콘텐츠로 이동

2.7.1 암호정책 적용

인증 기준

개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다.

주요 확인사항

  • 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가?

  • 암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가?

관련 법규

세부 설명

  • 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하여야 한다.

    • 암호화 대상 : 법적 요구사항, 처리 정보 민감도 및 중요도에 따라 정의

      • 개인정보처리자

        • 정보통신망을 통한 전송 시
          • 고유식별정보, 비밀번호, 생체인식정보
        • 보조저장매체로 저장·전달 시
          • 고유식별정보, 비밀번호, 생체인식정보
        • 업무용 컴퓨터/모바일 기기 저장 시
          • 고유식별정보, 비밀번호, 생체인식정보
        • 개인정보처리시스템 저장 시
          • 비밀번호(일방향 암호화)
          • 생체인식정보
          • 주민등록번호
          • 여권번호, 외국인등록번호, 운전면허번호
            • 인터넷구간, DMZ 저장 시 암호화
            • 내부망 저장 시 암호화 또는 위험도 분석/영향평가

      • 정보통신서비스 제공자

        • 정보통신망을 통한 전송 시
          • 개인정보, 인증정보
        • 보조저장매체로 저장·전달 시
          • 개인정보
        • 업무용 컴퓨터/모바일 기기 저장 시
          • 개인정보
        • 개인정보처리시스템 저장 시
          • 비밀번호(일방향 암호화)
          • 생체인식정보
          • 주민등록번호
          • 여권번호, 외국인등록번호, 운전면허번호
          • 신용카드번호, 계좌번호

    • 암호화 알고리즘 : 법적 요구사항 등을 고려하여 안전한 암호화 알고리즘 및 보안강도 선택

      ※ 안전한 암호 알고리즘(예시)(ʻ🔗개인정보의 암호화 조치 안내서ʼ 참고)

      • 대칭키 암호 알고리즘

        • SEED, ARIA-128/192/256, AES-128/192/256, HIGHT, LEA 등

      • 공개키 암호 알고리즘

        • RSAES-OAEP, RSAES-PKCS1 등

      • 일방향 암호 알고리즘

        • SHA-256/384/512 등

  • 암호정책에 따라 개인정보 및 중요정보의 저장, 전송, 전달 시 암호화를 수행하여야 한다.

    • 암호화 위치, 시스템 특성 등을 고려하여 암호화 방식 선정 및 적용

      ※ 암호화 방식(예시)

      • 정보통신망을 통한 전송 시

        • 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화 송수신
        • 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송수신
        • 그 밖에 암호화 기술 활용 : VPN, PGP 등

      • 보조저장매체로 전달 시

        • 암호화 기능을 제공하는 보안 저장매체 이용(보안USB 등)
        • 해당 정보를 암호화한 후 보조저장매체에 저장 등

      • 업무용 컴퓨터 및 모바일 기기 저장 시

        • 문서도구 자체 암호화(오피스 등에서 제공하는 암호 설정 기능 활용)
        • 암호 유틸리티를 이용한 암호화
        • DRM(Digital Right Management) 적용 등

      • 개인정보처리시스템 저장 시

        • 응용프로그램 자체 암호화(API 방식)
        • 데이터베이스 서버 암호화(Plug-in 방식)
        • DBMS 자체 암호화(TDE 방식)
        • DBMS 암호화 기능 호출
        • 운영체제 암호화(파일암호화 등)
        • 그 밖의 암호화 기술 활용

증거자료

예시

  • 암호통제 정책(대상, 방식, 알고리즘 등)

  • 암호화 적용현황(저장 및 전송 시)

  • 위험도 분석 결과(내부망 고유식별정보 암호화 미적용 시)

  • 암호화 솔루션 관리 화면

결함사례

  • 사례 1 : 내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시 암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우

  • 사례 2 : 암호정책을 수립하면서 해당 기업이 적용받는 법규를 잘못 적용하여(정보통신서비스 제공자에게 「🔗개인정보의 안전성 확보조치 기준」 요건 적용) 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우

  • 사례 3 : 개인정보취급자 및 정보주체(이용자)의 비밀번호에 대하여 일방향 암호화를 적용하였으나, 안전하지 않은 MD5 알고리즘을 사용한 경우

  • 사례 4 : 정보통신서비스 제공자가 관련 법규 및 내부 규정에 따라 인터넷 웹사이트에 대하여 보안서버를 적용하였으나, 회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우