보안서버 구축 정의, 필요성, 종류 안내

1. 보안서버의 정의

 

보안서버란 인터넷상에서 개인정보를 암호화하여 송∙수신하는 기능으로 독립적인 하드 웨어를 따로 설치하는 것이 아니라 이미 사용하고 있는 웹서버에 SSL(Secure Sockets Layer) 인증서나 암호화 소프트웨어를 설치하여 암호 통신을 지원하는 것을 의미합니다. SSL 인증서의 경우 해당 전자상거래 업체의 실존을 증명하는 과정을 거쳐 발급되기 때문에 웹 사이트에 대한 인증 기능도 일부 가지고 있습니다.

인터넷상에서 송수신되는 개인정보의 대표적인 예로는 로그인 시 ID, 패스워드, 회원 가입 시 이름, 전화번호, 인터넷 뱅킹 이용 시 계좌번호, 계좌 패스워드 등이 있습니다. 만일 이러한 개인정보가 암호화되지 않은 채로 해킹을 통해 유출될 경우 심각한 피해를 초래할 수 있습니다. 보안서버는 이러한 위협을 방지하기 위한 방법의 하나로, 개인정보를 암호화하여 송수신함으로써 유출을 방지하며 중간에 데이터를 가로채더라도 암호화되어 있기 때문에 개인정보가 노출되지 않습니다.

그러나 보안서버의 구축 및 운영방법은 업체에 따라 많은 차이점이 있으며, 잘못된 보안 서버의 구축 및 운영은 개인정보의 유출을 초래할 수 있습니다.

 

보안서버

 

2. 보안서버 구축의 필요성

 

인터넷은 개방된 환경으로 일반적인 송∙수신방법이 안전하지 않기 때문에 인터넷상에서 송∙수신되는 이용자, 사업자 및 컴퓨터의 신원정보(Identity)를 확인하는 것은 어렵지 않습니다. 따라서 모든 송∙수신 메시지는 도청자가 중간에 가로채어 수정할 수 있는 위험에 노출되어 있습니다.

인터넷 통신은 종종 전통적인 우편시스템에서 우편엽서의 사용과 비유되곤 합니다. 만일 공격자가 적시에 적절한 장소에 있다면, 공격자는

- 당신의 우편엽서를 읽고, 당신의 대화에 훔칠 수 있으며,

- 당신의 우편엽서를 수정하고, 당신의 대화를 뒤엎을 수 있으며,

- 당신 또는 대화 대상자에게 우편엽서를 송부하여, 양 당사자를 흉내 낼 수 있습니다.

 

이러한 위협은 인터넷에서 전송되는 정보의 가치 및 민감도에 따라 잠재적 이득을 원하는 자에게도 동일하게 적용될 수 있습니다. 실제로 패킷을 캡처하는 프로그램을 이용하면 내가 속한 네트워크에 지나가는 대부분의 패킷 내용을 쉽게 확인할 수 있습니다.

 

이러한 문제점을 해결하기 위해 보안서버는 네트워크 응용 프로그램 간의 통신에 대하여 프라이버시, 인증, 신뢰를 보장해 주는 것을 목표로 하고 있습니다. 이를 위해 SSL 프로토콜은 어떤 TCP/IP 기반의 통신에도 유용하게 적용될 수 있으며, 특히 HTTP(hypertext transfer protocol) 통신을 보호하는 목적으로 많이 사용되고 있습니다.

보안서버 구축을 통한 송수신 구간 암호화는 통신을 안전하게 보호해 줄 뿐만 아니라, 네트워크 통신에서 다음의 장점을 제공합니다.

 

 

2.1 정보유출 방지(sniffing 방지)

 

사용자가 웹사이트에 접속해서 로그인 또는 전자상거래를 위해 ID, 패스워드, 신용카드 번호 등의 각종 중요한 개인정보를 입력하여 해당 사이트로 정보를 전송하게 됩니다. 이때 악의적인 해커들이 설치한 정보유출 프로그램에 의해 사용자의 ID와 패스워드 등의 중요한 개인정보를 도청하는 것이 스니핑입니다.

