실제 서버와 클라이언트간 주고받는 패킷에 암호화 적용

보안서버의 필요성

보안서버 보급률, 세계경제포럼에서 정보보보호분야 국가지수 기준

우리가 사용하는 인터넷은 오픈된 공용 네트워크라는 특성 때문에 자신이 보내는 메시지가 수신 받기를 원하지 않는 누군가에게도 쉽게 노출될 수 있는 문제점이 있다. 이러한 인터넷의 문제점은 전송 메시지를 암호화하는 기법을 통해 해결할 수 있다. 즉 실제 서버와 클라이언트 간의 주고받는 패킷들에 대해 암호화를 적용하면 간단히 해결 될 수 있다. 바로 이러한 기능을 제공하는 것이 ‘보안서버’ 이며 보안서버의 중요성으로 인해 세계경제포럼(WEF)에서도 정보보호분야 국가지수 기준으로 ‘보안서버 보급률’을 채택하고 있다.

요즘 우리는 은행 업무를 보거나 옷을 구매할 때 그리고 학원 수업을 수강할 때 등 다양한 일들을 집안 책상 위에서 해결하고 있다. 이런 일들이 가능한 이유는 우리나라가 인터넷을 포함한 IT인프라가 잘 갖추어져 있기 때문이며 이러한 사실은 국제 디지털기회기수(DOI) 3년 연속 1위 및 정보통신발전지수 종합 2위 등의 국제적인 지표로도 쉽게 알 수 있는 사실이다.

하지만 우리가 사용하는 인터넷은 오픈된 공용 네트워크라는 특성 때문에 내가 보내는 메시지가 수신 받기를 원하지 않는 누군가에게도 쉽게 노출될 수 있는 문제점이 있다. 실제로 인터넷 패킷을 캡처하는 프로그램을 이용하면 내가 속한 네트워크를 지나가는 대부분의 패킷 내용들을 간단하게 열어볼 수 있다.

만약 인터넷을 통해 보내는 메시지들이 ‘동방신기’의 근황이 궁금해 보내는 검색엔진의 질의문이거나 ‘정동진’으로 가는 기차 시간의 정보 정도라면 상관없겠지만 현실적으로는 많은 개인정보와 비밀정보들이 인터넷을 통해 전송되고 있는 실정이다.

예를 들어 우리가 온라인으로 옷을 구매하기 위해서는 주민등록번호, 주소, 전화번호 등 개인정보들을 쇼핑몰에 전송하여 미리 회원가입을 해야 하며 로그인을 위해 ID와 Password 등을 전송해야 한다. 만약 악의를 가진 누군가에 의해 이런 정보들이 수집된다면 범죄 등에 악용될 수 있는 위험성이 도사리고 있다.

이러한 인터넷의 문제점은 전송 메시지를 암호화하는 기법을 통해 해결될 수 있는데 실제 서버와 클라이언트 간의 주고받는 패킷들에 대해 암호화를 적용하면 간단히 해결 될 수 있다. 바로 이러한 기능을 제공하는 것이 ‘보안서버’ 이며 보안서버의 중요성으로 인해 세계경제포럼(WEF)에서도 정보보호분야 국가지수 기준으로 ‘보안서버 보급률’을 채택하고 있다.

개인정보 유출방지 및 위조 사이트 방지 기능

다시 말해서 보안서버란, 인터넷 상에서 개인정보를 암호화하여 송수신하는 기능이 구축된 웹서버를 말하며 특별한 하드웨어를 설치하는 것이 아니라 이미 사용하고 있는 웹서버에 인증서(SSL 방식)나 암호화 소프트웨어(응용프로그램 방식)를 설치하여 암호통신이 가능하도록 한 것이다.

만약 보안서버가 구축되어 있지 않다면 앞서 언급한 것 처럼 인터넷 상에서 송수신되는 개인정보(아이디, 비밀번호 등)가 타인에게 노출될 가능성이 매우 높으며 악의적인 공격자가 해킹 툴을 사용하여 전송자의 개인정보를 손쉽게 얻어 금전적인 이득을 취하는데 악용할 수도 있다.

