[한국인터넷진흥원][정보보호] 개인정보 암호화 조치 안내서 (2017.01)

안녕하세요. 황컴플라이언스 입니다.

[한국인터넷진흥원][정보보호] 개인정보 암호화 조치 안내서 (2017.01) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 개인정보 암호화 조치 안내서

○ 발행일 : 2017년 01월

○ 주관부처 : 한국인터넷진흥원, 행정자치부

---

[개요]

□ 추진배경

• 본 안내서는 '개인정보 보호법'에 따라 개인정보처리자가 개인정보를 안전하게 저장 · 전송하는데 사용되는 기술인 암호화에 대한 안내를 제공하고 있습니다.
• 본 안내서는 개인정보처리자가 고유식별정보, 비밀번호, 바이오정보 등 암호화 대상 개인정보의 저장 · 전송 시 적용할 수 있는 암호 알고리즘, 수행방식, 사례 등을 제시하고 있으며 제시된 암호 알고리즘 등은 2016년 9월 기준으로 작성되었습니다.
• 암호 알고리즘 등의 안전성은 시간이 경과하면서 변할 수 있으므로 권고하는 암호 알고리즘 등에 대해서는 국내 · 외 암호 관련 연구기관에서 최신 정보를 확인하시기 바랍니다.
• 또한 본 안내서에서 제시하는 암호화 적용 사례는 개인정보처리자별 개인정보처리시스템의 구성 및 운영 환경 등에 따라 적용방식이 달라질 수 있습니다.

---

개인정보의 암호화 조치 안내서(개정).pdf

1.71MB

개인정보의 암호화 조치 안내서 (2017.01) : 한국인터넷진흥원, 행정자치부

---

□ 목적

• 본 안내서는 '개인정보 보호법'에 따라 개인정보처리자가 개인정보를 안전하게 저장 · 전송하는데 사용되는 암호화 기술에 대한 안내를 목적으로 한다.
• 이를 위해 본 안내서는 개인정보처리자가 고유식별정보, 비밀번호, 바이오정보 등 암호화 대상 개인정보의 저장 · 전송 시 적용할 수 있는 암호 알고리즘을 소개하고 개인정보처리자의 효과적인 암호화 적용을 지원하기 위해 암호화 적용 방식 및 절차, 암호화 적용 시 고려사항, 암호화 적용 사례 등을 제시한다.

□ 적용 대상

• '개인정보 보호법'에 따라 암호화하여야 하는 개인정보인 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호), 비밀번호, 바이오정보를 저장 · 전송하는 개인정보처리자를 대상으로 한다.

□ 용어 정의

• “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
• “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
• “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
• “개인정보취급자”는 개인정보처리자의 지휘, 감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.
• “정보통신망”이란 「전기통신기본법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체계를 말한다.
• “개인정보처리시스템”이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.
• “내부망”이란 물리적 망분리, 접근통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다.
• “비밀번호”란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.
• “바이오정보”라 함은 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 말한다.
• “보조저장매체”란 이동형 하드디스크(HDD), USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 연결·분리할 수 있는 저장매체를 말한다.
• “위험도 분석”이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별·평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말한다.
• “모바일 기기”란 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿PC 등 개인정보 처리에 이용되는 휴대용 기기를 말한다.
• “공개된 무선망”이란 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 말한다.
• “암호화”란 일상적인 문자로 쓰이는 평문을 암호키를 소유하지 않은 사람이 알아볼 수 없도록 기호 또는 다른 문자 등의 암호문으로 변환하는 것을 말한다. 개인정보가 비인가자에게 유·노출 되더라도 그 내용을 확인할 수 없거나 어렵게 하는 보안기술이다.
• “암호키”란 메시지를 암호화 또는 복호화 하는데 사용되는 키로서 암호키를 소유한 자만이 암호문을 생성하거나 복호할 수 있다.
• “해쉬함수”란 임의의 길이의 메시지를 항상 고정된 길이의 해쉬 값으로 변환하는 일방향 함수를 말한다.
• “일방향 함수”라 함은 결과값을 가지고 입력값을 구하는 것이 어려운 함수로서 해쉬함수는 일방향 함수에 해당한다.
• “블록암호”란 평문을 일정한 블록 크기로 나누어 각 블록을 송·수신자 간에 공유한 비밀키를 사용하여 암호화 하는 방식이다.
• “SSL(Secure Sockets Layer)”이란 웹 브라우저와 웹 서버간에 데이터를 안전하게 주고받기 위해 암호화 기술이 적용된 보안 프로토콜을 말한다.
• “가상사설망”(VPN : Virtual Private Network)은 정보통신망에서 IPsec, SSL 등의 보안 프로토콜을 사용한 터널링 기술을 통해 안전한 암호화 통신을 할 수 있도록 해주는 보안 시스템을 말한다.

---

[목차]

Ⅰ. 개요

• 제1절 목적
• 제2절 적용 대상
• 제3절 용어 정의

Ⅱ. 암호화 종류 및 제도

• 제1절 암호화 종류 및 특성
• 제2절 안전한 암호 알고리즘
• 제3절 암호화 근거 법률

Ⅲ. 암호화 구현 및 키 관리

• 제1절 전송 시 암호화
• 제2절 저장 시 암호화
• 제3절 암호키 관리

Ⅳ. 암호화 추진 절차 및 사례

• 제1절 암호화 추진 절차
• 제2절 전송 시 암호화 사례
• 제3절 저장 시 암호화 사례

Ⅴ. 부록

• 제1절 FAQ
• 제2절 참고자료