스니핑 툴(sniffing tool)은 인터넷상에서 누구나 손쉽게 구할 수 있습니다. 따라서 학교, PC방, 회사 등의 공용 네트워크에서 누군가 스니핑 툴을 이용하여 타인의 개인정보를 수집한 다면, 일반적인 웹사이트의 경우 이용자의 아이디와 비밀번호 등 이용정보가 평문형태 그대로 노출되게 됩니다. 그러나 웹사이트에 보안서버가 구축된 경우에는 개인정보가 암호화되어 전송되므로 이러한 노출 위협으로부터 안심할 수 있습니다. 따라서 보안서버는 개인 정보 보호를 위한 필수적이며 기본적인 수단입니다.

 

 

2.2 위조사이트 방지(phishing 방지)

 

피싱(phishing)이란 개인정보(private data)와 낚시(fishing)를 합성한 조어입니다. 이는 인터넷 이용자에게 이메일이나 링크를 전송하여 금융기관이나 합법적인 기관으로 가장한 허위 웹사이트로 접속하게 한 후, 이용자가 입력한 비밀번호나 개인정보를 추출하여 금융 사기 등으로 악용하는 사기 기법입니다. 현재 피싱 수법이 점점 교묘해져 가고 피해자가 속출하고 있는 상황으로 사용자가 개인정보를 입력 시 해당 페이지가 신뢰할 수 있는 인증서가 설치되어 있는지 확인하는 등의 사용자의 주의가 필요합니다.

 

보안서버를 구축하기 위해서는 SSL 인증서를 공인인증기관으로부터 발급받아야 합니다. 발급받기 위해서는 도메인 정보 등을 제공해야 하며, 발급받은 인증서에는 도메인 정보가 포함되어 있습니다. 접속한 웹사이트에서 자물쇠 이미지를 확인하거나 개인정보 입력 시 암호화 호출(https://), 암호화 모듈 로딩 화면 등을 확인한다면 유사하게 구성된 피싱 사이트 여부를 쉽게 구별할 수 있습니다. 해커 등의 제삼자가 유사사이트를 만들어 피싱을 시도 하더 라도 SSL 인증서가 진위여부를 증명함으로써 피싱으로 인한 피해를 줄일 수 있는 것입니다.

 

 

2.3 기업의 신뢰도 향상

 

사회에 대해서도 깊은 관심과 책임감을 가져야 한다는 사회책임경영의 중요성이 나날이 커져 나가고 있습니다. 사회 책임 경영은 기업의 사회적 책임감을 의미하는 것으로 기업의 존재 기반인 사회에 대해서도 깊은 관심과 책임감을 가져야 한다는 기업경영의 화두입니다.

이에 대한 관심이 점차 높아지고 있으며, 많은 기업들이 이미 적극적으로 사회 책임 경영에 입각한 경영을 펼치고 있습니다.

보안서버의 설치는 고객에게 개인정보를 안전하게 관리하는 사회 책임 경영을 하는 기업이라는 이미지를 부각할 수 있습니다. 웹 사이트상 보안서버 인증마크는 개인정보보호의 신뢰성을 사용자에게 보여줄 수 있으며, 가시적인 홍보 효과 또한 얻을 수 있습니다

 

 

3. 보안서버 관련 법률

 

a. 정보통신망 이용촉진 및 정보보호 등에 관한 법률

▶ 제28조 (개인정보의 보호조치) ① 정보통신서비스 제공자 등이 개인정보를 취급할 때에는 개인정보의 분실∙도난∙누출∙변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적∙관리적 조치를 하여야 한다.

    4. 개인정보를 안전하게 저장∙전송할 수 있는 암호화 기술 등을 이용한 보안조치

 

▶ 제73조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 1천만 원 이하의 벌금에 처한다.

   1. 제28조 제1항 제2호부터 제5호까지(제67조에 따라 준용되는 경우를 포함한다)의 규정에 따른 기술적∙관리적 조치를 아니하여 이용자의 개인정보를 분실∙도난∙누출∙변조 또는 훼손한 자

 

▶ 76조(과태료) <개정 2012.2.17, 시행 2012.8.18>

① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만 원 이하의 과태료를 부과한다.

   3. 제28조 제1항(제67조에 따라 준용되는 경우를 포함한다)에 따른 기술적∙관리적 조치를 하지 아니한 자

 

▶ 제15조(개인정보의 보호조치) ④ 법 제28조 제1항 제4호에 따라 정보통신서비스 제공자 등은 개인 정보가 안전하게 저장∙전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다.

