[진행중] 비밀번호를 평문으로 저장하는 사이트 - 처벌 근거 및 신고

감사합니다! 정말 찾기 어렵네요. 게다가 두번째 글의 본문안의 다운로드 링크는 잘못되었네요. (위의 첨부 링크로 다운받을 수 있음)

NIDA의 해설서를 보면

기준은 가이드라인이나 지침과 같은 권고가 아니며 법률에 의하여 반드시 준수하여야 하는 의무사항을 구체화한 것으로, 동 기준을 위반할 경우 법률에 따른 형사처벌이나 행정처분이 부과될 수 있다.- 법 제28조제1항제2호부터 제5호까지의 보호조치(개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치 설치, 운영, 접속기록의 위조, 변조 방지조치, 개인정보의 암호화 저장, 전송, 컴퓨터바이러스 침해 방지조치) 를 하지 않아 이용자의 개인정보를 분실, 도난, 누출, 변조, 훼손한 경우 2년 이하의 징역 또는 1천만원 이하의 벌금 부과(법 제28조제1항, 제73조제1호) 제28조제1항에 따른 기술적, 관리적 보호조치를 하지 않은 경우 3천만원 이하의 과태료 부과(법 제28조제1항, 제76조제1항제3호)

라고 되어있습니다.

"개인정보의 기술적, 관리적 보호조치 기준 방송통신위원회 고시 제2009-21호(2009.8.7)"에 제6조는 다음과 같습니다. 그런데 이를 "모두 해야한다" 인지 헷갈리네요. 실제로 3항의 SSL은 안하는 곳이 더 많지 않나요?

제6조(개인정보의암호화) 1.정보통신서비스제공자등은비밀번호및 바이오정보는 복호화 되지 아니하도록 일방향 암호화하여 저장한다. 2 정보통신서비스 제공자등은 주민등록번호, 신용카드번호 및 계좌번호에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다. 3 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송.수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다. 1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송, 수신하는 기능 2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송,수신하는 기능 4) 정보통신서비스 제공자등은 이용자의 개인정보를 개인용컴퓨터(PC)에 저장할 때에는 이를 암호화해야 한다.

궁금한 것은 비밀번호를 평문으로 저장하는 행위를 규제하고 있는지, 또한 처벌 가능한지 입니다.

참고로 또 다른 해당 사이트는 "정보보호 안전진단 필증"을 획득하였습니다.

개인정보의 기술적, 관리적 보호조치 기준 (부칙) 이 고시는 발령한 날부터 시행한다. 다만, 제6조제2항 및 제4항의 경우 2010년 1월 29일부터 시행한다.

(조문별 기준 해설 중) 이 기준을 준수하여야 하는 자는 1 정보통신서비스 제공자 2 정보통신서비스 제공자 로부터 이용자의 개인정보를 제공받은 자 3 개인정보의 취급 업무를 위탁받은 자 (수탁자)이다. 다만 위의 자에 해당하더라도 이용자의 개인정보를 전혀 수집, 이용하지 않는다면 이 기준의 적용대상에서 제외된다. “정보통신서비스 제공자”는 1 전기통신사업법에 의한 전기통신사업자(기간, 별정, 부가통신사업자) 및 2 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공, 매개하는 자를 말한다. “영리를 목적으로 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자”는 인터넷 홈 페이지 등을 이용하여 정보 및 서비스를 제공하는 자를 의미하며, 보통 영업 행위를 하는 주체가 홈페이지를 개설하고 회원가입을 받는 경우에는 모두 적용 대상이 된다. - 특히‘영리 목적’은 자기 또는 제3자의 재산적 이익을 얻기 위한 목적을 말하는 것으로 해석하고 있으며 여기서의 이익은 계속적, 반복적일 필요는 없다.

여기에는 회원자 수 같은 기준은 없군요 :)