한국인터넷진흥원에서 받은 전화.. 정보
한국인터넷진흥원에서 받은 전화..본문
갑자기 한통의 전화가 왔습니다.
진흥원이라고 밝히면서 사이트에서 몇가지를 수정해야 한다고 하네요.
그누보드를 쓰는 입장에서 아마 다 수정해야 할듯 합니다.
수정사항에 대해서 듣던중 황당한 소리를 듣게 되는데요..
보안서버를 설치하라네요. SSL을 설치해야 개인정보 유출을 막을수 있고 또한 설치 안할시엔
과태료를 부과할수 있다.. 이말에 갑자기 열이 확 오릅니다.
서버전체에 적용되는 방화벽도 아니고 개개인이 운영하는 사이트(점검 대상이 주로 쇼핑몰 인듯 합니다.)에 설치를 해야된다는건데..하루 방문객이 100명도 안되는 소규모 쇼핑몰에서 그걸 설치하면서 운영할 사이트가 몇개나 될지..주로 도매업자분들이 협력업체에 제품소개 형태로 운영되는게 많을건데..그래서 좀 따졌습니다. 아니 SSL이 액티브X방식인데 다른 웹브라우져에선 소용도 없는걸 왜 해야 되나요? 자긴 기술적인건 모르고 그냥 점검하니..대략 난감 ㅡㅡㅋ
그래서 상담 페이지 로긴해서 다음과 같은 질문을 날리고 왔습니다.
ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ
상기 사이트를 관리하는 사람입니다.
보내주신 내용과 담당 전화주신 분과의 통화를 통해서 다음과 같이 문의 드립니다.
법을 만들고 홍보하기전에 현실에 대한 이해와 국내 인터넷 상황에 대한 이해를 해주셨으면 합니다.
1. 보안서버(ssl)설치관련..
우리나라 상황이 익스를 많이 쓰는건 압니다만..사파리,크롬 등등등 많은 웹브라우져가 있는데
ssl은 액티브엑스로 개발된걸로 압니다.
그렇다면 다른 웹브라우져에서 소용이 없는 ssl을 왜 설치 해야 하는지요?
2. 비용문제.
소규모 자영업자들이 운영하는 쇼핑몰의 경우 ssl이 오픈소스가 아닌담엔 당연히 비용이 들어가는데 이런것까지 비용을 들여서 운영하라고 한다면 과연 몇명이나 이걸 설치해서 돈을 낼까요?
장사가 잘되는곳이야 상관이 없겟지만..일반 쇼핑몰의 경우 한달에 몇명 가입도 안하고
또 그냥 오프라인 거래처에 상품소개로 운영되는게 태반인데..홈페이지 운영하지 말라는 소리로
들립니다. 지마켓, 11번가 처럼 대형 쇼핑몰에서 부담하는 ssl비용과 자영업자들이 내는 ssl 비용이 부담이 같다고 생각하시는지요?
3. 방화벽
국내의 수많은 서버가 방화벽 조차도 설치 안하고 운영되고 있습니다.
kisa에서 무료 방화벽을 나눠주고 있음에도 이것 조차도 모르는 사람들이 태반입니다.
오히려 기본적인 해킹위험을 막는것이 더 옳다고 보는데..돈들어가는 그리고 다른 웹 브라우져에서는 소용도 없는 ssl설치를 하지 않으면 과태료를 부과하겟다는 식의 정책을 피는것은
보안업체 살찌우기 및 알바고용해서 그냥 있나 없나 대충 보고 실적 보고를 위한 탁상행정이라고
바께 안보입니다.
4. 액티브엑스 활용문제
언제까지 보안을 액티브엑스에 의존하는 방식으로 하실껀가요?
국내웹 시장이 익스만 쓴다고 생각하시나요? 컴터 조금만 알면 익스 안씁니다.
단지 전자 결재가 필요한 경우만 쓰지요.. 것도 누가 만들었나요? 정부가 그렇게 만든것 아닌가요?
결론적으로 이런 이상한 정책과 법이라고 만든것 보면 한심하다 못해 욕이 나올정도입니다.
해커가 ssl 있다고 정보를 못가져간다고 생각하시는지요?
답변 기다립니다.
ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ
설치하면 좋겠지요..하지만 국내 인터넷 시장상황과 기타등등 인식없이 무조건 적인 시행령이
이러니 이리해야된다..이거 도대체가 황당해서..
