Www.curis.kr 왜 ‘개인정보 DB암호화’를 도입해야 하나?.

Slides:



Advertisements
Similar presentations
1 08 시스템 구성도 고려사항 * 웹 서버 클러스터 구성  클러스터 구축은 ㈜ 클루닉스의 Encluster 로 구축 (KT 인증,IT 인증 획득, 실제 클러스터 구축 사이트 200 여곳 )  웹 서버 클러스터는 Dynamic, Static, Image.
Advertisements

불특정 공격에 무너진 H 사 업무 시스템 서서히 저하 내부에서 원인 불명으로 네트워크의 속도가 서서히 저하 되는 현상이 발생 공격의 발생 핵심 장 비 서비스가 되다 되지 않는 현상이 심해지고 결국 핵심 장 비는 장애가 발생하게 됨 장비 장애 발생 핵심 장비 장애 전체.
1 넷스팟 MAC ID 설정 방법 ( 서울캠퍼스 기준 ) 각종 스마트폰의 WiFi 를 이용시 각종 스마트폰의 WiFi 를 이용시 MAC ID 설정을 하는 방법 입니다. 아이폰의 경우는 별도의 설정없이 바로 사용이 가능하오니, 사용이 어려울 경우, 고객센터로 문의하시면 됩니다.
LTE 특별행사 ( ~) ○ LTE 스마트 폰 갤럭시 S4 (32G) (LTE-A) 미니 노트2 아이폰5
한국예탁결제원 모바일 서비스 안내. 1. KSD 모바일 서비스 구축 배경 스마트폰 보급 및 이용확대 모바일 환경으로 서비스 환경 변화 고객 니즈 수용 및 서비스 향상.
I. 프로젝트 동기 II. 프로젝트 목표 III. 파일시스템 IV. 암호화 및 복호화 V. 인터페이스 VI. FBR READ/WRITE VII. 프로그램 흐름도 VIII. 미 구현 사항 IX. 프로젝트 기대효과 X. 프로그램 요구사항 및 팀원 역할분담 XI. 시연 XII.
농촌인적자원개발센터 홈페이지 회원가입 방법. 회원가입 1. 농촌인적자원개발센터 홈페이지 ( 포탈사이트 ( 구글, 네이버 다음 등 ) 농촌인적자원개발센터 검색 ★ 홈페이지 접속 - 회원가입 버튼 클릭.
HTTPS Packet Capture Tutorial
공공기관의 개인정보 보호 ㈜소만사 김대환 1.
홈페이지 개인정보보호 를 위한 Cloud Service 일아아이티.
목차 Contents 무선인터넷용 비밀번호 설정방법 Windows 7 Windows 8 Windows XP MAC OS.
■ 아워홈TFS서포터즈 ‘아메3기’ 지원서 성별 구분 상세내용 TFS고객구분 사업장명 사업장 주소 신청자명 생년월일
제어판 –> 네트워크 및 인터넷 –> 네트워크 및 공유센터 이동 후 화면에서 “새 연결 또는 네트워크 설정” 클릭
김태원 심재일 김상래 강신택. 김태원 심재일 김상래 강신택 인터넷 통신망의 정보를 제공하는 서비스 인터넷의 자원 및 정보는 NIC가 관리 IP주소 또는 도메인으로 정보 검색 이용자 및 통신망 관한 정보를 제공.
개인정보보호법 주요 내용.
개인정보보호법 주요내용 및 이행사항 2012년 6월 1.
영상정보가 분실.도난.유출.변조 또는 훼손되지 않도록 관리
SQL Server Enterprise Edition Value
Ch.07-5 xml-rpc 사용하기 김상엽.
1. Windows Server 2003의 역사 개인용 Windows의 발전 과정
개인정보보호법 안전성 확보조치 방안 오용석 (한국인터넷진흥원).
8장. 원격지 시스템 관리하기.
NJM Messenger 박상원 박연호.
공인인증서 신청 및 발급 제일 먼저 은행에 직접 방문하여 인터넷뱅킹 신청.
UpToDate® Anywhere(UTDA)
2015학년도 PHP 기말 레포트 로그인 홈페이지 제작.
