지난 2011년 3월, 개인정보보호법 제정에 따라 업무적으로 암호화 대상이 되는 개인정보를 취급하는 개인정보처리자는 해당 개인정보처리시스템에 대한 DB 암호화를 적용해야 한다. 또한 이에 맞추어 법 집행 및 이행 기관인 관련 당국에서는 이러한 DB 암호화 규정이 제대로 적용되고 이행되고 있는지 관리 감독을 강화하고 있다. 그러나, DB 암호화라는 과정 자체가 시스템 및 업무 절차 등 현실적으로 고려해야 할 요소가 많고 DB 암호화 시 투입되는 시간 및 비용 또한 만만치 않다. 게다가 암호화 규정에 따른 암호화 기준 및 가이드에 비해 실질적으로 고려해야 할 요소들이 상당히 많음에도 불구하고 아직까지 암호화와 관련된 보다 구체적이고 현실적인 검증 항목이 다소 부족한 것으로 보인다. 이에 본 논문에서는 법규 준수의 의무가 있는 수범자, 즉, 개인정보처리자의 입장과 이러한 법규 준수에 대한 점검 및 통제 의무가 있는 관련 당국의 규제 기관 등에서 상호간 건전하고 합리적인 시각에서 DB 암호화에 대하여 현실적이고 구체적인 방향성을 제시하고자 DB 암호화 시 반드시 고려해야 할 DB 암호화 검증 프레임웍을 제안하고자 한다.
지난 2011년 3월, 개인정보보호법 제정에 따라 업무적으로 암호화 대상이 되는 개인정보를 취급하는 개인정보처리자는 해당 개인정보처리시스템에 대한 DB 암호화를 적용해야 한다. 또한 이에 맞추어 법 집행 및 이행 기관인 관련 당국에서는 이러한 DB 암호화 규정이 제대로 적용되고 이행되고 있는지 관리 감독을 강화하고 있다. 그러나, DB 암호화라는 과정 자체가 시스템 및 업무 절차 등 현실적으로 고려해야 할 요소가 많고 DB 암호화 시 투입되는 시간 및 비용 또한 만만치 않다. 게다가 암호화 규정에 따른 암호화 기준 및 가이드에 비해 실질적으로 고려해야 할 요소들이 상당히 많음에도 불구하고 아직까지 암호화와 관련된 보다 구체적이고 현실적인 검증 항목이 다소 부족한 것으로 보인다. 이에 본 논문에서는 법규 준수의 의무가 있는 수범자, 즉, 개인정보처리자의 입장과 이러한 법규 준수에 대한 점검 및 통제 의무가 있는 관련 당국의 규제 기관 등에서 상호간 건전하고 합리적인 시각에서 DB 암호화에 대하여 현실적이고 구체적인 방향성을 제시하고자 DB 암호화 시 반드시 고려해야 할 DB 암호화 검증 프레임웍을 제안하고자 한다.
According to the Personal Information Protection Act(PIPA) which is legislated in March 2011, the individual or company that handles personal information, called Personal information processor, should encrypt some kinds of personal information kept in his Database. For convenience sake we call it DB...
According to the Personal Information Protection Act(PIPA) which is legislated in March 2011, the individual or company that handles personal information, called Personal information processor, should encrypt some kinds of personal information kept in his Database. For convenience sake we call it DB Encryption in this paper. Law enforcement and the implementation agency accordingly are being strengthen the supervision that the status of DB Encryption is being properly applied and implemented as the PIPA. However, the process of DB Encryption is very complicate and difficult as well as there are many factors to consider in reality. For example, there are so many considerations and requirements in the process of DB Encryption like pre-analysis and design, real application and test, etc.. And also there are surely points to be considered in related system components, business process and time and costs. Like this, although there are plenty of factors significantly associated with DB Encryption, yet more concrete and realistic validation entry seems somewhat lacking. In this paper, we propose a realistic DB Encryption Assurance Framework that it is acceptable and resonable in the performance of the PIPA duty (the aspect of the individual or company) and standard direction of inspection and verification of DB Encryption (the aspect of law enforcement).
