2017년 개인정보의 암호화조치 안내서 개정안 발표

[보안뉴스 원병철 기자] 개인정보 처리자가 개인정보를 안전하게 저장하고 전송하는 데 필요한 암호화와 관련된 안내서인 ‘개인정보의 암호화 조치 안내서’ 개정안이 최근 발표됐다. 이번 개정안은 2012년 10월에 발표한 안내서 이후 처음 개정돼 더욱 주목을 끌고 있다. 이에 본지는 예전 2012년 발표한 안내서와 최근 개정판을 비교해서 바뀌거나 추가된 내용을 살펴봤다.  

개인정보의 암호화 조치 안내서는 ‘개인정보보호법’에 따라 개인정보 처리자가 개인정보의 안전성 확보를 위해 이행해야 할 기술적 보호조치 중 ‘암호화’에 대한 안내서다. 개인정보처리자가 주민등록번호의 저장·전송시 필요한 암호화 수행방식과 사례 등을 소개하고 있다. 이번 안내서 개정 작업은 행정자치부와 함께 한국인터넷진흥원(KISA)에서 주도적으로 진행했다.  

이번 개정안은 개인정보처리자가 고유식별정보, 비밀번호, 바이오정보 등 암호화 대상 개인정보의 저장·전송 시 적용할 수 있는 암호 알고리즘, 수행방식, 사례 등을 제시하고 있으며, 제시된 암호 알고리즘 등은 2016년 9월 기준으로 작성된 것으로 알려졌다.  

단, 암호 알고리즘 등의 안전성은 시간이 경과하면서 변할 수 있으므로 권고하는 암호 알고리즘 등에 대해서는 국내·외 암호 관련 연구기관에서 제시하는 최신 정보를 확인할 것을 권고하고 있다. 또한, 안내서에서 제시하는 암호화 적용 사례는 개인정보 처리자별 개인정보 처리 시스템의 구성 및 운영 환경 등에 따라 적용방식이 달라질 수 있다고 덧붙였다. 

이번 개정안은 암호화의 종류와 근거 법률, 그리고 암호화 구현과 키 관리, 마지막으로 암호화 추진 절차와 사례에 대해 다루고 있으며, 추가로 암호화와 관련된 F&Q와 참고자료로 구성됐다. 전반적으로 개정안은 초기 안내서를 기본으로 내용이 추가되거나 바뀌었다. 

우선, ‘개인정보의 안전성 확보조치 기준’에 따라 개인정보를 ‘안전한 암호 알고리즘’으로 암호화하도록 되어 있는데, 개정안에서는 이를 공공기관과 민간부문(법인, 단체, 개인)으로 나뉘어 설명하고 있다. 

또한, 암호화 근거 법률을 보면, 개정안에서는 개인정보보호법 중 제23조(민감정보의 처리 제한)와 제24조의2(주민등록번호 처리의 제한)가 추가됐다. 이와 함께 개인정보 보호법 시행령 제21조와 제21의2도 추가됐다. 

암호화 구현 및 키 관리에서는 ‘업무용 컴퓨터·보조저장매체 암호화 방식’이 추가됐다. 업무용 컴퓨터에서 하드디스크, 이동식 디스크 또는 보조저장매체(USB 등)에 저장된 개인정보의 보호를 위해 문서 파일단위 암호화, 디렉터리 단위 암호화, 디스크 암호화 등의 방법을 사용할 수 있다고 설명하고 있다.  

또한, 암호키 관리 항목도 추가됐는데, 여기서는 암호키의 생성부터 운영과 정지, 마지막 폐기 단계까지 자세하게 안내하고 있다.  

마지막으로 암호화 추진 절차 및 사례에서는 보다 실질적인 예시가 추가됐다. 특히, 예시도 단순 나열이 아닌, 암호화 계획 수립에서부터 운영환경 분석과 비용 산정 방법 등이 구체적으로 제시되어 실질적인 ‘안내서’로서의 역할에 충실하고 있다. 특히, 부록으로 첨가된 FAQ는 실제 사용자들이 궁금해 하는 부분을 콕 짚어 설명하고 있어 소개한다. 