   3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신∙수신하는 경우 보안서버 구축 등의 조치

 

▶ 제6조(개인정보의 암호화) ③ 정보통신서비스제공자 등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송∙수신할 때에는 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호의 어느 하나의 기능을 갖추어야 한다. 

   1. 웹 서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송∙수신하는 기능

   2. 웹 서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송∙수신하는 기능

 

 

4. 보안서버 적용 범위

 

일반적으로‘개인정보’라 함은 생존하는 개인에 관한 정보로서 성명 등에 의하여 당해 개인을 알아볼 수 있는 부호∙문자∙음성∙음향 및 영상 등의 정보를 말합니다. 인터넷에서 사용되는 대표적인 개인정보의 예로는 로그인 시 ID, Password, 회원가입 시 인터넷뱅킹 시 계좌번호, 계좌 Password 등이 해당됩니다. 또 게시판 등에서 사용하는 성명, 이메일, 연락처 등도 개인을 식별할 수 있는 정보로서 개인정보에 해당합니다.

이러한 개인정보를 안전하게 관리하기 위해서는 해당 개인정보를 포함하고 있는 웹페이지에 대해 암호화 통신을 적용해야 합니다. 아래 그림은 SSL 방식 보안서버에서 암호화 통신이 적용된 비율을 나타냅니다.

 한국인터넷진흥원에서 보안서버를 사용하는 국내 웹사이트를 대상으로 조사를 한 내용입니다. 결과를 살펴보면 로그인 과정과 신원확인 과정의 보안서버 적용비율이 높은데 비해 회원가입, 분실 ID 찾기, 회원정보수정 등의 경우 보안서버 적용비율이 낮음을 확인할 수 있습니다. 이처럼 보안서버를 구축하고 있어도 암호화 통신을 하지 않으면 개인정보 유출될 수 있습니다. 그러므로 웹사이트에서 제공하는 서비스 중 개인정보를 포함하고 있는 서비스에 대해서는 보안서버의 적용이 반드시 이루어져야 합니다.

 

 

5. 보안서버의 종류

 

보안서버는 구축 방식에 따라 크게「SSL 방식」과「응용프로그램 방식」 2가지로 구분할 수 있습니다. 보안서버를 구별하는 방법은 아래와 같습니다.

 

5.1 SSL 방식

「SSL 인증서」를 이용한 보안서버는 사용자 컴퓨터에 별도의 보안 프로그램 설치가 필요 없으며, 웹 서버에 설치된「SSL 인증서」를 통해 개인정보를 암호화하여 전송합니다. 보안서버 구축에 소요되는 비용이 상대적으로 저렴하지만 주기적으로 인증서 갱신을 위한 비용이 소요됩니다.

로그인 페이지 등 보안이 필요한 웹페이지에 접속한 상태에서 브라우저 하단 상태 표시줄에 자물쇠 모양의 마크로 확인할 수 있으며, 웹사이트의 구성 방법에 따라 자물쇠 모양의 마크가 보이지 않을 수 있습니다.

 

5.2 응용프로그램 방식

암호화 응용프로그램을 이용한 보안서버는 웹 서버에 접속하면 사용자 컴퓨터에 자동으로 보안 프로그램이 설치되고 이를 통해 개인 정보를 암호화하여 전송합니다. 웹사이트 접속 시 초기화면이나 로그인 후 윈도 화면 오른쪽 하단 작업표시줄 알림 영역에 다음 그림과 같은 암호화 프로그램 실행여부를 확인할 수 있으며, 응용프로그램 방식의 설루션에 따라 모양은 다르게 나타날 수 있습니다.

 

 

6. 보안서버 구축 확인 방법

 

보안서버구축확인은 웹사이트접속 시 SSL인증서가 설치되었는지 또는 개인정보가 암호화되어 전송되는지 여부를 확인함으로써 알 수 있습니다. SSL인증서는 웹사이트 접속 시 브라우저 주소창에 표시된 자물쇠 및 인증서 보기 등을 통해 확인할 수 있으며, 개인정보 암호화 전송은 패킷 캡처 프로그램을 이용하여 실제 전송되는 데이터의 암호화 여부를 확인할 수 있습니다.