728x90

[보안뉴스 원병철 기자] 개인정보 처리자가 개인정보를 안전하게 저장하고 전송하는 데 필요한 암호화와 관련된 안내서인 ‘개인정보의 암호화 조치 안내서’ 개정안이 최근 발표됐다. 이번 개정안은 2012년 10월에 발표한 안내서 이후 처음 개정돼 더욱 주목을 끌고 있다. 이에 본지는 예전 2012년 발표한 안내서와 최근 개정판을 비교해서 바뀌거나 추가된 내용을 살펴봤다.  


개인정보의 암호화 조치 안내서는 ‘개인정보보호법’에 따라 개인정보 처리자가 개인정보의 안전성 확보를 위해 이행해야 할 기술적 보호조치 중 ‘암호화’에 대한 안내서다. 개인정보처리자가 주민등록번호의 저장·전송시 필요한 암호화 수행방식과 사례 등을 소개하고 있다. 이번 안내서 개정 작업은 행정자치부와 함께 한국인터넷진흥원(KISA)에서 주도적으로 진행했다.  

이번 개정안은 개인정보처리자가 고유식별정보, 비밀번호, 바이오정보 등 암호화 대상 개인정보의 저장·전송 시 적용할 수 있는 암호 알고리즘, 수행방식, 사례 등을 제시하고 있으며, 제시된 암호 알고리즘 등은 2016년 9월 기준으로 작성된 것으로 알려졌다.  

단, 암호 알고리즘 등의 안전성은 시간이 경과하면서 변할 수 있으므로 권고하는 암호 알고리즘 등에 대해서는 국내·외 암호 관련 연구기관에서 제시하는 최신 정보를 확인할 것을 권고하고 있다. 또한, 안내서에서 제시하는 암호화 적용 사례는 개인정보 처리자별 개인정보 처리 시스템의 구성 및 운영 환경 등에 따라 적용방식이 달라질 수 있다고 덧붙였다. 

이번 개정안은 암호화의 종류와 근거 법률, 그리고 암호화 구현과 키 관리, 마지막으로 암호화 추진 절차와 사례에 대해 다루고 있으며, 추가로 암호화와 관련된 F&Q와 참고자료로 구성됐다. 전반적으로 개정안은 초기 안내서를 기본으로 내용이 추가되거나 바뀌었다. 

우선, ‘개인정보의 안전성 확보조치 기준’에 따라 개인정보를 ‘안전한 암호 알고리즘’으로 암호화하도록 되어 있는데, 개정안에서는 이를 공공기관과 민간부문(법인, 단체, 개인)으로 나뉘어 설명하고 있다. 

또한, 암호화 근거 법률을 보면, 개정안에서는 개인정보보호법 중 제23조(민감정보의 처리 제한)와 제24조의2(주민등록번호 처리의 제한)가 추가됐다. 이와 함께 개인정보 보호법 시행령 제21조와 제21의2도 추가됐다. 

암호화 구현 및 키 관리에서는 ‘업무용 컴퓨터·보조저장매체 암호화 방식’이 추가됐다. 업무용 컴퓨터에서 하드디스크, 이동식 디스크 또는 보조저장매체(USB 등)에 저장된 개인정보의 보호를 위해 문서 파일단위 암호화, 디렉터리 단위 암호화, 디스크 암호화 등의 방법을 사용할 수 있다고 설명하고 있다.  

또한, 암호키 관리 항목도 추가됐는데, 여기서는 암호키의 생성부터 운영과 정지, 마지막 폐기 단계까지 자세하게 안내하고 있다.  

마지막으로 암호화 추진 절차 및 사례에서는 보다 실질적인 예시가 추가됐다. 특히, 예시도 단순 나열이 아닌, 암호화 계획 수립에서부터 운영환경 분석과 비용 산정 방법 등이 구체적으로 제시되어 실질적인 ‘안내서’로서의 역할에 충실하고 있다. 특히, 부록으로 첨가된 FAQ는 실제 사용자들이 궁금해 하는 부분을 콕 짚어 설명하고 있어 소개한다. 

Q 1. 개인정보보호법 상의 암호화 대상은 무엇이며 어떻게 암호화해야 하나요?
개인정보보호법상 암호화 대상은 고유식별정보(주민등록번호, 외국인등록번호, 운전면허번호, 여권번호), 비밀번호, 바이오정보입니다. 암호화 대상 정보를 전송시 그리고 저장시 아래 표에 따라 암호화해야 합니다.


