암호화와 법률준수 가이드
암호화와 법률준수
정부가 기업의 보안 규정에 직접 관여하는 방식이 국내 기업의 보안 역량을 취약하게 한다는 비판은 타당합니다. 그리고 보안 관련 규제가 마치 충분조건처럼 인식되어 기업의 능동적인 보안기술 개발 노력을 제한하고 기술의 경쟁력 저하를 일으키고 있다는 주장도 억측만은 아닙니다. 하지만 정보보안의 중차대함을 제대로 인식하지 못하고 안일하게 대처하던 사회 풍토에 법적 규제가 경종을 울렸다는 건 틀림없는 사실입니다. 심각한 개인정보 유출사고 이후 기업이 원하든 원하지 않든 시큐리티 컴플라이언스 시대로 접어든 지금, 보안 관련 규제 내용을 알아보겠습니다. 중요한 점은, 아래 규제 내용은 보안의 충분조건이 아닙니다.
법적 규제는 보안의 가장 기본적인 최소조건일 뿐입니다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률
소위 ‘정보통신망법’은 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 사용자의 개인정보를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민생활의 향상과 공공복리의 증진에 이바지함을 목적으로 하는 법률입니다.
정보통신망법 제28조, 기업은 개인정보의 보호 조치를 의무로 규정하고 있습니다.
정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실•도난•누출•변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적•관리적 조치를 하여야 한다.
1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립•시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치•운영
3. 접속기록의 위조•변조 방지를 위한 조치
4. 개인정보를 안전하게 저장•전송할 수 있는 암호화기술 등을 이용한 보안조치
5. 백신 소프트웨어의 설치•운영 등 컴퓨터바이러스에 의한 침해 방지조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
개인정보보호법
‘개인정보보호법’은 개인정보의 수집•유출•오용•남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정하는 법률입니다.
기존 정보통신망법이 정보보호 조항을 담고 있지만 조항의 범위가 적고 구체성 부족으로 실질적인 개인정보 보호조치로서 미흡하다고 판단하여 신설된 법률입니다.
개인정보 보호법은 개인정보 보호에 대해 민간/공공을 포함하여 광범위한 조항을 포함하고 있습니다. 공공기관, 법인, 단체 및 개인을 포함한 모든 개인정보처리자가 적용 대상입니다. 개인정보에 대한 안전성을 확보하기 위한 조치 의무를 규정하고 특히 개인정보의 암호화에 대해 선택이 아닌 필수로 규정하고 있습니다.
개인정보 보호법 2013년 개정안
기존 개인정보보호법 규제에도 불구하고 속출하는 유출사고에 본격적으로 대응한다는 취지로 2013년 8월 6일자로 일부 안이 강화, 개정되었습니다. 이 개정안은 2014년 8월 7일부터 시행됩니다. 주요 개정 내용은 아래와 같습니다.
제24조의 2항: 주민등록번호의 처리 제한
기존) 1.정보주체의 동의가 있는 경우, 2.법령에 근거가 있는 경우 주민번호 수집/이용이 가능
개정) 1.법령에 구체적인 근거가 있는 경우, 2.급박한 생명, 신체, 재산상 이익을 위해 명백히 필요한 경우, 3.안행부령으로 정하는 경우 주민번호 수집/이용이 가능하나, 정보주체의 동의가 있는 경우 삭제
= 개인정보의 주체가 동의하더라도 원칙적으로 주민번호의 수집 및 이용이 불가
제34조의 2항: 과징금의 부과 등
기존) 주민번호 분실/도난/유출/변조/훼손 시 과태료 및 형사처벌
개정) 주민번호 분실/도난/유출/변조/훼손 시 5억원 이하의 과징금을 부과, 징수할 수 있다. 다만, 안전성 확보에 필요한 조치를 모두 준수한 경우에는 그러하지 아니하다.
= 주민번호 분실 시 기존에는 고의 여부, 과실 여부에 따라 처벌이 경감되었으나 개정안에서는 ‘안정성 확보 조치기준’에 따른 조치를 모두 준수한 경우에만 면책 받을 수 있다.
