법제처 : http://www.moleg.go.kr/

이땅에 사는 국민들 누구나 언제든지 열람할 수 있도록 대한민국의 법이란 법은 모두 다 전문을 올려두어 제공하는 곳.
북마크 해두세요. 틈틈히 들어가서 살펴보고 되씹어보고 숙지해두시고...그러세요.
이런저런 메일이 날아올때마다 우왕좌왕하지 마시고, 엄벙덤벙하지 마시고....
무슨기관이니, 무슨협회니 하는곳에서 아무 법적근거없는 내용으로 쓸데없는 소리하면,
조목조목 따지시든지, 그냥 콧방귀를 뀌어버리세요.



오늘은 쇼핑몰을 비롯 커뮤니티까지 회원제사이트를 운영하시는 분들 모두에게 적용되는
개인정보보호정책에 대한 것을 간추려 언급하여 드리면서
부수적으로 요즘 시끌벅적한 보안서버 SSL인증에 대한 이야기를 간략히 덧붙이겠습니다.
(첨으로 제글에 포인트를 걸어보았습니다.
처음 어느분의 문의메일을 받고 이렇게 자료 정리하는데 대략 3시간 가까이 걸렸네요.
그 시간에 대한 보상이라기 보다는,
'세상에 공짜는 없다'는 냉엄한 현실을 분명히 알려드리고자하는 계몽운동입니다.)

정보통신망 이용촉진 및 정보보호 등에 관한 법률 :
http://www.klaw.go.kr/CNT2/Easy/MCNT2EasyLawService.jsp?s_lawmst=75731
동법 시행령 :
http://www.klaw.go.kr/CNT2/Easy/MCNT2EasyLawService.jsp?s_lawmst=75915
동법 시행규칙 :
http://www.klaw.go.kr/CNT2/Easy/MCNT2EasyLawService.jsp?s_lawmst=75011
(anchor 태그 링크 걸기 귀찮음...걍 주소창에 긁어붙이셈)

개인정보 보호에 관한 조문은 4장에 나옵니다.
[제4장 개인정보의 보호] 전문을 옮기긴 귀찮고
[제1절 개인정보의 수집] 1절만 읊어봅시자.
그중에 [제22조 (개인정보의 수집)] 한 조문에서도
우선적으로 언급하여야할 조항 하나만 긁어넣겠습니다.
대략 4장 1절 22조 2항만 읊어보겠단 말씀.


②정보통신서비스제공자는 제1항의 규정에 의한 동의를 얻고자 하는 경우에는 미리 다음 각호의 사항을 이용자에게 고지하거나 정보통신서비스이용약관에 명시하여야 한다. <개정 2004.1.29, 2004.12.30>
1. 개인정보관리책임자의 성명·소속부서·직위 및 전화번호 기타 연락처
2. 개인정보의 수집목적 및 이용목적
3. 개인정보를 제3자에게 제공하는 경우의 제공받는 자, 제공목적 및 제공할 정보의 내용
4. 제30조제1항·제2항 및 제31조제2항의 규정에 의한 이용자 및 법정대리인의 권리 및 그 행사방법
5. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항
6. 정보통신서비스제공자가 수집하고자 하는 개인정보 항목
7. 수집하는 개인정보의 보유기간 및 이용기간

틈나실때에 전문을 다 읽어두시면 좋겠고,
4절만큼은 꼭 유념하여서 숙지하여 두시라는 말씀은 드리고싶습니다.

약관에 무엇,무엇을 명시하여야 한다고요?
저 위에 있는 것을 새삼 풀어서 달리 설명할 재주는 없습니다.
이해가 안가면 두번세번 읽으세요...
(알짜미 어릴적 부친의 말씀...중요하고 어려운 것은 이해가 안되어도 무조건 반복해서 외어라. 일단 한번 외워두면 언젠가는 이해가 간다...
어린 알짜미의 반문...아부지, 이해가 안되는데 어떻게 머리속에 외워짐니꺼...
이제는 안다. 일단 외워두고 숙지하여두면 조만간에 절로 이해가 된다는 것을...)

"고시"도 아니고, "시행규칙"도, "시행령"도 아니고...해당 법규의 최상위법인 "법령"에서
저렇게 [성명,부서,직위,전화번호,연락처...] 명시항목을 구체적으로 밝혀두었다는 것은...
[수집목적 및 이용방법]을 명시하라고 언급하였다는 것은...
게다가 [보유기간 및 이용기간]까지 명시하라고 하였다는 것은...
만만하게 여기시면 안됩니다.
다시 말씀드리지만 "고시"도 아니고, "시행규칙"도, "시행령"도 아니고...
해당 법규의 최상위법인 "법령"에서부터 저렇게 구체적으로 꼬박꼬박 찍어두었다는 것은
상당한 강제력을 발휘할 것이니, 어지간한 분들은 몸사리시라는 말씀이지요,넵.

이왕 조문을 긁어온 김에, 두어개만 더 긁어와서 읊어봅니다.

