RESOURCE | 암호화|  암호화와 법률준수 가이드

암호화와 법률준수 가이드

  • 암호화와 법률준수

    • 암호화와 법률준수

    정보유출 사고는 점점 대형화·지능화되고 있으며, 이에 대응하기 위한 정보보안 관련 법적 규제 또한 지속적으로 강화되고 있습니다. 개인정보 침해로 인한 사회적·경제적 영향이 커지면서, 기업의 정보보호 책임에 대한 요구 역시 한층 명확해지고 있습니다.

    이러한 환경 속에서 기업은 단순한 선택이 아닌 필수 요건으로서 정보보안 체계를 갖추어야 하며, 최소한의 보안 조치를 이행하기 위해서라도 다양한 정보보호 관련 법규의 내용을 정확히 이해하고 이에 적절히 대응할 필요가 있습니다.

    아래에서 살펴볼 보안 관련 규제는 완전한 보안을 보장하는 기준이 아니라, 기업이 반드시 준수해야 할 최소한의 기본 요건임을 전제로 합니다.

     

    개인정보와 개인정보보호법

    ‘개인정보’란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말합니다.

    “해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것”은 이름, 주민등록번호 외 주소, 전화번호, 컴퓨터 IP 주소, 이메일 주소 등 해당 정보만으로는 특정인을 알아볼 수 없더라도 여타 정보와 결합하면 쉽게 추론할 수 있는 모든 정보를 포함합니다.

    ‘개인정보보호법’은 개인정보의 수집•유출•오용•남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정하는 법률입니다. 준수 대상은 ‘개인정보처리자’로,  업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다. 사실상 대부분의 공공기관, 법인, 기업 등 개인정보를 처리하고 다루는 곳이라면 전부 해당 법률의 적용 대상입니다. 

     

    개인정보보호법 29조는 기업 및 기관 등 개인정보처리자의 개인정보 보호 조치를 의무로 규정하고 있습니다.

     

    <개인정보보호법>

    제29조(안전조치의무)
    개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다. <개정 2015. 7. 24.>

    개인정보보호법 시행령 제 30조

    1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립ㆍ시행 및 점검
    2. 개인정보에 대한 접근 권한을 제한하기 위한 조치
    3. 개인정보에 대한 접근을 통제하기 위한 조치
    4. 개인정보를 안전하게 저장ㆍ전송하기 위해 암호화 저장 혹은 이에 상응하는 조치
    5. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 조치
    6. 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대해 컴퓨터바이러스, 스파이웨어, 랜섬웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 하는 등의 기능이 포함된 프로그램의 설치ㆍ운영과 주기적 갱신ㆍ점검 조치
    7. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
    8. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치

    기존 정보통신망법이 정보 보호에 대한 조항을 담고 있었지만, 2020년 데이터 3법 개정의 일환으로 공공과 민간 부문 모두 개인정보 보호 수준이 상향되며 개인정보 보호법에 통합되게 되었습니다. 개인정보에 대한 보호의 일반법적 지위는 공고해 졌으며 특히 개인정보의 암호화에 대해 선택이 아닌 필수로 규정하고 있습니다.

    기존 규제에도 불구하고 속출하는 유출사고에 본격적으로 대응한다는 취지로 개인정보보호법 개정(시행일 2023.09.15)및 개인정보의 안전성 확보조치기준이 개정(시행일 2023.09.22) 되었습니다. 주요 내용은 아래와 같습니다.

     

    <개인정보의 안전성 확보조치기준>

    제23조2항(민감정보의 처리 제한)
    개인정보처리자가 민감정보를 처리하는 경우에는 그 민감정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다. 

    제24조제3항(고유식별정보의 처리 제한)
    개인정보처리자가 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.

    제24조의2제2항(주민등록번호 처리의 제한)
    개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.

    제25조제6항(고정형 영상정보처리기기의 설치ㆍ운영 제한)
    고정형영상정보처리기기운영자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 제29조에 따라 안전성 확보에 필요한 조치를 하여야 한다

    제64조의2제1항,제2항,제4항(과징금의 부과)
    개인정보처리자가 처리하는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 않는 범위에서 과징금을 부과할 수 있다.  다만, 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손되지 아니하도록 개인정보처리자가 제29조(제26조제8항에 따라 준용되는 경우를 포함한다)에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다.

    제75조제2항(과태료)
    안전성 확보에 필요한 조치를 하지 아니하거나, 암호화 조치, 보호조치를 하지 아니한 자에게는 3천만원 이하의 과태료를 부과한다.

