개인정보의 안전성 확보조치 기준 및 해설(3)

(7) 개인정보의 암호화

￭ 비밀번호, 바이오정보, 주민등록번호 등과 같은 주요 개인정보가 암호화되지 않고 개인정보처리시스템에 저장되거나 네트워크를 통해 전송될 경우, 불법적인 노출 및 위․변조 등의 위험이 있으므로 암호화 등의 안전한 보호조치가 제공되어야 한다.

※ “암호화”는 개인정보취급자의 실수 또는 해커의 공격 등으로 인해 개인정보가 비인가자에게 유․노출되더라도 그 주요 내용을 확인할 수 없게 하는 보안기술임.

 

① 영 제25조 및 영 제33조에 따라 암호화하여야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오정보를 말한다.

￭ “고유식별정보”는 개인을 고유하게 구별하기 위하여 부여된 식별정보를 말하며, 대통령령으로 주민등록번호, 여권번호, 면허번호, 외국인등록번호 등을 정하고 있다.

￭ “비밀번호”는 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.

￭ “바이오정보”는 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.

 

② 개인정보처리자는 제1항에 따른 개인정보를 정보통신망을 통하여 송․수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.

￭ 개인정보처리자는 주민등록번호, 비밀번호, 바이오정보 등 정보통신망 내외부로 송․수신할 모든 개인정보에 대해서는 암호화하여야 한다.

- 내부망 내에서 송․수신되는 고유식별정보는 업무상 필요할 경우 암호화 대상에서 제외할 수 있으나, 비밀번호와 바이오정보는 반드시 암호화하여야 한다.

- 전용선을 이용하여 개인정보를 송․수신하는 경우, 암호화가 필수는 아니나 내부자에 의한 개인정보 유출 등을 대비해서 가급적 암호화 전송을 권장한다.

￭ 개인정보 암호화 전송을 위해 보안서버를 활용할 수 있다.

- “보안서버”란 웹서버에 SSL(Secure Sockets Layer) 인증서나 암호화 소프트웨어를 설치하여 암호통신을 수행하는 방식을 말한다.

 

보안서버 구축방식 예시

 

 

￭ “보조저장매체”는 컴퓨터에 장착된 하드디스크(HDD) 등의 저장매체 이외에 전자적으로 자료를 저장할 수 있는 매체로서 이동형 하드디스크(HDD), USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk), 플로피디스켓, 자기 테이프 등 개인정보처리시스템, 업무용 컴퓨터 또는 개인용 컴퓨터 등과 용이하게 분리할 수 있는 저장매체를 말한다.

- 이러한 매체에 개인정보를 저장 후 분실할 경우, 개인정보가 노출될 위험이 있으므로, 암호화 기능을 제공하는 보조저장매체를 사용하거나 개인정보를 암호화 저장하여 분실되더라도 다른 사람이 알 수 없도록 조치하여야 한다.

 

③ 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.

￭ 개인정보처리자는 비밀번호, 바이오정보(지문, 홍채 등)가 노출 또는 위․변조되지 않도록 암호화 하여 저장하여야 하며, 특히 비밀번호의 경우에는 복호화되지 않도록 일방향 (해쉬함수) 암호화 하여야한다.

￭ 일방향 암호화는 저장된 값으로 원본값을 유추하거나 복호화 할 수 없도록 한 암호화 방법으로, 인증검사 시에는 사용자가 입력한 비밀번호를 일방향 함수에 적용하여 얻은 결과값과 시스템에 저장된 값을 비교하여 인증된 사용자임을 확인한다.

 

 

일방향(해쉬 함수) 암호화  ․ 일방향(해쉬 함수) 암호화는 입력된 데이터를 자르고 치환하거나 위치를 바꾸는 등의 방법을 사용해 길이가 고정된 결과를 만들어 내는 방법을 의미한다.  ․ 일방향(해쉬 함수) 암호화의 가장 기본적인 성질은 두 해쉬 결과가 다르다면 원래의 데이터도 어딘가 다르다는 것을 의미하며, 원래 입력의 한 비트만 바뀌더라도 해쉬 결과는 크게 달라지기 때문에 전자서명 방식에 이용되고 있다.

￭ 바이오 정보의 경우, 복호화가 가능한 양방향 암호화 저장이 필요하나, 이는 식별 및 인증 등의 고유기능에 사용되는 경우로 한정되며 콜센터 등 일반 민원 상담시 저장되는 음성기록이나 일반 사진 정보는 암호화 대상에서 제외된다.

