개인정보 암호화

본 문서에는 컴플라이언스 측면에서 개인정보를 암호화 해야 하는 경우를 다룬다.

1. 암호화 대상[편집]

  • 개인정보 보호법 : 고유식별번호, 바이오정보, 비밀번호
  • 정보통신 망법 : 고유식별번호, 계좌번호, 카드번호, 바이오정보, 비밀번호

2. 암호화를 해야 하는 경우[편집]

  • 개인정보 보호법에선 전송 시, 단말기 저장 시, DMZ 저장 시로 한정한다.
  • 망법에선 별도의 조건이 없다.
  • 개인정보 보호법만 적용 받고 망법 대상이 아닌 경우엔 개인정보처리시스템 내에서 보관 시엔 암호화를 하지 않아도 되지만 백업시스템이 아닌 이상 응당 '전송'이 들어가게 되므로 SSL이나 VPN을 적용 하여야 한다.

3. 암호화 알고리즘[편집]

  • 개인정보 보호법에선 개인정보 암호화 시 '안전한 알고리즘'을 사용하도록 하고 있다.
  • 안전한 알고리즘이란 일반적으로 알려진 알고리즘으로써 취약점이 발표되지 않은 알고리즘을 말한다.
    • MD-5나 SHA-1을 사용하는 경우 취약한 알고리즘을 사용한다고 본다.
    • 자체 개발 알고리즘 또한 일반적으론 안전한 알고리즘으로 인정하지 않는다.
    • 개인정보의 안전성확보조치 기준 해설서에선 "국내·외 암호 연구 관련 기관에서 대표적으로 다루어지는 권고 알고리즘"이란 표현을 쓰고 있다. 그리고 "권고 알고리즘은 달라질 수 있으므로, 암호화 적용시 국내·외 암호 관련 연구기관에서 제시하는 최신 정보 확인 필요"라고 명시해 두었다.
  • 일반적으로 AES-256, SHA-256 이상을 쓰면 논란의 여지가 없다.