[금융보안원][정보보호] 금융부문 암호 기술 활용 가이드 (2019.01)

안녕하세요. 황컴플라이언스 입니다.

[금융보안원][정보보호] 금융부문 암호 기술 활용 가이드 (2019.01) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 금융부문 암호 기술 활용 가이드

○ 발행일 : 2019년 01월

○ 주관부처 : 금융보안원

---

[개요]

□ 추진배경

최근 TDES 암호 알고리즘 사용 제한 및 포스트 양자 암호, 동형암호와 같은 새로운 분야의 암호 알고리즘 등장 등 암호기술 시장의 패러다임이 변화했다. 이러한 암호 기술 시장 현황을 반영, 가이드 내영을 현재 기준으로 업데이트하여 본 가이드를 개정했다.

TDES 및 일부 암호 알고리즘 사용 제한

• TEDS 암호 알고리즘과 관련된 내용을 모두 삭제하고 SHA-1 등 용도에 따라 권고하지 않은 알고리즘에 관한 내용을 삭제하거나 축소했다. 그리고 TLS 1.0/1.1의 취약성에 관한 내용을 추가했다.

암호 알고리즘 추가

• 최근 새로운 분야의 암호 알고리즘이 등장함에 따라서 본문 및 부록에 포스트 양자 암호와 동형암호에 대한 내용을 추가했다.

---

금융부문 암호기술 활용 가이드.pdf

1.47MB

금융부문 암호기술 활용 가이드 (2019.01) : 금융보안원

---

□ 배경 및 목적

인터넷뱅킹, 자동화기기, IC 카드, 모바일 결제 등 많은 분야에서 사용되는 암호 기술은 IT 기술 발전과 금융서비스 환경이 변화됨에 따라 모든 전자 금융환경에 필수 고려 요소가 되고 있다.

• 국내는 개인정보 유출에 관한 전자금융사고가 사회적 이슈로 붉어지면서 관련 법률의 개정과 더불어 암호기술 사용이 의무화 되고 있다. 이에 암호기술의 필요성도 더욱 중시됐다.
• 국내외 암호 기술 전문기관에는 고도화되는 컴퓨팅 성능과 해킹 기술에 주목되어 암호기술의 안전성 및 신뢰성 증대를 위해 지속해서 변경 지침을 제시했다. 그러나 이론적으로 어떤 암호기술도 해킹을 완벽히 막을 수 있다고 보장할 수 없고 실제 암호기술을 적용할 때도 시스템 변경에 드는 기간과 비용 문제 등으로 사고 원인이 밝혀진 후, 단기간에 문제를 해결해 보안성을 확보하는 것이 쉽지 않다.
• 본 가이드는 이러한 노력의 일환으로 국내 금융부문 암호기술 적용현황을 살펴보고 향후 안전성이 저하될 암호기술을 변경하면, 고려해야 하는 주요 보안 고려사항을 기술하여 담당자들의 암호기술 활용 및 이해에 도움을 주고자 한다.

---

□ 금융부문 암호화 대상

• 전자금융 고객에게 본인 확인 및 부인 방지 등의 수단을 제공함으로써 금융회사 창구와 직접 대면하지 않고 업무를 처리할 수 있는 편리성을 제공한다. 하지만 편리성 이면에 사칭 및 정보오류로 인한 사고발생 시 개인과 기업에 직접적인 금전적 피해를 가져올 수 있다. 따라서 금융부문에서는 보다 더 안전한 암호기술에 대한 올바른 이해 및 적용이 필요하다.
• 제도적으로 적용되는 암호화 대상과 그 범위는 관련법에서 살펴봐야 한다. 국내 전자금융 거래의 안전성 강화를 위한 대표적인 법률은 전자금융거래법이다. 암호화 적용대상은 크게 금융회사가 저장하는 금융 관련 저장 정보와 전자금융 거래 시 전송되는 전송 정보로 구분할 수 있으나, 이를 법과 규정에서 명확히 구분 짓는 것은 쉽지 않다. 전자금융 감독규정은 전자금융업의 안전성 기준 강화를 위한 내용을 중점적으로 다루고 있다. 이에 대한 주요 내용은 다음과 같다.

