깜냥이의 웹2.0 이야기!

블로그메타사이트인 블로그와이드(www.blogwide.kr/)가 3월에 해킹을 당했었다.
그리고 한달가량 사이트를 잠정 폐쇄했었고 지금은 복구된 상태이다.
몇가지 해킹 관련 보안사항을 업데이트하였다. 하지만 여전히 취약한건 사실이다.

해킹을 당한 이후 한국인터넷진흥원(http://kisa.or.kr/)에 해킹신고를 했었다.
한국인터넷진흥원(KISA)에 해킹신고를 하면 해킹관련 해서 취약점을 보안해준다는 이야기를 들었기 때문이다.
김희정 한국인터넷진흥원장에게 직접 들었었다. 2010 전망 IT 컨퍼런스에서... 말씀 참 잘하시던데...
하지만 해킹신고한지 어언 두달동안 한통의 이메일이나 전화도 받은 적이 없다.


해킹신고라는 것이 그냥 요식행위인건지...
사실 정부가 인터넷 해킹에 대처하는 부분에 있어서 많은 문제점들이 있다고 생각한다.
해킹 뿐만 아니라 인터넷에 관련된 많은 것들에서 문제가 있겠지만...
인도네시아와 같은 동남아 국가에서 한국을 경유하여 다른 나라 사이트를 공격하는데도 이것을 막을 대책은 없단 말인가?
그저 사이트 운영자가 모두 짊어지고 가야 하는 숙제인가?
그럼 해킹신고는 왜 하라는 거지?
대외적으로는 해킹신고를 하면 KISA 담당자들이 사이트의 보안취약점을 찾아보고 대처를 해준다고 하면서 아무것도 하지 않고 있는 거지?

사실 사이트 운영자가 짊어지고 가야 하는 난제임에는 분명하지만 정부차원에서 KISA가 어떻게든 역할을 해주었으면 하는 바램이다.
그리고 김희정원장님이 수많은 사람들 앞에서 KISA가 하는 일에 대해 이야기했던 부분들! 꼭 지켜지기를 바란다.
손끝으로 열리는 세상? 온갖 화려한 미사여구로 치장한 KISA여~
클린 인터넷을 꿈꾸는 KISA여~
나도 클린 인터텟을 꿈꾸는 한 사람으로써 KISA가 부디 제 역할을 다해주기를 당부한다.


덧1) 한국인터넷진흥원에서 연락이 왔습니다. 아무래도 해킹신고 접수 단계에서 오류가 발생하여 해킹신고 자체가 접수되지 않은 것 같습니다. 사실 제 입장에서는 접수가 제대로 되었다고 생각을 했는데 아무 연락이 없어서 이렇게 글을 작성한 것인데 한국인터넷진흥원이 업무를 제대로 처리하지 않고 있다고 오해하실 수 있을 것 같아 덧글을 남깁니다. 감사합니다.

 2009년 7월 27일 현재 필자는 블로그메타사이트인 블로그와이드(www.blogwide.kr)와 커뮤니티사이트인 엑스티비(www.extv.co.kr)를 운영하고 있다.
돈이 되는 것도 아니고, 처음과 달리 이제는 재미도 별로 없고... 그저 유지만 하고 있는 차원이다.
물론 블로그와이드는 사업화 하고 싶은 마음이 굴뚝이지만 현재의 상황에서는 언제가 될지 기약할 수 없는 실정이다.
하지만 그... 유지만 하는 차원이 점점 힘겨워지고 있다.
얼마전 블로그와이드의 트래픽 폭주로 인하여 호스팅회사와 결별하기 직전까지 갔었던 일도 있었지만 이제는 정부(http://guide.kisa.or.kr/)에서 태클을 걸었다.
바로 '개인정보 보호조치'가 미흡하다는 것이다.

위반사항은 다음과 같다.
(1) 개인정보 수집 이용 등에 대한 고객의 동의절차 미흡(정보통신망법 제22조 또는 제24조의2 또는 제25조)
(2) 개인정보취급방침의 공개 미흡(정보통신망법 제27조의2)
(3) 보안서버 미적용(정보통신망법 제28조 및 동법 시행령 제15조의4)
과태료가 3,000만원 이하? 5,000만원 이하?