     

    이렇듯 개인정보 보호에 대한 의무는 점점 강화되고 있으며, 엄격하게 정의된 ‘안전성 확보조치 기준’을 모두 준수한 경우에만 면책 또는 경감이 일어날 수 있습니다.

     

    개인정보보호법에 따른 암호화 준수 방안

    개인정보보호위원회는 아래와 같이 ‘개인정보 안전성 확보 조치 기준’ 를 상세히 규정하고 있습니다.

     

    국내외 다양한 암호화 관련 컴플라이언스

    국내

    <ISMS-P>

    2.6 접근통제

    2.6.6 원격접근 통제
    보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무·장애대응·원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등 보호대책을 수립·이행하여야 한다.

     

    2.7 암호화 적용

    2.7.1 암호정책 적용
    개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다.

    2.7.2 암호키 관리
    암호키의 안전한 생성·이용·보관·배포·파기를 위한 관리 절차를 수립·이행하고, 필요 시 복구방안을 마련하여야 한다.

     

    2.10 시스템 및 서비스 보안관리

    2.10.2 클라우드 보안
    클라우드 서비스 이용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인정보가 유·노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립·이행하여야 한다.

    2.10.4 전자거래 및 핀테크 보안
    전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작·사기 등의 침해사고 예방을 위해 인증·암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검하여야 한다.

     

    <신용정보법>

    제17조제4항(처리의 위탁)
    신용정보회사등은 제2항에 따라 신용정보의 처리를 위탁하기 위하여 수탁자에게 개인신용정보를 제공하는 경우 특정 신용정보주체를 식별할 수 있는 정보는 대통령령으로 정하는 바에 따라 암호화 등의 보호 조치를 하여야 한다.

     

    <신용정보법 시행령>

    제14조제4항(수집된 신용정보 처리의 위탁)
    법 제17조제4항에 따라 신용정보회사등이 개인신용정보를 제공하는 경우 다음 각 호의 구분에 따른 보호조치를 하여야 한다.

    1. 정보통신망 또는 보조저장매체를 통하여 제공하는 경우: 금융위원회가 정하여 고시하는 절차와 방법에 따른 보안서버의 구축 또는 암호화, 그 밖에 금융위원회가 정하여 고시하는 보호조치

    2. 제1호 외의 방법으로 제공하는 경우: 봉함(封緘), 그 밖에 금융위원회가 정하여 고시하는 보호조치

     

    제14조의2제3항(정보집합물의 결합 등)
    결합의뢰기관 및 데이터전문기관은 정보집합물을 결합ㆍ제공ㆍ보관하는 경우에는 다음 각 호의 사항을 모두 준수해야 한다.

    1. 결합의뢰기관이 정보집합물을 데이터전문기관에 제공하는 경우 다음 각 목의 조치를 하여 제공할 것

    가. 하나의 정보집합물과 다른 정보집합물 간에 둘 이상의 정보를 연계, 연동하기 위하여 사용되는 정보는 해당 개인을 식별할 수 없으나 구별할 수 있는 정보(이하 “결합키”라 한다)로 대체할 것

    나. 개인신용정보가 포함된 정보집합물은 가명처리할 것

    2. 결합의뢰기관이 결합키를 생성하는 절차와 방식은 금융위원회가 정하여 고시하는 바에 따라 결합의뢰기관 간 상호 협의하여 결정할 것

    3. 결합의뢰기관이 데이터전문기관에 정보집합물을 제공하거나 데이터전문기관이 결합한 정보집합물을 결합의뢰기관에 전달하는 경우에는 해당 정보집합물의 내용을 제3자가 알 수 없도록 암호화 등의 보호조치를 하여 전달할 것

    4. 데이터전문기관은 결합된 정보집합물을 결합의뢰기관에 전달하기 전 결합키를 삭제하거나 금융위원회가 정하여 고시하는 방법으로 대체할 것

    5. 데이터전문기관은 결합된 정보집합물의 가명처리 또는 익명처리의 적정성을 평가한 후 적정하지 않다고 판단되는 경우 다시 가명처리 또는 익명처리하여 전달할 것

    6. 데이터전문기관은 결합한 정보집합물을 결합의뢰기관에 전달한 후 결합한 정보집합물 및 결합 전 정보집합물을 지체 없이 삭제할 것

     

    제18조의6제7항(본인신용정보관리회사의 행위규칙 등)
    법 제22조의9제4항에서 “대통령령으로 정하는 방식”이란 제3항에 따른 방식 외의 방식으로서 다음 각 호의 요건을 모두 갖춘 방식을 말한다.