제65조의 2항: 고발 및 징계 권고
기존) 안행부 장관은 개인정보 보호 관련 법규 위반행위가 있을 시 책임 있는 자의 징계를 권고할 수 있다.
개정) 안행부 장관은 개인정보 보호 관련 법규 위반행위가 있을 시 책임 있는 자(대표자 및 책임 있는 임원)의 징계를 권고할 수 있다.
= 징계 권고 대상을 명시하여 보안 담당자뿐 아니라 대표이사 혹은 CISO/CIO/CTO 등 임원이 처벌 받을 수 있다.
기존안에 따르면 개인정보 유출사고가 발생한 회사의 대표이사가 입건되는 경우에도 형사처벌을 면할 수 있었지만, 개정안에 따르면 암호화 등 안전성 확보를 위한 조치 기준을 위반한 경우 대표 또는 임원의 형사처벌을 면하기 어렵습니다.
기존안에 따르면 상대적으로 허술한 기준의 조치를 따르면 형사처벌을 면하는 동시에 2차적 손해배상 액수를 최소화하는 등 고의성과 과실여부 등 정황에 따라 처벌을 경함할 수 있었지만, 개정안에 따르면 보다 엄격하게 정의된 ‘안전성 확보조치 기준’을 모두 준수한 경우에만 면책 또는 경감이 일어납니다.
개인정보 보호법 2014년 개정안
위와 같은 개인정보보호법 규제 강화에 이어, 근본적인 데이터 보안을 위해 2014년 3월 24일 주민번호 암호화 조치 의무에 대한 내용이 포함되어 개정되었습니다. 이 개정안은 2016년 1월 1일부터 시행됩니다.
제24조의 2항: 주민등록번호의 처리 제한
기존) 제24조의2제2항 및 제3항을 각각 제3항 및 제4항으로 하고, 같은 조에 제2항을 다음과 같이 신설
개정) 개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.
= 주민등록번호에 대한 암호화 조치 의무화
해당 개정안에 따라 금융 업무와 관련된 기관 및 기업들은 2016년 1월 1일까지 모든 개인정보의 암호화를 마쳐야합니다. 이전에는 영향평가 혹은 위험도분석 결과에 따라 내부망 주민등록번호 암호화를 해야 하지만, 해당 개정안에 따라 주민등록번호는 영향평가 혹은 위험도분석 결과와 상관없이 내부망에 저장될 시에도 암호화를 적용해야 합니다.
정보통신망법 및 개인정보보호법 상 개인정보의 정의
정보통신망법 및 개인정보보호법 상 개인정보의 정의는 아래와 같으며 이를 의무 보호대상으로 규정하고 있습니다.
정보통신망법
‘개인정보’란 생존하는 개인에 관한 정보로서 성명•주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호•문자•음성•음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.
개인정보보호법
‘개인정보’란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
“해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것”으로는 이름, 주민등록번호 외 주소, 전화번호, 컴퓨터 IP 주소, 이메일 주소 등 해당 정보만으로는 특정인을 알아볼 수 없더라도 여타 정보와 결합하면 쉽게 추론할 수 있는 모든 정보를 포함합니다.
정보통신망법에 따른 암호화 준수방안
정보통신망법 제28조(개인정보의 보호조치)에는 아래와 같이 개인정보 보호를 위한 기술적, 관리적 조치 기준을 명시하고 있습니다.
개인정보보호법에 따른 암호화 준수방안
개인정보보호법에서는 아래와 같이 ‘개인정보에 대한 안전성을 확보 조치 의무’를 규정하고 있습니다.
제대로 된 암호화 제품의 비교와 선택, D.AMO
암호화 제품을 선택할 때 고려해야 할 사항들입니다.
‘제품규격’은 아키텍처 등 제품 명세입니다. 특히 아키텍처가 중요합니다. 플러그인 방식은 DB 서버에서 작동합니다. 키 기밀성을 충족하고, 애플리케이션 수정이 불필요하고 권한통제가 원할합니다. API 방식은 WAS 서버에서 작동합니다. 성능이 우수하고 서버와 서버 사이 암호화 정보 통신이 장점입니다. 하이브리드 방식은 DB 서버와 WAS 서버 모두에서 작동하며 API와 플러그인 방식의 장점을 모두 포함합니다.