여러분 생각은 어떠신가요? 과연 이걸 쇼핑몰 운영하시는 자영업자분들한테 알리고 해야된다고
말을 해야 할까요? 아니면 몬가 대책을 세워야 할까요? 여러분 생각은 어떠신지요?
추가 : 답글 주신분들 내용보고 ssl방식이 액티브엑스 방식은 꼭 아니라는 답변을 받았습니다. 위 내용중 액티브 엑스하고 관련된 사항은 잊어주세요..제 무식으로 ...후다닥~~
0
댓글 25개
커뮤니티 사이트인데도 설치해야 한다면서 업자가 공갈 협박 하더라구요..
완전 업자와 짰더라구요..
전화도 서로 돌려주고 하면서..
저는 회원 가입창이 없다고 확인 해보라니까 그제서야 꼬리 내리더라구요.
기분 꿀 하더라구요..
ㅎㅎ
최소한 디비 암호화는 해야 하는데 국내 공개웹 소스 안쓰는 중/대기업들은 주민번호랑 암호화 절대 안하던데요.
최소한 디비 암호화 하면, 해킹되더라도 해독하는데 꽤 시간이 걸리는걸로 알고 있습니다만;;;
국내 도메인 등록업체의 수익성을 좋게 해주기 위해 도메인 일반등록자에게서 별짓을 다해서 돈 받아냅니다. 대표적인 사례가 .kr도메인이죠~
전에 제가 호스팅료 혹은 홈페이지 제작을 국가 정책에 맡게 카드로 결재를 유도하고(좀 편하게 받을려고 한것도 있습니다.^^;) 그래서 데이콤하고 이야기를 하는데 안된다네요..
제가 헉 했습니다. 아니 국내 굴지의 PG사가 그것이 안된다구요? ..네 안됩니다. 안되는 이유는 어쩌고 저쩌고..
결국 청와대하고 금감원에 글 남기고 담당자하고 통화까지 했습니다. 전화 돌리기 몇번 당하는걸 꾹 참고
끝까지 했습니다. 잘못된게 있다면 법을 고쳐야 된다고 생각했기 때문이죠..
물론 지금도 안됩니다. ;; 카드결재가 되는곳은 유명업체일 경우는 될수 있습니다. 매출규모가 크거나..
즉 귀에 걸면 귀걸이 코에 걸면 코걸이..그리고 PG사 마다 다 틀리더군요..
이건도 한번 파고 들어야 하는건지..어쩐건지..쩝;
왜에~~ 있는 건지;;; 참... 답답합니다^^*
돈이라도 년매출 1억 이상 이면 SSL 할아버지라도 구축 할껀데 말입니다.
설치를 종용하기 위해서 전화질을 해데니..꼭 마지막 멘트가 안하면 벌금(과태료)물수 있어요..이겁니다.
관리자님 그누보드,영카드에 있는 개인정보보호정책이 틀린말이라네요..개인정보취급방침이랍니다.
어라.. 그누사이트는 수정되어 있네용 ㅋㅋ;
문구가지고 장난치는데 아주 웃깁니다. 모 모는 있어야 되고 모는 없어야 되고 ㅡㅡ
사실 SSL 보다 급한건 주민번호의 암호화인데
왜 그렇게 엑티브 X에 집착하는지 도무지 모르겠어요..
원천적인 암호화만 잘해도 자잘한거 막을필요도 없는데 말이죠..
SSL 은 이미 표준으로 잡혀있고,
모든 브라우저마다 다 지원합니다......
http://www.crosscert.com/service_global/products/?_action=SHOW&_param=GPW_INTRO_MAIN_PAGE
사설 인증서 쓰셔도 되구요.
무료 인증서도 있습니다.
인터넷진흥원이라는데...
진흥이 아니라 억압하고 있으니 말입니다.
한국 인터넷 경쟁력을 높이는데 힘쓰면 세금이 아깝지 않을텐데..
SSL 설치는 그렇게 분노하실 만한 일이 아니라고 생각되는데요.. 논란의 여지가 있는 문제가 아니라 중요한 개인 정보를 다루는 사이트들에는 필수라고 결론난 문제입니다. 뭐 저거 설치한다고 없던 보안이 생기는건 아니지만요..
