정부가 개인정보 유출방지를 위한 대대적인 단속과 강화에 나섰습니다. 작년에 발생하였던 카드 3사 고객정보 유출사건을 시작으로 최근에도 리조트 회원정보 노출, 대형마트 개인정보 불법 판매 등으로 인한 개인정보 유출사고가 지속적으로 일어나면서 국민들의 불신과 불안감은 극에 달하고 있습니다.
이에 따라 정부에서는 부처 합동(행정자치부, 금융위원회, 방송통신위원회, 보건복지부, 교육부, 경찰청 등)으로 일제적으로 점검이 시작되기에 이에 따른 조치가 필요합니다. 각 산업 분야별로 분기별 계획으로 진행되기 때문에 개인정보관련 부서 및 담당자 분들은 숙지하시고 미리 준비하시면 도움이 될 것 입니다.
분야 |
1분기 |
2분기 |
3분기 |
4분기 |
교육/공공 |
- |
교육 (4월) |
비영리협/단체 (7월) |
산업/물류 (10월) |
복지/통신 |
- |
방송통신 (6월) |
중개/임대/생활 (8월) |
시설/문화 (11월) |
수탁사 |
공공/교육수탁 (3월) |
IT수탁사 일제 점검(5월) |
통신/산업수탁(9월) |
정보/문화수탁 (12월) |
<행정자치부 업종 분야별 개인정보 관리실태 점검 계획>
이번 개인정보 관리실태 점검기간 중에는 형사처벌 사항이 적발될 시에 경찰에 고발조치 될 예정이며, 5월 까지 수탁사를 중심으로 주요 사업장을 집중 점검하고, 개인정보 보호수준이 제고될 때까지 정기적 점검체계를 운영할 계획입니다. 정보는 개인정보 유출의 주요원인이 개인정보 처리시스템의 개발단계에서의 개인정보 기술조치 미흡, 즉 개인정보에 부합하지 않은 개발오류로 인해 발생한다고 보고 이러한 개발사에 대해서 전체적인 점검을 추진할 계획입니다.
특히, 기술적인 조치사항으로 행정안전부가 제정한 '개인정보 안전성 확보조치 기준'을 고시했으며, 최근 변화된 환경에 맞춰서 2014년에 다시 한번 개정되었습니다(제 2014-7호). 조치사항으로써는 내부관리계획 수립과 개인정보 보호 책임자의 지정 등의 보안 컴플라이언스 준수의 내용과 기술적인 조치 방안(접근통제 시스템 운영, 개인정보 암호화, DB암호화, 악성프로그램 예방 프로그램 이용 등) 내용을 담고 있습니다.
최근 개인정보 유출사고의 핵심인 민감한 개인정보(비밀번호, 신체정보, 주민등록번호, 금융거래 내역 등)의 개인정보가 암호화되지 않고 개인정보처리시스템에 저장되거나 전송될 경우에는 개인정보 유출 및 위조, 변조 등의 위험이 있으므로 반드시 안전한 보호조치를 위해서 DB암호화가 이루어져야 한다는 기술적인 내용이 명시되어 있습니다.
제22조(민감정보의 범위)
① 생명윤리 및 안전에 관한 법률 제2조제7호의 유전정보
② 형의 선고·면제 및 선고유예, 보호감호, 치료감호, 보호관찰, 선고 유예의 실효, 집행유예의 취소 등 범죄경력에 관한 정보
제23조(고유식별정보의 범위)
주민등록번호, 여권번호, 운전면허번호, 외국인등록번호,카드번호,생체정보
제33조(개인정보의 안전성 확보조치)
① 개인정보처리자는 법 제29조에 따라 개인정보의 안전성 확보를 위하여 다음 각 호의 관리적 조치를 하여야 한다.
● 관리적 보호조치
- 내부관리계획 수립/시행, 교육 계획 수립/실시, 정기적 자체 감사 실시
● 기술적 보호조치
- 접근권한 제안/관리, 접근권한 확인을 위한 식별/인증 조치
- 개인정보의 안전한 저장/전송을 위한 암호화 등 조치
- 접속기록의 보관 및 위/변조 방지 조치
- 보안프로그램의 설치 및 주기적 갱신/점검 조치
● 물리적 보호조치
- 출입통제, 잠금장치 등 조치
제42조(개인정보 유출 신고의 범위 및 기관), 제43조(개인정보 유출 통지의 방법 및 절차)
① 개인정보처리자는 개인정보 유출이 발생한 사실을 안 때에는 서면·전자우편·모사전송·전화·휴대전화 문자전송 또는 이와 유사한 방법을 통하여 지체 없이 법 제32조제1항 각 호의 사항을 정보주체에게 알려야 한다.