Q 1. 개인정보보호법 상의 암호화 대상은 무엇이며 어떻게 암호화해야 하나요?
개인정보보호법상 암호화 대상은 고유식별정보(주민등록번호, 외국인등록번호, 운전면허번호, 여권번호), 비밀번호, 바이오정보입니다. 암호화 대상 정보를 전송시 그리고 저장시 아래 표에 따라 암호화해야 합니다.

Q 2. 공공기관입니다. 개인정보처리시스템의 DBMS에서 제공하는 TDE 방식을 사용한 암호화가 개인정보보호법에 위배됩니까?
개인정보보호법 관점에서는 개인정보의 안전성 확보조치 기준(고시)에 따라 고유식별정보 암호화시 안전한 알고리즘을 사용하도록 하고 있습니다. TDE 방식에서 안전한 알고리즘을 사용하여 암호화한다면 법 위반사항이 아닙니다. 다만, 공공기관은 전자정부법에 따라 국가정보원이 안전성을 확인한 암호모듈 또는 제품을 우선 적용하여야 하며 자세한 사항은 해당 기관에 적용되는 관련 법령, 고시, 규정, 지침 등을 확인하시기 바랍니다. 

Q 3. 암호화 관련하여 우리 기관(공공, 민간)에 적용되는 규정·지침과 개인정보보호법에서 적용하는 암호화 요구사항이 서로 다를 때 어느 것을 적용해야 하나요?
개인정보보호법 및 시행령, 고시에서 규정한 암호화 요구사항을 준수하면 개인정보 보호법상 암호화 의무는 준수한 것입니다. 본 고시 준수로 인하여 다른 규정·지침을 준수하기 어렵게 된다면 '개인정보보호법'은 준수했으나 해당 규정·지침은 위배한 것이 될 수 있습니다.
따라서, 최선의 방법은 개인정보보호법과 해당 기관에 적용되는 규정·지침에서 요구하는 암호화 관련 사항 모두를 준수하는 것이라 할 수 있습니다.

Q 4. 안전한 암호 알고리즘에는 어떤 것들이 있나요?
안전한 암호 알고리즘은 국내·외 전문기관에서 권고하고 있는 알고리즘으로서 본 안내서의 ‘[참고 1] 국내·외 암호 연구 관련 기관의 권고 암호 알고리즘’, ‘[참고 2] 국가정보원 검증대상 암호 알고리즘 목록’의 내용을 참고하시기 바랍니다.

Q 5. 대칭키 암호 알고리즘 DES나 해쉬함수 MD5를 사용하면 안 됩니까?
DES와 MD5와 같은 암호 알고리즘의 경우 안전성 유지가 어려우므로 안전한 암호 알고리즘으로 볼 수 없어 권고하고 있지 않습니다. 안전한 암호 알고리즘은 본 안내서의 ‘[참고 1] 국내·외 암호 연구 관련 기관의 권고 암호 알고리즘’, ‘[참고 2] 국가정보원 검증대상 암호 알고리즘 목록’ 내용을 참고하시기 바랍니다.

Q 6. DB에 저장된 주민등록번호를 일부분만 암호화해서 저장해도 되는 것인지요?
예, 일부분 암호화가 가능합니다. 시스템 운영이나 개인 식별을 위해 해당 정보를 활용해야 하는 경우 생년월일 및 성별을 포함한 앞 7자리를 제외하고 뒷자리 6개 번호를 암호화 하여 사용할 수도 있습니다.

