본문 바로가기

보안서버(SSL) 의무화? 왜 그래야 하지?

728x90
반응형
힘 없으면 불편을 감수하고 지갑을 열어라 하는 게 정부 정책의 의도는 아닐테지만 결과적으로 대기업(?)의 잦은 실수로 죄 없는 국민들이 애를 먹고 있다. 보안서버를 설치하라며 3천만원이라는 벌금으로 국민을 협박하고 있다.

PC와 서버가 서로 주고 받는 정보는 대략 이런 형태다. 이 그림을 보면 자칭 전문가라 하는 사람들은 잘 못 된 부분을 지적하고 싶어 손가락이 근질근질 할 것으로 보인다. 내가 굳이 전문가를 대상으로 포스팅을 하고 싶지 않고 그럴만한 지식도 없다.

 

회원제로 운영되는 사이트에 접속하게 되면 우린 아이디와 비밀번호를 서버에 전송해 로그인을 하게 되고 서버는  HTML 문서를 PC(클라이언트)에 전송해 준다. 정부가 개인 사이트까지 보안서버를 의무화 하라는 건 바로 아이디와 비밀번호 이 두 개 때문이다.

 

우리가 사용하는 컴퓨터, 즉 PC에서는 그림에서 보이는 아이디, 비밀번호, 회원정보를 서버로 전송할 때가 있는데 이 때 인터넷 회선을(또는 무선)타고 문자(TEXT)들이 서버로 전송 될 때는 자연어 상태로 보내지게 된다. 아날로그 전화기 일 때는 전봇대에서 전화선에 수화기 연결 해서 도청 할 수 있었던 것처럼 서버로 전송 되는 정보들을 중간에 가로챘을 때 정보가 고스란히 노출 되는 위험이 있다. 그렇다면 이렇게 해서 개인 정보가 유출 된 사례는 있을까? 아직 없거나 있어도 매우 극소수다.

 

■ 문제아는 따로 있다.

개인정보가 가장 많이 유출되고 보안이 취약한 곳은 어디일까? 많은 사람들이 알고 있는 것처럼 대기업이다. 대형 포털과 오픈마켓의 개인정보는 모두 한 두번씩 해킹이 되었고 대량의 개인정보가 유출 되었다. 보험회사에서는 CD 형태로 개인정보가 거래 되다 적발 되기도 했다. 최근에도 고물상에서 대량의 개인정보가 문서형태로 몇 박스씩 폐지로 들어와 경찰이 수사하기도 했다. 일부이긴 하지만 지금도 휴대전화를 가입하기 위해 작성했던 계약서, 보험 가입서, 은행 서비스 신청서 등 중요한 개인정보가 작성 된 문서들이 제대로 파기되고 있지 않다. 10여년 전 한창 인기를 끌던 큰 사이트들이 어느 날 갑자기 사람들 속의 기억 속에서 사라졌다. 적게는 수백만, 많게는 천만명의 회원정보는 잘 파기가 됐을까? 그건 장담 할 수 없다. 당시에 회원정보 1개당 10~100원씩 거래가 되던 때였고 많은 기업들이 그런식으로 사이트를 폐쇄하기 전 최대한의 이익을 남겼다. 개인정보 유출의 주범은 그런 대형 사이트와 기업들이다.

 

■ 개인 사이트를 모두 보안서버(SSL)로 바꾸면 안심 할 수 있을까?

지난해 8월부터 개인정보를 취급하는 모든 사이트에 보안서버 설치가 의무화 됐다. 권고 기간이 끝나 지금은 시행 된지 수개월이 지났다. 만약 회원정보를 취급하는 사이트에 보안서버를 적용하지 않았다면 보안서버를 적용하라는 공문을 받게 된다. 그리고 제도를 안내하는 홈페이지로 이동하면 이를 어길 시 3천만원의 벌금을 내야 한다는 경고 문구도 확인 할 수 있다. 그누보드, xe(제로보드), 킴스보드 등 멀티보드를 사용해 홈페이지를 만들어 아이디, 비밀번호를 수집하고 있다면 꼼짝없이 보안서버를 적용해야 한다. 그나마 다행인 것은 예전에 비해 보안서버 비용이 매우 저렴해 졌다는 것이다. 해외에서는 무료로 제공해 주는 곳도 있으니 누구나 비용 부담 없이 이를 적용해 사용 할 수 있다.

 

그렇다면 개인 사이트까지 모두 보안서버 적용을 한다면 개인정보는 안전해 지는 걸까? 장담하지만 그렇지 않다고 본다. 개인 사이트에서 유출 되는 개인정보는 매우 극소수다. 포털 사이트 하나만 유출 되도 수천만명의 개인정보를 얻어 낼 수 있고 실제로 그런 일이 있었다. 거기에 대형 오픈마켓과 은행, 보험회사 등에서 유출 되는 개인정보에 비하면 개인 사이트의 개인정보는 빙산의 일각도 되지 않는다. "보안서버 의무화"는 탁상 행정의 전형이다. 댐이 무너지고 있는데 도랑물 막으라는 격이다. 개인 사이트 아무리 단속해도 대기업에서 한 번 뚫리면 무용지물이다.

