KISA, 보안서버 자진 등록 사이트 개설

한국정보보호진흥원(이하, KISA)에서는 ‘보안서버 자진 등록 사이트’를 신설해 운영한다고 밝혔다.

정승욱 KISA 선임연구원은 “보안서버 자진 등록 사이트(www.kisa.or.kr/index.jsp)는 KISA의 ‘보안서버 자동점검 SW’ DB에 등록되지 않은 방식으로 보안서버가 구축되거나 수동점검 상의 오류로 인해 보안서버 미구축 사이트로 식별되어 발생할 수 있는 불필요한 행정처리 및 이로 인한 불편사항을 예방하기 위해 구축하였다”고 말했다.

현재 보안서버가 구축된 웹사이트를 등록하면 KISA에서 보안서버 구축 여부를 점검하고 그 결과를 알려주는 방식으로 운영되고 있다.

보안서버는 웹 상에서 전자상거래가 이루어질 때 상품을 구매하고자 하는 고객이 신용카드 번호를 포함해 중요한 개인 정보를 입력하게 된다. 또 이메일, 커뮤니티 등의 회원제 사이트에서도 사용자가 아이디나 패스워드 같은 정보를 입력하게 된다.

이때 해당 사이트에 개인정보에 대한 보안이 이루어지지 않은 상태에서는 정보가 사용자의 웹브라우저에서 웹 서버로 전송되는 중간과정에서 제3자가 해킹을 통해 정보를 갈취해갈 수 있는 위험성이 크다.

이러한 개인정보 갈취를 차단하기 위해 도입해야 하는 것이 바로 ‘보안서버’다.

아직 설치하지 않은 사이트 관리자들은 SSL 인증서를 전문 구축 업체에서 발급받고 웹 서버에 설치한 후 암호화 통신을 이용해 고객이 정보를 입력하는 페이지(회원가입, 로그인, 결제 부분)로 가는 하이퍼링크를 ‘http┖에서 ’https┖로 변경만 하면 모든 정보가 암호화된다. 사용자는 브라우저 하단에 생기는 자물쇠 모양으로 확인할 수 있다.  

또한 암호화 응용 프로그램 설치는 일반적으로 사용자의 웹 브라우저에 클라이언트용 프로그램(액티브X, Applet)이 설치되고 웹 서버에 서버용 응용프로그램이 설치된다. 클라이언트용 프로그램은 고객이 사용하는 PC의 브라우저, 운영체제에 따라, 그리고 서버 응용프로그램은 웹 서버 종류, HW, 개발 언어 등에 따라 설치방법이 다를 수 있다.  

KISA 관계자는 “보안서버를 사용하면 스니핑 툴을 사용해 간단하게 정보를 갈취해가는 것을 막을 수 있다. 또 피싱 공격을 차단하는데도 큰 도움이 된다”며 “고객 정보를 소중하게 관리하는 기업이 신뢰받는 시대다. 따라서 보안서버는 꼭 필요한 보안 투자”라고 강조했다. 

현행 정통망 법에도 ‘정보통신서비스 제공자 등은 이용자의 개인정보를 취급함에 있어 개인정보가 분실ㆍ도난ㆍ누출ㆍ변조 또는 훼손되지 않도록 안정성 확보에 필요한 기술적ㆍ관리적 조치를 해야 한다’고 명시하고 있다. 또 이를 어길 시에는 1000만원 이하의 과태료가 부과된다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>