 

④ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ: Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.

￭ 인터넷 구간은 개인정보처리시스템과 인터넷이 직접 연결되어 있는 구간, DMZ 구간은 인터넷과 내부망과 인터넷 구간 사이에 위치한 중간 지점으로 침입차단시스템 등으로 접근제한 등을 수행하지만 외부망에서 직접 접근이 가능한 영역을 말한다. 내부망은 접근통제시스템 등에 의해 차단되어 외부에서 직접 접근이 불가능한 영역을 말한다.

￭ 인터넷 구간이나 DMZ 구간은 외부에서 직접 접근이 가능하므로 외부자의 침입을 받을 가능성이 있다. 이에 따라 DMZ 구간에 주민등록번호, 외국인등록번호, 운전면허번호, 여권번호 등의 고유식별정보를 저장하는 경우 암호화하여 저장해야 한다. 제2항에 따른 비밀번호 및 바이오 정보를 저장하는 경우에도 암호화하여 저장해야 한다.

 

⑤ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 결정할 수 있다.

   1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과

   2. 위험도 분석에 따른 결과

￭ 내부망에 고유식별정보를 저장하는 경우, 개인정보 영향평가 및 위험도 분석 결과에 따라 암호화 적용여부 및 적용범위를 결정하여 시행할 수 있다.

- 영 제38조에 따라 영향평가의 대상이 되는 공공기관은 해당 개인정보 영향평가의 결과에 따라 암호화의 적용여부 및 적용범위를 정한다.

- 개인정보 영향평가의 실시대상이 아니거나 공공기관 이외의 개인정보처리자는 위험도 분석을 실시한 후 그 결과에 따라 고유식별정보의 암호화 적용여부 및 적용범위를 정하여 시행한다.

￭ “위험도 분석”은 개인정보처리시스템에 적용되고 있는 개인정보보호를 위한 수단과 유출시 정보주체의 권리를 해할 가능성과 그 위험의 정도를 분석하는 행위를 말한다.

- 세부적으로 위험도 분석은 개인정보 유출에 영향을 미칠 수 있는 다양한 위협에 대한 시스템 취약점과 이로 인해서 예상되는 손실을 분석하여 위험요소를 식별, 평가하고 그러한 위험요소를 적절하게 통제할 수 있는 수단을 체계적으로 구현하고 운영하는 전반적인 행위 및 절차로서 위험관리의 일부분이다.

￭ “위험도 분석”은 개인정보를 저장하는 정보시스템에서 개인정보파일 단위로 수행하고 각 개별 개인정보파일의 위험점수에 따라 개별 개인정보파일 단위로 암호화 여부를 결정해야하며, 위험도 분석을 수행한 결과는 최고경영층으로부터 내부결재 등의 승인을 받아야 한다.

 

⑥ 개인정보처리자는 제1항에 따른 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.

￭ “안전한 암호 알고리즘”이란 미국 NIST, 일본 CRYPTREC, 유럽 ECRYPT 등의 외국 및 국내외 암호 연구기관에서 권고하는 알고리즘을 의미한다.

- 고유식별정보, 바이오 정보는 원칙적으로 암호화해야 하나, 시스템 운영이나 개인 식별을 위해 해당 개인정보를 활용하는 경우 암호화/복호화에 대한 부하가 발생할 수 있다. 이 경우, 주민등록번호 등과 매핑하여 임의의 서비스 번호를 부여해서 사용할 수 있으며 임의의 서비스번호와 매핑되는 주민등록번호는 암호화하여 저장․관리하여야 한다.

 

￭ 주민등록번호를 시스템 운영을 위한 검색 키로 사용하는 경우, 속도 등 성능을 고려하여 일부 정보만 암호화 조치를 취할 수 있다.

      ※ 주민등록번호의 경우 뒷자리 6개 번호 이상 암호화 조치 필요(예시: 700101-1#……&)

 

⑦ 개인정보처리자는 제3항, 제4항 및 제5항에 따른 개인정보 저장시 암호화를 적용하는 경우, 이 기준 시행일로부터 3개월 이내에 다음 각 호의 사항을 포함하는 암호화 계획을 수립하고, 2012년 12월 31일까지 암호화를 적용하여야 한다. 단 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ: Demilitarized Zone)에 고유식별정보를 저장하는 경우 위험도 분석과 관계없이 암호화를 적용하여야 한다.

