아하
검색 이미지
지식재산권·IT 이미지
지식재산권·IT법률
지식재산권·IT 이미지
지식재산권·IT법률
검소한기린109
검소한기린10919.07.23

모든 웹사이트에 ssl 인증서가 필수인가요? 정확한 대상을 알고 싶습니다.

정보통신망 이용촉진 및 정보보호 등에 관한 법률 중에

ssl 인증서가 개인정보를 취급하는데

아이디 비번도 포함되면 모든 로그인 홈페이지는 다 포함되는 것인가요?


예전에 100만명 이상방문이나 100억원 이상 매출의 경우에만 ssl 하던 때가

있었는데 지금은 무조건 모든 웹 사이트를 ssl로 지정해야 하나요?


안하고 운영하는 사이트 너무 많은데 혼란 스럽네요.


무료면 안해도 된다고 하는 분도 계시고 무료여도 아이디 비번만 들어가도

인증서 달아야 한다고 하시는 분도 계시고 잘 아시는 분?

55글자 더 채워주세요.
답변의 개수
1개의 답변이 있어요!
  • 안녕하세요? 아하(Aha) 법률 분야 전문가 홍성호법무팀장입니다.
    질문하신 내용에 대하여 아래와 같이 답변 드립니다. 저도 모르던 건데 질문 보고 찾아서 답변 드리는 거라서 더 잘아시는 분이 계시면 답변 달아주시면 좋겠습니다. 제가 대합변협에서 실시한 IT법 연수를 수료 했기 때문에 IT법을 모르지는 않습니다.

    각설하고

    일단 SSL(Secure Sockets Layer)은 보안 소켓 계층을 이르는 말로, 인터넷에서 데이터를 안전하게 전송하기 위한 인터넷 통신 규약 프로토콜입니다. 인터넷 프로토콜(Internet protocol)이 보안 면에서 기밀성을 유지하지 못한다는 문제를 극복하기 위해 개발되었습니다. 현재 전세계에서 사용되는 인터넷 상 거래 시 요구되는 개인 정보와 신용카드 정보의 보안 유지에 가장 많이 사용되고 있는 프로토콜입니다.

    ([출처] [닷네임] SSL 보안 서버 인증 선택이 아닌 필수|작성자 ekdla69)

    라고 합니다.

    결론은 유료 , 무료 관계 없이 개인정보를 입력하게 되어있는 사이트는 ssl 인증을 구축해야 합니다. (더 정확하게는 꼭 ssl인증이 아니라 법령이 요구하는 다른 보안조치를 구축해도 되지만 ssl이 가장 저렴하고 전세계 통용이라 ssl인증이라고 하는 것입니다)

    정통망법에 보면

    제28조(개인정보의 보호조치) ① 정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적ㆍ관리적 조치를 하여야 한다. <개정 2016. 3. 22.> 1. 개인정보를 안전하게 처리하기 위한 내부관리계획의 수립ㆍ시행 2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치ㆍ운영 3. 접속기록의 위조ㆍ변조 방지를 위한 조치 4. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화기술 등을 이용한 보안조치 5. 백신 소프트웨어의 설치ㆍ운영 등 컴퓨터바이러스에 의한 침해 방지조치 6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치② 정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 자를 최소한으로 제한하여야 한다. <개정 2016. 3. 22.>[전문개정 2008. 6. 13.]

    라고 하고 있습니다. 여기서 무료는 안해도 된다는 말이 나온건 아마도 동법 제2조 정의 규정에서

    "정보통신서비스 제공자" 에 대해서

    3. "정보통신서비스 제공자"란 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다

    라는 규정이 있어서 헷갈린 거 같습니다. 그러나

    정통망법 말고 개인정보보호법에

    제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다. <개정 2015. 7. 24.>

    동법 제2조 정의규정에서 개인정보처리자를

    5. "개인정보처리자"란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

    라고 하고 있는바 '회원가입' 기능이 있는 모든 싸이트는 유료, 무료 상관없이 ssl 인증이 있어야 합니다.

    예컨대 싸이월드는 무료인데 판례는 ssl 인증이 있어야 한다고 봤습니다. (대법원 2015. 2. 12., 선고, 2013다43994,44003, 판결)

    만족스러운 답변이었나요?간단한 별점을 통해 의견을 알려주세요.