안녕하세요 cocy입니다.
이번시간에는 SSL(Secure Socket Layer)에 대하여 포스팅 해보고자 합니다.
SSL이란 간단히 말하면 웹 서버와 사용자PC(웹 브라우저)간의
주고 받는 데이터를 암호화하는 글로벌 표준 암호화 알고리즘입니다.
TLS라고도 불리는데 이는 SSL 3.0 버전을 의미합니다. (SSL3.0 = TLS 1.0)
웹사이트를 구축할때 개인정보를 취급한다면 SSL 보안서버구축은 의무사항입니다.
개인게시판에서 게시판을 이용한다고 해도, 사용자이름, 비밀번호, 이메일같은 정보도 개인정보에 해당됩니다.
정부에서는 보안서버인증서를 필수적으로 설치해야하는것을 적으로 규정하고 있으며,
보안서버 미설치시 보안서버 관련 규정에 따라 법에 의해 1000만원이하의 과태료 부과합니다.
한국인터넷진흥원(kisa)에서 3번의 권고를 하게 되고,
권고 후에도 미설치가 된다면 과태료를 부과하는 것입니다.
게다가 올해부터!!!!!!!!!
정보통신망법의 개정으로 개인정보를 취급하는 홈페이지나, 온라인사업자 (비회원으로 상담, 주문, 견적, 게시판을
통해 ID/패스워드, 주민번호 등 개인정보를 수집하는 사이트 포함)에 대해 보안서버(SSL) 구축이 의무화 되었습니다.
※ 적용대상 : 회원가입, 회원로그인 등 회원에 대한 개인정보를 취급하는 모든 사이트
아울러, 오는 2012년 08월 18일부터 개정된 정보통신망법이 본격 시행되며, 감독기관의 실태조사를 통해 위반 시
과태료가 부과됩니다.
SSL보안서버를 구축하는데에는 자격조건이 존재하는데,
도메인을 소유하고 있는 정상적인 홈페이지여야합니다.
불법 또는 불건전한 사이트의 경우에는 인증서 발급이 거부 될 수 있습니다.
SSL 보안서버를 구축함으로써 얻는 이점은 다음과 같습니다.
1. 정보유출의 방지(sniffing 방지)
정보유출이 쉬운 학교, PC방, 회사 등의 공용 네트워크를 사용하는 PC에서 보안서버가 구축되지 않은 사이트로 접속할 경우,
개인정보가 타인에게 노출될 가능성이 매우 높아요. 해커가 스니핑 툴을 사용할 경우
다른 사람의 개인정보(ID, PW,이메일, 주민등록번호, 주소, 전화번호 등)를 손쉽게 얻을 수 있기 때문에 정보유출 방지를 위해 보안서버로 구축
2. 위조사이트 방지(phishing 방지)
보안서버가 구축된 사이트를 대상으로 피싱 공격을 시도하기는 어려움
해커 등의 제 3자가 아무리 유사사이트를 만들어 피싱을 시도하더라도 SSL인증서가 진짜 사이트임을 증명하므로,
피해를 줄일 수 있음.
또한 신생 업체의 경우 사이트 운영주체를 정확하게 밝힘으로써 고객으로부터 신뢰를 얻을 수 있음
3. 데이터 변조 방지
각종 통신 환경을 이용하여 컴퓨터 내의 정보 또는 데이터의 전송 결과를 임의로 변조하는 범죄의 일종으로서 제 3자의 악의적인
개입으로 인하여 데이터 값이 변조될 가능성이 큼. 예로 직장 내 급여의 변경, 온라인 이체시 금액 변죠, 또는 학생의 성적 기록 변조 등이 있는데 이러한 악의적인 데이터의 변조를 SSL 보안 암호화 통신을 통해서 봉쇄가능
4. 기업-기관의 신뢰도 향상
고객의 개인정보를 안전하게 관리하는 기업이라는 이미지를 부각시킬 수 있음. 암호화된 개인정보는 해킹을 당해도 보호를 받을 수 있어 안전함.
SSL / TLS Server (보안서버) 를 사용하기 위해서는 인증서가 필요합니다. 국내 인증서 사이트에서는 수십~수백 만원까지의 수수료를 부담하고 인증서를 발급을 받아야 합니다. 개인 및 기타 비영리적 사이트에서 보안 서버를 셋팅하기 위해서 수수료를 부담하고 인증서를 받기는 좀 억지 스러운 부분이 있어서 무료 SSL / TLS 인증서를 찾아봤지만 대부분 30일 정도의 테스트 인증서를 발급을 해줍니다.
위 주소로 가면 해외사이트라 느린감이 있지만 무료로 SSL 보안서버 구축이 가능합니다.
자세한 구축방법은 다음 포스팅에서..
'Hot Tech Reference > Security' 카테고리의 다른 글
| [java] keytool 명령어 (0) | 2015.05.18 |
|---|---|
| 쿠키 보안 - 로그인 유지 관련 (0) | 2014.09.16 |