Q 2. 공공기관입니다. 개인정보처리시스템의 DBMS에서 제공하는 TDE 방식을 사용한 암호화가 개인정보보호법에 위배됩니까?
개인정보보호법 관점에서는 개인정보의 안전성 확보조치 기준(고시)에 따라 고유식별정보 암호화시 안전한 알고리즘을 사용하도록 하고 있습니다. TDE 방식에서 안전한 알고리즘을 사용하여 암호화한다면 법 위반사항이 아닙니다. 다만, 공공기관은 전자정부법에 따라 국가정보원이 안전성을 확인한 암호모듈 또는 제품을 우선 적용하여야 하며 자세한 사항은 해당 기관에 적용되는 관련 법령, 고시, 규정, 지침 등을 확인하시기 바랍니다. 

Q 3. 암호화 관련하여 우리 기관(공공, 민간)에 적용되는 규정·지침과 개인정보보호법에서 적용하는 암호화 요구사항이 서로 다를 때 어느 것을 적용해야 하나요?
개인정보보호법 및 시행령, 고시에서 규정한 암호화 요구사항을 준수하면 개인정보 보호법상 암호화 의무는 준수한 것입니다. 본 고시 준수로 인하여 다른 규정·지침을 준수하기 어렵게 된다면 '개인정보보호법'은 준수했으나 해당 규정·지침은 위배한 것이 될 수 있습니다.
따라서, 최선의 방법은 개인정보보호법과 해당 기관에 적용되는 규정·지침에서 요구하는 암호화 관련 사항 모두를 준수하는 것이라 할 수 있습니다.

Q 4. 안전한 암호 알고리즘에는 어떤 것들이 있나요?
안전한 암호 알고리즘은 국내·외 전문기관에서 권고하고 있는 알고리즘으로서 본 안내서의 ‘[참고 1] 국내·외 암호 연구 관련 기관의 권고 암호 알고리즘’, ‘[참고 2] 국가정보원 검증대상 암호 알고리즘 목록’의 내용을 참고하시기 바랍니다.

Q 5. 대칭키 암호 알고리즘 DES나 해쉬함수 MD5를 사용하면 안 됩니까?
DES와 MD5와 같은 암호 알고리즘의 경우 안전성 유지가 어려우므로 안전한 암호 알고리즘으로 볼 수 없어 권고하고 있지 않습니다. 안전한 암호 알고리즘은 본 안내서의 ‘[참고 1] 국내·외 암호 연구 관련 기관의 권고 암호 알고리즘’, ‘[참고 2] 국가정보원 검증대상 암호 알고리즘 목록’ 내용을 참고하시기 바랍니다.

Q 6. DB에 저장된 주민등록번호를 일부분만 암호화해서 저장해도 되는 것인지요?
예, 일부분 암호화가 가능합니다. 시스템 운영이나 개인 식별을 위해 해당 정보를 활용해야 하는 경우 생년월일 및 성별을 포함한 앞 7자리를 제외하고 뒷자리 6개 번호를 암호화 하여 사용할 수도 있습니다.

Q 7. 암호화해야 하는 바이오정보의 대상은 어디까지인지요?
암호화해야 하는 바이오정보는 식별 및 인증 등의 업무절차상 수집이 명확한 경우로 한정되며, 이와 무관하게 수집되는 이미지, 녹취 정보 등은 암호화 대상에서 제외됩니다. 예를 들어, 콜센터 등에서 업무절차상 주민등록번호 수집이 명확한 경우의 음성기록은 암호화해야 하나, 단순 상담 시 저장되는 음성기록 등은 암호화 대상에서 제외될 수 있습니다.

Q 8. 안전한 대칭키 암호화 알고리즘 사용시 암호키(비밀키)의 길이는 어떻게 설정해야 하나요?
암호키의 길이가 짧거나 사용되는 문자의 종류를 섞어 쓰지 않으면 암호화가 되었더라도 공격자가 쉽게 암호 해독을 할 수 있습니다. 암호해독이 어렵도록 암호키 설정시 문자, 숫자, 특수문자 등의 문자조합 방법과 문자열 길이, 사용기간 등의 암호키 작성 규칙을 정하여 운영하는 것이 바람직합니다. 특히, 잘 알려진 영문자, 숫자(1234, 123456, love, happy, admin, admin1234) 등은 쉽게 유추 할 수 있으므로 사용하지 않도록 주의해야 합니다.