    1. 개인신용정보를 전송하는 자와 전송받는 자 사이에 미리 정한 방식일 것

    2. 개인신용정보를 전송하는 자와 전송받는 자가 상호 식별ㆍ인증할 수 있는 방식일 것

    3. 개인신용정보를 전송하는 자와 전송받는 자가 상호 확인할 수 있는 방식일 것

    4. 정보 전송 시 상용 암호화 소프트웨어 또는 안전한 알고리즘을 사용하여 암호화하는 방식일 것

    5. 그 밖에 금융위원회가 정하여 고시하는 요건을 갖출 것

     

    <전자금융감독규정>

    제15조제6항(해킹 등 방지대책)
    금융회사 또는 전자금융업자는 무선통신망을 설치ㆍ운용할 때에는 다음 각 호의 사항을 준수하여야 한다.

    1. 무선통신망 이용 업무는 최소한으로 국한하고 법 제21조의2에 따른 정보보호최고책임자의 승인을 받아 사전에 지정할 것 

    2. 무선통신망을 통한 불법 접속을 방지하기 위한 사용자인증, 암호화 등 보안대책을 수립할 것 

    3. 금융회사 내부망에 연결된 정보처리 시스템이 지정된 업무 용도와 사용 지역(zone) 이외의 무선통신망에 접속하는 것을 차단하기 위한 차단시스템을 구축하고 실시간 모니터링체계를 운영할 것 

    4. 비인가 무선접속장비(Access Point : AP) 설치ㆍ접속여부, 중요 정보 노출여부를 주기적으로 점검할 것 

     

    제31조제1항, 제2항(암호프로그램 및 키 관리 통제)
    ① 금융회사 또는 전자금융업자는 암호프로그램에 대하여 담당자 지정, 담당자 이외의 이용 통제 및 원시프로그램(source program) 별도 보관 등을 준수하여 유포 및 부당 이용이 발생하지 않도록 하여야 한다.
    ② 금융회사 또는 전자금융업자는 암호 및 인증시스템에 적용되는 키에 대하여 주입ㆍ운용ㆍ갱신ㆍ폐기에 대한 절차 및 방법을 마련하여 안전하게 관리하여야 한다.

     

    제32조(내부사용자 비밀번호 관리)
    금융회사 또는 전자금융업자는 내부사용자의 비밀번호 유출을 방지하기 위하여 다음 각 호의 사항을 정보처리시스템에 반영하여야 한다.

    1. 담당업무 외에는 열람 및 출력을 제한할 수 있는 접근자의 비밀번호를 설정하여 운영할 것 

    2. 비밀번호는 다음 각 목의 사항을 준수할 것 

    가. 비밀번호는 이용자 식별부호(아이디), 생년월일, 주민등록번호, 전화번호를 포함하지 않은 숫자와 영문자 및 특수문자 등을 혼합하여 8자리 이상으로 설정하고 분기별 1회 이상 변경 

    나. 비밀번호 보관 시 암호화 

    다. 시스템마다 관리자 비밀번호를 다르게 부여 

    3. 비밀번호 입력 시 5회 이내의 범위에서 미리 정한 횟수 이상의 입력오류가 연속하여 발생한 경우 즉시 해당 비밀번호를 이용하는 접속을 차단하고 본인 확인절차를 거쳐 비밀번호를 재부여하거나 초기화 할 것 

     

    제33조제1항(이용자 비밀번호 관리)
    금융회사 또는 전자금융업자는 정보처리시스템 및 전산자료에 보관하고 있는 이용자의 비밀번호를 암호화하여 보관하며 동 비밀번호를 조회할 수 없도록 하여야 한다. 다만, 비밀번호의 조회가 불가피하다고 인정되는 경우에는 그 조회사유ㆍ내용 등을 기록ㆍ관리하여야 한다.

     

    <금감원 암호기술 활용 가이드>

    암호 알고리즘 암호 기술 적용 시 국내외 권고 표준 암호 알고리즘을 선택한다.

    암호 운영모드 암호 알고리즘 운영 시 적합한 패딩기법과 운영모드를 선택한다.

    키 생성 암호학적으로 안전한 키를 생성하기위해 예측이 불가능하고 위조할 수 없는 난수를 사용하며 키 노출을 방지하기 위해 이를 재사용하지 않는다.

    키 분배 키의 안전한 공유를 위해 공개키 암호로 키를 분배하거나 대칭키 암호로 키 분배센터를 이용하고, 키 분배 후 저장 시 키 사용 및 복구를 위한 백업을 물리적으로 안전한 장치에 저장한다.

    키 저장 암호키를 반복해서 사용하는 경우에 반드시 키를 암호문과 동일한 장소에 보관하지 않고 분리된 공간이나 금융회사 HSM 등의 안전한 장소에 보관하거나 암호화하여 보관하여야 한다. 