전자금융거래법과 감독규정 중 암호화 관련 내용

종류	구분 및 내용	참고
전자금융거래법 및 시행령	거래의 안전성과 신뢰성 확보 관련 기준 준수, 전자서명법 내 필요 기준 설정 등	제21조(안전성 확보의무)
전자금융감독규정	무선통신망을 통한 불법접속 방지, 사용자 인증, 암호화 등 보안대책 수립	제15조(해킹 등 방지대책)
	암호 및 인증시스템에 적용되는 키 관리(주입·운용·갱신·폐기) 관련 절차 및 방법 마련	제31조(암호프로그램 및 키 관리 통제)
	전자자금 이체 시 보안카드를 포함한 일회용 비밀번호를 적용, 암호화 통신, 이용자 전자적 장치에 보안 프로그램 설치 등 보안대책 적용, 전자금융거래프로그램의 위·변조 여부 등 무결성 검증 방법 제공 등	제34조(전자금융거래 시 준수사항)
	전자서명법에 의한 공인인증서 또는 이와 동등한 수준의 안전성이 인정되는 인증방법 사용	제37조(공인인증서 사용 기준)
전자금융감독규정 시행령	이용자 인증, 정보처리시스템 인증, 통신채널 암호화, 전자금융 거래내역의 무결성, 전자금융 거래내역의 부인방지	제7조(인증방법의 안전성 평가 등)

• 이 외에도 금융회사는 저장해야하는 정보에 대해, 필요 시 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(약칭 : 정보통신망법), 신용정보업감독규정 등의 법규를 준수하여 개인식별정보 및 주요 금융정보 등을 암호화 전송 또는 저장해야 한다. 전자금융 관련 법 이외의 법규에서 암호화 관련한 주요 내용은 다음과 같다.

종류	구분 및 내용	참고
개인정보보호법	개인정보처리자가 고유식별정보를 처리하는 경우 고유식별정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 암호화 등 안전성 확보에 필요한 조치를 할 것	제24조(고유식별정보 처리의 제한)
개인정보보호법	개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 할 것	제29조(안전조치의무)
신용정보업감독규정	신용정보회사 등은 개인정보의 암호화 등 기술적·물리적·관리적 보안대책의 구체적인 기준 마련	제20조(기술적·물리적·관리적 보안대책)

• 금융부문의 안전한 암호기술 관련한 보안 규제 사항들을 준수하기 위해서 전자금융거래법 및 시행령, 전자금융감독 규정 등 금융 IT 보안규제 사항과 타 분야 적용 법규, 지침 등을 관리적, 기술적, 물리적 체계의 통제항목들을 기반으로 컴플라이언스 활동이 이루어질 수도 있다.

---

[목차]

제1장 개요

• 제1절 개정 사유 및 항목
• 제2절 배경 및 목적
• 제3절 구성
• 제4절 용어 정의

제2장 금융부문 암호기술 적용대상 및 현황

• 제1절 금융부문 암호화 대상
• 제2절 금융부문 암호기술 적용현황

제3장 금융부문 암호기술 활용 시 고려사항

• 제1절 암호기술 운영 시 고려사항
• 제2절 암호 알고리즘 선택 시 고려사항
• 제3절 암호 운영모드 선택 시 고려사항
• 제4절 의사난수 생성기 선택 시 고려사항
• 제5절 암호키 관리 고려사항
• 제6절 암호통신 프로토콜 설계 시 고려사항
• 제7절 암호 알고리즘 구현 시 고려사항

[부록 1] 금융권 암호기술 적용 시 준수 규격

[부록 2] 암호 관련 금융IT 보안 컴플라이언스 통제사항

[부록 3] 암호기술 활용 시 고려사항(요약)

[부록 4] 기타 암호 알고리즘

---

※ 더 많은 자료 찾아보기

황컴플라이언스의 공간