7) 암호통제
개인정보 및 중요정보를 보호하기 위하여 “저장” 및 “전송” 시 “암호화”를 적용하여야 하며, “암호키”는 “생성”, “이용”, “보관”, “배포”, “파기”에 관한 “안전한 절차를 수립”하여야 한다.
① 개인정보 및 중요정보 암호화
개인정보 및 중요정보를 보호하기 위하여 암호 정책을 수립 및 이행하여야 하며, “저장” 및 “송·수신” 시 “암호화”를 적용하여야 한다.
개인정보보호법의 “개인정보의 안전성 확보 조치 기준” “제7조(개인정보의 암호화)” 조항에 다음과 같이 개인정보 암호화를 규정하고 있다.
『제7조(개인정보의 암호화) ① 영 제21조 및 영 제30조 제 1항 제3호에 따라 암호화하여야 하는 개인정보는 고유 식별정보, 비밀번호 및 바이오 정보를 말한다.
② 개인정보처리자는 제1항에 따른 개인정보를 정보통신망을 통하여 송·수신하거나 보조 저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
③ 개인정보처리자는 비밀번호 및 바이오 정보는 암호화하여 저장하여야 한다. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 한 방향 암호화하여 저장하여야 한다.
④ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유 식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
⑤ 개인정보처리자가 내부망에 고유 식별정보를 저장하는 경우에는 다음 각호의 기준에 따라 암호화의 적용 여부 및 적용 범위를 정하여 시행할 수 있다.
1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
2. 위험도 분석에 따른 결과
⑥ 개인정보처리자는 제1항에 따른 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.
⑦ 개인정보처리자는 제3항, 제4항 및 제5항에 따른 개인정보 저장 시 암호화를 적용하는 경우, 이 기준 시행일로부터 3개월 이내에 다음 각호의 사항을 포함하는 암호화 계획을 수립하고, 2012년 12월 31일까지 암호화를 적용하여야 한다. 단 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유 식별정보를 저장하는 경우 위험도 분석과 관계없이 암호화를 적용하여야 한다.
1. 개인정보의 저장 현황분석
2. 개인정보의 저장에 따른 위험도 분석 절차(또는 영향평가 절차) 및 방법
3. 암호화 추진 일정 등
⑧ 개인정보처리자는 업무용 컴퓨터에 고유 식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.』
그리고 “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령” “제15조(개인정보의 보호조치)” 조항에 다음과 같이 개인정보 암호화를 규정하고 있다.
『제15조(개인정보의 보호조치)
④ 법 제28조 제 1항 제4호에 따라 정보통신 서비스 제공자 등은 개인정보가 안전하게 저장·전송될 수 있도록 다음 각호의 보안 조치를 하여야 한다.
1. 비밀번호 및 바이오 정보(지문, 홍채, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보를 말한다)의 한 방향 암호화 저장
2. 주민등록번호 및 계좌정보 등 금융정보의 암호화 저장
3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축 등의 조치
4. 그 밖에 암호화 기술을 이용한 보안 조치』
또한 정보통신망 이용촉진 및 정보보호 등에 관한 법률의 “개인정보의 기술적·관리적 보호조치 기준” “제6조(개인정보의 암호화)” 조항에 다음과 같이 개인정보 암호화를 규정하고 있다.
『제6조(개인정보의 암호화) ① 정보통신 서비스 제공자 등은 비밀번호 및 바이오 정보는 복호화되지 아니하도록 한 방향 암호화하여 저장한다.
② 정보통신 서비스 제공자 등은 주민등록번호, 신용카드번호 및 계좌번호에 대해서는 안전한 암호알고리즘으로 암호화하여 저장한다.
③ 정보통신 서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각호 중 하나의 기능을 갖추어야 한다.
1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능
2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능
④ 정보통신 서비스 제공자 등은 이용자의 개인정보를 개인용컴퓨터(PC)에 저장할 때는 이를 암호화해야 한다.
관련표준 및 지침
| K-ISMS | 9.1.1 암호 정책 수립 |
| ISO/IEC 27002:2013 | A.10.1.1 Policy on the use of cryptographic controls |
| NIST SP 800-53 | AC-1, MP-1, SC-1 |
② 암호키 관리
“암호키”는 “생성”, “이용”, “보관”, “배포”, “파기”에 관한 “안전한 절차”를 수립·이행하여야 한다. 암호키는 물리적으로 분리된 별도의 “안전한 장소”에 보관하고 “접근권한” 부여를 “최소화”하여야 한다. 또한 “암호키 유출” 및 침해가 의심되는 경우 즉시 “암호키를 변경”하여야 한다.
관련표준 및 지침
| K-ISMS | 9.2.1 암호키 생성 및 이용 |
| ISO/IEC 27002:2013 | A.10.1.2 Key management |
| NIST SP 800-53 | SC-12, SC-17 |
'보안(Security)' 카테고리의 다른 글
| 단계별 내부통제항목 - 예방(8) (0) | 2022.07.23 |
|---|---|
| 단계별 내부통제항목 - 예방(7) (0) | 2022.07.22 |
| 단계별 내부통제항목 - 예방(5) (0) | 2022.07.20 |
| 단계별 내부통제항목 - 예방(4) (0) | 2022.07.19 |
| 단계별 내부통제항목 - 예방(3) (0) | 2022.07.18 |
댓글