안녕하세요, 전직 웹디자이너고 현재는 게임회사에서 일하고 있는 오징어입니다. <div><br></div> <div>여러 분들이 여시에서 주민등록증 인증글을 받는게 불법이라고 지적하셨지만,</div> <div><br></div> <div>여시에서는 <b>주민등록번호 전체를 수집하고 있지 않으므로 불법이 아니라</b>고 주장하고 있습니다.</div> <div><br></div> <div>과연 그럴까요?</div> <div><br></div> <div><font color="#ff0000">바쁘신 분들은 글 끝에 있는 요약만 보세요</font></div> <div><br></div> <div><br></div> <div><br></div> <div>2012년, 한국 인터넷 진흥원(KISA)에서는 정보통신망법에 한 가지 커다란 개정안을 내놓습니다.</div> <div><br></div> <div>지금도 우리나라 인터넷 사업자들의 목을 죄고 있는, [<b>보안 서버 구축 의무화</b>]를 골조로 한 법령이죠.</div> <div><br></div> <div><br></div> <div><br></div> <div>먼저 보안서버의 개념을 설명해드려야 할텐데요, </div> <div><b><br></b></div> <div><b><font size="3">보안서버란 이런 겁니다.</font></b></div> <div><br></div> <div>1. 회원들이 가입할 때 개인정보를 입력</div> <div>2. 서버에서는 그 정보를 그대로 서버에 저장하지 않고, 보안서버쪽으로 송신함</div> <div>3. 보안서버에서는 그 정보를 암호화해서 서버에 재송신</div> <div>4. 서버에서는 보안서버에서 암호화되어서 돌아온 개인정보를 저장함.</div> <div><br></div> <div>이런 절차를 거침으로 인해서, 거의 푸는게 불가능에 가깝다고 알려져 있는 보안서버의 보안을 뚫지 않는 이상 사이트가 해킹을 당해도 회원들의 개인정보는 털리지 않도록 하는게 보안서버 구축의 목적입니다.</div> <div><br></div> <div>(제가 업계에 있던 시절 숙지한 정보입니다만... 혹시 틀린 점 있으면 말씀해주세요! 전 프로그래머는 아니라서...)</div> <div><br></div> <div><br></div> <div><br></div> <div><b><font size="3">누가 이 보안서버를 구축해야 할까요?</font></b></div> <div><br></div> <div>법조항의 범위는 <font color="#0070c0">영리목적으로 사이트를 운영하는 모든 사업자</font>입니다.</div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;">다시 말해, 광고수익을 받고 있지 않는 여성시대는 해당사항이 없지만,</span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div>메인에 광고를 걸고 광고수익을 내고 있는 SLR클럽은 회원들의 개인정보를 암호화할 의무가 있습니다.</div> <div><br></div> <div><br></div> <div><br></div> <div><b><font size="3">그럼 여기서 "개인정보"란 뭘까요?</font></b></div> <div><br></div> <div>KISA의 "보안서버 구축 가이드 Ver 1.0"에 따르면, 암호화되어야 하는 개인정보의 범위는 </div> <div><br></div> <div>로그인시 ID/패스워드</div> <div>회원가입시 주민번호</div> <div>계좌번호</div> <div>계좌 비밀번호</div> <div>이름</div> <div>전화번호</div> <div>메일주소</div> <div>그리고 그 이외의 특정 두 가지 이상의 정보가 결합하여 개인의 식별이 가능해지는 경우 <span style="font-size:9pt;line-height:1.5;">입니다.</span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div>다시 말해, A랑 B라는 정보를 가지고 누군가를 특정할 수 있으면 개인정보인 겁니다.</div> <div><br></div> <div>탑씨의 경우 회원 <b>개개인의 얼굴 사진+태어난 해(나이)+여성시대 닉네임을</b> 수집하기 때문에, 충분히 개인을 식별할 수 있는 "개인정보"를 수집했다고 볼 수 있겠지요.</div> <div><br></div> <div><br></div> <div><br></div> <div><b><font size="3">스르륵 게시판은 보안서버 처리가 안 되어 있나요?</font></b></div> <div><br></div> <div>사이트 전체를 보안서버처리 하는 경우는 금융권이나 대기업, 관공서 정도 밖에 없습니다. </div> <div><br></div> <div>사이트에서 오가는 모든 정보를 전부 암호화하면 사이트 반응성이 너무 떨어지거든요.</div> <div><br></div> <div>그래서 회원가입 / 로그인 시의 페이지에만 보안서버와의 연계점을 구축하는데,</div> <div><br></div> <div><font color="#0070c0">그게 바로 여러분들이 흔히 보는 <a>https://의</a> 정체입니다.</font></div> <div><br></div> <div>오유도 <a target="_blank" href="" target="_blank">http://www.todayhumor.co.kr이었다가</a> 로그인할때만 잠시 https로 바뀌죠?</div> <div><br></div> <div>그 때 로그인할때 넣은 정보가 맞는지 보안서버에 확인하는 거에요.</div> <div><br></div> <div>하지만 일반적인 등업 페이지의 경우, 주소가 <a target="_blank" href="" target="_blank">http://로</a> 시작하는 걸 보아선 <b>보안서버 처리가 되어있지 않습니다</b>.</div> <div><br></div> <div><br></div> <div><br></div> <div><b><font size="3">그렇지만 여성시대 운영자가 수집한 거니까 스르륵 운영진과는 별 상관이 없지 않나요?</font></b></div> <div><br></div> <div>원래는 그렇겠지요.</div> <div><br></div> <div>뭐, 해당 사이트 소그룹 내에서 일어난 일이니까 스르륵 운영자는 "전 거기에서 그런 개인정보를 수집하는줄 몰랐는데요" </div> <div><br></div> <div>하면 책임전가 정도는 가능하겠지요.</div> <div><br></div> <div>하지만</div> <div><br></div> <div><div style="text-align:left;"><img src="http://thimg.todayhumor.co.kr/upfile/201505/1431335095Facsll4PqTy1vMt5.png" width="800" height="326" alt="c.png" class="chimg_photo" style="border:none;"></div><br></div> <div>알고계셨네요?</div> <div><br></div> <div>--------------------------------------------------------------------------------------------------</div> <div><font color="#ff0000">바쁘신 분들을 위한 요약</font></div> <div><span style="color:#ff0000;font-size:9pt;line-height:1.5;">1. 스르륵 운영진은 회원들의 "개인정보"를 보안서버로 암호화할 의무가 있다.</span></div> <div><span style="color:#ff0000;font-size:9pt;line-height:1.5;">2. 정보통신망법상, 탑시에서 수집하는 것은 "개인정보"가 맞다.</span></div> <div><span style="color:#ff0000;font-size:9pt;line-height:1.5;">3. 스르륵 운영진은 탑시에서 </span><span style="color:#ff0000;font-size:9pt;line-height:1.5;">보안서버로 보호되지 않는 영역에서</span><span style="color:#ff0000;font-size:9pt;line-height:1.5;"> </span><span style="color:#ff0000;font-size:9pt;line-height:1.5;">회원들의 개인정보를 수집하고 있다는 것을 알면서도 묵인했다.</span></div> <div><span style="color:#ff0000;font-size:9pt;line-height:1.5;">-> 스르륵 운영진은 정보통신망법을 어겼다.</span></div>
출처
정보통신부, 한국정보보호진흥원 발간 "보안서버 구축 가이드 Ver 1.0" 2007년 5월판
