본문 바로가기

nCipher HSM (Thales-HSM )

개인정보보호법 개정안 (2016년도) 자세히 알아보기


개인정보보호법 개정안 자세히 알아보기

개인정보보호법은 올해 1번이 이미 개정되었고 이후에도 여러번 개정이 됩니다. 그 중에서 DB보안 부분만 추려서 자세히 알아보도록 하겠습니다.




민감정보의 안전성 확보조치 의무화 (2016.09.30, 시행)

『개인정보 보호법』제23조(민감정보의 처리 제한)

② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.


기존에는 민감정보는 바이오(생체)정보만 암호화 하는 것으로 되어 있었지만 2016년도 9월에는 민감한 정보는 예외 없이 모두 암호화 해야합니다.


2016년 7월 개정으로 인해서 먼저 징벌적 손해배상제도가 도입됩니다. 자세한 내용은 아래를 참고해주시기 바랍니다.



법정 징벌적 손해배상제도 도입 (2016.07.25, 시행)

『개인정보 보호법』제39조(손해배상책임)

③ 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.

④ 법원은 제3항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다. 

5. 위반행위의 기간·횟수 등

6. 개인정보처리자의 재산상태

7. 개인정보처리자가 정보주체의 개인정보 분실·도난·유출 후 해당 개인정보를 회수하기 위하여 노력한 정도

8. 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도


『개인정보 보호법』제39조의2(법정손해배상의 청구) 

① 제 39조제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

② 법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다.

③ 제39조에 따라 손해배상을 청구한 정보주체는 사실심 (事實審)의 변론이 종결되기 전까지 그 청구를 제1항에 따른 청구로 변경할 수 있다.



2016년도 1월에는 주민등록번호에 대한 보호와 이에 대한 사고시에 징벌에 관련된 내용이 포함됩니다.



주민등록번호 암호화 의무 적용 (2016.01.01, 시행)

1. 개인정보보호법 제24조의2(주민등록번호 처리의 제한)
② 개인정보처리자는 제24조 제3항에도 불구하고 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.

『개인정보 보호법 시행령』제21조의2(주민등록번호 암호화 적용 대상 등)
② 제1항의 개인정보처리자에 대한 암호화 적용 시기는 다음 각 호와 같다.
1. 100만명 미만의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2017년 1월 1일
2. 100만명 이상의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2018년 1월 1일


특히 주민등록번호에 대한 암호화 조치는 가장 중요한 사항입니다. 앞으로는 주민등록번호의 수집은 금지되고 이미 수집한 주민등록번호는 안전한 암호화 등의 기술적인 조치가 필요합니다. 


기술적인 암호화 조치를 위해서는 첫번째로 안전한 정형, 비정형데이터 암호화 솔루션을 통해서 데이터베이스와 이미지파일 영상 파일등에 기록되어 있는 주민등록번호 및 바이오정보, 개인민감정보를 완전히 암호화 하는 것과 해킹공격에도 대비해야 합니다. 


특히, 암호화의 경우에는 강력한 알고리즘을 사용하고 있지만 암호 키가 유출되면 전부 복호화 할 수 있기 때문에 접근제어는 물론이고 데이터베이스 서버와 물리적으로 완전하게 다른 곳에 암호키를 안전하게 보관할 수 있어야 합니다.


먼저, 정형데이터와 비정형데이터는 금감원이 권고하는 컬럼단위 암호화를 수행하면서 성능저하가 없는 보메트릭 트랜스 페어런트 인크립션 제품이 있습니다. 특히 암호화 후에도 오버로드가 2~3% 내외 밖에 되지 않아 실질적으로 암호화 후에도 성능저하가 전혀 체감 되지 않는 고성능 비정형데이터 암호화 솔루션입니다.



※ Vormetric 암호화 솔루션 소개 : http://itblog.imarketkorea.com/230


그리고 강력한 암호화 알고리즘의 암호 키를 안전하게 보호해주는 장비로는 Thales e-Security의 nShield HSM이 있습니다. 접속형과 내장형이 존재하며, 내장형 장비의 경우에는 PCIe 슬롯에 장착이 가능하기 때문에 접속형 대비 처리속도가 고성능이고 공간도 적게 차지하기 때문에 공간활용도도 매우 효율적인 장비입니다.



Thales HSM은 모든 벤더사의 서버를 지원하고 있으며 아이마켓코리아에서는 강력한 소싱능력을 바탕으로 서버에 Thales HSM 제품을 내장한 제품을 패키지 특가로 판매하고 있습니다.




또한, DB 암호키 보관 전용으로 HSM 장비를 1개월 무료 대여하는 행사를 진행하고 있습니다. 자세한 정보는 하단의 링크를 참조해주시기 바랍니다.


※ Thales nShield HSM (PCIe Type) 1개월 무료 프로모션 안내 : http://itblog.imarketkorea.com/220



보메트릭 트랜스페어런트 인크립션 제품과 Thales nShield F3 HSM 모두 FIPS 140-2 인증을 받은 제품으로 안정성이 뛰어난 제품입니다. 두 장비 간의 호환성 또한 우수합니다.


암호화 제품에 대한 자세한 문의는 하단 아이마켓코리아 IT 사업부 담당자에게 문의 하시면 견적과 제품에 대한 자세한 내용을 안내 해 드립니다.


(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



개인정보보호법 개정안, 개인정보보호법 시행령, 개인정보보호법 내용, 개인정보보호법 알아보기, 개인정보보호법, 정보통신망법 개정 내용, 보안 컴플라이언스, FIPS 140-2, 보메트릭, Thales HSM, nShield HSM, 탈레스, DB암호화, 비정형데이터, 정형데이터 암호화,. HSM 장비, 1개월 무료 대여행사, CC EAL 4+, 기업 서버, 기업 보안, 아이마켓코리아, 암호화 장비