Www.curis.kr 왜 ‘개인정보 DB암호화’를 도입해야 하나?.

Presentation on theme: "Www.curis.kr 왜 ‘개인정보 DB암호화’를 도입해야 하나?."— Presentation transcript:

1 왜 ‘개인정보 DB암호화’를 도입해야 하나?

2 최고 10년이상 징역 혹은 1억이하 벌금 (법인 양벌규정에 의거 대표 구속)
제안의 배경 2011년 9월 30일 2013년 하반기 개인정보 보호법 시행 기술적 조치 의무화 미 조치 시 처벌강화 단속강화 대상 벌칙 손해배상 개인정보를 취급하는 모든 웹사이트 운영자 최고 10년이상 징역 혹은 1억이하 벌금 (법인 양벌규정에 의거 대표 구속) 집단분쟁조정 단체소송 후 과태료처분 (최대 4천만원 이상) (* 자세한 벌칙 및 벌금항목은 제안서 뒷장 참조) 의무 기술적 조치내용 1. 주민등록번호의 수집금지 2. 개인정보 통신 암호화 : SSL인증서 설치 및 적용 3. 개인정보 저장 시 암호화 : DB암호화 4. 개인정보취급 로그관리 보관. 5. 개인정보취급 접근통제 등

3 DB암호화란 무엇인가? 일반적인 웹사이트가 수집하는 개인정보는 그림 1과 같이 사람이 인식할 수 있는 평문의
형태로 데이터베이스에 저장됩니다. 평문으로 저장된 데이터베이스는 외부에서 침입한 해커나 내부관리자에 의해 외부로 유출될 경우 데이터베이스에 저장된 개인정보는 악의적으로 사용될 수 있습니다. [ Figure 1 일반적인 웹사이트에서 데이터를 저장하는 경우 ]

4 그림2는 개인정보암호화 시스템을 도입하여 개인정보를 암호문으로 데이터베이스에 저장하는 경우를 보여줍니다.
저장되는 정보의 암호화에 사용된 암호키와 SALT는 안전한 원격서버에 보관되기 때문에 데이터베이스가 외부로 유출되더라도 개인정보를 식별할 수 없으므로 악의적인 사용을 차단할 수 있습니다. [Figure 2 개인정보 암호화 시스템을 도입한 경우 ]

5 큐리스 DB암호화 시스템 구성 큐리스의 DB암호화 시스템은 “API 프로그램”과 암호키와 SALT 를 관리하는 “관리시스템”으로 구성됩니다. 이는 KISA(한국인터넷진흥원)가 권고하는 ‘암호화기술 구현안내서’ 의 구축기준을 만족하는 시스템입니다.‘

6 DB암호화 시스템 구축시 체크사항 DB암호화 시스템 구축시 다음과 같은 요구사항을 지켜서 구축되어야만 합니다. 큐리스 DB암호화 시스템은 다음의 모든 항목을 준수하고 만족합니다. 종류 체크항목 확인 DB 암호화 비밀번호 암호화 개인별 고유 SALT를 랜덤으로 발생하여 사용하는가? YES SALT추가법이 적정하고 외부 노출이 되지 않도록 하는가? SALT는 언제라도 변경가능한 값을 사용하는가? 서버프로그램은 SALT를 외부에서 호출하여야 한다 안전한 해쉬 암호화인가? YES (SHA256) 정보 암호화 안전한 블록 암호화인가? YES(AES256/CBC) 암호키 서버를 분리운영하는가? PBKDF2에 의해 암호키를 발생하는가? 랜덤 발생 Salt인가? 사용자 입력 password에 패스워드 로직 적용하는가? iteration이 1000회 이상인가? 128bit 이상의 키인가? 암호키의 사용기간 및 유효기간을 관리하는가?

7 큐리스 DB암호화 서비스의 도입 서비스의 보증 서비스의 보증
큐리스 DB암호화 시스템은 “공급사”를 통해서 공급되며 기술상담을 통해 자사의 개인정보 운영 규모에 맞는 서비스를 선택하고 발급된 서비스 코드를 제공되는 API 프로그램에 등록 및 암호화 환경을 설정을 통해 도입이 완료됩니다. 서비스의 보증 큐리스는 이중화 키관리 서버와 이중화 네트워크 구성 등의 관리 운영 체계 구축을 통해 안정적인 서비스 제공을 보장합니다. 서비스 수준협약, SLA ( Service Level Agreement ) 고객사이트는 큐리스가 발급하는 인증라벨을 통해 고객사가 개인정보보호를 위한 기술적 장치를 도입하고 있음을 이용자들이 알 수 있도록 합니다. 암호키 및 SALT 서버의 안정적 운영을 통한 안정적인 서비스 제공 : 99.99% 보증(서비스 시간 기준) 단, 계획된 시스템 관리일정에 따른 사전 통보 후 5분 이내의 중지 허용.