[개인정보 수집·이용 동의서] ※ 본 페이지 출력하여 자필로 기입/서명 후 스캔본(JPG 또는 PDF파일)을
WZC 무선 연결 방법 (Windows XP Ver.).
HTTP 프로토콜의 요청과 응답 동작을 이해한다. 서블릿 및 JSP 를 알아보고 역할을 이해한다.
개인정보보호법 주요내용 및 이행사항 2012년 2월 1.
고대 구로병원 IRB 전문간사 종양내과 오상철
< 현금영수증가맹점 가입절차 >
Wi-Fi 취약점 분석 본 프로젝트는 Wi-Fi 환경에서의 취약점 분석을 위한 프로젝트로 다양한 공격방법을 테스트
Adobe 제품 다운로드 및 설치 방법 안내 Adobe Creative Cloud Adobe License 권한을 받으신 분
뇌를 자극하는 Windows Server 장. 원격 접속 서버.
중증장애인직업재활 지원사업 업무시스템 사용자 매뉴얼 Version 1.0
강릉원주대학교 전임교원대상 온라인 교수법 특강
PC에 설치된 엔드포인트 클라이언트 프로그램을 클릭하여 프로그램 상자를 엽니다
맞춤형복지 사용자 시스템 매뉴얼 공무원연금공단 맞춤형복지부 문의사항:
16 장 네트워크 보안 : 방화벽과 VPN 16.1 개요 16.2 기밀성 16.3 전자 서명 16.4 인터넷 보안
KERBEROS.
개인정보보호법 사이버경찰학과 신세휴 김영걸.
코펀딩 100% 활용하기 투자 가이드북.
■ 도면공급업체 사외접속 경로 ① ○ POSCO 사외 홈페이지 (1) ( -> 고객지원
I-PIN 그리고 My-PIN 김가영 김경보 윤재호 이주헌
법령안편집기 연결버튼 표시가 안 될 경우 정부입법지원센터( 입안 및 심사안을 진행시
SSL, Secure Socket Layer
Open4U 공급업체 접속 방법 Open4U 시스템 신규 접속 방법 메인 화면 및 로그인 하기 초기 비밀번호 변경하기
2 컴퓨터와 통신 기술 3 정보의 보호와 공유 정보의 보호 정보의 공유 금성출판사.
개인정보보호법 주요내용 및 이행사항 1.
Kyani 디스트리뷰터 등록 안내 온라인 등록 (
입사지원자 개인정보 수집 및 활용 동의서 ▣ 개인정보 수집 ∙이용에 대한 동의 정보제공목적 달성 후 및 관련법령에 따름
KCC건설 新협력업체포탈시스템 매뉴얼 외주시스템 - 회원가입 2014년 5월.
개인정보보호법 주요내용 및 이행사항 2012년 2월 1.
1. 신규 연세메일(Gmail)에 로그인 합니다. ( yonsei. ac. kr )
교육성향E 검사 방법 안내 1. 교육기관으로부터 전송받으신 교육성향E 검사링크를 클릭합니다.
자재시스템 – 개요 및 회원가입 KCC건설 新협력업체포탈시스템 매뉴얼 2014년 5월
공인인증로그인 매뉴얼.
업체등록신청절차 목차 메인화면 메세지별 유형 2-1. 이미 가입된 공급업체
2010 하반기 Marketing Value Creator 양성과정 입학지원서
공인인증로그인 매뉴얼.
UpToDate® Anywhere(UTDA)
전자세금계산서 시스템 구축 제안
2017년도 대동철학회 연구윤리교육 (연구윤리위원회).
CCIT 네트워크 발표 정보보호학과 평문 사이트와 SSL 사이트, SSL strip과 데이터 변조를 이용한 로그인 취약점
고해상도 IP 무선 송수신기 제품 MANUAL Model Name : D2400.
Continental Automotive Innovation Contest
1. PortBlock 이란 RJ-45 물리 블록킹 개념 RJ-45 블록킹 Site별 전용 Key
공인인증로그인 매뉴얼.
연구실안전관리시스템 안전교육 이수방법 사무국 시설과.
Presentation transcript:

