인증서는 특정 IP Address로 제한하여 발급되지 않으며, 도메인 이름으로 발급이 됩니다.
한번 발급받은 인증서는 인증서 표시 정보 또는 웹 서버 변경, 도메인 변경 등이 있더라도 변경 및 재발급이 불가능합니다. 불가능한 이유는, 인증서 발급 신청시 입력했던 CSR 코드에는 해당 웹 서버, 도메인 및 기타 입력정보를 토대로 변경 불가한 고유한 암호화 코드를 생성합니다. 이 암호화 코드를 SSL 인증 서버에 등록,발급 하게 되며, 발급된 인증서가 설치된 웹사이트의 암호화,위/변조 여부를 인증서를 통해서 웹사이트의 방문자에게 확인을 해줍니다. 그러므로 정보 변경 또는 도메인과 다른 인증서가 웹 서버에 설치 되는 등 어느 부분이라도 발급된 인증서와 SSL에 등록된 정보가 다를 경우에는 웹 브라우저에 경고창이 뜨게 됩니다. 인증서 신청시 생성하는 CSR코드는 정보 입력시 매우 주의 하여 입력 하셔야 합니다.
보안서버 구축 등의 조치를 통해 암호화해야 하는 개인정보의 대표적인 예로는 로그인시 ID/패스워드, 회원가입시 주민번호, 인터넷 뱅킹 이용시 계좌번호/계좌 비밀번호 등이 해당됩니다. 또한 게시판 등 이용시 이름과 전화번호, 메일주소 등 두 가지 이상의 정보가 결합하여 개인의 식별이 가능해지는 경우 또한 암호화하여야 합니다.
웹호스팅 업체가 주로 사용하는 보안서버 구축 방식은 멀티도메인 SSL 인증서를 이용하는 방법입니다. 이 경우 기존에 사용하시던 인증서는 폐기되며 이전하는 웹호스팅업체와 협의하여 보안서버를 구축하셔야 합니다. 단일 인증서를 사용하시는 경우 다른 서버로의 이전이 가능하기 대문에 추가 구입은 하지 않으셔도 됩니다. 그러나 이 경우 이전하시는 웹호스팅업체가 보안서버 구축을 지원하는 지 반드시 확인하셔야 하며, 서버 기종이 변경되는 경우 인증서 및 개인키의 호환이 안되는 경우가 있으니 반드시 전문업체와 사전 협의 후 진행하시기 바랍니다.
피싱이란 금융기관 등의 웹사이트나 거기서 보내온 메일로 위장하여 개인의 ID 및 패스워드, 신용카드번호, 계좌정보 등을 빼내 이를 불법적으로 이용하는 사기수법을 의미합니다. 보안서버가 구축된 사이트를 대상으로 피싱 공격을 시도하더라도 웹사이트 이용자들이 자물쇠 이미지, 로그인시 보안접속 체크박스등의 확인을 통하여 피싱에 의한 피해를 줄이는 효과도 있습니다.
법률적용 대상이 되지 않기 때문에 보안서버 구축이 필요없으며, 운영상 불필요하나 개인정보 수집은 하지 않는 것이 바람직합니다. 다만 이 경우, 기존에 수집된 개인정보를 폐기하고 수집을 중단하겠다는 내용을 명시하여 이의신청서를 사무국에 송부해 주시기 바랍니다. ([email protected])
현행법상의 보안서버 구축대상은 영리목적으로 개인정보를 수집하는 정보통신서비스제공자 등입니다. 즉, 일일방문자 수나 사이트 규모에 관계없이 개인정보 수집을 하는 영리목적의 온라인 사업자는 모두 보안서버를 구축하여야 합니다. 다만, 내부 직원들이 이용하기 위한 웹사이트, 홍보-마케팅 등의 영리목적이 아닌 친목도모를 위한 순수 커뮤니티나 비영리 단체의 웹사이트, 기업간 전자상거래를 위한 B2B(Business to Business)웹사이트인 경우 현재 법의 적용 대상은 아닙니다. 하지만 이 경우에도 개인정보 수집을 자제하시거나 회사의 정보보호정책에 따라 적절한 보호조치를 적용할 것을 권고하고 있습니다. 공공기관의 경우 국가정보원과 행정자치부가 보안서버 구축을 추진하고 있습니다. 관련기관으로 문의하시기 바랍니다.
회원가입이 아니라도 상담, 주문, 견적, 게시판을 통해 ID/패스워드, 주민번호 등 개인정보를 수집하는 경우도 해당이 됩니다.
관련법규는 2005년부터 이미 시행중이며, 모니터링을 통한 사이트 점검 결과에 따라 시정명령과 과태료 부과 등 행정조치가 있을 예정이기 때문에 빠른 시일내에 구축을 완료하셔야 합니다.
보안서버 구축은 현행법상 개인정보를 취급하시는 영리 목적의 사업자 분들은 필수적으로 구축하셔야 하는 의무조항입니다. 관련 법조항은 이미 2005년부터 시행 중이며 “정보통신망 이용촉진 및 정보보호 등에 관한 법률” 제28조(개인정보의 보호조치)와 제67조 (과태료) 규정 등에 명시되어 있습니다. 실제 법조항은 본 가이드의 1장 내용 중 보안서버 관련 규정이나 보안서버전문협의회 홈페이지(www.kisia.or.kr/secureserver)를 참조하시고, 전체 법조항이 필요하신 경우는 정보통신부 또는 법제처 홈페이지를 참조하시기 바랍니다.
“정보통신망 이용촉진 및 정보보호 등에 관한 법률”에 의해 보안서버가 구축되지 않은 사이트에 대해서는 1천만원 이하의 과태료등 행정조치가 있을 수 있습니다.
인증서는 호스트마다 따로 신청하는 것이 원칙입니다. 만약 www.abc.com과 secure.abc.com에 인증서를 설치하려면 인증서 2개를 구매하셔야 합니다. 인증서 하나로 두개 이상의 호스트 또는 도메인에 설치하는 것은 불가능합니다.
SSL (Secure Socket Layer) 이란 서버와 브라우저간의 데이터 통신을 128bit 암호화로 전송시키는 보안 시스템으로서 중간에 해커 등의 제3자가 정보도용행위(Sniffing), 데이타변조를 시도하더라도 정보가 유출될 염려가 없습니다. 코모도코리아의 128bit SSL 웹서버 인증서는 이 SSL 기술을 바탕으로 제공되는 인증서이며 웹사이트에 설치하시면 정보보안 기능을 수행할수 있을뿐만 아니라 고객들로부터 사이트의 안전성에 대한 신뢰를 얻으실 수 있습니다.