본문 바로가기

보메트릭 암호화 솔루션

2017 개인정보 암호화 조치 안내서 (개정판) - DB 암호화 / 개인정보보호법





 

개인정보보호법 암호화 관련 근거

  • 개인정보 보호법 제 24조 (고유식별정보의 처리 제한) 및 동법 시행령 제 21조 (고유식별정보의 안전성 확보 조치)

  • 개인정보 보호법 제 24조의 2(주민등록번호 처리의 제한) 및 동법 시행령 제21조의 2(주민등록번호 암호화 적용 대상 등)

  • 개인정보 보호법 제 29조 (안전조치의무) 및 동법 시행령 제 30조 (개인정보의 안전성 확보 조치)

  • 개인정보의 안전성 확보조치 기준 (행정자치부 고시 제2016-35호)


개인정보보호법 암호화 적용 대상

  • 개인정보보호법에 따라 암호화하여야 하는 개인정보인 고유식별정보 (주민등록번호, 여권번호, 운전면허번호, 외국인등록번호), 비밀번호, 바이오정보를 저장/전송하는 개인정보처리자를 대상으로 한다.






개인정보 보호법

→ 제 23조 (민감정보의 처리 제한)

② 개인정보처리자가 제 1항 각호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.


 제 24조 (고유식별정보의 처리 제한)

③ 개인정보처리자가 제 1항 각호에 따라 고유식별정보를 처리하는 경우에는 그 고유 식별정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.


 제 24조의 2 (주민등록번호 처리의 제한)

② 개인정보처리자는 제24조 제3항에도 불구하고 주민등록번호가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.


 제 29조 (안전조치의무) 

개인정보처리자는 개인정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적, 관리적 및 물리적 조치를 하여야 한다.




개인정보 보호법 시행령

→ 제 21조 (고유식별정보의 안전성 확보 조치)

법 제24조제3항에 따른 고유식별정보의 안전성 확보 조치에 관하여는 제30조를 준용한다. 이 경우 "법 제29조는 "법 제24조제3항"으로, "개인정보"는 "고유식별정보"로 본다


→ 제21조의2(주민등록번호 암호화 적용 대상 등)

① 법 제24조의2제2항에 따라 암호화 조치를 하여야 하는 암호화 적용 대상은 주민등록번호를 전자적인 방법으로 보관하는 개인정보처리자로 한다.


② 제 1항의 개인정보처리자에 대한 암호화 적용 시기는 다음 각 호화 같다.

1. 100만명 미만의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자 : 2017년 1월 1일

2. 1000만명 이상의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자 : 2018년 1월 1일


③ 행정자치부장관은 기술적/경제적 타당성 등을 고려하여 제1항에 따른 암호화 조치의 세부적인 사항을 정하여 고시할 수 있다.


→ 제30조(개인정보의 안전성 확조 조치)

① 개인정보처리자는 법 제29조에 따라 다음 각호의 안전성 확보 조치를 하여야한다.

3. 개인정보를 안전하게 저장/전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치


③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 행정자치부장관이 정하여 고시한다.



개인정보의 안전성 확보조치 기준 (행정자치부 고시)

개인정보의 안전성 확보조치 기준(행정자치부 고시)에서는 고유식별정보, 비밀번호 및 바이오정보 등 암호화의 적용여부 및 적용범위 등을 규정하고 있다. 이 기준에서는 정보통신망을 통해 송신하거나 저장하는 경우 암호화 등의 안전성 확보 조치에 대한 세부 기준을 제시하고 있다.

  • "고유식별정보"는 개인을 고유하게 구별하기 위하여 부여된 식별정보를 말하며 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호가 여기에 해당한다.

  • "비밀번호"란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.

  • "바이오정보"란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.



개인정보를 처리하고 관리하는 개인정보처리시스템은 DB에 저장된 개인정보를 암호화하여 저장함으로써 개인정보, 유출, 위변조, 훼손 등을 방지해야 합니다. 


개인정보처리시스템 암호화 방식마다 성능에 미치는 영향이 다르므로 구축 환경에 따라 암호화 방식의 특성, 장단점 및 제약사항 등을 고려하여 DB암호화 방식을 선택해야 합니다. 아래 표를 개인정보처리시스템 암호화 방식 선택시 고려해야 할 사항입니다.


분류 

고려사항 

일반적 고려 사항

구현 용이성, 구축 비용, 기술지원 및 유지보수 여부 

암호화 성능 및 안전성 

공공기관의 경우, 국가정보원 인증 도는 검증 여부 

기술적 고려 사항

암/복호화 위치(어플리케이션 서버, DB 서버, 파일 서버 등) 

색인검색 기능 유무, 배차처리 가능 여부 



성능이 매우 중요한 요소가 되는 환경에서 DB서버 암호화 방식을 고려하는 경우에는 반드시 벤치마킹 테스트 등을 수행하여 최적의 솔루션을 선택하는 것이 바람직합니다.


공공기관에서는 국가정보원이 안전성을 확인한 암호모듈 또는 제품을 적용해야 합니다.


현재 운영 중이거나 향후 개발 예정인 개인정보처리시스템의 목적 및 환경에 맞게 쉽게 구현이 가능한 암호화 방식을 선택해야 합니다. 응용프로그램 및 DB 스키마 수정 등을 최소화하고 개발 환경에 맞게 성능을 최대화 할 수 있도록 해야 합니다.


DB 암호화의 안전성을 확보하기 위해서는 안전한 암호키의 관리가 필요합니다. 암호화된 개인정보가 유출되더라도 복호화 할 수 없도록 암호키에 대한 추가적인 보안과 제한된 관리자만 허용하도록 하는 기술을 적용해야 합니다.


위에 소개해드린 개인정보 암호화 조치 안내서의 내용과 같이, 개인정보보호법을 준수하기 위해서는 만족해야 하는 요건들이 많습니다. 암호화 솔루션의 경우에는 한번 도입하게 되면 바꾸기가 쉽지 않습니다. 요건을 하나하나 꼼꼼하게 따져서 첫 도입시에 가장 적합하고 우수한 솔루션을 도입해야 합니다.


최근에는 생체정보, 로그정보, 음성정보 등 개인정보는 다양한 형태로 저장되고 있습니다. 기존과 같이 데이터베이스 안에 저장되는 형태가 아닌, 별도의 파일로 존재하는 경우도 많습니다. 


이런 형태의 데이터를 비정형데이터라고 합니다. 비정형데이터는 더 많은 데이터용량을 차지하기 때문에 암호화 시에는 더 많은 리소스를 소모하게 됩니다. 고성능 암호화 솔루션은 이러한 리소스 소모를 절감시켜줍니다. 



[탈레스 보메트릭 암호화 솔루션은 암호화 후에도 성능의 하락폭이 적습니다.]



아이마켓코리아에서 유통하는 탈레스 보메트릭 암호화 솔루션은 위의 조건을 만족하면서 비정형데이터까지 적은 리소스로 안전하게 암호화하기 때문에 기업/기관 암호화 환경 구축시에 우수한 성능을 자랑하고 있습니다. 자세한 내용은 아래의 링크를 참조해주시기 바랍니다.



보메트릭 암호화 솔루션 소개 

http://itblog.imarketkorea.com/229

http://itblog.imarketkorea.com/228

http://itblog.imarketkorea.com/238

http://itblog.imarketkorea.com/230


보메트릭 암호화 솔루션 및 기타 보안 솔루션 제품 견적 문의는 아래 IT 솔루션 영업팀 담당자에게 연락 주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090