데이터 암호화

출처 : 네트워크 타임즈 2013.04

1. DB 암호화 프로젝트 추진 시 유의할 점

1) 키 관리

- 암호화의 기본은 키가 데이터와 같이 있으면 안 된다는 것

- 암호화 키나 인증서를 철저하게 관리한다고 하면서 HSM(Hardware Security Module)과 같은 전용

   장비가 아닌 전산실 내에 있는 서버에 보관

- 각기 다른 키가 서로 다른 관리자에 의해 관리되고 있는 상황에서는 전사적인 키관리를 통합할 필요

- 주기적인 키의 변동 등의 관리가 행해져야 한다

2) 플러그인 형태로 획일적인 암호화 방법에 의존

- 애플리케이션을 일일히 수정하자니 협업 사용자, 애플리케이션 담당자, DB 관리자 등과 협의해야

   하는 일들이 너무 많아 DB 에만 손을 대는 것

- 가장 손쉽고 현실적인 방법으로 꼽히는 플러그인 방식 DB 암호화는 당장의 규제 대응에 효과적

2. 데이터 관련 규제 대응 방법

1) 개인정보 수집 범위 선정이 우선

- 기업이 반드시 인식해야 하는 사실은, 정보를 암호화하는 것보다 개인정보 수집 범위를 어디까지

   정하고, 보관해야 하는지 기준을 세우는 것

- 업무를 하나하나 살피면서 과연 수집해온 개인정보가 꼭 필요한가 

- 어느 선까지 있어야 하는지 점검하는 것이 첫 출발점

2) 개인정보 암호화의 다양한 방식을 수용

- 개인정보 보호도 다른 분야와 마찬가지로 단일 솔루션으로 해결할 수 없다.

- 개인정보의 유형과 이 정보를 이용하고 보관하는 서비스, 애플리케이션, 기기 등을 총체적으로

   고려해 최선의 방법을 선택해야.

업무용 백 오피스 시스템에서 관리자 권한으로 다른 지점의 고객, 지점내 모든 고객의 개인정보 조회후에 엑셀로 다운로드 받는 것은 개인정보 암호화 솔루션으로는 통제할 수가 없다.

엑셀 다운로드 시점에 해당 화면, 목적, 파기예정날짜 등을 기재토록 팝업을 띄우고 해당 정보는 DB 에 보관해 컴플라이언스 팀에서 "일일 컴플 점검" 형태로 진행해야 한다.

개인정보를 암호화해도 외부에 보여질 때는 주민번호 뒷자리 등은 마스킹을 해서 보이게 한다.

개인정보 검색 솔루션을 통해서 폐기되지 않고 개인적으로 보관하고 있는 개인정보파일을 검출하고 통제해야.

DRM 등도 부가적인 솔루션이라 할 수 있고 모바일, 태블릿에도 적용 필요

3) 개발 단계부터 암호화를 반영

3. DB 암호화 고려사항

개인정보보호법	- 현재 발효중인 개인정보보호법의 요건에 대한 만족 여부  - 조항의 해석과 관계없이 개인정보보호법의 사상 충족 여부
컴플라이언스	- PCI-DSS 등 각종 컴플라이언스 조건 만족 여부  - 정보보호와 관련된 국내, 해외 컴플라이언스 충족 여부
확장성	- DB 및 시스템 환경(클라우드 등)의 변화시 확장성  - 보호 대상의 확대 및 신규서비스 발생시 확작성
안전성	- 키관리에 대한 안전성  - 발생할 수 있는 각종 해킹 등의 공격에 대한 안전성
속도	- 기존 업무환경의 속도와 비교  - 향후 변경이 가능한 업무 환경의 속도와 비교