안녕하세요, 전직 웹디자이너고 현재는 게임회사에서 일하고 있는 오징어입니다.
여러 분들이 여시에서 주민등록증 인증글을 받는게 불법이라고 지적하셨지만,
여시에서는 주민등록번호 전체를 수집하고 있지 않으므로 불법이 아니라고 주장하고 있습니다.
과연 그럴까요?
바쁘신 분들은 글 끝에 있는 요약만 보세요
2012년, 한국 인터넷 진흥원(KISA)에서는 정보통신망법에 한 가지 커다란 개정안을 내놓습니다.
지금도 우리나라 인터넷 사업자들의 목을 죄고 있는, [보안 서버 구축 의무화]를 골조로 한 법령이죠.
먼저 보안서버의 개념을 설명해드려야 할텐데요,
보안서버란 이런 겁니다.
1. 회원들이 가입할 때 개인정보를 입력
2. 서버에서는 그 정보를 그대로 서버에 저장하지 않고, 보안서버쪽으로 송신함
3. 보안서버에서는 그 정보를 암호화해서 서버에 재송신
4. 서버에서는 보안서버에서 암호화되어서 돌아온 개인정보를 저장함.
이런 절차를 거침으로 인해서, 거의 푸는게 불가능에 가깝다고 알려져 있는 보안서버의 보안을 뚫지 않는 이상 사이트가 해킹을 당해도 회원들의 개인정보는 털리지 않도록 하는게 보안서버 구축의 목적입니다.
(제가 업계에 있던 시절 숙지한 정보입니다만... 혹시 틀린 점 있으면 말씀해주세요! 전 프로그래머는 아니라서...)
누가 이 보안서버를 구축해야 할까요?
법조항의 범위는 영리목적으로 사이트를 운영하는 모든 사업자입니다.
다시 말해, 광고수익을 받고 있지 않는 여성시대는 해당사항이 없지만,
메인에 광고를 걸고 광고수익을 내고 있는 SLR클럽은 회원들의 개인정보를 암호화할 의무가 있습니다.
그럼 여기서 "개인정보"란 뭘까요?
KISA의 "보안서버 구축 가이드 Ver 1.0"에 따르면, 암호화되어야 하는 개인정보의 범위는
로그인시 ID/패스워드
회원가입시 주민번호
계좌번호
계좌 비밀번호
이름
전화번호
메일주소
그리고 그 이외의 특정 두 가지 이상의 정보가 결합하여 개인의 식별이 가능해지는 경우 입니다.
다시 말해, A랑 B라는 정보를 가지고 누군가를 특정할 수 있으면 개인정보인 겁니다.
탑씨의 경우 회원 개개인의 얼굴 사진+태어난 해(나이)+여성시대 닉네임을 수집하기 때문에, 충분히 개인을 식별할 수 있는 "개인정보"를 수집했다고 볼 수 있겠지요.
스르륵 게시판은 보안서버 처리가 안 되어 있나요?
사이트 전체를 보안서버처리 하는 경우는 금융권이나 대기업, 관공서 정도 밖에 없습니다.
사이트에서 오가는 모든 정보를 전부 암호화하면 사이트 반응성이 너무 떨어지거든요.
그래서 회원가입 / 로그인 시의 페이지에만 보안서버와의 연계점을 구축하는데,
그 때 로그인할때 넣은 정보가 맞는지 보안서버에 확인하는 거에요.
하지만 일반적인 등업 페이지의 경우, 주소가
http://로 시작하는 걸 보아선
보안서버 처리가 되어있지 않습니다.
그렇지만 여성시대 운영자가 수집한 거니까 스르륵 운영진과는 별 상관이 없지 않나요?
원래는 그렇겠지요.
뭐, 해당 사이트 소그룹 내에서 일어난 일이니까 스르륵 운영자는 "전 거기에서 그런 개인정보를 수집하는줄 몰랐는데요"
하면 책임전가 정도는 가능하겠지요.
하지만
알고계셨네요?
--------------------------------------------------------------------------------------------------
바쁘신 분들을 위한 요약
1. 스르륵 운영진은 회원들의 "개인정보"를 보안서버로 암호화할 의무가 있다.
2. 정보통신망법상, 탑시에서 수집하는 것은 "개인정보"가 맞다.
3. 스르륵 운영진은 탑시에서 보안서버로 보호되지 않는 영역에서 회원들의 개인정보를 수집하고 있다는 것을 알면서도 묵인했다.
-> 스르륵 운영진은 정보통신망법을 어겼다.