SSL이 왜 중요한지 모르시겠으면 패킷캡쳐 프로그램 켜놓구 사이트 돌아다녀 보세요. 금방 아실껍니다.
1. ssl은 웹브라우져와 서버단 사이의 프로토콜을 규정하는 것 입니다.
웹브라우져가 뭐든 아무런 상관이 없으며 active-x와도 무관한 겁니다.
ssl은 웹브라우져와 서버 사이의 해킹을 방어하기 위한 것인데 (sniper)
그렇게 해킹하는 사례는 현실 세계에서는 거의 없습니다.
책상에서나 사용하는 해킹 방법이죠.
해킹할 쉬운 방법이 얼마나 많은데 머리아프게 스나이퍼로 합니까. ㅎㅎ
웹브라우져가 ie일때만 유효하다는 것은 잘못된 인식 입니다.
2. 비용문제는 심각 합니다.
무료 인증서가 있다고는 하는데 제가 심각하게 해봤는데 실제로 쓰기는 어렵습니다.
돈내고 사야 하는데, 가장 싼 것도 1년에 10만원정도하고,
호스팅 업체라면 별도로 산정된 가격에 따라서 비용이 부과 됩니다 (좀 비싸더군요)
법이 그렇기 때문에 해야 한다는게 진흥원 입장이죠. 케xx 들 입니다.
2006년도부터 하고 있고, 작년에는 과태료 고발직전까지 가서 추가로 더 했습니다.
쌍욕이 나오지만, 법이 그래서 어쩔 수 없더라구요.
논리나 호소 아무 소용 없습니다. 최대한 구현을 길게하고 비용싼거를 찾으세요.
저처럼 강하게 개기면, 진흥원에서 체크하는 것도 아주 질겨 집니다.
저는 sniper 걸어두고 체크를 당해서,
불당팩의 ssl의 구현은 그누원본보다 많습니다.
그누 원본의 ssl 구현은 진흥원에서 sniper 걸어두고 덤비면 엄청수정해야 합니다.
3. 캐슬이랑은 방화병이 아니라, csrf 위변조를 체크해주는 것이라고 하는데
솔직히 유용성에 대해서는 모르겠습니다.
탁상행정은 맞지만 2006년도부터 칼을 들이댄 것이라 지금은 번복 안됩니다.
4. ssl은 active-x와는 전혀 무관한 겁니다.
---
싸워봐야 남는거 없습니다.
방송통신 위원회 이름으로 언젠가는 과태료 고지서 나옵니다.
피할 수 없습니다.
최대한 시간을 끌면서 싼걸로 하세요.
6년간 그넘들이랑 티격태격 싸우면서 얻은 결론 입니다.
제가 끌어보니까 1년정도는 시간을 유예할 수 있는데, 그이상은 어렵더군요.
---
sniper 걸어서 꼼꼼하게 체크당하는 것보다는 대충 합의하시는게 때로는 더 편할 겁니다.
sniper 걸리는 바람에 수정하느라 시간 무지하게 많이 들어갔습니다. ㅠ...ㅠ...
생각할수록 xx 같아요
스니핑은 동일 네트웍 대역 .즉 osi layer 2 인 네트워크계층..... 데이터링크계층이었나 --;
스위칭 장비 이상의 장비를 지나게 되면 스니핑이 안되게 됩니다.
어떻게 체크를 하셨길래 스니핑이 된거죠.?
본인 PC 에 스니핑 툴 깔아두고 그 PC에서 form submit 등을 체크하신건가요.?
아주 혹독하게 당했습니다. ㅎㅎ
이 페이지에서는 뭐가 안되고, 어디는 ssl 처리가 안되었고 다 찾아내더라구요.
익스에서만 정상 작동하는 SSL도 있다는게 놀라울 따름이지요 ㅋㅋ
사설 인증서 붙여놓으시면 됩니다.
물론 회원들은 로그인할때 신뢰할 수 없는 인증서라는 메시지가 나오겠지만,
진흥원 검사 끝나면 걷어내면 되니깐 -_-;;;;;;;;;;;;;;;;;
뭐......쓰시면 좋기야 좋습니다.
무료 인증서라도 쓰세요.
더 열받으신것 같네요. 저는 좀 의견이 다른데...이정도로 열받을 일은 아니라고 봅니다.
