2.7.1 암호정책 적용

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

2.7 암호화 적용	2.7.1 암호정책 적용
	2.7.2 암호키 관리

---

---

주여운외비생, 대비 공개, APTD서플,

개인정보 및 주요정보의 저장 · 전송 · 전달 시 암호화 적용

https vs. http

안전하지 않은 암호화 알고리즘 (DES, 3DES 등)

핵심 키워드 & 내용

 

- 개인정보 및 주요정보 보호
- 법적 요구사항을 반영한 암호정책 적용
- 암호화 대상, 암호 강도, 암호 사용 정책을 수립
- 개인정보 및 주요정보의 저장 · 전송 · 전달 시 암호화를 적용

 

연관 두음

 

▶ 개인정보처리시스템 저장 시 암호화 대상 개인정보(개인정보처리자)

[두음] 주여운외비생
주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 비밀번호, 생체인식정보

---

▶ 암호화 알고리즘 구분

[두음] 대비 공개
대칭키 - 비밀키, 공개키 - 개인키

---

▶ 개인정보처리시스템 저장 시 암호화 방식

[두음] APTD서플

응용프로그램(Application) 자체 암호화 (API 방식)

TDE(Transparent Data Encryption) 방식 - DBMS 자체 암호화

데이터베이스 서버 암호화 (Plug-in 방식)

---

 

인증기준

 

개인정보 및 주요정보 보호를 위하여
법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고
개인정보 및 주요정보의 저장 · 전송 · 전달 시 암호화를 적용하여야 한다.

 

주요 확인사항

 

* 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한
  암호화 대상, 암호 강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가?

* 암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가?

 

세부 설명

 

□ 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한

   암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하여야 한다.

 

▶ 암호화 대상 : 법적 요구사항, 처리 정보 민감도 및 중요도에 따라 정의

 

▶ 개인정보처리시스템 저장 시 암호화 대상 개인정보(개인정보처리자)

 

[두음] 주여운외비생

주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 비밀번호, 생체인식정보

 

▶ 암호화 알고리즘 : 법적 요구사항 등을 고려하여 안전한 암호화 알고리즘 및 보안강도 선택

 

▶ 암호화 알고리즘 구분

 

[두음] 대비 공개

대칭키 - 비밀키, 공개키 - 개인키

 

□ 암호정책에 따라 개인정보 및 중요정보의 저장, 전송, 전달 시 암호화를 수행하여야 한다.

 

▶ 암호화 위치, 시스템 특성 등을 고려하여 암호화 방식 선정 및 적용

 

▶ 개인정보처리시스템 저장 시 암호화 방식

 

[두음] APTD서플

응용프로그램(Application) 자체 암호화 (API 방식)

TDE(Transparent Data Encryption) 방식 - DBMS 자체 암호화

데이터베이스 서버 암호화 (Plug-in 방식)

 

결함사례

 

사례 1 :
내부 정책 · 지침에 암호통제 관련 법적 요구사항을 고려한
암호화 대상, 암호 강도, 저장 및 전송 시 암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한
사항이 적절히 명시되지 않은 경우

사례 2 :
암호정책을 수립하면서 해당 기업이 적용받는 법규를 잘못 적용하여
(정보통신서비스 제공자에게 ｢개인정보의 안전성 확보조치 기준｣ 요건 적용)
암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우

사례 3 :
개인정보취급자 및 정보주체(이용자)의 비밀번호에 대하여 일방향 암호화를 적용하였으나,
안전하지 않은 MD5 알고리즘을 사용한 경우

사례 4 :
정보통신서비스 제공자가 관련 법규 및 내부 규정에 따라
인터넷 웹사이트에 대하여 보안 서버를 적용하였으나,
회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등
개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우

 

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)

 

※ 취약 알고리즘

• MD5
• SHA1
• HAS-160
• DES
• 128 미만 AES, ARIA, SEED
• 2048 미만 RSA

(개인정보보호위원회) 개인정보의 기술적·관리적 보호조치 기준

제6조(개인정보의 암호화) 

① 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.

② 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다. 

1. 주민등록번호 

2. 여권번호 

3. 운전면허번호 

4. 외국인등록번호 

5. 신용카드번호 

6. 계좌번호 

7. 바이오정보 

③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는

    안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다.

    보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다. 

1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송 · 수신하는 기능 

2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송 · 수신하는 기능 

④ 정보통신서비스 제공자등은 이용자의 개인정보를 컴퓨터, 모바일 기기 및 보조저장매체 등에

    저장할 때에는 이를 암호화해야 한다.