Q 7. 암호화해야 하는 바이오정보의 대상은 어디까지인지요?
암호화해야 하는 바이오정보는 식별 및 인증 등의 업무절차상 수집이 명확한 경우로 한정되며, 이와 무관하게 수집되는 이미지, 녹취 정보 등은 암호화 대상에서 제외됩니다. 예를 들어, 콜센터 등에서 업무절차상 주민등록번호 수집이 명확한 경우의 음성기록은 암호화해야 하나, 단순 상담 시 저장되는 음성기록 등은 암호화 대상에서 제외될 수 있습니다.

Q 8. 안전한 대칭키 암호화 알고리즘 사용시 암호키(비밀키)의 길이는 어떻게 설정해야 하나요?
암호키의 길이가 짧거나 사용되는 문자의 종류를 섞어 쓰지 않으면 암호화가 되었더라도 공격자가 쉽게 암호 해독을 할 수 있습니다. 암호해독이 어렵도록 암호키 설정시 문자, 숫자, 특수문자 등의 문자조합 방법과 문자열 길이, 사용기간 등의 암호키 작성 규칙을 정하여 운영하는 것이 바람직합니다. 특히, 잘 알려진 영문자, 숫자(1234, 123456, love, happy, admin, admin1234) 등은 쉽게 유추 할 수 있으므로 사용하지 않도록 주의해야 합니다.

Q 9. 회사에 고객들의 이름, 주소, 전화번호, 이메일, 비밀번호를 저장하고 있습니다. 암호화 대상이 무엇인가요?
개인정보의 안전성 확보조치 기준 고시에서 암호화 대상은 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호), 비밀번호, 바이오정보입니다. 특히, 비밀번호의 경우에는 일방향(해쉬) 암호화하여 저장하시면 됩니다.

Q 10. 부동산중개업을 하고 있습니다. 업무용 컴퓨터에 한글, 엑셀을 이용하여 주민등록번호를 처리하고 있습니다. 암호화를 어떻게 해야 합니까?
PC에 저장된 개인정보의 경우 상용프로그램(한글, 엑셀 등)에서 제공하는 비밀번호 설정기능을 사용하여 암호화를 적용하거나 안전한 암호화 알고리즘을 이용하는 소프트웨어를 사용하여 암호화할 수 있습니다.
※ 한컴 오피스 : 파일 >> 다른이름으로 저장하기 >> 문서 암호 설정에서 암호 설정 가능
※ MS 오피스 : 파일 >> 다른이름으로 저장하기 >> 도구 >> 일반옵션에서 암호 설정 가능

Q 11. A사가 개인정보처리 시스템을 위탁하거나, ASP, 클라우드 서비스를 이용하는 경우 암호화 수행을 누가 해야 하나요?
개인정보의 암호화 등 안전성 확보조치는 원칙적으로 ‘개인정보처리자’의 의무입니다. 따라서 개인정보처리 시스템을 위탁하거나 ASP를 이용하는 경우에도 암호화 조치사항에 대한 이행여부에 대한 책임은 위탁기관인 A사가 지게 됩니다. 다만, A사는 암호화에 대한 요구사항을 A사의 위탁을 받은 수탁기관(ASP, 클라우드 서비스 제공자 등)과의 계약서 등에 명시하여 수탁기관으로 하여금 암호화를 처리하게 요구할 수 있습니다.

이번 개인정보의 암호화 조치 안내서 개정안은 약 5년 만에 나온 개정안으로 그동안 바뀐 법률이나 시행령, 최신 암호화 기술 등을 잘 짚어서 안내하고 있다. 다만 일부 항목의 설명이나 사례가 그대로 사용된 부분이나 예시에 사용된 사진의 해상도가 낮아 가독성이 떨어지는 부분은 개선되어야 할 것으로 보인다.

한편, 이번에 발표된 ‘개인정보의 암호화 조치 안내서’ 개정안은 본지 컨텐츠 코너나 개인정보보호 종합지원 포털(www.privacy.go.kr)에서 다운로드 받을 수 있다. 

출처 : boannews.com 보안뉴스
[원병철 기자(boanone@boannews.com)]