Q 9. 회사에 고객들의 이름, 주소, 전화번호, 이메일, 비밀번호를 저장하고 있습니다. 암호화 대상이 무엇인가요?
개인정보의 안전성 확보조치 기준 고시에서 암호화 대상은 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호), 비밀번호, 바이오정보입니다. 특히, 비밀번호의 경우에는 일방향(해쉬) 암호화하여 저장하시면 됩니다.

Q 10. 부동산중개업을 하고 있습니다. 업무용 컴퓨터에 한글, 엑셀을 이용하여 주민등록번호를 처리하고 있습니다. 암호화를 어떻게 해야 합니까?
PC에 저장된 개인정보의 경우 상용프로그램(한글, 엑셀 등)에서 제공하는 비밀번호 설정기능을 사용하여 암호화를 적용하거나 안전한 암호화 알고리즘을 이용하는 소프트웨어를 사용하여 암호화할 수 있습니다.
※ 한컴 오피스 : 파일 >> 다른이름으로 저장하기 >> 문서 암호 설정에서 암호 설정 가능
※ MS 오피스 : 파일 >> 다른이름으로 저장하기 >> 도구 >> 일반옵션에서 암호 설정 가능

Q 11. A사가 개인정보처리 시스템을 위탁하거나, ASP, 클라우드 서비스를 이용하는 경우 암호화 수행을 누가 해야 하나요?
개인정보의 암호화 등 안전성 확보조치는 원칙적으로 ‘개인정보처리자’의 의무입니다. 따라서 개인정보처리 시스템을 위탁하거나 ASP를 이용하는 경우에도 암호화 조치사항에 대한 이행여부에 대한 책임은 위탁기관인 A사가 지게 됩니다. 다만, A사는 암호화에 대한 요구사항을 A사의 위탁을 받은 수탁기관(ASP, 클라우드 서비스 제공자 등)과의 계약서 등에 명시하여 수탁기관으로 하여금 암호화를 처리하게 요구할 수 있습니다.

이번 개인정보의 암호화 조치 안내서 개정안은 약 5년 만에 나온 개정안으로 그동안 바뀐 법률이나 시행령, 최신 암호화 기술 등을 잘 짚어서 안내하고 있다. 다만 일부 항목의 설명이나 사례가 그대로 사용된 부분이나 예시에 사용된 사진의 해상도가 낮아 가독성이 떨어지는 부분은 개선되어야 할 것으로 보인다.

한편, 이번에 발표된 ‘개인정보의 암호화 조치 안내서’ 개정안은 본지 컨텐츠 코너나 개인정보보호 종합지원 포털(www.privacy.go.kr)에서 다운로드 받을 수 있다. 


출처 : boannews.com 보안뉴스
[원병철 기자(boanone@boannews.com)]

반응형

'개인정보보호' 카테고리의 다른 글

망분리 관련법과 망분리 방안 정리  (0) 2016.11.11
728x90

국내 망분리 관련 현황

최근 대규모 개인정보 유출사고가 잇따라 발생함에 따라 유출된 개인 정보로 인해 보이스피싱,스팸메일 등 2차 피해의 발생 우려가 커지고있다. 이에따라 정부는 개인정보 유출사고를 근절하기 위해 보다 높은 수준의 보안대책을 마련하였다.그 일환으로 2012년 8월 17일에 공포된 개정 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」에 개인정보처리시스템에 접근하는 컴퓨터 등의 외부 인터넷망 차단(망분리)조항이 신설되었다(2013년 2월 18일부터 시행).

하지만 망분리는 국내 기관/기업에서 구축을 좋아하지 않는다.
이유는 망분리 자체가 업무에 시너지를 주기보다는 제약사항이 많기 때문이다.

 

1, 망분리 관련법

1) 관련법

망분리 관련 법은 , ‘정보통신망법’ 및 ‘개인정보보호법’, 금융위원회의 ‘금융전산 망분리 가이드라인’에 따름

  • 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제 15조 2항 3호(2013년 2월 18일 시행)
  • 개인정보 보호법 시행령 제 30조 1항 2호

[정보통신망 이용촉진 및 정보보호 등에 관련 법률 시행령]

제15조(개인정보의 보호조치)② 법 제28조제1항제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다. 다만, 제3호의 조치는 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다.
<개정 2012.8.17.>1. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 “개인정보처리시스템”이라 한다)에 대한 접근권한의 부여·변경·말소 등에 관한 기준의 수립·시행
2. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치·운영
3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단
4. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영
5. 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치

 

[개인정보 보호법 시행령 제 30조 1항 2호]

제30조(개인정보의 안전성 확보 조치)

① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.