즉 보안서버를 구축하게 되면 사용자들의 개인정보를 암호화하여 PC에서 웹서버로 안전하게 전송이 가능하다. 또한 보안서버의 기능은 이러한 암호화 외에도 피싱(phising) 공격을 방지하는 하는 위조사이트 방지 기능도 있으며 부가적으로 보안서버 구축을 통해 해당 기업이 고객의 개인정보를 안전하게 관리하는 기업이라는 이미지를 부각시킬 수 있어 기업신뢰도의 향상도 가져올 수 있어 보안에 있어서 매우 중요한 것이라고 말할 수 있다.

이와 같이 보안서버의 주요 기능에는 메시지 암호화를 통해 개인정보의 유출을 방지(sniffing 방지)하는 것 이 외에도 보안서버가 구축된 웹사이트에 피싱(phsing)공격을 어렵게 하는 위조사이트 방지 기능도 있다.

이는 보안서버 구축을 통해 우리가 접속하는 웹 페이지에 자물쇠 마크를 확인하거나 암호화 호출(https://)을 확인할 수 있고 암호화 모듈의 로딩 화면 등을 확인하게 되므로 유사하게 구성된 피싱 사이트를 구별할 수 있기 때문이다.

또한 보안서버를 구축한 기업은 앞서 언급한 것과 같이 고객들에게 고객정보를 소중히 다룬다는 이미지를 심어주기 때문에 기업 신뢰도를 향상시킬 수 있어 기업의 발전에도 많은 도움이 된다.

아울러 보안서버를 구축한 웹사이트를 대상으로 ‘보안서버 인증마크’가 발급되는데 이 마크를 통해 해당 웹사이트가 개인정보를 보호하고 있음을 알릴 수 있으며 인증마크 클릭 시 일련번호 및 발급기관 등의 정보를 정확히 보여 줄 수 있다. 또 보안서버는 구축 방식에 따라 크게 ‘SSL’ 방식과 ‘응용프로그램’ 방식 등 2가지로 구분할 수 있다.

SSL 방식은 웹서버와 웹 브라우저에 별도의 보안 프로그램 설치가 필요 없으며 사용하고 있는 웹서버에 SSL인증서를 설치하고 웹페이지에 적용함으로써 보안서버를 구축할 수 있다. SSL 방식의 보안서버는 구축에 소요되는 비용이 상대적으로 저렴하지만 주기적으로 인증서 갱신을 위한 비용이 소요된다.

SSL 방식의 보안서버 확인 방법은 로그인 페이지 등과 같이 보안이 필요한 웹 페이지에서 브라우저 하단 혹은 주소 줄 옆의 자물쇠 모양 마크로 확인하거나 웹페이지 속성 창으로 통해 확인 할 수 있다.

응용프로그램 방식은 암호화 응용프로그램을 이용한 보안서버로서 서버용 보안모듈과 클라이언트용 보안모듈을 통해 개인 정보를 암호화하여 전송할 수 있다. 응용프로그램 방식의 확인은 웹사이트 접속 시 보안 프로그램의 설치화면이 보이거나 로그인 후 윈도우 화면 우측 하단의 트레이아이콘 영역에서 보안 프로그램의 실행 여부를 확인할 수 있다.

보안서버 구축으로 정보보호분야 국가지수 상승

보안서버의 구축 절차는 보안서버 방식과 웹서버의 구축 환경에 따라 다르며 개략적인 절차는 아래 한국정보보호진흥원(현 한국인터넷진흥원)에서 제공하는 도식에서 잘 설명되어 있다.

우리나라는 최근 몇 년간 한국정보보호진흥원(현 한국인터넷진흥원)을 주축으로 보안서버 구축을 권고하는 캠페인을 진행하였으며 그 결과 세계경제포럼 정보보호분야 국가지수가 2008년 세계 51위에서 2009년 16위로 35계단 크게 상승하는 성과를 거두었다.

올해도 안전한 인터넷 이용환경 조성과 녹색성장 정책의 안전한 기반 마련이라는 방향성 아래 공공부문 및 민간부문에서 보안서버 구축에 대한 대대적인 계도를 진행하고 있다.

보안서버는 현재 한국정보인증(www.sgssl.net)을 비롯한 보안서버전문협의회 회원사에서 SSL방식 및 응용프로그램 방식의 보안서버를 제공하고 있으며 구축을 위한 보다 자세한 문의는 보안서버전문협의회 홈페이지(www.kisia.or.kr/secureserver) 회원사 리스트를 참고하기 바란다.

<글 : 유재길 한국정보인증 기술연구소 연구원(eobiya@signgate.com)>

[월간 정보보호21c 통권 제109호(info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)