    키 사용 키 사용에서는 암호키에 대해 비인가접근을 방지하기위해 암호키 분리정책과 암호키에 대한 접근제어 정책을 수립하여야 한다. 공유 메모리에 로드된 암호 키도 평문으로 저장해서는 안 되며, 마스터 키와 같이 키를 암호화하는 핵심보안 매개변수도 안전하게 관리하고 공개키를 이용하여 암·복호화 키를 암호화한다.

    키 백업 및 복구 암호 키는 백업 정책에 따라 주기적으로 백업되어야 하며, 백업된 키 정보는 암호화 하여 저장해야 한다. 또한 키 백업에 사용한 패스워드는 별도로 관리되어야 한다.

    키 교체 암·복호화 키는 용도에 따라 법령 또는 기업 내부 정책에 부합하는 기간마다 교체, 갱신하여 보안성을 유지한다. 

    키 폐기 키를 폐기하기 위한 절차 및 방법을 수립함으로써 허가된 관리자가 절차에 따라 폐기할 수 있도록 하여야 한다. 제품 종료 후 메모리에 로드된 암호 키와 핵심보안 매개변수는 모두 제거하여 유추할 수 없도록 해야 한다.

     

    <국정원 보안요구사항>

    3. 데이터 보호 (사용 암호 알고리즘 및 암호키 안전성 및 암호키 저장 방식은 국가ㆍ공공기관이 요구하는 보안강도를 만족해야 한다.)

    3.1 전송 데이터 보호

    3.1.1 제품은 제품 구성요소간 전송 데이터(예 : 보안정책, 제어명령 등)를 보호하기 위해 암호통신 채널을 사용하여 전송해야 한다.

    3.1.2 제품은 관리접속시 전송 데이터를 보호하기 위해 암호통신채널을 사용하여 전송해야 한다.

    3.2 저장 데이터 보호

    3.2.1 제품은 중요정보를 제품 내부에 저장할 때 안전한 방식으로 저장해야 한다.

    3.2.2 제품은 저장된 제품 설정값(보안정책, 환경설정 매개변수 등)에 인가된 관리자만이 접근할 수 있도록 보호하는 기능을 제공해야 한다.

     

    8. 암호지원

    8.1 암호사용

    8.1.1 중요 정보 전송 및 저장시 권고 암호 알고리즘을 사용해야한다.

    8.2 암호키 생성

    8.2.1 제품은 암호키를 안전한 방식으로 생성해야 한다.

    8.3 암호키 저장

    8.3.1 제품은 암호키를 안전한 방식으로 저장해야 한다.

    8.4 암호키 파기

    8.4.1 제품은 제품에서 생성하거나 사용한 암호키를 안전하게 파기해야 한다.

     

    글로벌

    <PCI-DSS>

    저장된 계정 데이터의 보호

    3.3.2 인증 완료 전에 전자적으로 저장되는 SAD는 강력한 암호화를 사용하여 암호화한다.

     

    3.5 PAN은 저장 위치에 상관없이 보안이 유지되어야한다.

    3.5.1 PAN은 다음 접근 방식 중 하나를 사용하여 저장된 모든 위치에서 읽을 수 없게 된다.  

    • 강력한 암호화를 기반으로 하는 전체 PAN의 단방향 해시.

    • 해싱된 PAN은 기존 PAN으로 재구성하는 경우 상호 연관성이 없도록 추가 작업이 필요.

    • 인덱스 토큰

    • 연관된 키 관리 프로세스 및 절차를 통한 강력한 암호화.

    3.5.1.2 디스크 수준 또는 파티션 수준 암호화(데이터베이스 암호화가 아닌)를 사용하여 PAN을 읽지 못하도록 하는 경우 다음과 같이 구현된다.

    • 이동식 디스크

    • 하드 디스크의 경우 3.5.1 요구사항을 충족하여야 함

     

    3.6 계정 데이터 보호를 위해 사용되는 암호화 키를 보호한다.

    3.6.1 계정 데이터의 노출 및 오용을 막기위해 암호화 키 보호를 위한 절차를 마련한다.

    • 암호화 키에 대한 접근을 필요한 최소한의 관리자로 제한한다. 

    • 키-암호화 키 (key-encrypting keys)가 보호하는 데이터-암호화 키 (data-encrypting keys)만큼 보안강도가 강해야 한다.

    • 키-암호화 키 (key-encrypting keys)가 데이터-암호화 키 (data-encrypting keys)와 분리되어 저장되어 있어야 한다.

    • 키를 최소한의 장소와 형태로 안전하게 저장한다.

