안녕하세요. 개인정보보호 파트너 캐치시큐입니다.
최근 서비스 제공, 마케팅 등 다양한 분야에서 고객의 개인정보가 꼭 필요한데요.
이를 위해 어렵게 수집한 고객의 개인정보, 안전하게 보관하고 계신가요?
고객의 정보를 수집하게 되면, 어디까지가 개인정보인지, 필수적으로 암호화해야 하는 항목과 그 방법은 무엇인지 알기 어려운데요.
따라서 오늘은 필수적으로 암호화하여 저장해야 하는 개인정보 항목과 적용하고 있는 암호화 종류에 대해 알아보려 합니다.
Check!
- 개인정보 암호화, 왜 필요할까?
- 암호화가 꼭 필요한 개인정보
- 암호화 적용 방식
- 암호화하지 않으면 어떻게 되나요?
- 마치며
1. 개인정보 암호화, 왜 필요할까?
2011년 9월, 개인정보 보호법이 시행되며 사회적으로 개인정보보호에 대한 인식이 높아지게 되었고, 그에 따라 기업에서도 수집한 고객의 개인정보를 안전하게 보관해야 하는 의무가 생겨나게 되었습니다.
그렇다면 왜, 개인정보를 암호화하여 보관해야 하는 걸까요?
기업이 개인정보를 암호화하여 보관해야 하는 이유는 크게 두 가지로 생각해볼 수 있습니다.
바로, 개인정보 유출 피해 최소화, 개인정보보호 규제 준수인데요.
개인정보 유출 사고가 발생할 경우, 암호화 등의 안전조치 의무를 준수하지 않았다면 유출 정보를 통해 회원을 특정할 수 있게 됩니다. 이는 우리 회사 고객에 대한 2차 피해로 이어지므로, 자연스럽게 기업의 신뢰도도 하락하게 됩니다.
또한, 현재는 개인정보 보호법, 개인정보 보호법 시행령, 개인정보의 안전성 확보조치 기준, 개인정보의 기술적·관리적 보호조치 기준에 명시된 바에 따라 개인정보를 안전하게 보관해야 합니다. 해당 법령을 준수하지 않을 경우, 그에 해당하는 과태료를 부과받게 되니 주의해야 합니다.
2. 암호화가 꼭 필요한 개인정보
최근 대다수의 기업에서 수집한 개인정보의 대다수를 암호화하여 저장하고 있는 만큼, 법령에서 규정하고 있는 영역에 대한 암호화는 필수로 이루어져야 하는데요.
그렇다면, 저장 시 꼭 암호화를 적용해야 하는 항목에 대해 함께 짚어보도록 하겠습니다.
출처 : 개인정보보호위원회
개인정보의 안전성 확보조치 기준에 따르면, 일반 사업자의 개인정보처리자의 경우 비밀번호, 바이오 정보, *고유식별정보는 안전한 알고리즘으로 암호화하여 저장해야 합니다.
이때, 암호화해야 하는 바이오정보의 대상은 식별 및 인증 등의 업무 절차상 수집이 명확한 경우로 한정됩니다. 이와 무관하게 수집되는 이미지, 녹취 정보 등은 암호화 대상에서 제외되니, 참고하시기 바랍니다.
특히, 비밀번호의 경우 일방향 암호화를 사용하여 복호화가 불가능하도록 저장하여야 합니다.
* 고유식별정보란?
개인을 고유하게 구별하기 위해 부여된 식별정보로서, 주민등록번호, 여권번호, 운전면허의 면허번호, 외국인등록번호가 이에 해당합니다.
출처 : 개인정보보호위원회
위와 마찬가지로, 비밀번호의 경우 일방향 암호화를 사용하여 복호화가 불가능하도록 해야 합니다.
또한 개인정보의 기술적·관리적 보호조치 기준에 따르면, 정보통신서비스 제공자는 비밀번호, 고유식별번호, 바이오정보, 신용카드번호와 계좌번호를 안전한 알고리즘으로 암호화하여 저장해야 합니다.
3. 암호화 적용 방식
일방향 암호화, 안전한 암호화 알고리즘.. 아무리 들어도 어떤 방식으로 암호화가 되는 건지, 내가 사용하려는 알고리즘이 정말 안전한 건지 불안할 때가 있는데요.
이번에는 암호화에 사용되는 대칭키 암호화, 비대칭키 암호화, 일방향 암호화 그리고 안전한 암호 알고리즘에 대해 소개해드리고자 합니다.
대칭키 암호화
대칭키 암호화 방식은 대칭키 암호 알고리즘(SEED, ARIA, AES 등)을 사용하여 전송하고자 하는 평문,
즉 아직 암호화되지 않은 정보 혹은 데이터를 암호화하고 복호화하는데 동일한 키를 사용하는 방식입니다.
