'개인정보보호법'은 개인정보를 취급하는 모든 웹사이트는 개인정보를 데이터베이스에 저장할 경우 암호화하여 저장하도록 강제하고 있습니다.

① 비밀번호 암호화

비밀번호의 경우 단방향 암호화의 안전한 암호화 알고리즘을 사용하여야 합니다.

비밀번호 암호화시 Salt를 사용하고 비밀번호와 Salt의 적절한 배열법을 지정하여 사용하도록 하고 있습니다.

이때 사용되는 Salt의 관리는 별도의 서버에 보관하고 관리하여야 합니다.

"큐리스"는 비밀번호 암호화를 위해 SHA256 암호화 알고리즘을 사용하여 단방향 암호화를 제공합니다.

또한, 접근제한이 되는 Salt관리서버를 통해 관리하며, 사용자가 Salt 배열법을 정의할 수 있고, 필요시 Salt를 변경 관리할 수 있도록 합니다.

② 개인정보암호화

개인정보의 암호화는 복호화가 가능한 안전한 암호화 알고리즘의 양방향의 블럭암호화를 사용하여야 합니다.

암호화 대상은 개인식별정보(주민등록번호 등)을 지정하고 있으나, 개인의 단편적 정보 조합도 개인을 특정할 수 있으므로 암호화 대상이 될 수 있습니다.

암호화 대상 정보는 이메일, 휴대전화번호, 주소, 접속IP 등을 선택할 수 있습니다.

암•복호화에 사용하는 암호키는 별도의 저장서버에 안전하게 관리되어야 합니다.

큐리스는 양방향 암호화 알고리즘으로 AES256/CBC를 사용하며, 접근통제 되는 분리된 서버를 통해 암호키 관리를 합니다.

키관리서버와 암호화 클라이언트간의 통신은 암호화통신을 통해 이루어 집니다.

KISA : 암호기술 구현 안내서, 개인정보 DB암호화 관리 안내서, 개인정보 암호화 조치 안내서

최근 개인정보 유출 사고가 언론에 많이 보도되고 있습니다.

개인정보란 개인을 직접 식별할 수 있는 주민등록번호, 외국인등록번호 등과 같은 정보와  개별 정보로는 개인을 식별할 수 없으나, 여러 정보를 조합하여 개인을 식별할 수 있는 정보로 나뉩니다.

개인정보보호법에서는 개인을 식별할 수 있는 주민등록번호 정보는 허가된 경우를 제외하고는 수집할 수 없도록 규정하고 있습니다.

과도한 개인정보의 수집은 조합된 정보를 통해 개인을 직접 식별할 수 있게 하므로 정보유출에 따른 피해가 발생될 수 있습니다.

따라서, 웹사이트 운영시 과도한 개인정보의 수집을 하지 않아야 하며, 수집된 정보는 내부지침에 따라 반드시  암호화하여 관리하는 것이 필요합니다.

개인정보보호법 시행이전에는 분야별 개별법에 의해 개인정보 의무적용 대상이 약 51만이었으나, 시행이후에는 72개 업종 350만 전체 사업자로 크게 확대 되었습니다.

기존의 공공기관, 신용정보 제공이용자, 정보통신 서비스 제공자, 여행사, 백화점 등 준용사업자에 포털, 금융기관, 병원, 학원, 일반사업자, 협회, 동창회 등 모든 분야의 개인정보 취급자로 확대 되었습니다.

따라서, 개인정보를 수집하고 이를 토대로 로그인 기능을 제공하는 대다수의 단체가 운영하는 웹사이트는 반드시 개인정보를 암호화하여 관리하여야 하는 의무가 있습니다.

웹사이트에서 수집되는 개인정보는 데이터베이스에 저장이 되는데 통상 사람이 읽어서 이해할 수 있는 평문으로 저장됩니다.

개인정보를 평문으로 저장한 데이터베이스가 악의를 가진 사용자에 의해 유출된다면 개인정보는 악의적인 목적으로 사용될 수 있습니다.

평문으로 저장된 개인정보의 예
이름       이메일
홍길동    hong@email.com

따라서, 개인정보보호법은 개인정보 유출에 따른 피해를 방지하기 위해 개인정보는 암호화하여 암호문으로 저장할 것을 강제하고 있습니다.

