반응형

암호화 해야 하는 정보와 저장하면 안 되는 정보

 

https://library.gabia.com/contents/infrahosting/2665/

 

가비아 라이브러리

IT 콘텐츠 허브

library.gabia.com

 

어떤 정보들은 반드시 암호화하여 저장하거나, 혹은 데이터베이스에 저장해서는 안됩니다. 그 만큼 민감한 정보들이기 때문일 텐데요. 이런 정보에는 어떤 것들이 있는지 살펴보도록 하겠습니다.

암호화가 필요한 정보

암호화해야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오 정보를 말합니다. 정보통신 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’), 개인정보보호법 등에서 인터넷을 통해 유통되는 정보의 보호를 위해 암호기술을 구현하도록 규정하고 있습니다.

암호화해야 하는 개인정보 정보통신망법 개인정보보호법 적용 암호기술
비밀번호 O O 해쉬함수
바이오 정보 O O 블록암호
주민등록번호 O O
신용카드번호 O
계좌번호 O
여권번호 O
운전면허번호 O
외국인등록번호 O

 

※「개인정보 보호법」(이하 “법”이라 한다) 제24조제3항 및 제29조와 같은 법 시행령(이하 “영”이라 한다)

① 영 제21조 및 영 제30조제1항제3호에 따라 암호화하여야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오정보를 말한다.
② 개인정보처리자는 제1항에 따른 개인정보를 정보통신망을 통하여 송·수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
③ 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단 비밀 번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
④ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
⑤ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
2. 위험도 분석에 따른 결과
⑥ 개인정보처리자는 제1항에 따른 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.
⑦ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화 저장하여야 한다.
비밀번호, 바이오정보, 주민등록번호 등과 같은 주요 개인정보가 암호화되지 않고 개인정보처리 시스템에 저장되거나 네트워크를 통해 전송될 경우, 노출 및 위·변조 등의 위험이 있으므로 암호화 등의 안전한 보호조치가 제공되어야 한다.
※ “암호화”는 개인정보취급자의 실수 또는 해커의 공격 등으로 인해 개인정보가 비인가자에게 유·노출되더라도 그 내용 확인을 어렵게 하는 보안기술이다.

 

데이터베이스에 저장하면 안 되는 개인정보

개인정보보호법 23조에 의하면 “개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다.”라고 규정하고 있습니다. 즉, 개인정보처리자는 개인정보보호법에서 지정하는 예외항목을 제외하고는 주민등록번호를 처리할 수 없다는 의미입니다.

개인정보보호법

제23조(민감정보의 처리 제한) 개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
제24조(고유식별정보의 처리 제한) ① 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 “고유식별정보”라 한다)를 처리할 수 없다.
1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
② 삭제  <2013.8.6.>
③ 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.
④ 삭제  <2013.8.6.>
제24조의2(주민등록번호 처리의 제한) ① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.
1. 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 안전행정부령으로 정하는 경우
② 개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.
③ 안전행정부장관은 개인정보처리자가 제2항에 따른 방법을 제공할 수 있도록 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련ㆍ지원할 수 있다.
[본조신설 2013.8.6.]

민감한 정보들에 대한 규정을 살펴보았으니, 이번에는 이러한 정보들에 대한 암호화가 어떤 식으로 이루어지는지 알아보겠습니다.

대표적인 암호화 알고리즘

암호화 대상인 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호), 비밀번호, 바이오정보를 암호화 하는 경우 안전한 암호알고리즘으로 암호화하여 저장해야 합니다. “안전한 암호알고리즘”이란 국내 및 미국, 일본, 유럽 등의 국외 암호 연구 관련 기관에서 권고하는 알고리즘을 의미합니다.

구분 알고리즘 명칭
대칭키 암호 알고리즘 SEED

ARIA-128/192/256
AES-128/192/256
Blowfish
Camelia-128/192/256
MISTY1
KASUMI 등
공개키 암호 알고리즘 RSA

KCDSA(전자서명용)
RSAES-OAEP
RSAES-PKCS1 등
일방향 암호 알고리즘 SHA-224/256/384/512

Whirlpool 등

※ 암호알고리즘의 경우 국내외 암호전문기관의 최신 정보를 반드시 확인하도록 해야 합니다.

※ 공공기관은 “국가정보원(IT보안인증사무국) 검증대상 암호알고리즘 목록”을 참고하여 적용해야 합니다.

반응형
반응형

MS-SQL에서 내부적으로 지원하는 문서화되지 않은 문자열 함수인 PWDENCRYPT와 PWDCOMPARE를 통해 암호화 기능을 구현할수 있다.

 

<사용예제>

 

' 테이블을 생성한다, 암호화할 컬럼은 VARBINARY 타입으로 한다. 

CREATE TABLE MEMBER
(
  UserId VARCHAR(25),
  UserPwd VARBINARY(100)
)

' 데이터를 입력한다. 암호화할 컬럼은 PWDENCRYPT메소드를 이용해서 넣는다.

INSERT INTO MEMBER (UserId, UserPwd)

       VALUES ('smith', PWDENCRYPT('1234')) 

 

' 해당아이디를 가진 회원의 암호화된 비밀번호 컬럼과 입력한 문자열 비밀번호를

' PWDCOMPARE(입력문자열, 컬럼명) 메소드를 이용해 비교한다.

' 둘이 같으면 1 (true), 틀리면 0 (false)를 리턴하게 된다.