제38조(개인정보 영향평가의 실시대상)
● 공공기관 영향평가 의무 실시대상
① 5만명 이상의 개인정보파일을 신규 구축하는 경우
② 50만명 이상의 개인정보파일을 내외부와 연계/연동하는 경우
③ 개인정보파일에 연평균 100만명 이상 개인정보가 포함되는 경우
<개인정보 보호법 시행령 내용>
개인정보 안전성 확보조치 기준 고시를 참조하시면 DB암호화를 통해 안전성을 확보해야 한다는 내용이 포함되어 있습니다.
● 제7조 (개인정보의 암호화) 3항 - 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
● 제7조 4항 - 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
● 제7조 5항 - 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
● 제7조 6항 - 개인정보처리자는 제1항에 따른 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.
<개인정보 안전성 확보조치 기준 고시(안)>
개인정보보호법을 준수하는 기술적인 보호조치를 위해서는 DB암호화의 핵심 기술을 포함하는 DB보안솔루션을 도입해야합니다. 대표적인 DB보안 솔루션으로는 HSM(하드웨어 암호화 모듈)이 있습니다. HSM은 암호화 키를 생성하고 저장하는 역할을 담당하는 암호화 전용 장비로 인증/서명/암호화 등 다양한 분야에서 암호화 key가 활용되면서 key에 대한 생성, 교환, 백업, 보관등을 수행하며 하드웨어 기반의 암호연산으로 서버 부하를 경감시키고, 서버의 가용성을 증가시킵니다.
특히, 관리자에 권한의 엄격한 분리와 이중 통제, 변조 방지 기술이 도입되어 암호화 키를 안전하게 보관할 수 있습니다. 아이마켓코리아에서 공급하는 Thales HSM은 FIPS Level 3 및 CC EAL 4+ 인증을 받은 제품이며, 오라클 TDE와 마이크로소프트 MS SQL을 지원합니다. HSM 도입을 통해 최근 문제가 되고 있는 내부자에 의한 개인정보 DB 탈취의 취약점을 DB암호화와 접근제어를 통해 해결할 수 있습니다. 자세한 정보는 아래의 제품소개 링크를 참조하시기 바랍니다.
- Thales nShield Connect : 일반적인 어플케이션과 연동이 가능한 강력한 DB암호화 키/보호/생성/관리 전용 장비 (접속형)
- Thales nShield Solo : 일반적인 어플케이션과 연동이 가능한 강력한 DB암호화 키/보호/생성/관리 전용 장비 (내장형)
Thales HSM 제품 관련 문의는 아래의 아이마켓코리아 보안장비 담당자에게 연락 주시면 친절하게 상담해드립니다.
(견적 및 도입문의 등)
'nCipher HSM (Thales-HSM )' 카테고리의 다른 글
지불결제보안표준 PCI DSS v3.0을 준수하는 방법, 탈레스 HSM (0) | 2015.07.02 |
---|---|
개인정보보호, DB암호화 솔루션 - Thales HSM (0) | 2015.06.25 |
FIPS 140-2 인증 HSM, DB 암호화 모듈 <Thales nCipher HSM> (0) | 2015.05.13 |
안전한 DB암호화 키 관리 핵심포인트 4가지 (0) | 2015.04.27 |
핀테크 보안 전략, PCI DSS 3.0 인증 - 지불결제정보보안 표준 (0) | 2015.04.21 |
기업 지적재산(IP) 보호 및 사기 방지를 위한 보안 솔루션, HSM (0) | 2015.04.03 |
[DB보안] 고객정보 유출 카드사, 영업정지 기간 및 과징금 대폭 증가 (6개월, 1억원) (0) | 2015.03.27 |
네트워크 암호화 어플라이언스 - DataCryptor Link and Layer 2 Encryption (0) | 2015.03.13 |
금융부분 DB암호화 기술 가이드 (금융보안연구원) (0) | 2015.03.03 |
모바일 결제 보안 솔루션 Payshield 9000 HSM (Mobile Payment) (0) | 2015.02.23 |