   1. 개인정보의 저장 현황분석

   2. 개인정보의 저장에 따른 위험도 분석절차(또는 영향평가 절차) 및 방법

   3. 암호화 추진 일정 등

 

￭ 개인정보처리자가 고유식별번호, 비밀번호, 바이오 정보를 처리하는 경우, 제3항, 제4항 및 제5항에서 규정한 암호화 시행을 위해, 조직 내 의사결정권자의 승인을 득한 암호화 계획을 수립하여 2012년 12월 31일까지 적용하여야 한다.

암호화 계획 주요내용   1. 개인정보의 저장 현황분석  ․ 비밀번호, 바이오정보, 고유식별정보를 저장하는 경우에는 암호화의 대상이 되므로 암호화 방법을 결정하기 위해, 개인정보처리자는 제공하는 각 서비스별로 저장하는 개인정보의 종류, 규모, 보유․이용 기간 등의 현황과 이들 서비스를 위해 처리되는 개인정보 보호를 위한 관리적․기술적 보호조치 현황을 분석하여야 한다.     2. 개인정보의 저장에 따른 위험도 분석절차(또는 영향평가 절차) 및 방법  ․ 개인정보 영향평가 실시 대상에 따라 개인정보 영향평가를 실시해야 하는 경우에는 영향평가 절차 및 방법을 그 외에 공공기관이나 개인정보처리자는 위험도 분석 절차 및 방법을 작성하여야 한다.       ※ 영향평가․위험도 분석 절차 및 방법은 본 기준의 제7조 5항 참조   3. 암호화 추진 일정 등   ․ 영향평가․위험분석 시행시기 및 암호화 구축 시기 등을 포함한 세부 추진 일정 등을 작성하여야 한다.

- 법 시행 이후 주민등록번호 등 암호화 대상이 포함된 개인정보를 개인정보처리시스템을 신규로 구축하는 경우, 암호화를 즉시 이행하여야 한다.

⑧ 개인정보처리자는 업무용 컴퓨터에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화 저장하여야 한다.

￭ 고유식별정보를 업무용 컴퓨터에 저장하여 관리하거나, 개인정보처리시스템으로부터 개인정보취급자의 PC에 내려 받아 저장할 때는 안전한 암호화 알고리즘이 탑재된 암호화 소프트웨어 등을 이용하여 암호화함으로써 불법적인 노출 및 접근으로부터 차단하여야 한다.

(8) 접속기록의 보관 및 위․변조 방지

￭ 접속기록은 개인정보의 입․출력 및 수정사항, 파일별․담당자별 데이터접근내역 등을 자동으로 기록하는 로그 파일을 생성하여 불법적인 접근 또는 행동을 확인할 수 있는 중요한 자료이며, 접속기록의 백업은 개인정보 DB의 무결성을 유지하기 위한 중요한 요소이다.

 

① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관·관리하여야 한다.

￭ 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우, 수행한 업무 내역에 대하여 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무 등의 접속기록을 최소 6개월 이상 저장하고 정기적으로 확인․감독 하여야 한다

- 개인정보취급자 1명(Root, Admin 등)이 개인정보처리시스템을 관리하는 경우, 전자적 로그를 남기지 않고, 접속 기록을 수기로 작성하여 상급자의 승인을 받아도 가능

 

<접속기록 항목 예시>

 

② 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.

￭ 개인정보처리자는 개인정보처리시스템의 접속 기록이 위․변조 및 도난, 분실되지 않도록 안전하게 보관하여야 한다.

- 즉, 정기적으로 접속기록 백업을 수행하여 개인정보처리시스템 이외의 별도의 보조저장매체나 별도의 저장장치에 보관하여야 한다.

- 접속기록에 대한 위․변조를 방지하기 위해 CD-ROM 등과 같은 덮어쓰기 방지 매체를 사용하는 것이 바람직하다.

- 접속기록을 수정 가능한 매체(HDD 또는 테이프 등)에 백업하는 경우에는 무결성 보장을 위해 위․변조 여부를 확인할 수 있는 정보를 별도의 장비에 보관․관리할 수 있다.

※ 접속기록을 HDD에 보관하고, 위․변조 여부를 확인할 수 있는 정보(HMAC 값 또는 전자서명값 등)는 별도의 HDD 또는 관리대장에 보관하는 방법으로 관리할 수 있다.