1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행
2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
3. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치
5. 개인정보에 대한 보안프로그램의 설치 및 갱신
6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

② 안전행정부장관은 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다.  <개정 2013.3.23.>
③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 안전행정부장관이 정하여 고시한다.  <개정 2013.3.23.>

2) 망분리 대상

정보통신망법 시행령에 따르면,전년도말 직전 3개월간 일일평균 100만명 이상의 이용자 개인정보를 보유하거나 전년도 정보통신분야매출액이 100억원 이상인 정보통신서비스 제공자는 개인정보처리시스템에 접속하는 컴퓨터 등을 외부 인터넷망과 차단해야 함

[망분리 대상]

구분대상기준
사업자
– 전년도말 기준 직전 3개월간 개인정보가 저장․관리되고 있는 이용자수가 일일평균 100만명 이상
– 정보통신서비스 부문 전년도(전 사업년도) 매출액이 100억원 이상
개인정보
취급자
– 개인정보 다운로드 가능자
– 개인 정보 파기 가능자
– 개인정보 접근권한 설정 가능자

개인정보의 단순 열람, 수정 권한만을 가진 개인정보취급자는 의무 대상은 아니지만, 개인정보의 유노출에 대해 엄격히 제한해야함

3) 금융권 망분리 가이드라인


금융위원회에서 망분리 도입 내용을 담은 ‘금융전산 망분리 가이드라인’ 배포
 전산센터 망분리는 ‘14년말까지 완료하고, 본점․영업점은 단계적으로 추진(은행 ’15년말, 그외 ‘16년말까지*) 

2. 망분리 관련 솔루션 현황

1) 망분리 구축 방식(3가지)

물리적 망분리, 서버가상화기반 망분리, 클라이언트기반 망분리 등 3가지 방식으로 구축할 수 있음

[방식별 비교]

구분물리적망분리서버가상화 기반 망분리
(SBC)
클라이언트 기반 망분리
(CBC)
운영방법업무용 pc와
인터넷용 pc로 물리적 분리
(pc2대 사용)
인터넷 망은 서버를 통해 업무망은 pc로 분리
(반대로 구축 가능)
pc 부분 가상화를 통해 인터넷 영역과 업무 영역 분리
도입
비용
높음
(추가 pc, 이중망 구축)
보통
(서버 팜 구축)
낮음
(추가 장비 최소화)
추가
장비
추가 pc 1대
라이선스(OS, Office)
네트워크(스위치, 방화벽)
서버팜(서버, 스토리지 등)
네트워크(스위치)
가상화 소프트웨어
네트워크(게이트웨이)
PC기반 솔루션
보안매우 높음
(근본적 분리)
높음
(서버에서 인터넷 사용)
높음
(PC에서 인터넷 사용)
장점해커의 직접적인 접근 차단문서 보안 등 높은 보안성
PC대비 업무환경TCO우수
BYOD/스마트오피스 최적
도입비용 최소화
쉽고 간편한 설치
단점비효율성
(비용, 유지/관리 등)
스마트 오피스 불가
최초 도입비용 높음
WAN 구간 작업이나 다수 접속 시 성능저하
고장발생 시 복구 어려움
대표
제품
네트워크 및 PC업체WMware VM view
Citrix의 XenDesktop 등
안랩의 트러스존
미라지웍스의 아이데스크

2) 망분리 솔루션 현황

망분리 솔루션은 서버가상화기반(SBC)과 클라이언트기반(CBC) 솔루션으로 구분하며 SBC는 외산제품, CBC는 국내 제품을 중심으로 구축되고 있음 

[방식별 비교]

구분
서버가상화(SBC)클라이언트 기반(CBC)
해외국내해외국내
솔루션VM view(VMware)
XenDesktop(Citrix)
Hyper-V(Microsoft)
VERDE(Virtual Brides)
Dstation(틸론)
ETRIDaaS(ETRI)
MED-V(Microsoft)트러스트존(안랩)
iDesk(미라지웍스)
VMcraft(브이엠솔루션)

 

[솔루션별 주요 업체]

제조사솔루션주요 구축 업체
SBC해외(미국)VM view(VMware)굿모닝아이텍, 청담정보기술, 다우기술,
SBC해외(미국)XenDesktop(Citrix)다우기술(총판), 나무기술, 타임게이트, 글로벌텔레콤
SBC해외(미국)Hyper-V(Microsoft)MS 파트너
SBC해외(미국)VERDE(Virtual Brides)(주)데이터뱅크코리아
SBC국내+해외Dstation(틸론)틸론, 가온아이(총판), 디지털오션
SBC국내ETRIDaaS(ETRI)이트론, 한위드정보기술, 이나루
CBC해외(미국)MED-V(Microsoft)MS 파트너
CBC국내트러스트존(안랩)안랩
CBC국내iDesk(미라지웍스)시큐아이, 나무기술, 에스큐브아이
CBC국내VMcraft(브이엠솔루션)브이렘솔루션