그리고 다음 점검일까지 개선되지 않을 경우 정보통신망법 제73조 또는 제76조에 의거 행정조치(시정명령, 과태료)가 취해질 수 있다고 협박해왔다.
정말 짜증나는 일이다. 사업자가 운영하는 것도 아니고 개인이 운영하는 사이트이고, 영리 목적으로 운영하는 것도 아니다. 대규모의 사이트도 아니고 랭키닷컴 기준 20,000위 이하의 사이트이다. 물론 약간의 광고수익은 발생하지만 극히 미미한 수준이다.

이런 사이트를 보고 보안서버를 적용하라니???
배보다 배곱이 더 클 판이다.

담당자와 전화통화를 했다. 개인정보를 받게 되면 그 개인정보를 보호해줄 의무가 있다는 것이다. 보안서버를 구축하기 싫다면 개인정보를 받지 않으면 된다고 했다. 회원가입을 받지 말라는 것이다.
그래서, 주민번호하고 성명(실명)만 안받으면 되는것 아니냐구 하니까, 이메일 등도 개인정보라고 하면서 개인정보는 하나만 받으면 보안서버를 구축하지 않아도 된다고 하였다.

아이디, 패스워드를 제외하고 하나의 개인정보만 받으면 개인정보를 취급하지 않는 것으로 간주한다는 것이다. 개인정보를 받아서 딱히 쓸일도 없었던 필자는 그냥 개인정보를 하나만 받는 쪽으로 회원가입을 수정하겠다고 이야기하고 전화를 끊었다. 보안서버를 구축할 수는 없었기 때문에 선택은 하나뿐이었다.

하여 회원가입폼을 변경하여 ID, PW, 필명(별명, 닉네임)만 받는 것으로 수정하였으나 아무리 생각해도 이메일도 받아야될 것 같은 생각이 들었다. 그리고 필명이 개인정보라는 생각이 전혀 들지 않았다. 실명도 아닐뿐더라 필명으로 그 사람이 누구인지 알수가 없지 않은가? 다시 담당자와 통화한 결과 필명과 이메일만으로는 회원의 신상정보를 파악할 수 없기 때문에 회원가입시 필명과 이메일 정보를 받더라도 개인정보 보호조치를 취하지 않아도 된다는 대답을 듣게 되었다. 필명은 개인의 유니크(고유)한 개인정보가 아니기 때문이다.

즉, ID, PW, 필명, 이메일만 받으면 개인정보 보호조치 대상에서 제외되는 것이다. 회원가입폼을 수정하여 한국인터넷진흥원 웹모니터링사무국(http://guide.kisa.or.kr/)의 심사대상에서 최종 제외되었다.

이렇게 하나의 고비를 또 넘기게 되었다. 하나의 사이트, 하나의 서비스를 구축하고 운영한다는 것이 얼마나 힘든 일인지를 또다시 깨닫게 되었다. 하나의 이슈가 넘어가면 또 하나의 이슈가 터져나오고...

그래도 아직까지는 사이트를 유지할 힘이 남아있다. 특히 블로그와이드(www.blogwide.kr)는 나의 미래를 위하여 지속적으로 운영하고 투자해야할 필요가 있다.

이제 다음으로 나에게 찾아올 이슈는 무엇일까?
저작권? 초상권? 명예회손? 무단전제? 재배포?

무엇하나 자유로운 이슈가 없는 것 같다. 걸고 넘어질려고 하면 안걸릴게 하나도 없는 것이다. 하지만 어떤 문제가 발생한다 해도 뚫고 나갈 길은 언제나 존재할 것이라 확신한다. 그리고 필자가 운영하는 정도의 소규모 사이트에까지 영향이 미칠려면 이미 사회적으로 큰 사건이 터져 공론화된 이후가 될 것이다. 항상 상황을 예의주시해야 하는 이유이다.

사이트 운영자 여러분! 개인정보보호조치 개선안내 메일을 받았다면 당황하지 말고 대처하자!!!
물론 보안서버를 설치할 여유가 있는 사이트라면 문제없겠지만...

회원가입시에 ID, PW, 필명, 이메일만 개인정보로 받으면 한국인터넷진흥원 웹모니터링사무국(http://guide.kisa.or.kr/)의 마수(심사대상)에서 벗어날 수 있다!!!