$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

개인정보 DB 암호화 검증 프레임웍 제안
A Proposal of Personal Information DB Encryption Assurance Framework 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.24 no.2, 2014년, pp.397 - 409  

고영대 (고려대학교) ,  이상진 (법무법인 율촌)

초록
AI-Helper 아이콘AI-Helper

지난 2011년 3월, 개인정보보호법 제정에 따라 업무적으로 암호화 대상이 되는 개인정보를 취급하는 개인정보처리자는 해당 개인정보처리시스템에 대한 DB 암호화를 적용해야 한다. 또한 이에 맞추어 법 집행 및 이행 기관인 관련 당국에서는 이러한 DB 암호화 규정이 제대로 적용되고 이행되고 있는지 관리 감독을 강화하고 있다. 그러나, DB 암호화라는 과정 자체가 시스템 및 업무 절차 등 현실적으로 고려해야 할 요소가 많고 DB 암호화 시 투입되는 시간 및 비용 또한 만만치 않다. 게다가 암호화 규정에 따른 암호화 기준 및 가이드에 비해 실질적으로 고려해야 할 요소들이 상당히 많음에도 불구하고 아직까지 암호화와 관련된 보다 구체적이고 현실적인 검증 항목이 다소 부족한 것으로 보인다. 이에 본 논문에서는 법규 준수의 의무가 있는 수범자, 즉, 개인정보처리자의 입장과 이러한 법규 준수에 대한 점검 및 통제 의무가 있는 관련 당국의 규제 기관 등에서 상호간 건전하고 합리적인 시각에서 DB 암호화에 대하여 현실적이고 구체적인 방향성을 제시하고자 DB 암호화 시 반드시 고려해야 할 DB 암호화 검증 프레임웍을 제안하고자 한다.

Abstract AI-Helper 아이콘AI-Helper

According to the Personal Information Protection Act(PIPA) which is legislated in March 2011, the individual or company that handles personal information, called Personal information processor, should encrypt some kinds of personal information kept in his Database. For convenience sake we call it DB...

주제어

#Personal Information Protection Act   #DB Encryption   #Verification   #Assurance   #Framework  

질의응답

핵심어 질문 논문에서 추출한 답변
개인정보법에서 말하는 고유식별정보란? 2011년 3월에 제정된 개인정보보호법[9]에 따라 업무적으로 고유식별정보에 해당하는 개인정보를 취급하는 개인정보처리자는 해당 고유식별정보에 대하여 지난 2012년 12월까지 암호화 하도록 의무화 되었다. 개인정보보호법에서 말하는 고유식별정보란 주민번호, 외국인등록번호, 여권번호 및 운전자 등록 번호를 가리키며 고유하게 개인을 식별할 수 있는 정보를 뜻한다.
복호화 로그를 어느 수준으로 남기고 이를 모니터링 할 것인지 고려해야하는 이유는? 개인정보취급자 및 DB 암호화 관리자의 복호화 이력과 더불어 시스템에서 발생하는 복호화 로그를 어느 수준으로 남기고 이를 모니터링할 것인지에 대하여 현실적인 고민이 필요하다. 그러한 이유는 특히, 일반적으로 시스템에서 발생하는 복호화 이력은 그 양이 상당하기에 대부분의 기업에서는 해당 로그를 남기지 않는 경우가 많으나, 이러한 경우 사고 예방을 위한 모니터링 및 사고 발생 시 추적이 곤란하기 때문에 대량의 일괄처리형 작업의 경우는 로그를 남기지 않고 이외에 개인정보처리자가 시스템에 로그인하여 개인정보를 취급(복호화)하는 경우에 대해서만 로그를 남기는 방안을 검토해야 한다. 또한 시스템을 통해 로그를 남기는 경우, 해당 사용자에 대한 추적이 가능하도록 시스템 로그인 정보와 복호화 로그를 연계하여 관리하는 방안 또한 검토해야 한다.
정보시스템감리검증 프레임웍에서 제시하는 것은? 본 논문에서 제시하는 검증 프레임웍의 기본적인 외형은 한국정보화사회진흥원의 ‘정보시스템감리검증 프레임웍’[10]의 육면체 구조를 참조했음을 미리 밝혀두는 바이다. 정보시스템감리검증 프레임웍에서는 정보시스템의 유지보수 및 구축하는 정보화사업 유형에 따른 각 단계별 과정에 따른 감리 관점과 점검 기준을 제시하고 있다. DB 암호화 과정 또한 이러한 정보화사업과 유사하게, DB 암호화 적용 전에 영향평가 및 상관관계 검토를 위한 기획/분석 단계를 거쳐, 실제 암호화 적용이 일어나는 구축/개발/테스트 단계를 거치고 암호화 및 복호화가 발생하고 지속적인 관리 감독을 위한 운영 단계를 거치게 된다.
질의응답 정보가 도움이 되었나요?

참고문헌 (10)

  1. KISA, "The Guide to Using Encryption," 2010. 01 

  2. KISA, "The Guide to Using Cryptographic Algorithm and Key Sizes," 2010.01 

  3. KISA, "The Guide to Managing of Private Information DB Encryption," 2010.01 

  4. KISA, "The Guide to Establishment of Encryption Policy in order to Protect IT Information Assets of Company," 2010.01 

  5. NIS, "Security Requirements for DB Encryption Product," 2010.04 

  6. KISA, "The Guide and Standard of Private Information Risk Analysis," 2012.03 

  7. FSA, "The Technical Analysis Report of Recent Trend DB Encryption and Security Technique," 2012.09 

  8. Ministry of Government Legislation, http://www.law.go.kr, Act on Promotion of Information and Communication Network Utilization and Information Protection 

  9. Ministry of Government Legislation, http://www.law.go.kr, Personal Information Protection Act 

  10. NIA, "The guide of Information System Audit and Check," V2.0, 2007.2 

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로