‘보안 인증’은 적절한 정보보호 조치를 취했는지 여부를 증명해야 할 때 중요하게 작용하는 요소입니다. 특히 국가정보원 보안성 심의와 암호 모듈 검증이 중요한 변수입니다.
‘응용 프로그램의 수정 여부’는 보안 시설 투자 비용에 막대한 영향을 미칩니다. 최소화의 수정을 통해 가장 단기간 내에 실무에 투입할 수 있는지가 결정적 요소입니다.
‘지원 DBMS’는 암호화 제품이 안정적으로 지원하는 DBMS의 종류입니다. 어떠한 환경에도 대응할 수 있는 제품이 우수한 제품입니다.
‘튜닝’은 암호화 제품의 맞춤형 설치와 설치 후 유지보수와 관계된 항목으로서 암호화된 DB의 원활한 사용성과 성능에 지대한 영향을 미칩니다. 해당 비즈니스 성격을 충분히 고려하여 시스템을 설계하고 최적화했는지를 알 수 있는 변수입니다.
기타 ‘감사’ ‘관리’ 항목도 중요합니다. 시스템 유지보수 및 보안 관리 비용과 직결됩니다.
암호화를 통한 보안에 있어 가장 중요한 것은 바로 ‘키 관리’입니다. 암호화 알고리즘은 보안이 아닙니다. 키 관리가 보안입니다. 키 관리를 얼마나 안전하게 그리고 효율적으로 처리하느냐가 암호화 제품 선택의 결정적 요소입니다.
거듭 강조하는 바, 규제는 보안의 가장 기본적인 최소조건일 뿐입니다. 그리고 규제는 완벽하지 않습니다.
“이 솔루션을 구입하기만 하면 법적 규제를 걱정하실 필요가 없습니다.”
라고 말하는 자들을 경계하십시오.
정말 걱정해야 할 것은 규제에 따른 처벌이 아니라 정보유출 등 보안침해 사고 자체입니다. 정부에서 하라고 하니까 대충 규정만 피하겠다는 생각은 장기적으로 매우 심각한 피해로 이어질 위험이 큽니다. 확실한 암호화, 완벽한 암호화를 위해 존재하는 암호화 전문기업은 바로 그 실제 피해를 막기 위해 노력합니다.
펜타시큐리티는 데이터 암호화 전문기업으로서 데이터 보호에 필요한 암호화 제반 기술을 모두 제공합니다.
기관별 암호화 가이드
지식정보사회 고도화에 따라 개인정보 등 각종 데이터 보호가 심각한 사회적 이슈로 부각되고 있습니다.
보안 관련 규제 또한 점차 복잡해지고 구체화되는 추세입니다.
일각에서는 기업의 보안관념이 법이 강제하는 수준에 한정됨으로써, 보안정책이란 침해사고 발생 시 빠져나가기 위한 면책조건의 나열일 뿐이라는 잘못된 인식이 만연한 풍토를 가리켜 지나친 규제의 부작용이라고 지적하기도 하지만, 어쨌든 규제는 필연입니다.
규제는 보안의 충분조건은 아니지만 필요조건이긴 하니, 모든 보안 관련 의사결정은 우선 규제부터 만족해야 합니다.
규제 본격화 시절을 틈타 잘못된 정보를 제공함으로써 시장을 어지럽히는 일이 흔히 벌어집니다. 잘못된 정보는 매우 위험합니다. 특히 기업 자산의 보고인 데이터베이스 보안에 있어서는 해당 기업의 존폐가 걸려 있을 정도로 치명적입니다.
그러니 더더욱 보안의 기본 정석에 충실해야 합니다.
예컨대, 완벽한 데이터베이스 암호화를 위해서는
1) 암호화 알고리즘 자체의 충분한 기밀성이 확보되고 검증되어야 하고,
2) 암호화 키에 대한 안전한 관리 및 운영이 가능해야 하고,
3) 데이터 조작 및 열람에 대한 접근 제어와 보안 감사가 철저하게 이루어져야 합니다.
규제란 현장에서의 실제 필요를 따르게 마련이니, 규제 내용 또한 위 내용과 일치합니다.