3. 망분리 도입 현황

‘09년~’14년까지 신문기사를 통해 망분리 구축 보도자료를 게재한 곳은 총 21건으로 CBC방식 48%(10건), SBC 38%(8건), 물리적 및 기타 방식 14%(3건)으로 구축

  •  총 21건 중 국내솔루션 62%(13건), 해외솔루션 29%(6건)로 망분리 사업은 국내 솔루션이 우위를 점하고 있음

[구축사례]

시기기관내용방식솔루션비고
12009.12기업은행금융권최초 520개 지점영업망과 53개 본부 부서 12,000명SBCDstation(틸론)국내솔루션
22012.08한국수자원공사1차 180대SBCDstation(틸론)국내솔루션
32012.1교통안전공단용역직원용 50명CBCiDesk(미라지웍스)국국내솔루션
42012.11주택금융공사IT직원 70명CBCiDesk(미라지웍스)국내솔루션
52013.06신한은행전국영업점 15,000대CBCMED-V(Microsoft)해외솔루션
62013.06국민은행국내 금융권 최대
30,000대
CBC트러스트존(안랩)국내솔루션
72013.07KDB산업은행최초 200대,
차후 3,000대
CBC트러스트존(안랩)국내솔루션
82013.07한국가스공사3,200대CBCiDesk(미라지웍스)국내솔루션
92013.07근로복지공단7,000명SBCDstation(틸론)국내솔루션
102013.08KTDS500대CBCiDesk(미라지웍스)국내솔루션
112013.1대법원1차 3,500명
2차 7,500명
SBCDstation(틸론)국내솔루션
122014.01인천교육청문서중앙화기반에망분리기능탑재ECM클라우드독(넷아이디)국내솔루션
132014.02삼성전자 시안공장2,000대CBCiDesk(미라지웍스)국내솔루션
142014.02알리안츠생명3,000대(지점사용)SBCVM view(VMware)해외솔루션
152014.02한국지역난방공사1,500명SBCXenDesktop(Citrix)해외솔루션
162014.03국민연금공단전국 140여 콜센터물리적LGU+
172014.03경기도1,000대CBCVMcraft(브이엠솔루션)국내솔루션
182014.03국민연금공단800명SBCXenDesktop(Citrix)해외솔루션
19진행중기업은행(확대)영업점까지물리적진행중
20진행중농협은행6,000대CBC진행중
21진행중부산은행3,500명SBCVERDE(Virtual Brides)해외솔루션

4. 시사점

1)  CBC 방식을 선호하는 이유 

  • 망분리 도입은 기관의 업무 효율 및 매출에 기여하는 것이 아니고 법제도 아래 의무사항이기 때문에 쉽고, 저렴하고, 빨리 구축할 수 있는 방식을 선호
  • 망분리시 서버가상화기반(SBC)를 선호하는 기관은 BYOD/스마트워크 구축 및 문서 중앙화(보안)를 동시에 실현할 수 있기 때문
  • 언론에 공개되어 있지 않은 많은 망분리 도입 기관은 대부분 물리적 망분리 방식으로 구현(업무용PC + 인터넷용 테블릿 PC)

 

2) 해외솔루션을 선호하는 이유(망분리는 국내솔루션이 선전하고 있지만 큰 규모는 여전히 해외 솔루션)

  • 분리 구현 방식의 솔루션은 기능보다 안정된 운영이 중요한 요소기 때문에 레퍼런스와 운영 경험이 많은 해외 솔루션을 선호
  • 국내 기술 지원체계가 해외 솔루션 업체보다 열악하여 추후 발생될 장애 상황에 대한 심리적 불안감 때문에 해외 솔루션을 선호
  • 해외 솔루션의 경우 하드웨어 유통을 기반으로 한 중견업체들이 영업을 진행하는 것에 반해 국내는 중소기업을 중심으로 영업을 진행하기 때문에 영업력의 파워에서 불리함 (* 영업력이 앞서면 실제 BMT 및 RFP 작성이 해외 솔루션 편향적으로 진행될 가능성이 높기 때문에 동등한 평가가 불가능)

 

정현석(클라우드 컨설턴트_비즈니스 & 도입설계)


반응형

+ Recent posts