대칭키 암호화 방식은 후술할 비대칭키 암호화 방식에 비해 암호화 처리 속도가 빠른데요. 또한 암호화 및 복호화에 사용되는 암호키의 길이가 비대칭키 암호화 방식보다 상대적으로 짧기 때문에, 일반적인 정보를 암호화하는 데 많이 사용됩니다. 또한, 키가 있는 사람은 정보를 복호화할 수 있으므로, 허용된 사용자만 암호화된 정보를 복호화하고, 해당 정보에 접근하는 것을 보장하기 위한 용도로 사용됩니다.
하지만, 해당 데이터에 접근하려는 자와 동일한 키를 공유해야 하기 때문에, 여러 사람과 데이터를 교환할 경우 많은 키를 유지하고 관리해야 하는 어려움이 있기도 합니다.
비대칭키 암호화(공개키 암호화)
출처 : 개인정보보호위원회
비대칭키 방식은 비대칭키 암호 알고리즘(RSA, ECC 등)을 사용하여 평문을 암호화합니다. 하지만, 대칭키와 다르게 암·복호화에 사용되는 키가 다른데요. 공개키와 개인키의 키 쌍이 존재하여, 데이터를 암호화할 때는 공개키를, 데이터를 복호화할 때는 개인키를 사용하여 확인하게 됩니다.
또한, 대칭키 암호화 방식에 비해 암호화 처리 속도가 느립니다. 따라서 일반적인 정보를 암호화하지는 않는데요. 앞서 말씀드린 것처럼 비대칭키를 통해 암·복호화를 할 때, 암호화에 사용한 키를 그대로 타 사용자에게 보내게 된다면 도청·유출의 위험이 있습니다. 따라서 대칭키 암호화 방식을 사용하여 비대칭키 암호화의 키를 암호화하거나, 전자서명 혹은 카드번호와 같은 작은 크기의 데이터를 암호화하기도 합니다.
일방향 암호화
마지막으로 일방향 암호화 방식은 *해시 함수(SHA-2, SHA-3 등)를 이용하여 평문을 암호화하는 것을 뜻합니다. 하지만, 타 암호화 방식과 달리 다시 복호화가 되지 않는다는 특징을 가지고 있습니다.
* 해시 함수란?
임의의 길이를 갖는 메시지를 입력하여 고정된 길이의 해시값 또는 해시 코드라 불리는 값을 생성하며, 동일한 입력 메시지에 대해 항상 동일한 값을 생성하지만 해시값만으로는 입력 메시지를 유추할 수 없어 비밀번호와 같이 복호화 없이 입력값이 정확성 검증이 필요한 경우 등에 사용되고 있다.
안전한 암호 알고리즘
출처 : 개인정보보호위원회
현재 공공기관은 국가정보원의 검증 대상 암호 알고리즘을 기반으로, 민간부분(법인·단체·개인)은 국내·외 전문기관(KISA, NIST 등)이 권고하는 암호 알고리즘을 기반으로 암호화를 해야 하는데요.
암호 알고리즘을 적용한 후에도, 안전한 암호화 운영에 필요한 암호키 길이, 암호키 교환 방법, 알고리즘 형태별 암호키 사용 유효기간 등 암호키 관리와 관련된 사항을 정하여 운영할 필요가 있으니 주의하시기 바랍니다.
4. 암호화하지 않으면 어떻게 되나요?
만일 비밀번호, 고유식별번호, 바이오 정보를 암호화하여 저장하지 않으면 과징금을 부과받게 되는데요.
개인정보 보호법 제34조의2제1항에 따르면, 개인정보처리자가 처리하는 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 5억 원 이하의 과징금을 부과·징수할 수 있다고 나와 있습니다.
한 쇼핑몰에서 개인정보처리시스템 접속 권한을 IP로 제한하지 않고, 접속한 주소를 분석하여 유출 시도를 탐지하는 시스템을 운영하지 않아 이용자의 개인정보가 유출된 사건이 있었는데요.
해당 업체에서는 이용자의 비밀번호를 안전하지 않은 방식으로 암호화하였고, 주민등록번호 또한 암호화하지 않고 평문으로 저장하여 과태료 1,140만 원을 부과받았습니다.
또한 매년마다 개인정보를 암호화하지 않아 과징금 혹은 과태료를 부과받은 사례가 있기 때문에, 주의가 필요한 상황입니다.
소중한 우리 고객의 개인정보, 꼭 암호화하여 안전하게 보관하여야겠죠?
5. 마치며
오늘은 수집한 개인정보의 암호화에 대하여 짚어봤는데요.
이번 글에서는 필수로 암호화해야 하는 내용만을 소개했지만, 개인정보의 범위를 명확히 파악하여 꼭 필요한 정보만 수집하고, 정보의 특성에 따라 적절한 방식으로 암호화하여 관리한다면 유출로 인한 피해를 최소화할 수 있을 것으로 보입니다.
저희 캐치시큐는 수집한 개인정보를 안전하게 보관·관리하는 서비스도 제공하고 있는데요.
관련하여 궁금한 사항이 있으시다면, 개인정보보호 컨설턴트와의 무료 상담을 통해 궁금증을 해결하시기 바랍니다.
개인정보 암호화 및 관리도, 캐치시큐와 함께하세요!
감사합니다.