     

    3.7 계정 데이터를 보호하기 위해 암호화가 사용되는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현되어야 한다.

    3.7.1 키 관리 정책 및 절차는 계정 데이터를 보호하는데 사용되는 강력한 암호화 키 생성을 고려하여 구현한다.

    3.7.2 키 관리 정책 및 절차는 계정 데이터를 보호하는데 사용되는 암호화 키의 안전한 배포를 고려하여 구현한다.

    3.7.3 키 관리 정책 및 절차는 계정 데이터를 보호하는데 사용되는 암호화 키의 안전한 저장을 고려하여 구현한다.

    3.7.4 암호화 기간이 만료된 키에 대한 암호화 키의 변경은 관련 어플리케이션 공급자 또는 키 소유자에 의해 정의되고, 업계 모범 사례(Best Practices) 및 Guidelines(예: NIST Special Publication 800-57)을 기초로 한다.

    3.7.5 키 관리 정책 및 절차는 계정 데이터를 보호하는데 사용되는 암호화 키의 폐기 및 교체를 고려하여 구현한다.

     

    <GDPR>

    제4장 컨트롤러와 프로세서 (Controller and Processor)

    제32조 처리보안 (Article 32. Security of processing)

    4.32.1 컨트롤러와 프로세서는 다음과 같은 정보 처리의 보안을 보장하기 위한 적합한 기술적 및 조직적 조치를 취해야 한다.

      ✓ 개인정보에 가명화 및 암호화

      ✓ 처리 시스템 및 서비스의 기밀성, 무결성 및 가용성 보장

      ✓ 보안성 유지를 위한 정기적 테스팅 및 평가

     

    일본

    <개인정보보호법>

    제23조(안전관리조치)
    개인정보취급사업자는 그 취급하는 개인데이터의 유출, 멸실 또는 훼손의 방지 그 외의 개인데이터의 안전관리를 위하여 필요하고 적절한 조치를 강구하여야 한다.

    제41조제1항(가명 가공 정보의 작성 등)
    개인정보취급사업자는 가명가공정보(가명가공정보 데이터베이스 등을 구성하는 것에 한함. 이하 이 장 및 제6장에 있어서 동일)을 작성할 때는 다른 정보와 대조 하지 않는 한 특정 개인을 식별할 수 없게 하기 위해 필요한 것으로 개인정보보호위원회 규칙에서 정한 기준에 따라 개인정보를 가공하여야 한다.

    제43조제1항,2항,6항(익명 가공 정보의 작성 등)

    제1항

    개인정보취급사업자는 익명가공정보(익명가공정보 데이터베이스 등을 구성하는 것에 한한다. 이하 이 장 및 제6장에 있어서 동일)을 작성할 때는 특정 개인을 식별 하는 것 및 그 작성에 이용하는 개인정보를 복원할 수 없게 하기 위해서 필요한 것으로서 개인정보보호위원회 규칙에서 정하는 기준에 따라 당해 개인정보를 가공하여야 한다.

    제2항

    개인정보취급사업자는, 익명가공정보를 작성했을 때는, 그 작성에 이용한 개인정보로부터 삭제한 기술 등 및 개인식별 부호 및 전항의 규정에 의해 행한 가공의 방법에 관한 정보의 유출을 방지한다 하기 위해 필요한 것으로 개인정보보호위원회 규칙에서 정하는 기준에 따라 이러한 정보의 안전관리를 위한 조치를 강구하여야 한다.

    제6항

    개인정보취급사업자는 익명가공정보를 작성한 때에는 당해 익명가공정보의 안전관리를 위하여 필요하고 적절한 조치 가공정보의 적정한 취급을 확보하기 위해 필요한 조치를 스스로 강구하고, 또한 해당 조치의 내용을 공표하도록 노력하여야 한다.

     

    <개인정보보호에 관한 법률에 대한 지침>

    3-4-2. 안전관리 조치(법 제23조 관계)

    10-6 기술적 안전 관리 조치

    개인 정보 취급 사업자는 정보 시스템(PC 등의 기기를 포함)을 사용하여 개인 데이터를 취급하는 경우(인터넷 등을 통해 외부와 송수신 등하는 경우를 포함), 기술적 안전 관리 조치로서, 에 내거는 조치를 강구해야 한다.

     (4) 정보 시스템의 사용에 수반하는 누설 등의 방지

     정보시스템의 사용에 따른 개인데이터의 유출 등을 방지하기 위한 조치를 취하여 적절히 운용하여야 한다.