 

(9) 보안프로그램 설치 및 운영

￭ 악성 프로그램이란 제작자가 의도적으로 피해를 주고자 악의적 목적으로 만든 프로그램 및 실행 가능한 코드를 의미하는 것으로 악성 코드라고 불리기도 한다. 컴퓨터 바이러스(Computer Virus), 인터넷 웜(Internet Worm), 트로이목마, 스파이웨어 등의 형태로 나눌 수 있다.

￭ 악성 프로그램은 컴퓨터에서 동작하는 일종의 프로그램으로 자료를 손상․유출하거나 프로그램을 파괴하여 정상적인 작업을 방해한다. 이를 방지하기 위해 백신 소프트웨어 등의 보안 프로그램을 이용하여 해당 프로그램을 제거하거나 예방할 필요가 있다.

 

1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시

￭ 개인정보처리자는 악성 프로그램 등을 통해 개인정보가 위․변조, 유출되지 않도록 이를 방지하고 치료할 수 있는 백신 소프트웨어 등 보안 프로그램을 설치․운영하여야 한다.

￭ 백신 소프트웨어 등의 보안 프로그램은 실시간 감시 등을 위해 항상 실행된 상태를 유지해야 한다.

￭ 백신 소프트웨어 등 보안 프로그램은 일 1회 이상 주기적으로 업데이트 하여야 한다.

- 실시간으로 신종․변종 악성 프로그램이 유포됨에 따라 백신 업데이트를 매일 주기로 실시해야 하며, 백신 소프트웨어 등에서 제공하는 자동 업데이트 기능 등을 활용하면 편리하고 신속하게 조치할 수 있다.

 

2. 악성 프로그램관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시

￭ 운영체제(OS)․응용 프로그램의 보안 취약점을 악용하는 악성 프로그램 경보가 발령되었거나, 응용 프로그램, 운영체제 제작업체에서 보안 업데이트 공지가 있는 경우에는 감염 및 피해를 막기위해 즉시 업데이트를 실시하여야 한다.

- 운영체제나 응용 프로그램 보안 업데이트시 현재 운영중인 응용 프로그램의 업무 연속성이 이루어 질 수 있도록 보안 업데이트를 적용하는 것이 필요하며, 가능한 자동으로 보안 업데이트가가 설정되도록 할 필요가 있다.

- 자동 보안 업데이트 설정하는 방법은 보호나라 웹사이트 참조

  → http://www.boho.or.kr/hacking/hack_05_01.jsp?page_id=8

 

 

(10) 물리적 접근

￭ 개인정보를 대량으로 보관하고 있는 전산실․자료보관실 등 물리적 보관장소를 별도로 가지고 있는 개인정보처리자는 이에 대한 출입통제 절차를 수립하여 운영하여야 하며 접근기록을 보관하여야 한다. 또한 개인정보가 저장된 USB, CD, 이동형 하드디스크(Hard Disk) 등은 잠금장치가 있는 안전한 장소에 보관할 필요가 있다.

① 개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립․운영하여야 한다.

￭ 개인정보를 대량으로 보관하고 있는 전산실․자료보관실을 별도로 두고 있는 경우에는 비인가자의 접근으로 인한 개인정보의 절도, 파괴 등의 물리적 위협으로부터 정보자산을 보호하기 위해 출입통제 절차를 수립하여야한다.

￭ 전산실․자료보관실의 출입을 통제하는 방법으로 물리적 접근통제 장치를 설치․운영하고 이에 대한 출입 내역을 전자적인 매체 또는 수기문서 대장에 기록하는 방법 등이 있다.

- 물리적 접근통제 장치(예시): 비밀번호 기반 출입통제 장치, 스마트카드 기반 출입 통제장치, 지문 등 바이오정보 기반 출입통제 장치 등

※ 전산실은 다량의 정보시스템을 운영하기 위한 별도의 물리적인 공간으로 전기시설(UPS(Uninterruptible Power Supply), 발전기 등), 공조시설(항온항습기 등), 소방시설(화재감지기, 소화설비 등)등을 갖춘 시설을 의미한다.

※ 자료보관실은 가입신청서 등의 문서나 DAT(Digital Audio Tape), LTO(Linear Tape Open), DLT(Digital Linear Tape), CD(Compact Disc), 이동형 하드디스크(Hard Disc) 등 전자적 기록매체가 다량으로 보관된 물리적 저장장소를 의미한다.

② 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.