암호화 방법은 크게 두가지가 있는데, 암호화하면 해독할 수 없는 일방향 암호화와 암호키를 사용해 암호화하고 정보를 해독하고자 할 때는 암호키를 사용해 복호화하는 양방향 암호화가 있습니다.

비밀번호암호화(일방향)
비밀번호+Salt -> hash암호문

개인정보 암호화(양방향)
평문 + 암호키 -> 암호문
암호문 + 암호키 -> 평문

비밀번호와 같은 정보는 해독이 불가능한 일방향 암호화 방법이 사용하며, 정보로서 사용되는 개인정보들은 암호키를 사용해 해독이 가능한 양방향 암호화 방법이 사용됩니다.

암호화된 정보인 암호문를 담고 있는 데이터베이스가 유출자에 의해 유출되더라도 암호키가 없으면 개인정보가 악용되는 것을 막을 수 있습니다.

이것이 개인정보를 왜 암호화해야 하는지에 대한 이유입니다.

암호문으로 저장된 개인정보의 예
이름       이메일
홍길동    MSSAPI1.0@Uf4wadX/3VGkFJhqnSiNo+c=

이때, 주의할 점은 암호화에 사용된 암호키는 암호문이 저장된 곳과 분리된 곳에 안전하게 보관되어야 한다는 것입니다.

암호문이 저장된 데이터베이스와 암호키가 함께 유출된다면 평문 정보가 유출된 것과 다름이 없기 때문입니다.

SHA(Secure Hash Algorithm, 안전한 해시 알고리즘) 함수들은 서로 관련된 암호학적 해시 함수들의 모음이다.

이들 함수는 미국 국가 안전 보장국(NSA)이 1993년에 처음으로 설계했으며 미국 국가 표준으로 지정되었다.
SHA 함수군에 속하는 최초의 함수는 공식적으로 SHA라고 불리지만, 나중에 설계된 함수들과 구별하기 위하여 SHA-0이라고도 불린다.

2년 후 SHA-0의 변형인 SHA-1이 발표되었으며, 그 후에 4종류의 변형, 즉 SHA-224, SHA-256, SHA-384, SHA-512가 더 발표되었다. 이들을 통칭해서 SHA-2라고 하기도 한다.

SHA-1은 SHA 함수들 중 가장 많이 쓰이며, TLS, SSL, PGP, SSH, IPSec 등 많은 보안 프로토콜과 프로그램에서 사용되고 있다.

SHA-1은 이전에 널리 사용되던 MD5를 대신해서 쓰이기도 한다. 혹자는 좀 더 중요한 기술에는 SHA-256이나 그 이상의 알고리즘을 사용할 것을 권장한다.

SHA-0과 SHA-1에 대한 공격은 이미 발견되었다. SHA-2에 대한 공격은 아직 발견되지 않았으나, 전문가들은 SHA-2 함수들이 SHA-1과 비슷한 방법을 사용하기 때문에 공격이 발견될 가능성이 있다고 지적한다.

미국 표준 기술 연구소(NIST)는 SHA-2로 불리는 새로운 암호화 해시 알고리즘에 대한 후보를 공모하였다.

고급 암호화 표준(AES)(AES, Advanced Encryption Standard)은 미국 정부 표준으로 지정된 블록 암호 형식이다.

이전의 DES를 대체하며, 미국 표준 기술 연구소(NIST)가 5년의 표준화 과정을 거쳐 2001년 11월 26일에 연방 정보 처리 표준(FIPS 197)으로 발표하였다.

2002년 5월 26일부터 표준으로 효력을 발휘하기 시작했다.

벨기에 암호학자인 존 대먼과 빈센트 라이먼에 의해서 만들어졌으며, 처음에는 두 사람의 이름을 합해서 레인달(Rijndael, [rɛindaːl])이라는 이름을 썼다.

128비트의 블록 크기를 가지고 있고 128, 160, 192, 224, 256비트 등 128비트 이상의 모든 32의 배수 비트 길이의 키를 사용할 수 있으며, 미국 표준으로 인정받은 것은 128비트이다.