 

■ 보안서버란?

정보를 요구하는 컴퓨터는 client, 정보를 제공해주는 컴퓨터는 server라고 한다. 이 컴퓨터들은 매우 복잡한 네트워크 망으로 연결 되어 있고 수많은 정보들을 주고 받는다. 이 컴퓨터들은 환경에 따라서 정보 표현 방식이 제각각이다. 한국 사람과 중국 사람이 사용하는 언어가 다르 듯이 컴퓨터도 그렇다. 우리가 비행기를 타고 해외를 나갈 때 공항을 이용하는 것처럼 폐쇄형 네트워크에서 인터넷으로 연결 할 때는 라우터라는 서버를 통하게 되는데 라우터가 하는 많은 일 중에 하나가 다른 네트워크의 컴퓨터도 이해 할 수 있도록 정보들을 표준화 된 방식으로 변형한다. 그 표준화 된 표현 방식을 우린 프로토콜이라고 한다. 한국 사람과 중국 사람이 만났을 때 서로 각자의 언어는 모르지만 영어로는 대화 할 수 있다면 영어가 그들의 프로토콜인 셈이다.

 

보안서버를 적용 했을 때 아이디와 비밀번호를 서버로 전송 할 때 문자(TEXT)들이 암호화 되어 전송 되어진다. 암호화 된 정보들이 서버에 전송 됐을 때는 이걸 다시 복호화 해야하는데 client와 server가 서로 약속 된 방식으로 암호화와 복호화 작업을 해야 한다. 이 암호화 규칙을 저장하고 있는 웹서버를 우린 보안서버라고 한다.

 

 

페이스북을 각각 IE와 오페라에서 접속 할 때 주소다. 로그인 페이지에 접속하게 되면 주소가 https://로 시작하거나 보안 되었다면 아이콘을 볼 수 있다. 이 페이지에서 로그인에 필요한 아이디와 비밀번호를 입력하고 서버에 전송하게 되면 서버는 정보를 받아 회원을 인증해 준다. 이미 로그인 된 상태라면 https://가 아닌 http://로 접속 되는 걸 볼 수 있다. https는 내가 접속하려는 웹서버로 직접 접속하는 것이 아니라 암호화 된 정보를 복호화 해 줄 수 있는 보안 서버로 접속하게 된다. https://daum.net과 http://daum.net는 비슷하게 보이지만 서로 다른 주소가 된다.

 

■ 보안서버 꼭 필요한가?

요즘 웬만한 커뮤니티, 포털, 쇼핑몰, SNS 등 모두 보안서버(SSL)를 적용하고 있다. 해외 결제 전문 사이트인 paypal은 SSL 적용만으로 client트 보안을 담당하고 있으며 국내처럼 요란하게 이런저런 보안 프로그램들을 강요하지 않는다. 그런데도 아직 paypal의 금융 사고는 언론에 노출되지 않고 있다. 그만큼 SSL의 보안은 뛰어나다는 것이라고 볼 수 있다.

 

SSL에도 품질이 있다. 국내 SSL 제공 업체에서 제시한 서비스 가격을 보면 수십만원도 있고 1년에 만원도 안 되는 곳도 있다. 어느 것이 좋다 나쁘다 말하기는 힘들지만 회사마다 제공되는 서비스 한계에는 차이가 있다. 지원 가능한 도메인에 제한을 둘 수도 있고 보안서버로의 접속 속도에도 차이가 있을 수 있다. 요즘은 웹호스팅 회사에서 SSL 서비스도 함께 하고 있으니 가격과 서비스 차이를 꼼꼼히 살펴보고 선택하는 것이 좋다.

 

조금 더 좋은 서비스를 제공 받고자 한다면 어느정도 비용을 지출해야 하고 본인이 직접 SSL 적용 기술이 없다면 위탁을 해야 하는데 여기에 또 비용을 들여야 한다. 그렇다면 보안서버 꼭 적용해야 할까? 사실 그렇지 않다고 필자는 말하고 싶다. 모든 사이트에 보안서버가 필요하지 않다고 생각한다. 현재는 소규모 개인 사이트에까지 의무적용 대상이기 때문에 어쩔 수 없이 법을 따라야 하지만 좋은 법 같아 보이진 않는다. 운영자가 회원의 정보를 보호하기 위해 SSL을 적용 할 수 있는 선택권을 줘야 한다. 아이핀, 공인인증서가 절대적으로 안전을 보장해 주지 않는 것처럼 SSL도 마찬가지다. 개인정보를 취급하는 주체자가 어떻게 정보를 관리하느냐가 더 중요하다.

 

■ 법이니까.

어쩔 수 없다. 회원정보를 취급하는 모든 사이트에 해당이 되니 어쩔 수 없이 SSL을 적용해야 한다. 인터넷을 검색해 보면 무료로 SSL 서비스를 제공하는 곳이 있다. 안전성은 보장 받을 수 없지만 법 때문에 어쩔 수 없이 SSL을 적용해야 한다면 무료 서비스나 1만원 미만의 서비스를 이용해도 법망의 단속은 피할 수 있다.

 

728x90
반응형