개인정보 암호화
IT위키
- 본 문서에는 컴플라이언스 측면에서 개인정보를 암호화 해야 하는 경우를 다룬다.
암호화 대상 항목
- 개인정보의 안정성 확보조치 기준 제7조(개인정보의 암호화)
- 고유식별번호
- 바이오정보
- 비밀번호
- 개인정보의 기술적·관리적 보호조치 기준 제6조(개인정보의 암호화)
- 1. 주민등록번호
- 2. 여권번호
- 3. 운전면허번호
- 4. 외국인등록번호
- 5. 신용카드번호
- 6. 계좌번호
- 7. 바이오정보
암호화를 해야 하는 경우
| 구분 | 개인정보 보호법에 따른 암호화 대상 개인정보 | |
|---|---|---|
| 개인정보처리자 | 정보통신서비스 제공자 | |
| 정보통신망을 통한 전송 시 | 고유식별정보, 비밀번호, 생체인식정보 | 개인정보, 인증정보 |
| 보조저장매체로 저장·전달 시 | 고유식별정보, 비밀번호, 생체인식정보 | 개인정보 |
| 개인정보 처리시스템 저장 시 | 비밀번호, 생체인식정보 (다만 비밀번호는 일방향 암호화) | 비밀번호, 생체인식정보 (다만 비밀번호는 일방향 암호화) |
| - | 신용카드번호, 계좌번호 | |
| 주민등록번호 | 주민등록번호 | |
여권번호, 외국인등록번호, 운전면허번호
|
여권번호, 외국인등록번호, 운전면허번호 | |
| 업무용 컴퓨터/ 모바일 기기 저장 시 | 고유식별정보, 비밀번호, 생체인식정보 | 개인정보 |
암호화 알고리즘
- 개인정보 보호법에선 개인정보 암호화 시 '안전한 알고리즘'을 사용하도록 하고 있다.
- 안전한 알고리즘이란 일반적으로 알려진 알고리즘으로써 취약점이 발표되지 않은 알고리즘을 말한다.
- MD-5나 SHA-1을 사용하는 경우 취약한 알고리즘을 사용한다고 본다.
- 자체 개발 알고리즘 또한 일반적으론 안전한 알고리즘으로 인정하지 않는다.
- 개인정보의 안전성확보조치 기준 해설서에선 "국내·외 암호 연구 관련 기관에서 대표적으로 다루어지는 권고 알고리즘"이란 표현을 쓰고 있다. 그리고 "권고 알고리즘은 달라질 수 있으므로, 암호화 적용시 국내·외 암호 관련 연구기관에서 제시하는 최신 정보 확인 필요"라고 명시해 두었다.
- 일반적으로 AES-256, SHA-256 이상을 쓰면 논란의 여지가 없다.