     

    3-5 개인 데이터의 유출 등의 보고 등(법 제26조 관계)

    누설 등이 발생하거나 발생했을 우려가 있는 개인 데이터에 대하여, 고도의 암호화 등의 비밀화가 되어 있는 경우 등, ‘고급 암호화 그 외의 개인의 권리 이익을 보호하기 위해서 필요 한 조치’가 강구되고 있는 경우에 대해서는, 보고를 필요로 하지 않는다.

     

    3-10 가명가공정보취급사업자 등의 의무(법 제41조·제42조 관계)

    법 제41조제1항의 개인정보보호위원회 규칙에서 정하는 기준은 다음과 같다.

    1. 개인정보에 포함되는 특정의 개인을 식별할 수 있는 기술 등의 전부 또는 일부를 삭제하는 것(해당 전부 또는 일부의 기술 등을 복원할 수 있는 규칙성을 갖지 않는 방법에 의해 다른 기술 등으로 대체하는 것을 포함).
    2. 개인 정보에 포함되는 개인 식별 부호의 전부를 삭제하는 것(해당 개인 식별 부호를 복원할 수 있는 규칙성을 갖지 않는 방법에 의해 다른 기술 등으로 치환하는 것을 포함).
    3. 개인정보에 포함되는 부정하게 이용됨으로써 재산적 피해가 발생할 우려가 있는 기술 등을 삭제하는 것 포함).

     

    3-11 익명 가공 정보 취급 사업자등의 의무(법 제43조~제46조 관계)

    법 제43조제1항의 개인정보보호위원회 규칙에서 정하는 기준은 다음과 같다.

    1. 개인정보에 포함되는 특정의 개인을 식별할 수 있는 기술 등의 전부 또는 일부를 삭제하는 것(해당 전부 또는 일부의 기술 등을 복원할 수 있는 규칙성을 갖지 않는 방법에 의해 다른 기술 등으로 대체하는 것을 포함).
    2. 개인 정보에 포함되는 개인 식별 부호의 전부를 삭제하는 것(해당 개인 식별 부호를 복원할 수 있는 규칙성을 갖지 않는 방법에 의해 다른 기술 등으로 치환하는 것을 포함).
    3. 개인정보와 해당 개인정보에 조치를 취하여 얻은 정보를 연결하는 부호(현재 개인정보 취급사업자에서 취급하는 정보를 상호 연결하는 부호에 한함)를 삭제하는 것(해당 부호를 복원하는 것) 가능한 규칙성을 갖지 않는 방법에 의해 해당 개인정보와 해당 개인정보에 조치를 취하여 얻어지는 정보를 연결할 수 없는 부호로 치환하는 것을 포함한다.
    4. 특이한 기술 등을 삭제하는 것(해당 특이한 기술 등을 복원할 수 있는 규칙성을 갖지 않는 방법에 의해 다른 기술 등으로 치환하는 것을 포함).

     

    법 제43조제2항의 개인정보보호위원회 규칙에서 정하는 기준은 다음과 같다.

    1. 가공 방법 등 정보(익명 가공 정보의 작성에 이용한 개인 정보로부터 삭제한 기술 등 및 개인 식별 부호 및 법 제43조 제1항의 규정에 의해 행한 가공의 방법에 관한 정보 정보를 복원할 수 있는 것에 한정. 이하 이 조에 있어서 동일)를 취급하는 사람의 권한 및 책임을 명확하게 정하는 것.
    2. 가공 방법 등 정보의 취급에 관한 규정류를 정비해, 해당 규정류에 따라 가공 방법 등 정보를 적절히 취급함과 함께, 그 취급의 상황에 대해 평가를 실시해, 그 결과에 근거해 개선을 도모하기 위해서 필요한 조치를 강구한다 것.
    3. 가공방법 등 정보를 취급하는 정당한 권한을 갖지 않는 자에 의한 가공방법 등 정보의 취급을 방지하기 위하여 필요하고 적절한 조치를 취할 것.

     

    미국

    <CPRA>

    • 소비자 권리
    소비자 는 해커와 보안 침해로부터 가장 민감한 개인 정보를 보호하기 위해 합당한 예방 조치를 취하지 못한 기업에 책임을 물을 수 있어야     한다.

     

    개인 정보를 수집하는 기업의 일반적인 의무

    기업의 책임
    기업은 보안 침해로부터 소비자의 개인정보를 보호하기 위해 합리적인 예방 조치를 취해야     한다. 

    개인정보수집
    소비자의 개인 정보를 수집하는 기업은 1798.81절에 따라 무단 또는 불법 액세스, 파괴, 사용, 수정 또는 공개로부터 개인 정보를 보호하기 위해 개인 정보의 특성에 적합한 합당한 보안 절차 및 관행을     구현해야 한다.

