국내 온라인 사업자‧이용자 “개인정보보호 인식 수준 낮다”
온라인 쇼핑몰을 포함해 일일 평균 접속자수가 만명 이상 되는 대규모 온라인 사이트에서 조차 보안서버 구축이 안돼 있는 것으로 나타났다.
현재 SSL 혹은, 응용 프로그램 방식의 다양한 보안서버 제품들이 출시되고 있음에도 불구하고, 웹사이트 호스팅 업체를 포함한 운영자들의 인식 부족과 개인정보가 제대로 암호화되는지에 대한 이용자들의 관심 부족으로 다른 국가들 보다 국내 보안 서버 구축의 활성화가 더딘 것으로 지적되고 있다.
"보안서버 도입은 뒷전...웹 사이트 구축에만 열중"
국내 웹 호스팅 사업자 및 온라인 사이트 운영자들 다수가 웹 사이트 개발 당시 보안 서버 도입을 생각 안한 채 사이트를 구축해, 뒤늦게 보안 서버를 도입하면서 서비스 성능에 한계를 겪고 있는 것으로 나타났다.
특히 SSL 방식의 보안 서버의 경우 응용 프로그램 방식에 비해 상대적으로 구축 비용은 저렴하지만, 암호화 단위가 웹 페이지(프레임) 단위기 때문에 굳이 암호화할 필요가 없는 데이터까지 암호화하는데 많은 오버타임이 소요된다. 영세한 온라인 사업자의 경우 SSL 방식의 보안서버 도입을 선호하는 추세라 이러한 기업들 가운데 대부분이 현재 서비스 성능에 한계를 겪고 있는 것으로 드러났다.
한국정보보호진흥원 기술정책팀 김성훈 팀장은 "그동안 이용자 개인정보를 보호해야 한다는 온라인 사업자들의 인식 자체가 미비해 웹 사이트의 시스템 용량 산정 시 보안 서버까지 포함한 가용률 산정이 이뤄지지 않았을 것"이라며 "대부분 온라인 사업자들이 웹 호스팅 업체를 통해 사이트를 운영하고 있는데, 온라인 호스팅 업체 입장에서 더 많은 업체를 유치해야 하다 보니 시스템 사양을 여유있게 확보 안한 채 구축한 것으로 파악된다"고 말했다.
"올해 2만 개 온라인 사이트에 보안서버 구축케 할 터"
정통부는 인터넷상에서 개인정보를 취급하는 온라인 사이트 가운데, 상반기에만 보안 서버 구축이 안 된 24개 사업자를 선별해 보안 서버 구축 시정 명령을 내렸다.
2005년부터 이미 정보통신망법에 관련 기준이 명확히 마련된 데다가, 시정 명령을 받은 기업들이 보안 서버 구축을 안 할 경우 1000만원 이하의 과태료를 부과할 방침이어서 앞으로 국내 온라인 사업들의 보안 서버 구축 열기가 점차 거세질 것으로 예상된다.
현재 정통부와 한국정보보호진흥원(KISA)이 함께 국내 온라인 사업자들의 보안서버 구축을 유도 중이다. 올해 4만 5000여개 온라인 사이트 가운데 2만곳에 보안서버를 구축토록 하고 내년까지 보안서버 구축 사이트를 3만 곳까지 확대하는 것을 목표로 하고 있다.
KISA는 전화응대, 이벤트 등을 통해 보안서버 구축 및 개선을 권고하는 것 외에도, 지난해 말 '보안서버 자동점검 도구'를 개발해 현재 주식 상장사들의 온라인 사이트를 중심으로 개인정보 취급 및 보안 서버(응용프로그램 혹은 SSL 방식의 보안서버)의 설치 여부를 점검하고 있다. 또 실제 개인정보 탈취 수단인 스니퍼 툴을 직접 돌려 암호화되는지 확인함으로써 법적 증거물을 확보하고 있다. 이를 토대로 정통부가 행정조치를 내리게 된다.
한국정보보호진흥원 김성훈 팀장은 "사용자의 PC 및 패치 보안이 강화된 웹 사이트라 하더라도 인터넷상 암호화되지 않은 개인정보의 전송구간 탈취가 얼마든지 가능하다. 특히 이용자들이 여러 사이트에서 동일한 ID와 패스워드를 사용할 경우 피해 규모가 대폭 확대될 수 있어 일일 방문자 수나 사이트 규모에 관계없이 개인정보를 수집하는 영리 목적의 온라인 사업자 모두에게 보안 서버 구축을 의무화하고 있다"고 설명했다.
이 밖에도 정통부와 함께 지속적인 보안서버 실태점검을 통해 개인정보보호에 대한 온라인 사업자 및 서비스 이용자들의 인식을 강화해 나간다는 계획이다. KISA는 "보안서버 자동점검 시스템을 안정화해, 현재 보안서버의 유무 정도만 점검하고 있지만 향후 각 사이트들의 암호화 수준 및 처리 성능까지 점검할 수 있도록 할 것"이라고 밝혔다.
김정은 기자
jekim@itdaily.kr