제28조 (개인정보의 보호조치) 정보통신서비스제공자등은 이용자의 개인정보를 취급함에 있어서 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록 정보통신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 조치를 하여야 한다. <개정 2004.1.29>

제67조 (과태료)
②다음 각 호의 어느 하나에 해당하는 자는 1천만원 이하의 과태료에 처한다. <개정 2002.12.18, 2004.1.29, 2004.12.30, 2005.12.30, 2006.10.4>
8의2. 제28조의 규정을 위반하여 기술적·관리적 조치를 하지 아니한 자


위의 정보보호법 제28조 및 시행규칙 제3조의2의 규정에 의하여
정보통신부에서 "개인정보의 기술적ㆍ관리적 보호조치 기준"을 마련하여
2005년 3월 24일에 고시하였습니다.
그 이름도 찬연한
정보통신부고시 제2005-18호 "개인정보의 기술적·관리적 보호조치 기준"!!! 뽀샤시~~~
http://www.mic.go.kr/user.tdf?a=user.board.BoardApp&c=2002&board_id=P_03_04_04&seq=366&mc=P_03_04_04

다시 풀어 말씀드리면, 그 이름도 찬연한 정보통신부고시 제2005-18호를 Dog무시하면,
이 웃긴짜장같은 정부에 돈 천만원을 기부하여야 하는 자선행위가 강요된다는 것!!

주요조항 몇개만 간추려 드립니다.


제3조(접근통제)
⑤정보통신서비스제공자등은 이용자 및 개인정보취급자가 생일, 주민등록번호, 전화번호 등 추측하기 쉬운 숫자를 패스워드로 이용하지 않도록 패스워드 작성규칙을 수립하고 이행한다.
⑥정보통신서비스제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람 권한이 없는 자에게 공개되지 않도록 개인정보처리시스템 및 개인정보취급자의 PC를 설정한다.
제5조(개인정보의 암호화)
①정보통신서비스제공자등은 패스워드, 생체정보 등 본인임을 인증하는 정보에 대해서는 복호되지 아니하도록 일방향 암호화하여 저장한다.

무슨 말하는지 모르겠다고요?! 흠...분명 기술적인 부분에 대한 언급임에는 틀림없습니다.
평소에도 적지않은 사이트들에서 발견되는 폐단들이기에 이참에 언급한 것일 뿐이고,
보안서버 SSL인증을 언급하기 위해 과태료 1천만원짜리중에서 일부만 발췌한 것이니
해당 고시의 전문을 충분히 숙지하셔서 기술인력과 세부구현을 협의하시길 바랍니다.

도저히 고시된 기준을 해석하기도 힘들고 뭐가 뭔지도 모르겠다는 분들을 위하여서
한국정보진흥원(http://www.kisa.or.kr/)의 개인정보보호기술지원센터(http://www.1336.or.kr)에서
정보통신부고시 제2005-18호 "개인정보의 기술적·관리적 보호조치 기준"에 대한 올바른 이해를 통하여 사업자의 개인정보보호 조치 이행을 지원하기 위하여
각 기준의 각 조항별 주안점 및 구체적인 예를 제시하는 가이드·핸드북들을 정리하여 『개인정보자료모음』으로 제공하고 있습니다.
해당 자료들중 두어개는 첨부하고 경로를 직접링크걸기도 하여야 하겠지만,
귀찮음...또 그렇게 할 필요도 없을듯...
http://www.1336.or.kr 에 찾아가셔서 '개인정보자료모음'의 자료 모두를 다운받아 충분히 숙지하세요.


정말오랫만에 다시 해보는 알짜미의 TM성 습관...피에쑤~~
PS.
최근들어 보안서버 SSL인증관련하여 많이들 접하시는 것으로 알고 있는데,
알짜미도 한동안 많이 흔들렸지만 얼마전에 나름대로의 내린
소견 한마리를 얼마전 게시글의 덧글에 밝힌바 있습니다.
아래 게시물의 덧글 참조.
http://i-boss.co.kr/new/?doc=bbs/gnuboard.php&bo_table=cfe00&wr_id=9913

현행법상에 보안서버 SSL인증을 강제하는 규정은 분명 그 어느 법규에도 없다.
법규를 비롯하여 주무관청의 고시들을 다 훓어보아도 그러한 문구를 찾아내지 못하였다.
또한 내년에 그러한 법령이 추가될것이라는 유언비어마저도 나돌고 있는데,
아무리 되씹어보아도 그것은 멍멍이가 하품하는 소리인것이다.
하드웨어적으로 파이어월을 구축하든, 소프트웨어적으로 SSL인증 프로토콜을 사용하든, 그러한 부분은
운영하는 사이트의 규모와 현실에 맞게 "운용의 묘"를 적절히 살리면 되는 것이고,
정통부에서 외국SSL인증업체로부터 얼마의 자금을 받았기에 그런 싸가지를 강행할지라도,
존경하옵는 의원나으리님들이 그러한 어줍잖은 법안을 눈여겨보실리 만무하다는 것이다.
그분들이 쌈박질이랑 부동산챙기기랑 훌륭하신 일에 얼마나 바쁘신 분들이냔 말이다.

뭐...그런 한마리 소견인 것이지요.네..