￭ 개인정보가 포함된 서류나 보조기억매체(USB, CD 등) 등은 잠금장치가 부착되어 있는 안전한 장소에 보관하여야 한다.

- 디스켓(FD), 이동형 하드디스크(HDD), USB메모리, Flash메모리, CD(Compat Disk), DVD(Digital Versatile Disk) 등의 보조기억매체는 금고 또는 잠금장치가 있는 캐비넷 등에 안전하게 보관하여야 한다.

[부칙]

제1조 이 기준은 고시한 날부터 시행한다.

￭ 이 고시의 시행일에 대한 정의를 하고 있다. 시행되는 일시는 고시한 날부터이다.

제2조(영상정보처리기기에 대한 안전성 확보조치의 적용 제외) 영상정보처리기기에 대한 안전성 확보조치에 대해서는 「표준 개인정보 보호지침」 중에서 영상정보처리기기 설치․운영 기준이 정하는 바에 따른다.

￭ 영상정보처리기기에 대한 안전성 확보조치 기준은 「표준 개인정보 보호지침」의 영상정보처리기기 설치․운영 기준에서 언급된 안전성 확보조치 기준이 정하는 바에 따른다.

 

3) 개인정보의 안전성 확보조치 기준 FAQ

 

문제1) 소기업 및 소상공인 지원을 위한 특별조치법에 따른 소상공인입니다. 내부관리계획을 수립하지 않아도 되는지?

⇒ 소상공인은 “개인정보의 안전성 확보조치 기준” 제3조제2항에 의거 내부관리계획을 수립하지 않아도 됩니다.

 

문제2) 비디오대여점을 운영하는 소상공인입니다. 현재 고객관리를 위해 업무용 컴퓨터를 운영하고 있습니다. “개인정보의 안전성 확보조치 기준”에 따라 어떠한 조치를 수행해야 하는지?

⇒ 업무용컴퓨터로 고객정보를 관리하시는 경우 제5조(비밀번호 관리)에 따라 업무용컴퓨터에 비밀번호를 설정하시고 업무용컴퓨터에서 제공되는 침입차단기능을 설정하셔야 하며 악성프로그램을 차단하도록 백신프로그램을 설치하셔야 합니다. 또한 업무용컴퓨터에 주민등록번호 등 고유식별정보가 저장된 경우에는 암호화 등의 보안조치를 수행하셔야 합니다.

 

문제3) 백화점입니다. 고객정보 데이터베이스를 운영하고 있습니다. 개인정보 암호화 대상이 무엇이며 어떻게 해야 하는지?

⇒ 개인정보 보호법 상에서 요구되는 암호화 대상은 고유식별정보(주민등록번호, 외국인등록번호, 운전면허번호, 여권번호), 비밀번호, 바이오정보입니다. 개인정보처리자는 고유식별정보 등을 정보통신망 또는 보조기억매체 등을 통해 전달하는 경우 암호화하여 전송해야 합니다. 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ)에 고유식별정보를 저장하는 경우에도 반드시 암호화하여야 합니다. 또한 내부망에 개인정보를 저장하는 경우 위험도 분석 또는 영향평가 후에 암호화 적용범위 및 적용범위를 정하여 시행할 수 있습니다. 개인정보 저장시 암호화를 적용하는 경우 이 기준 시행일로부터 3개월 이내에 암호화 계획을 수립하고 2012년 12월 31일까지 암호화를 적용하여야 합니다.

 

문제4) 전산실 또는 자료보관실이 없는 중소기업입니다. “개인정보의 안전성 확보조치 기준” 제10조(물리적 접근방지) 조항을 준수해야 하는지?

⇒ 기업의 규모에 상관없이 전산실, 자료보관실을 별도로 운영하고 있지 않으면 제10조(물리적 접근방지)는 적용되지 않습니다.

 

문제5) 개인정보처리자로부터 업무를 위탁받아 처리하는 수탁자도 이 기준을 준수하여야 합니까?

⇒ 그렇습니다.  “수탁자”는 개인정보처리자로부터 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위 등의 업무를 위탁받아 처리하는 자를 말합니다(법 제26조). 그런데 수탁자에 관하여는 개인정보의 안전성 확보조치에 관한 개인정보 보호법 제24조제3항, 제29조가 준용되어 적용됩니다 (법 제26조제7항). 따라서 수탁자는 이 기준에 따라 개인정보의 안전성 확보에 필요한 조치를 이행하여야 합니다.