보안서버 구축 의무화

life | 2007-07-03

보안서버 구축에 영리 비영리를 왜 나누는지 모르겠네, 아마도 비영리 사이트에 금전적인 부담을 강제할 수 없다는 발상인것 같은데 개인정보 보호가 우선이라면 예산을 들여서라도 지원하는게 맞는거 아닌가? 결국 일 복잡하게 만들기는 싫고 자기들 욕먹는거 무서워서 반쪽짜리 밖에 못하는 거다.

그리고 SSL로 암호화 해서 개인정보 보내면 뭐하나, 서버에서 암호화도 안하고 DB에 그냥 넣는 사이트가 태반이다. 나중에 그 사이트 망하면 개인 정보 다 유출 된다. 대량의 개인정보 유출은 다 이런식으로 발생하는 거다. 패킷 가로채서 몇개나 건질 수 있겠냐.

물론 SSL로 보내는 것이 안보내는 것보다는 100배 낫다. 하지만 근본적이고 보다 중요한 문제를 해결하지 않고 그냥 할 수 있는 만큼만, 욕안먹을 정도로만 하면서 1000만원 미만의 과태료 운운하는 것이 좋게 보이지는 않는다.

상대방이 이해하고 마음으로 느껴서 스스로 하게 하지는 않고 상명하달, 군대식으로 "이게 좋은거니까 시키는대로 하고 안하면 때린다."고 협박 하는 정책 방식이 우습다는 얘기다. 이렇게 땜빵하면 나중에 비슷한 문제가 또 발생할 것이다. 그러면 또 예산 들여서 뭔가 하지 말라고 하겠지... 잘못된 것을 안하는 것 보다 처음부터 잘하는게 좋다는 단순한 이치를 알면서도 행하지 않는 집단이다.

Comments

  • aromi 2007-07-03

    네트워크 패킷이 안전한건 아니지만, 그래도 SSL 의무화 같은 삽질보다는 민감한 정보는 처음부터 받지 않도록 하고 부득이하게 필요하다면 DB에도 반드시 암호화 해서 넣도록 하고 회사를 정리할때 적절하게 폐기하도록 강제하는게 더 낫겠지요. 패킷 스니퍼링보다는 어플리케이션 해킹을 통한 DB 추출과 사이트 접으면서 개인정보 건당 얼마에 팔리는게 더 흔한 일이니까요.

  • jaNg. 2007-07-03

    역시 철저한 공무원 정신이 보여지는 내용이네요. 약 18만명의 회원을 가진 모 사이트 DB에 회원 주민등록번호는 물론 비밀번호까지 암호화 되지 않은 text로 저장이 되는 꼴을 보고 혀를 내둘렀습니다. 그 18만명에 저도 있는데 말이죠..

  • 편집장 2007-07-03

    공감합니다. 얼마전 개인 정보관련 페이지를 SSL적용했는데, 작업 하면서도 안타깝더라구요. 개인정보 부분의 DB는 변경도 안하고 그대로 -_-;;;;

  • 가우리 2007-07-03

    언젠가 학교 서버를 해킹한 적이 있는데, 모든 정보가 암호화가 안되어 있더군요. 학생 뿐만 아니라 교장부터 학교아저씨 정보까지 ;;

  • 신현석 2007-07-03

    해킹했다는 얘기를 이렇게 해도 괜찮은 건가요? ㅎㅎ

  • k 2007-07-03

    그냥 내 바람은 주민등록번호나 가입할때 좀 안받았으면.

  • freeism 2007-07-04

    마침 저희 회사도 보안서버를 설치하라는 반강제성 권고안이 도착을 해서 현재 설치 작업을 시행하고 있습니다(웹 에이전시로 호스팅도 하고 있습니다). 제가 담당이여서 많은 이야기들을 접하게 되었는데요... 현석님 말씀 처럼 작은 업체들에게 쌓이는 개인정보가 생각보다 적지 않더군요. 하지만 그 업주들이 이런 의식이 강할 것이라고는 생각하지 않습니다. 분명 의무 대상 기준안에는 모자라서 보안 조치를 취해야 하는지도 모를테고... 개인정보의 누출이 심각한 요즘 보다 정부 차원에서 적극적으로 지원 사업을 기획해야 할 때 라는 말씀에 동감합니다. ^^

  • 까막 2007-07-05

    DB보안문제때문에 여러 솔루션들이 나오고 있지만, 왠만한 규모의 업체가 아니고서는 도입할 생각이 잘 들지 않는게 사실이죠.. 게다가 제일 무서운 건.. 역시 말씀하신대로 "나중에 그 사이트 망하면..." 이 아닐지. :(

  • 입명이 2007-07-11

    음...

Post a comment

:

: 공개 되지 않습니다. Gravatar를 표시 합니다.

:

: HTML 태그를 사용할 수 없습니다.