According to the Personal Information Protection Act(PIPA) which is legislated in March 2011, the individual or company that handles personal information, called Personal information processor, should encrypt some kinds of personal information kept in his Database. For convenience sake we call it DB Encryption in this paper. Law enforcement and the implementation agency accordingly are being strengthen the supervision that the status of DB Encryption is being properly applied and implemented as the PIPA. However, the process of DB Encryption is very complicate and difficult as well as there are many factors to consider in reality. For example, there are so many considerations and requirements in the process of DB Encryption like pre-analysis and design, real application and test, etc.. And also there are surely points to be considered in related system components, business process and time and costs. Like this, although there are plenty of factors significantly associated with DB Encryption, yet more concrete and realistic validation entry seems somewhat lacking. In this paper, we propose a realistic DB Encryption Assurance Framework that it is acceptable and resonable in the performance of the PIPA duty (the aspect of the individual or company) and standard direction of inspection and verification of DB Encryption (the aspect of law enforcement).
2011년 3월에 제정된 개인정보보호법[9]에 따라 업무적으로 고유식별정보에 해당하는 개인정보를 취급하는 개인정보처리자는 해당 고유식별정보에 대하여 지난 2012년 12월까지 암호화 하도록 의무화 되었다. 개인정보보호법에서 말하는 고유식별정보란 주민번호, 외국인등록번호, 여권번호 및 운전자 등록 번호를 가리키며 고유하게 개인을 식별할 수 있는 정보를 뜻한다.
복호화 로그를 어느 수준으로 남기고 이를 모니터링 할 것인지 고려해야하는 이유는?
개인정보취급자 및 DB 암호화 관리자의 복호화 이력과 더불어 시스템에서 발생하는 복호화 로그를 어느 수준으로 남기고 이를 모니터링할 것인지에 대하여 현실적인 고민이 필요하다. 그러한 이유는 특히, 일반적으로 시스템에서 발생하는 복호화 이력은 그 양이 상당하기에 대부분의 기업에서는 해당 로그를 남기지 않는 경우가 많으나, 이러한 경우 사고 예방을 위한 모니터링 및 사고 발생 시 추적이 곤란하기 때문에 대량의 일괄처리형 작업의 경우는 로그를 남기지 않고 이외에 개인정보처리자가 시스템에 로그인하여 개인정보를 취급(복호화)하는 경우에 대해서만 로그를 남기는 방안을 검토해야 한다. 또한 시스템을 통해 로그를 남기는 경우, 해당 사용자에 대한 추적이 가능하도록 시스템 로그인 정보와 복호화 로그를 연계하여 관리하는 방안 또한 검토해야 한다.
정보시스템감리검증 프레임웍에서 제시하는 것은?
본 논문에서 제시하는 검증 프레임웍의 기본적인 외형은 한국정보화사회진흥원의 ‘정보시스템감리검증 프레임웍’[10]의 육면체 구조를 참조했음을 미리 밝혀두는 바이다. 정보시스템감리검증 프레임웍에서는 정보시스템의 유지보수 및 구축하는 정보화사업 유형에 따른 각 단계별 과정에 따른 감리 관점과 점검 기준을 제시하고 있다. DB 암호화 과정 또한 이러한 정보화사업과 유사하게, DB 암호화 적용 전에 영향평가 및 상관관계 검토를 위한 기획/분석 단계를 거쳐, 실제 암호화 적용이 일어나는 구축/개발/테스트 단계를 거치고 암호화 및 복호화가 발생하고 지속적인 관리 감독을 위한 운영 단계를 거치게 된다.
참고문헌 (10)
KISA, "The Guide to Using Encryption," 2010. 01
KISA, "The Guide to Using Cryptographic Algorithm and Key Sizes," 2010.01
KISA, "The Guide to Managing of Private Information DB Encryption," 2010.01
KISA, "The Guide to Establishment of Encryption Policy in order to Protect IT Information Assets of Company," 2010.01
NIS, "Security Requirements for DB Encryption Product," 2010.04
KISA, "The Guide and Standard of Private Information Risk Analysis," 2012.03
FSA, "The Technical Analysis Report of Recent Trend DB Encryption and Security Technique," 2012.09
Ministry of Government Legislation, http://www.law.go.kr, Act on Promotion of Information and Communication Network Utilization and Information Protection
Ministry of Government Legislation, http://www.law.go.kr, Personal Information Protection Act
NIA, "The guide of Information System Audit and Check," V2.0, 2007.2
※ AI-Helper는 부적절한 답변을 할 수 있습니다.