www.curis.kr 왜 ‘개인정보 DB암호화’를 도입해야 하나?

최고 10년이상 징역 혹은 1억이하 벌금 (법인 양벌규정에 의거 대표 구속) 제안의 배경 2011년 9월 30일 2013년 하반기 개인정보 보호법 시행 기술적 조치 의무화 미 조치 시 처벌강화 단속강화 대상 벌칙 손해배상 개인정보를 취급하는 모든 웹사이트 운영자 최고 10년이상 징역 혹은 1억이하 벌금 (법인 양벌규정에 의거 대표 구속) 집단분쟁조정 단체소송 후 과태료처분 (최대 4천만원 이상) (* 자세한 벌칙 및 벌금항목은 제안서 뒷장 참조) 의무 기술적 조치내용 1. 주민등록번호의 수집금지 2. 개인정보 통신 암호화 : SSL인증서 설치 및 적용 3. 개인정보 저장 시 암호화 : DB암호화 4. 개인정보취급 로그관리 보관. 5. 개인정보취급 접근통제 등

DB암호화란 무엇인가? 일반적인 웹사이트가 수집하는 개인정보는 그림 1과 같이 사람이 인식할 수 있는 평문의 형태로 데이터베이스에 저장됩니다. 평문으로 저장된 데이터베이스는 외부에서 침입한 해커나 내부관리자에 의해 외부로 유출될 경우 데이터베이스에 저장된 개인정보는 악의적으로 사용될 수 있습니다. [ Figure 1 일반적인 웹사이트에서 데이터를 저장하는 경우 ]

그림2는 개인정보암호화 시스템을 도입하여 개인정보를 암호문으로 데이터베이스에 저장하는 경우를 보여줍니다. 저장되는 정보의 암호화에 사용된 암호키와 SALT는 안전한 원격서버에 보관되기 때문에 데이터베이스가 외부로 유출되더라도 개인정보를 식별할 수 없으므로 악의적인 사용을 차단할 수 있습니다. [Figure 2 개인정보 암호화 시스템을 도입한 경우 ]

큐리스 DB암호화 시스템 구성 큐리스의 DB암호화 시스템은 “API 프로그램”과 암호키와 SALT 를 관리하는 “관리시스템”으로 구성됩니다. 이는 KISA(한국인터넷진흥원)가 권고하는 ‘암호화기술 구현안내서’ 의 구축기준을 만족하는 시스템입니다.‘

DB암호화 시스템 구축시 체크사항 DB암호화 시스템 구축시 다음과 같은 요구사항을 지켜서 구축되어야만 합니다. 큐리스 DB암호화 시스템은 다음의 모든 항목을 준수하고 만족합니다. 종류 체크항목 확인 DB 암호화 비밀번호 암호화 개인별 고유 SALT를 랜덤으로 발생하여 사용하는가? YES SALT추가법이 적정하고 외부 노출이 되지 않도록 하는가? SALT는 언제라도 변경가능한 값을 사용하는가? 서버프로그램은 SALT를 외부에서 호출하여야 한다 안전한 해쉬 암호화인가? YES (SHA256) 정보 암호화 안전한 블록 암호화인가? YES(AES256/CBC) 암호키 서버를 분리운영하는가? PBKDF2에 의해 암호키를 발생하는가? 랜덤 발생 Salt인가? 사용자 입력 password에 패스워드 로직 적용하는가? iteration이 1000회 이상인가? 128bit 이상의 키인가? 암호키의 사용기간 및 유효기간을 관리하는가?

큐리스 DB암호화 서비스의 도입 서비스의 보증 서비스의 보증 큐리스 DB암호화 시스템은 “공급사”를 통해서 공급되며 기술상담을 통해 자사의 개인정보 운영 규모에 맞는 서비스를 선택하고 발급된 서비스 코드를 제공되는 API 프로그램에 등록 및 암호화 환경을 설정을 통해 도입이 완료됩니다. 서비스의 보증 큐리스는 이중화 키관리 서버와 이중화 네트워크 구성 등의 관리 운영 체계 구축을 통해 안정적인 서비스 제공을 보장합니다. 서비스 수준협약, SLA ( Service Level Agreement ) 고객사이트는 큐리스가 발급하는 인증라벨을 통해 고객사가 개인정보보호를 위한 기술적 장치를 도입하고 있음을 이용자들이 알 수 있도록 합니다. 암호키 및 SALT 서버의 안정적 운영을 통한 안정적인 서비스 제공 : 99.99% 보증(서비스 시간 기준) 단, 계획된 시스템 관리일정에 따른 사전 통보 후 5분 이내의 중지 허용.