' 그리고 원문이나 암호문 둘 중 하나가 NULL 이면 NULL을 리턴하게 된다.

SELECT PWDCOMPARE('1234', UserPwd)

       FROM MEMBER WHERE UserId='smith'  ' 결과 : 1

 

결과를 살펴보면 대소문자는 구분하지 않음을 알 수 있다. 암호문의 경우 위에서 살펴본대로 대소문자를 분명 다르게 비교하였으나, PWDCOMPARE 함수에서는 대소문자를 무시하였다.

또한, 실행 결과를 보면 형태는 원문의 길이에 상관없이 30~35자 사이의 거의 일정한 길이의 암호문을 출력하는 것을 볼 수 있다.  테스트 결과 원문의 길이가 varchar 기준으로 128자를 넘었을 경우 에러를 발생 하였다.

반응형
반응형

암호화 해야 하는 정보와 저장하면 안 되는 정보
http://library.gabia.com/contents/infrahosting/2665

가비아 라이브러리

IT 콘텐츠 허브

library.gabia.com



반응형
반응형

[보안] 잘 보이는 곳에 비밀 메시지를 숨겨보자, 스테가노그래피


http://www.bloter.net/archives/289506




스테가노그래피는 그리스어로 ‘감춰져 있다’를 뜻하는 ‘stegano’와 통신을 뜻하는 ‘graphos’가 결합한 단어다.


그 기원은 고대 그리스로 거슬러 올라간다. 기원전 440년, 그리스의 왕 히스티아에우스는 다른 나라의 인질로 잡힌다. 양아들에게 밀서를 보낼 방법을 고민하던 히스티아에우스는 노예의 머리를 깎고 두피에 비밀 메시지를 문신으로 새겨넣었다. 곧 노예의 머리카락이 자라 문신이 보이지 않게 되자 히스티아에우스는 노예를 양아들에게 보냈다. 양아들은 노예의 머리를 다시 깎아 비밀 메시지를 확인할 수 있었다. 이 일화가 문서에 기록된 인류의 첫 스테가노그래피다.


스테가노그래피는 이후 디지털 세상으로 넘어와 여러 방법으로 진화했다. 많은 사람이 암호화 기법인 크립토그래피(cryptography)와 디지털 스테가노그래피를 헷갈리지만, 둘은 상이한 기법이다. 암호화 기법은 상대방이 이해할 수 없는 내용을 작성해 그 안에 비밀을 숨겨놓는다. 반면 디지털 스테가노그래피는 이미지, 오디오 파일, 동영상 클립, 텍스트 파일 등 무해해 보이는 객체 안에 비밀 메시지를 감춰두는 방식으로 그 내용을 숨긴다. 오늘날에는 테러범 혹은 정부 첩보기관이 정보를 주고받을 때 디지털 스테가노그래피 기법을 많이 사용한다.


2001년 9·11 테러 당시 오사마 빈 라덴이 테러범들과 메시지를 주고받을 때 사용된 기법도 스테가노그래피였다. 그는 모나리자 그림에 비행기 도면을 숨겨 테러범에게 전송했다. 2011년 북한이 남한 내 간첩조직과 교신할 때도 이 기법을 사용했다.


최근 스테가노그래피는 단순히 비밀 메시지를 전달하는 목적 외에도 멀웨어를 숨기는 데 빈번하게 사용되고 있다. 보안 솔루션 기업 맥아피는 스테가노그래피 기법을 이용한 사이버 공격 사례가 그 어느 때보다 다양해지고 있다고 분석했다.

맥아피에 따르면, 사이버 공격에 스테가노그래피가 처음 사용된 것은 2011년 출현한 악성코드 ‘두쿠'(Duqu) 사례다. 두쿠는 피해자의 시스템으로부터 정보를 수집해 JPEG 파일에 숨겨 자신의 제어 서버로 전송했다. 스테가노그래피는 2014년 말 ‘러크'(Lurk)라는 멀웨어가 악성코드를 유포하는 데도 사용됐다. 최근에는 이미지 스테가노그래피가 스테고로더와 여러 멀버타이징온라인 광고를 통한 악성코드 유포.close에 사용되고 있다. 지난달에는 스테가노그래피 기법을 이용한 랜섬웨어 유포 수법이 등장하기도 했다.


스테가노그래피가 해커들이 애용하는 공격 기법으로 떠오른 이유는 대부분 안티멀웨어 탐지를 우회할 수 있어 피해 예방이 매우 어렵기 때문이다. 하지만 가능한 대응 방안들은 존재한다. 


맥아피는 

▲이미지 소프트웨어의 도움을 받아 스테가노그래피로 의심되는 색상 차이를 탐색하기 

▲스테가노그래피 공격을 받을 때를 대비해 네트워크 세분화와 가상 시스템 아키텍처를 함께 활용할 것 

▲신뢰할 수 있는 공급 업체가 제공한 서명이 있는 애플리케이션만 설치할 것 

등 대응 방안을 소개했다.


스테가노그래피, 직접 만들어보자 


악용하지만 않는다면 디지털 스테가노그래피는 나만의 비밀을 숨길 수 있는 흥미로운 기법이다. 간단한 스테가노그래피는 무료 오픈소스 도구를 이용해 간편하게 만들 수 있다.

※ 인포섹이 꼽은 최고의 무료 스테가노그래피 도구들

...

반응형

+ Recent posts