    비식별화
    정보를 비식별화된 형식으로 유지 및 사용하고, 재식별하려고 시도하지 않을 것을 공개적으로 약속한다.

  • 기관별 암호화 가이드

    • 기관별 암호화 가이드

    지식정보사회 고도화에 따라 개인정보 등 각종 데이터 보호가 심각한 사회적 이슈로 부각되고 있으며, 보안 관련 규제 또한 점차 복잡해지고 구체화되는 추세입니다. 규제는 보안의 충분조건은 아니지만 필요조건이긴 하니, 모든 보안 관련 의사결정은 우선 규제부터 만족해야 합니다.특히 올바른 규제 준수는 기업 자산의 보고인 데이터베이스 보안에 있어서 해당 기업의 존폐가 걸려 있을 정도로 치명적입니다. 그러니 더더욱 보안의 기본 정석에 충실해야 합니다.

     

    예를 들어, 완벽한 데이터베이스 암호화를 위해서는

    1) 암호화 알고리즘 자체의 충분한 기밀성이 확보되고 검증되어야 하고,
    2) 암호화 키에 대한 안전한 관리 및 운영이 가능해야 하고,
    3) 데이터 조작 및 열람에 대한 접근 제어와 보안 감사가 철저하게 이루어져야 합니다.

    규제란 현장에서의 실제 필요를 따르게 마련이니, 규제 내용 또한 위 내용과 일치합니다.
    따라서 완벽한 보안을 이루기 위해서는 먼저 규제를 살펴볼 필요가 있습니다.

    강력한 보안성이 요구되는 조직, 특히 공공기관에서 암호화 제품을 도입하려면
    필히 국가사이버안전센터가 관리하는 보안적합성 검증을 받은 제품을 사용해야 합니다.

     

    데이터베이스 암호화 제품이 보안적합성 검증을 통과하려면 우선 검증필 암호 모듈을 탑재해야 합니다.
    AES, TDES, SEED, ARIA 등 기밀성이 입증된 암호화 알고리즘을 지원해야 하고, 특히 비밀번호 등 인증 데이터를 처리하는 SHA-256 등 일방향 해쉬 알고리즘 탑재는 필수 요건입니다. 비인가자가 암호문을 복호화할 수 없어야 하고, 인가된 사용자에게만 암호화 키 및 핵심보안 매개변수에 대한 접근을 허가하는 기능이 있어야 합니다. 데이터베이스 관리자라 하더라도 인가 받지 않으면 접근할 수 없어야 합니다. 중요 데이터에 대한 접근통제는 사용자 권한, 어플리케이션, 접속 시간, 기간, 요일 등 조건별로 제한할 수 있어야 하고, 접근통제 정책 또한 인가된 사용자만이 수정할 수 있어야 합니다. 그리고 원활한 감사를 위해 모든 데이터는 작업 내역, 결과, 주체, 테이블명, 컬럼명 등 쿼리 유형에 따라 검토 가능해야 합니다.

     


    일반 기업도 마찬가지로, 최근 보안 규제의 흐름을 보면 CEO를 비롯한 임원급 경영진의 직접 책임 등 전사적 차원의 보안 강화 요구가 점차 강화되고 있습니다.
    의무사항인 ISMS-P(개인정보보호 관리체계)의 ‘데이터베이스 접근’ 항목을 보더라도 테이블, 뷰, 컬럼 등 데이터베이스 오브젝트 레벨에서 중요정보의 암호화 및 보안 감사 등의 기능 명세가 포함된 인증 기준이 명시되어 있습니다. 또한 ‘암호 키 관리’ 항목의 경우에는 암호키의 생성, 이용, 보관, 배포, 파기에 대한 정책 및 절차 수립과 물리적 분리 보관, 접근 권한에 대한 기준이 존재하고 있습니다.

     

    제대로 된 암호화 제품의 비교와 선택, D.AMO

    데이터 보호를 위해 다양한 보안 솔루션을 모두 구축하는 것이 가장 이상적이지만, 현실적으로 모든 데이터 보안 솔루션을 구축하기에는 막대한 비용이 부담될 것이며, 구축한다 해도 유출 위험성은 항상 존재할 수밖에 없습니다.

    또한, 막대한 비용을 들여 구축하더라도 이를 운영하기 위한 수많은 리소스가 투입될 것입니다. 결국은 비용을 최소화하면서 가장 효과적인 보안을 최우선으로 적용해야 합니다. 가장 기초적이면서도 필수적인 보안, 그것이 바로 암호화입니다. 

    다음은 암호화 제품을 선택할 때 고려해야 할 사항들입니다.