이미 2006년부터 KISA에서 보안서버 구축에 대한 규정과 법률이 만들어지고 적용되어
적극 홍보하고 있었으며, 2007년까지는 법을 적용하겠다는 계도 기간으로 홍보하였습니다.
제 기억으론 2008년도부터 대형사이트부터 보안서버 제대로 구축했는지 순차적으로
점검 들어간 것으로 알고 있습니다.
대형 사이트들이야 비용 문제가 없으니 바로 보안서버 구축을 했지만
소규모 사이트들은 '난 회원수도 적고 개인이 운영하는 조그만 규모니까 괜찮겠지?'라고들
생각하고 계시다가 진흥원으로부터 저런 전화를 받고 당황하고 화나신분들 많을꺼라 생각됩니다.
그러나 내가 운영하는 사이트의 개인정보 취급에 있어서, 단 한명의 회원밖에 없다고 하더라도
개인정보 암호화는 꼭 해야된다는 생각입니다. 이는 사이트 운영자의 의무이자 책임입니다.
보안서버 구축비가 아까워서 못한다고 하시는분들은 사이트에서 회원가입 빼고 운영하시는
방법이 있겠네요. 저도 회원수 얼마 안되는 소규모 사이트를 운영하긴 하지만 1년에 44,000원
보안서버 비용 들어가는것 아깝지 않습니다. 고객의 개인정보를 암호화해서 잘 보호해 주고
있다는 생각이 들어서 입니다.(카페24에서는 KISA 보안서버 1년에 33,000원에 제공하네요)
한국정보보호진흥원...실적 보고 해야하기 때문에 우리 인터넷 사업자들을 보안서버를 빌미로
엄청 괴롭힙니다. 괴롭힘 당하지 마시고 빨리 구축하시는게 정신건강에 좋을것 같습니다.
단 한명의 회원이라도 자신의 개인정보를 보호받아야 하는 권리가 있는 것입니다.
대부분의 댓글 다신 분들은 글쓰신분 의견에 공감하시는 분들이 많으신것 같네요.
저도 일정부분은 공감하지만, 좀 다른 생각이라 다른 관점에서 적어보았습니다.
날도 더운데 저런걸로 열받지들 마시구요 즐거운 하루 보내세요^^
아마 개인적인 생각으론 관련업계에 있는 사업자들이 국회의원 나부랑이들한테 로비해서 만든 법이라고 생각됩니다. 솔직히 패킷스니퍼로 누가 정보를 얻어갑니까 쉘하나 올려서 디비접속파일만 뚫으면 대부분 다 볼수있는데요.
개기지 마시고 불쌍한척하세요~ 우리같은 영세업체 어쩌고, 개발자도 구해야하는데 어쩌고 하면 기간은 대충 한두달씩 늘려줍니다. 좀 귀찮긴 하지만요. ^^
그 담은 알아서들 하겠지요. 그리조 저는 서버 관리자이지..제가 운영하는것이 아닙니다...솔직히 개인정보 가져간다고 하는데..물론 안가져 가도록 최선을 다하는게 기본이라고는 생각합니다.
하지만 서버를 운영하는 입장에선 보면 개인정보 빼가는것 보담은 서버해킹당하는게 더 두렵고 거기에 몰두 해야 된다고 생각합니다. 물론 닭이 먼저냐 계란이 먼저냐의 차이는 있지만서도..
더군다나 쇼핑몰 운영하시는 자영업자분들은 그냥 글올리고 사진 올리고 가격올리는 이정도 아는 분도 그리 많지가 않습니다. 이게 제가 보는 현실입니다. 그냥 설명하기 귀찮으니까 쇼핑몰이라고 만드는 정도..
그런분들한테 보안서버가 어쩌고 설명해 바야..그냥 허공에 소리 치는게 속편하다는 말입니다.
이건 개인적인 생각인데 한달에 회원 한명 가입할까 말까 하는 쇼핑몰 및 홈페이지에 보안 취약하니
ssl 설치해라..이거 정말 현실적이라고 생각하세요?
비현실적이라고 하셔도 어쩔 수 없습니다.
한국의 it 산업의 레벨업을 위한거라는 목적으로
이법이 만들어진지 5년이 넘었습니다.
이거는 그냥 있는 법 입니다.
유효성과 무관하게 시키는대로 해야 할 뿐 입니다.