중요정보 송수신 암호화 관련

애플리케이션 검수를 진행하다보면 주민등록번호, 신용카드번호 등 중요정보 관련 문의사항이 오는 경우가 종종 있다.

 

막연하게 '중요정보는 암호화 하여 송수신 및 저장한다'라고 알고는 있지만,

 

어느 법규에 의거하는지 깊게 물어보면 즉답하기 꽤나 까다롭다.

 

하여, 비슷한 문의가 들어온 지금 정리하여 포스팅한다.

 

1. 개인정보의 기술적·관리적 보호조치 기준

https://www.law.go.kr/%ED%96%89%EC%A0%95%EA%B7%9C%EC%B9%99/(%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%9C%84%EC%9B%90%ED%9A%8C)%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EC%9D%98%EA%B8%B0%EC%88%A0%EC%A0%81%C2%B7%EA%B4%80%EB%A6%AC%EC%A0%81%EB%B3%B4%ED%98%B8%EC%A1%B0%EC%B9%98%EA%B8%B0%EC%A4%80/%EC%A0%9C6%EC%A1%B0 

(개인정보보호위원회)개인정보의기술적·관리적보호조치기준

 

제6조(개인정보의 암호화) ① 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장한다. ② 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다. 1. 주민등록번호 2. 여권번호 3. 운전면허번호 4. 외국인등록번호 5. 신용카드번호 6. 계좌번호 7. 생체인식정보 ③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다. 1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능 2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능 ④ 정보통신서비스 제공자등은 이용자의 개인정보를 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 이를 암호화해야 한다.

암호화 저장은 기본, 송수신의 경우 2가지 방법(SSL, 암호화) 중 하나의 기능만을 갖추면 위법은 아니다.

 

2. 신용정보감독규정

https://www.law.go.kr/%ED%96%89%EC%A0%95%EA%B7%9C%EC%B9%99/%EC%8B%A0%EC%9A%A9%EC%A0%95%EB%B3%B4%EC%97%85%EA%B0%90%EB%8F%85%EA%B7%9C%EC%A0%95

신용정보업감독규정

 

제20조(기술적ㆍ물리적ㆍ관리적 보안대책)의 별표 3을 보면 아래와 같다

 

제20조(기술적ㆍ물리적ㆍ관리적 보안대책)의 별표 3

 

이것도 마찬가지로 암호화 하여 저장하는 것은 기본이고, 송수신 시에 SSL을 적용하거나 별도의 암호화 응용프로그램으로 암호화 하여 송수신해야 한다.

 

---

다만 개인적인 경험상, SSL만 적용하고 중요정보(개인정보)를 모두 평문으로 보낸 사업체는 거의 없고 대부분 두 가지 모두 사용한다.

.