[금융보안원][정보보호] 금융보안 암호기술 활용 가이드 (2019.01)

안녕하세요. 황컴플라이언스 입니다.

[금융보안원][정보보호] 금융부문 암호기술 활용 가이드 (2019.01) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 금융부문 암호기술 활용 가이드

○ 발행일 : 2019년 01월

○ 주관부처 : 금융보안원

---

[개요]

□ 추진배경

• 본 가이드는 국내 금융부문 암호기술 적용현황을 살펴보고 향후 안전성이 저하될 암호기술을 변경할 때 고려해야하는 주요 보안 고려사항을 기술하여, 담당자들의 암호기술 활용 및 이해에 도움을 주고자 마련되었습니다.
• 최근 TDES 암호 알고리즘 사용 제한 및 포스트 양자 암호, 동형 암호와 같은 새로운 분야의 암호 알고리즘 등장 등 암호기술 시장에 변화가 있었다. 이러한 암호기술 시장 현황을 반영하고 가이드 내용 을 현재 기준으로 업데이트하기 위하여 본 가이드를 개정하였다. 

❍ TDES 및 일부 암호 알고리즘 사용 제한

• TDES 암호 알고리즘과 관련된 내용을 모두 삭제하고, SHA-1 등 용도에 따라 권고하지 않는 알고리즘에 관한 내용을 삭제하거나 축소 하였다. 또한, TLS 1.0/1.1의 취약성에 관한 내용을 추가하였다.

❍ 암호 알고리즘 추가

• 최근 새로운 분야의 암호 알고리즘이 등장함에 따라, 본문 및 부 록에 포스트 양자 암호와 동형 암호에 대한 내용을 추가하였다.

---

금융부문 암호기술 활용 가이드.pdf

1.47MB

금융부문 암호기술 활용 가이드 (2019.01) : 금융보안원

---

□ 목적

• 인터넷뱅킹, 자동화 기기, IC카드, 모바일 결제 등 많은 분야에서 사용되고 있는 암호기술은 IT 기술 발전과 금융서비스 환경이 변화 됨에 따라 모든 전자금융환경에 필수 고려요소가 되고 있다. 국내의 경우, 개인정보 유출에 관한 전자금융사고가 사회적 이슈로 붉어지면서 관련 법률의 개정과 더불어 암호기술사용이 의무화되고 있으며 암호 기술의 필요성 또한 더욱 중시 되었다.
• 국내외 암호기술 전문기관에서는 고도화되는 컴퓨팅 성능과 해킹 기술에 주목하면서 암호기술의 안전성 및 신뢰성 증대를 위해 지속적으로 변경 지침을 제시하고 있다. 하지만, 이론적으로 어떤 암호기술도 해킹을 완벽히 막을 수 있다고 보장할 수 없고 실제 암호기술을 적용할 때에도 시스템 변경에 소요되는 기간과 비용문제 등으로 사고 원인이 밝혀진 후에도 단기간에 문제를 해결하여 보안성을 확보하는 것이 쉽지 않다.
• 국내 금융권도 시스템에 적용된 암호 중 잠재적 취약성을 내재한 알고리즘이 적시에 변경되지 못하고 그대로 사용되고 있는 것이 현실이다. 따라서 안전성이 저하된 암호기술로 인해 기밀성, 무결성 등이 깨지게 되는 위협과 그 영향을 줄이기 위해서 각 분야에서는 안전한 보안 수준을 유지할 수 있도록 꾸준히 규격에 이를 반영하고 권고하고 있다.
• 본 가이드는 이러한 노력의 일환으로 국내 금융부문 암호기술 적용현황을 살펴보고 향후 안전성이 저하될 암호기술을 변경할 때 고려해야하는 주요 보안 고려사항을 기술하여, 담당자들의 암호기술 활용 및 이해에 도움을 주고자 한다.

---

[목차]

제1장 개요

• 제1절 개정 사유 및 항목
• 제2절 배경 및 목적
• 제3절 구성
• 제4절 용어 정의

제2장 금융부문 암호기술 적용대상 및 현황

• 제1절 금융부문 암호화 대상
• 제2절 금융부문 암호기술 적용현황 

제3장 금융부문 암호기술 활용 시 고려사항 

• 제1절 암호기술 운영 시 고려사항 
• 제2절 암호 알고리즘 선택 시 고려사항 
• 제3절 암호 운영모드 선택 시 고려사항 
• 제4절 의사난수 생성기 선택 시 고려사항 
• 제5절 암호키 관리 고려사항 
• 제6절 암호통신 프로토콜 설계 시 고려사항 
• 제7절 암호 알고리즘 구현 시 고려사항 

부록

• [부록1] 금융권 암호기술 적용 시 준수 규격 
• [부록2] 암호 관련 금융IT 보안 컴플라이언스 통제사항 
• [부록3] 암호기술 활용 시 고려사항(요약) 
• [부록4] 기타 암호 알고리즘