따라서 완벽한 보안을 이루기 위해서는 먼저 규제를 살펴볼 필요가 있습니다.
강력한 보안성이 요구되는 조직, 특히 공공기관에서 암호화 제품을 도입하려면
필히 국가사이버안전센터가 관리하는 보안적합성 검증을 받은 제품을 사용해야 합니다.
데이터베이스 암호화 제품이 보안적합성 검증을 통과하려면 우선 검증필 암호 모듈을 탑재해야 합니다. AES, TDES, SEED, ARIA 등 기밀성이 입증된 암호화 알고리즘을 지원해야 하고, 특히 비밀번호 등 인증 데이터를 처리하는 SHA-256 등 일방향 해쉬 알고리즘 탑재는 필수 요건입니다. 비인가자가 암호문을 복호화할 수 없어야 하고, 인가된 사용자에게만 암호화 키 및 핵심보안 매개변수에 대한 접근을 허가하는 기능이 있어야 합니다. 데이터베이스 관리자라 하더라도 인가 받지 않으면 접근할 수 없어야 합니다. 중요 데이터에 대한 접근통제는 사용자 권한, 어플리케이션, 접속 시간, 기간, 요일 등 조건별로 제한할 수 있어야 하고, 접근통제 정책 또한 인가된 사용자만이 수정할 수 있어야 합니다. 그리고 원활한 감사를 위해 모든 데이터는 작업 내역, 결과, 주체, 테이블명, 컬럼명 등 쿼리 유형에 따라 검토 가능해야 합니다.
위 조건들을 모두 충족해야 보안적합성 인증을 취득할 수 있습니다.
시중에 나와 있는 데이터베이스 암호화 제품들이 모두 다 위 조건을 완벽하게 만족하는 것은 아닙니다.
예를 들어, 파일 암호화 기반 제품들은 위 조건을 만족하지 못하기 때문에 공공기관뿐 아니라 금융기관 등 철저한 보안성이 필요한 조직에서는 감사 시 문제가 될 소지가 다분합니다.
일반 기업도 마찬가지, 최근 보안 규제의 흐름을 보면 CEO를 비롯한 임원급 경영진의 직접 책임 등 전사적 차원의 보안 강화 요구가 점차 강화되고 있습니다. 의무사항인 ISMS(정보보호관리체계)와 현재는 권고사항이지만 곧 의무사항으로 정착하리라 예상되는 PIMS(개인정보보호관리체계)의 ‘데이터베이스 접근’ 항목을 보더라도 테이블, 뷰, 컬럼 등 데이터베이스 오브젝트 레벨에서 중요정보의 암호화 및 보안 감사 등의 기능 명세가 포함된 인증 기준이 명시되어 있습니다.
단지 규제를 만족하기 위해 일방향 암호화 및 데이터베이스 접근제어 솔루션 추가 등 부가적 장치를 추가함으로써 요식적으로 모자란 부분을 채우기도 하지만, 이는 진짜 문제를 회피하려는 미봉책에 불과합니다. 그런 조합 방법으로는 통합 솔루션을 이루지 못하기 때문에 전체 구조가 점차 복잡해지고 따라서 성능이 저하되고 요소들 사이에서 충돌이 발생하는 등 기술 근본적 문제를 피할 수 없습니다.
지금껏 정보통신 분야 거의 모든 문제의 원인은 늘 기술 통합의 실패와 그에 따른 부작용이었다는 사실을 되새겨 볼 필요가 있습니다.
도입 과정의 간편함을 강조해 홍보하기도 하지만, 이 또한 무책임한 태도로 보입니다.
보안은 업무를 보다 쉽고 간편하게 처리하기 위한 편의성 도구가 아닙니다.
보안은 기업의 잠재적 손실 위험을 최소 비용으로 최대한 효율적으로 통제하기 위한 위험관리 도구입니다.
그러한 보안의 취지를 가볍게 여기는 태도는
현재 자산과 미래 부의 보호라는 보안의 궁극적 목적을 사실상 포기하는 일입니다.
흔히 말하는 소 잃고 외양간 고치기도 아니고, 애초에 제대로 된 외양간이 아닙니다.