8 도입사례 한국 문화컨텐츠 라이센싱협회 (http://www.kocla.org)
회원가입, 비밀번호 변경시 비밀번호 안전성 체크 적용 비밀번호에 대한 안전한 암호화 기술 적용 : SALT 및 고유 배치법 설정 후 적용 고객 정보에 대한 안전한 암호화 기술 적용 : 주소, 전화번호, 접속자 IP, 이메일 등 로그인 및 개인정보 취급페이지에 대한 통신 암호화 전송 적용 : SSL 회원가입 페이지에 큐리스에 의한 개인정보 DB암호화 기술 적용고지 큐리스 표준 개인정보보호방침 적용 완료 큐리스 표준 내부관리계획서 기반으로 내부관리계획서 수립·시행 웹사이트 좌측 하단에 큐리스 DB암호화 서비스 인증 라벨 제공 개인정보 취급 PC에 대한 바이러스 백신 설치

9 공급사에 대한 소개란 큐리스 DB암호화 시스템 공급사 ㈜제휴사 대표이사 : | 사업자등록번호 :
㈜제휴사 대표이사 : | 사업자등록번호 : 홈페이지 : 담당자 성명 : 연락처 : 사업장 주소 본 사 : 서울사무실 : 공급사에 대한 소개란

10 주요 법령요약 제23조의2(주민등록번호의 사용 제한)
76조 과태료 제23조의2 위반하여 필요한 조치를 하지 아니한 자는 3천만 원 이하의 과태료 ① 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 이용자의 주민등록번호를 수집·이용할 수 없다. 1. 제23조의3에 따라 본인확인기관으로 지정받은 경우 2. 법령에서 이용자의 주민등록번호 수집·이용을 허용하는 경우 3. 영업상 목적을 위하여 이용자의 주민등록번호 수집·이용이 불가피한 정보통신서비스 제공자로서 방송통신위원회가 고시하는 경우 ② 제1항제2호 또는 제3호에 따라 주민등록번호를 수집·이용할 수 있는 경우에도 이용자의 주민등록번호를 사용하지 아니하고 본인을 확인하는 방법(이하 "대체수단"이라 한다)을 제공하여야 한다.

11 1. 정보통신망 이용촉진 및 정보보호 등에 관한 법률
제28조(개인정보의 보호조치) 제73조(벌칙) 제76조(과태료) <개정 , 시행 > ① 정보통신서비스 제공자 등이 개인정보를 취급할 때에는 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다. 4. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술 등을 이용한 보안조치 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 1천만원 이하의 벌금에 처한다. 1. 제28조제1항 제2호부터 제5호까지(제67조에 다라 준용되는 경우를 포함한다)의 규정에 따른 기술적·관리적 조치를 아니하여 이용자의 개인정보를 분실·도난·누출·변조 또는 훼손한 자 ① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과한다 3. 제28조제1항제1호 및 제 6호(제67조에 따라 준용되는 경우를 포함한다)에 따른 기술적·관리적 조치를 하지 아니한 자

12 2. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령
제15조 (개인정보의 보호조치) ④ 법 제28조제1항 제4호에 따라 정보통신서비스 제공자 등은 개인정보가 안전하게 저장·전송 될 수 있도록 다음 각 호의 보안조치를 하여야 한다. 1. 비밀번호 및 바이오정보(지문, 홍채, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보를 말한다)의 일방향 암호화 저장 3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축 등의 조치 3. 개인정보의 기술적·관리적 보호조치 기준 제6조 (개인정보의 암호화) ① 정보통신서비스 제공자등은 비밀번호 및 바이오정보는 복호화 되지 아니하도록 일방향 암호화하여 저장한다. ② 정보통신서비스 제공자등은 주민등록번호, 신용카드번호 및 계좌번호에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다. ③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다. 1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능 2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능

13 4. 개인정보 보호법 제29조 (안전조치의무) 제73조 (벌칙) 제75조 (과태료)
제29조 (안전조치의무) 제73조 (벌칙) 제75조 (과태료) 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다. 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 1천만원 이하의 벌금에 처한다. 1. 제28조제1항 제2호부터 제5호까지(제67조에 다라 준용되는 경우를 포함한다)의 규정에 따른 기술적·관리적 조치를 아니하여 이용자의 개인정보를 분실·도난·누출·변조 또는 훼손한 자 ② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다. 6. 제24조제3항, 제25조제6항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니한 자

14 5. 개인정보 보호법 시행령 제30조 (개인정보의 안전성 확보 조치) 제7조 (개인정보의 암호화)
제30조 (개인정보의 안전성 확보 조치) 제7조 (개인정보의 암호화) ① 개인정보처리자는 법 제29조에 따라 다음 각호의 안전성 확보 조치를 하여야 한다. 3. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치 6. 개인정보의 안전성 확보조치 기준 고시 ②개인정보처리자는 제1항에 따른 개인정보를 정보통신망을 통하여 송·수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.

15 ( 감사합니다~ 감사합니다~