     

    제품 규격’은 아키텍처 등 제품 명세입니다. 특히 아키텍처가 중요합니다. 플러그인 방식은 DB 서버에서 작동합니다. 키 기밀성을 충족하고, 애플리케이션 수정이 불필요하고 권한통제가 원할합니다. API 방식은 Application 서버에서 작동합니다. 성능이 우수하고 서버와 서버 사이 암호화 정보 통신이 장점입니다. 하이브리드 방식은 DB 서버와 WAS 서버 모두에서 작동하며 API와 플러그인 방식의 장점을 모두 포함합니다. 또한 암호화 하고자 하는 데이터의 형태에 따라서 암호화 방식과 암호화 연산이 이루어지는 위치가 달라지기도 합니다. 비정형 데이터 암호화 방식에는 주로 커널 암호화 방식이 사용됩니다. OS의 커널 레벨에서 파일 및 폴더의 암복호화를 수행하는 방식으로 로그, 이미지, 녹취, 문서파일, OCR 등의 데이터 암호화에 사용됩니다.

    최근에는 특정 환경 및 분야를 암호화하는 솔루션 형태에 국한되지 않고 어떠한 IT시스템 및 환경에도 적용할 수 있는 암호 플랫폼(Platform) 형태로 발전하였습니다. 특히, 암호화 핵심인 암호키를 관리하는 키 관리 시스템과 인프라에 구축된 수많은 데이터 암호화 제품을 제어 및 관리하는 중앙 관리 시스템 등을 결합하여 더욱 견고하고 편리한 환경에서 암호화를 운영할 수 있게 되었습니다. 암호 플랫폼은 끊임없이 다변화되는 환경 및 산업에 대응하기 위해 현재까지도 지속적으로 진화하고 있습니다.

    조달 정보 및 인증’은 정보 보호 제품이 국가가 세운 엄격한 기준에 맞춰 신뢰성과 안전성을 확보하였는지를 증명해야 할 때 중요하게 작용하는 요소입니다. 특히 CC, GS 인증과 국가정보원 보안성 심의와 암호 모듈 검증(KCMVP 인증)이 중요한 변수입니다.

    암호 알고리즘’은 암호화 시 데이터를 변환하는 수학적 규칙으로, 안전성과 구현 적합성이 검증된 알고리즘의 적용이 중요합니다. 양자 컴퓨팅의 시대가 도래한 지금에는 양자 컴퓨팅으로 해독할 수 없는 양자 내성 알고리즘에 대한 수요 역시 발생하고 있습니다.

    접근 제어, 감사 및 관리 시스템’ 항목도 중요합니다. 보안 및 내부 감사를 비롯해 시스템 유지보수 및 보안 관리 비용에도 직결 되는 요소로, 다양한 조건 별 접근 제어와 GUI 기반의 직관적인 관리 도구 등 보안관리자의 편의성을 위한 다양한 관리/운영 기능들 역시 매우 중요합니다.

    마지막으로, 암호화를 통한 보안에 있어 가장 중요한 것은 바로 ‘키 관리’입니다. 암호화 알고리즘은 보안이 아닙니다. 키 관리가 보안입니다. 키 관리를 얼마나 안전하게 그리고 효율적으로 처리하느냐가 암호화 제품 선택의 결정적 요소입니다.

     

    규제는 정보 보안의 가장 기본적인 최소조건일 뿐입니다. 기업에서 진정으로 고려해야 할 것은 규제에 따른 처벌과 불이익이 아닌, 정보 유출과 보안 침해 사고 그 자체입니다. 물론, 단순 규제 만족을 위해 일방향 암호화 및 데이터베이스 접근제어 솔루션 추가 등 부가적 장치를 추가하는 경우도 있지만 이는 진짜 문제를 회피하려는 미봉책에 불과합니다. 그런 조합 방법으로는 통합 솔루션을 이루지 못하기 때문에 전체 구조가 점차 복잡해지고 따라서 성능이 저하되고 요소들 사이에서 충돌이 발생하는 등 기술 근본적 문제를 피할 수 없습니다.

    보안은 업무를 보다 쉽고 간편하게 처리하기 위한 편의성 도구가 아닌, 기업의 잠재적 손실 위험을 최소 비용으로 최대한 효율적으로 통제하기 위한 위험관리 도구입니다. 펜타시큐리티의 D.AMO는 위의 요구사항들을 전부 충족하며, 데이터 암호화 전문기업으로서 데이터 보호에 필요한 암호화 제반 기술을 모두 제공하고 확실한 암호화, 완벽한 암호화를 통해 바로 그 실제 피해를 막고자 노력합니다.