도입사례 한국 문화컨텐츠 라이센싱협회 (http://www.kocla.org) 회원가입, 비밀번호 변경시 비밀번호 안전성 체크 적용 비밀번호에 대한 안전한 암호화 기술 적용 : SALT 및 고유 배치법 설정 후 적용 고객 정보에 대한 안전한 암호화 기술 적용 : 주소, 전화번호, 접속자 IP, 이메일 등 로그인 및 개인정보 취급페이지에 대한 통신 암호화 전송 적용 : SSL 회원가입 페이지에 큐리스에 의한 개인정보 DB암호화 기술 적용고지 큐리스 표준 개인정보보호방침 적용 완료 큐리스 표준 내부관리계획서 기반으로 내부관리계획서 수립·시행 웹사이트 좌측 하단에 큐리스 DB암호화 서비스 인증 라벨 제공 개인정보 취급 PC에 대한 바이러스 백신 설치

공급사에 대한 소개란 큐리스 DB암호화 시스템 공급사 ㈜제휴사 대표이사 : | 사업자등록번호 : ㈜제휴사 대표이사 : | 사업자등록번호 : 홈페이지 : 담당자 성명 : 연락처 : 사업장 주소 본 사 : 서울사무실 : 공급사에 대한 소개란

주요 법령요약 제23조의2(주민등록번호의 사용 제한) 76조 과태료 제23조의2 위반하여 필요한 조치를 하지 아니한 자는 3천만 원 이하의 과태료 ① 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 이용자의 주민등록번호를 수집·이용할 수 없다. 1. 제23조의3에 따라 본인확인기관으로 지정받은 경우 2. 법령에서 이용자의 주민등록번호 수집·이용을 허용하는 경우 3. 영업상 목적을 위하여 이용자의 주민등록번호 수집·이용이 불가피한 정보통신서비스 제공자로서 방송통신위원회가 고시하는 경우 ② 제1항제2호 또는 제3호에 따라 주민등록번호를 수집·이용할 수 있는 경우에도 이용자의 주민등록번호를 사용하지 아니하고 본인을 확인하는 방법(이하 "대체수단"이라 한다)을 제공하여야 한다.

1. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 http://law.go.kr/lsInfoP.do?lsiSeq=111334#0000 제28조(개인정보의 보호조치) 제73조(벌칙) 제76조(과태료) <개정 2012.2.17, 시행 2012.8.18> ① 정보통신서비스 제공자 등이 개인정보를 취급할 때에는 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다. 4. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술 등을 이용한 보안조치 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 1천만원 이하의 벌금에 처한다. 1. 제28조제1항 제2호부터 제5호까지(제67조에 다라 준용되는 경우를 포함한다)의 규정에 따른 기술적·관리적 조치를 아니하여 이용자의 개인정보를 분실·도난·누출·변조 또는 훼손한 자 ① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과한다 3. 제28조제1항제1호 및 제 6호(제67조에 따라 준용되는 경우를 포함한다)에 따른 기술적·관리적 조치를 하지 아니한 자

2. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조 (개인정보의 보호조치) ④ 법 제28조제1항 제4호에 따라 정보통신서비스 제공자 등은 개인정보가 안전하게 저장·전송 될 수 있도록 다음 각 호의 보안조치를 하여야 한다. 1. 비밀번호 및 바이오정보(지문, 홍채, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보를 말한다)의 일방향 암호화 저장 3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축 등의 조치 3. 개인정보의 기술적·관리적 보호조치 기준 http://www.law.go.kr/admRulLsInfoP.do?admRulSeq=2000000015414 제6조 (개인정보의 암호화) ① 정보통신서비스 제공자등은 비밀번호 및 바이오정보는 복호화 되지 아니하도록 일방향 암호화하여 저장한다. ② 정보통신서비스 제공자등은 주민등록번호, 신용카드번호 및 계좌번호에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다. ③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다. 1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능 2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능

4. 개인정보 보호법 제29조 (안전조치의무) 제73조 (벌칙) 제75조 (과태료) 제29조 (안전조치의무) 제73조 (벌칙) 제75조 (과태료) 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다. 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 1천만원 이하의 벌금에 처한다. 1. 제28조제1항 제2호부터 제5호까지(제67조에 다라 준용되는 경우를 포함한다)의 규정에 따른 기술적·관리적 조치를 아니하여 이용자의 개인정보를 분실·도난·누출·변조 또는 훼손한 자 ② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다. 6. 제24조제3항, 제25조제6항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니한 자

5. 개인정보 보호법 시행령 제30조 (개인정보의 안전성 확보 조치) 제7조 (개인정보의 암호화) 제30조 (개인정보의 안전성 확보 조치) 제7조 (개인정보의 암호화) ① 개인정보처리자는 법 제29조에 따라 다음 각호의 안전성 확보 조치를 하여야 한다. 3. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치 6. 개인정보의 안전성 확보조치 기준 고시 ②개인정보처리자는 제1항에 따른 개인정보를 정보통신망을 통하여 송·수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.

(www.Curis.kr) 감사합니다~ 감사합니다~