웹사이트 개발/운영자를 위한 개인정보보호 가이드11_기술적/관리적 방안

라. 안전한 보안서버 구축

 

정보통신망법 제28조에 의거하여 사업자는 개인정보가 송수신되는 다음의 페이지에서 개인정보가 노출되지 않도록 반드시 고객 PC와 서버간의 쌍방향 데이터 암호화를 제공하도록 보안서버를 구축하여야 한다.

 

1. 회원가입 및 조회, 수정 페이지 2. 상품 주문 및 조회 페이지 3. 상품 결제 페이지 4. 상담, 견적의뢰, 예약, A/S접수 등 회원가입 외의 개인정보 수집 페이지 5. 로그인 페이지

 

보안서버란 인터네상에서 이용자 PC와 웹서버 사이에 송수신되는 개인정보를 암호화하여 전송하는 서버를 의미한다.

 

보안서버는 해당 전자거래 업체의 실존을 증명하여 고객과 웹 서버간의 신뢰를 형성하고, 웹브라우저와 웹 서버간에 전송되는 데이터의 암/복호화를 통하여 보안 채널을 형성한다.

 

보안서버는 크게 아래와 같은 2가지 방법을 통해 구축할 수 있다.

1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송되는 정보를 암호화하여 송․수신하는 기능 2. 웹서버에 암호화 응용프로그램을 설치하여 전송되는 정보를 암호화하여 송․수신하는 기능(ActiveX를 이용한 암호화 프로그램)

 

(1) SSL 보안서버 구축

 

별도의 보안 프로그램 없이 웹 서버의 SSL 인증서를 통해 개인정보를 암호화하여 전송하게 된다.

 

SSL 인증서는 국내․외 여러 발급 업체를 통해 발급받을 수 있으며, 대부분의 업체는 인증서 발급 및 고객 지원까지 하므로, 해당 발급업체의 신뢰성, 브랜드 가치, 지원되는 웹브라우저의 종류 및 설치 지원의 정도 등을 판단하여 인증서를 발급받으면 된다.

 

자세한 내용은 한국인터넷진흥원의 『보안서버 구축가이드(http://secsv.kisa.or.kr/secsv/jsp/secsv_guide.jsp)』을 참조

 

(그림 3-22) SSL 방식의 보안서버 확인법

 

(2) 암호화 응용프로그램

 

웹 서버에 접속하면 이용자 PC에 보안 프로그램을 설치하고, 설치된 프로그램을 통해 개인정보를 암호화하여 전송하게 된다.

 

사용되는 암호화 응용프로그램은 방송통신위원회와 한국인터넷진흥원의 심사를 통해 안전성을 인증받은 제품을 사용해야 되며, 암호화 응용프로그램 솔루션 공급 업체를 통해 일정 사용료를 지불하고 해당 서비스를 제공받을 수 있다.

 

웹사이트 접속 시 초기화면이나 로그인 후 윈도우 화면 오른쪽 하단의 작업표시줄을 확인하면 암호화 프로그램의 실행여부를 확인할 수 있으며, 그 모양은 프로그램마다 다를 수 있다.

 

※ 금융서비스나 웹 쇼핑몰 사이트 등에서 ActiveX를 통하여 제공되는 서비스가 바로 암호화 응용프로그램을 사용하는 대표적인 예이다. ActiveX를 통한 초기 이용자 동의 창이 뜬 후 해당 프로그램의 설치에 동의한 경우 암호화 프로그램이 설치되고 이후 해당 프로그래믕ㄹ 통해 안전한 통신이 가능하다.

 

자세한 내용은 한국인터넷진흥원의 『보안서버 구축가이드(http://secsv.kisa.or.kr/secsv/jsp/secsv_guide.jsp)』을 참조

(그림 3-23) 응용프로그램 방식의 보안서버 예

 

(3) 보안서버 적용 여부 확인 방법(패킷 툴 활용)

 

SSL 방식 또는 응용프로그램 방식으로 보안서버를 구축한 후에 개인정보가 처리되는 모든 페이지에 제대로 적용이 되었는지 확인하는 작업이 필요하다.

 

웹브라우저에서 자물쇠 모양 또는 ActiveX의 눈으로 확인이 가능한 경우도 있으나 경우에 따라서는 눈으로 보이지 않거나, 개인정보가 처리되는 페이지별로 적용 여부를 보다 확실하게 확인하기 위해서는 패킷 검사 툴을 활용하는 것이 좋다.

 

(가) 패킷 분석툴 이용한 보안서버 적용 확인 예시

[ 암호화 되지 않은 통신의 예 ]

[ 암호화된 통신의 예 ]

 

(나) 패킷 분석툴 이용한여 보안서버 적용 확인하기 예시

- 로그인 부분 검사 예

 

① 자신의 웹사이트와 패킷 분석 프로그램을 연다.

 

② 로그인창에 테스트용 아이디와 비밀번호를 입력한다.

- 예: ID: test1234, PW: test1234(아무단어나 사용해도 됨)

- 로그인 버튼은 아직 누르지 않는다.

 

③ 패킷 프로그램의 맨 앞부분 아이콘을 클릭한다.

 

④ 숫자가 올라가는 것이 보이면 capture를 클릭한다.

 

⑤ 통신내역을 검사하는 창이 뜨고, 창에 녹색 검사막대가 보일때까지 기다린다.

 

⑥ 웹사이트의 로그인을 시도하여 아이디, 패스워드를 날린다.

 

⑦ 패킷 프로그램창으로 돌아와 <STOP>을 클릭한다.

 

 

 

 

 

 

 

⑧ 키보드에서 [ctrl]+F(찾아보기) 누른다음, 찾기창이 뜨면 String에 체크를하고 입력창에 로그인시 사용했던 아이디(test1234)를 기입한 후 <Find>을 클릭한다.

 

 

 

 

 

 

 

⑨ 그림처럼 찾고자하는 아이디가 보이면 암호화 전송 되지 않았다는 뜻이고, 해당 단어를 찾을 수 없다고 하면 암호화 전송 되었다는 뜻이다.

 

(3) 관련 근거

개인정보 안심진단 서비스 개인정보보호 컨설팅 - 케이핌(www.kpim.co.kr)