개인정보 암호화: Difference between revisions

From IT Wiki
No edit summary
No edit summary
Line 1: Line 1:
;본 문서에는 컴플라이언스 측면에서 개인정보를 암호화 해야 하는 경우를 다룬다.
;본 문서에는 컴플라이언스 측면에서 개인정보를 암호화 해야 하는 경우를 다룬다.


== 암호화 대상 ==
==암호화 대상 항목==
* 개인정보 보호법 : 고유식별번호, 바이오정보, 비밀번호
* 정보통신 망법 : 고유식별번호, 계좌번호, 카드번호, 바이오정보, 비밀번호


== 암호화를 해야 하는 경우 ==
*'''개인정보의 안정성 확보조치 기준''' 제7조(개인정보의 암호화)
* 개인정보 보호법에선 전송 시, 단말기 저장 시, DMZ 저장 시로 한정한다.
**고유식별번호
* 망법에선 별도의 조건이 없다.
**바이오정보
* 개인정보 보호법만 적용 받고 망법 대상이 아닌 경우엔 개인정보처리시스템 내에서 보관 시엔 암호화를 하지 않아도 되지만 백업시스템이 아닌 이상 응당 '전송'이 들어가게 되므로 SSL이나 VPN을 적용 하여야 한다.
**비밀번호
*'''개인정보의 기술적·관리적 보호조치 기준''' 제6조(개인정보의 암호화)
**1. 주민등록번호
**2. 여권번호
**3. 운전면허번호
**4. 외국인등록번호
**5. 신용카드번호
**6. 계좌번호
**7. 바이오정보


== 암호화 알고리즘 ==
==암호화를 해야 하는 경우==
* 개인정보 보호법에선 개인정보 암호화 시 '안전한 알고리즘'을 사용하도록 하고 있다.
 
* 안전한 알고리즘이란 일반적으로 알려진 알고리즘으로써 취약점이 발표되지 않은 알고리즘을 말한다.
*개인정보 보호법에선 전송 시, 단말기 저장 시, DMZ 저장 시로 한정한다.
** MD-5나 SHA-1을 사용하는 경우 취약한 알고리즘을 사용한다고 본다.
*망법에선 별도의 조건이 없다.
** 자체 개발 알고리즘 또한 일반적으론 안전한 알고리즘으로 인정하지 않는다.
*개인정보 보호법만 적용 받고 망법 대상이 아닌 경우엔 개인정보처리시스템 내에서 보관 시엔 암호화를 하지 않아도 되지만 백업시스템이 아닌 이상 응당 '전송'이 들어가게 되므로 SSL이나 VPN을 적용 하여야 한다.
** 개인정보의 안전성확보조치 기준 해설서에선 "국내·외 암호 연구 관련 기관에서 대표적으로 다루어지는 권고 알고리즘"이란 표현을 쓰고 있다. 그리고 "권고 알고리즘은 달라질 수 있으므로, 암호화 적용시 국내·외 암호 관련 연구기관에서 제시하는 최신 정보 확인 필요"라고 명시해 두었다.
 
* 일반적으로 AES-256, SHA-256 이상을 쓰면 논란의 여지가 없다.
==암호화 알고리즘==
 
*개인정보 보호법에선 개인정보 암호화 시 '안전한 알고리즘'을 사용하도록 하고 있다.
*안전한 알고리즘이란 일반적으로 알려진 알고리즘으로써 취약점이 발표되지 않은 알고리즘을 말한다.
**MD-5나 SHA-1을 사용하는 경우 취약한 알고리즘을 사용한다고 본다.
**자체 개발 알고리즘 또한 일반적으론 안전한 알고리즘으로 인정하지 않는다.
**개인정보의 안전성확보조치 기준 해설서에선 "국내·외 암호 연구 관련 기관에서 대표적으로 다루어지는 권고 알고리즘"이란 표현을 쓰고 있다. 그리고 "권고 알고리즘은 달라질 수 있으므로, 암호화 적용시 국내·외 암호 관련 연구기관에서 제시하는 최신 정보 확인 필요"라고 명시해 두었다.
*일반적으로 AES-256, SHA-256 이상을 쓰면 논란의 여지가 없다.


[[분류:보안]]
[[분류:보안]]

Revision as of 16:33, 12 October 2021

본 문서에는 컴플라이언스 측면에서 개인정보를 암호화 해야 하는 경우를 다룬다.

암호화 대상 항목

  • 개인정보의 안정성 확보조치 기준 제7조(개인정보의 암호화)
    • 고유식별번호
    • 바이오정보
    • 비밀번호
  • 개인정보의 기술적·관리적 보호조치 기준 제6조(개인정보의 암호화)
    • 1. 주민등록번호
    • 2. 여권번호
    • 3. 운전면허번호
    • 4. 외국인등록번호
    • 5. 신용카드번호
    • 6. 계좌번호
    • 7. 바이오정보

암호화를 해야 하는 경우

  • 개인정보 보호법에선 전송 시, 단말기 저장 시, DMZ 저장 시로 한정한다.
  • 망법에선 별도의 조건이 없다.
  • 개인정보 보호법만 적용 받고 망법 대상이 아닌 경우엔 개인정보처리시스템 내에서 보관 시엔 암호화를 하지 않아도 되지만 백업시스템이 아닌 이상 응당 '전송'이 들어가게 되므로 SSL이나 VPN을 적용 하여야 한다.

암호화 알고리즘

  • 개인정보 보호법에선 개인정보 암호화 시 '안전한 알고리즘'을 사용하도록 하고 있다.
  • 안전한 알고리즘이란 일반적으로 알려진 알고리즘으로써 취약점이 발표되지 않은 알고리즘을 말한다.
    • MD-5나 SHA-1을 사용하는 경우 취약한 알고리즘을 사용한다고 본다.
    • 자체 개발 알고리즘 또한 일반적으론 안전한 알고리즘으로 인정하지 않는다.
    • 개인정보의 안전성확보조치 기준 해설서에선 "국내·외 암호 연구 관련 기관에서 대표적으로 다루어지는 권고 알고리즘"이란 표현을 쓰고 있다. 그리고 "권고 알고리즘은 달라질 수 있으므로, 암호화 적용시 국내·외 암호 관련 연구기관에서 제시하는 최신 정보 확인 필요"라고 명시해 두었다.
  • 일반적으로 AES-256, SHA-256 이상을 쓰면 논란의 여지가 없다.
Retrieved from "https://itwiki.kr/index.php?title=개인정보_암호화&oldid=27055"