고 있습니다.

통제항목 : 8.1 분석 및 설계 보안관리 - 8.1.2 인증 및 암호화 기능
통제내용 : 정보시스템 설계 시 사용자 인증에 관한 보안요구사항을 반드시 고려하여야 하며 중요정보의 입/출력 및 송수신 과정에서 무결성, 기밀성이 요구될 경우 법적 요구사항을 고려하여야 한다.

점검항목 : 개인정보 및 인증정보 등의 중요한 정보 전송 시 SSL보안서버 구축 등을 통하여 암호화하고 있는가?

설명 : 정보통신망을 통해 중요정보를 송/수신하는 경우, 법적 요구사항을 고려하여 보안서버 구축 등의 조치를 통한 암호화 통신이 이루어져야 한다. 

5. 요약

내용이 아주 많지만, 간단히 정리하면 1) 정보통신망법에 적용되는 대상 그리고 2) 정보보호관리체계(ISMS)은 반드시 보안서버를 구축해야 합니다.

No comments

• Tweet
• Like It
• Google +