개인정보의 암호화
1. 개인정보란?
개인정보보호법 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.
1. "개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조(정의) ① 이 법에서 사용하는 용어의 뜻은 다음과 같다.
6. "개인정보"란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.
2. 개인정보 보호(개인정보 암호화) 근거법령
개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 합니다.
만약 개인정보보호를 위한 기술적·관리적 및 물리적 조치를 취하지 않은 개인정보처리자에게는 3천만원 이하의 과태료를 부과할 수 있으며, 동 조치를 취하지 아니하여 개인정보를 분실·도난·유출·위조·변조 또는 훼손당한 경우 2년 이하의 징역 또는 2천만원 이하의 벌금에 처해질 수 있습니다.
개인정보보호법 제29조(안전조치의무)
개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.
제73조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다.
1. 제24조제3항, 제25조제6항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실·도난·유출·위조·변조 또는 훼손당한 자
3. 개인정보의 암호화
암호화란 일상적인 문자로 쓰인 평문을 암호키를 소유하지 않은 사람이 알아볼 수 없도록 기호 또는 다른 문자 등의 암호문으로 변환하는 방법으로 정보의 기밀성 및 무결성, 사용자 인증 등을 위해 광범위하게 이용하고 있습니다.
최근 사회 전 분야에 걸쳐 개인정보 유출사고의 지속적인 발생으로 인해 제정된 개인정보보호법에 개인정보에 대한 안전성을 확보하기 위한 조치의무를 규정하고 있으며 전송 또는 저장 정보의 암호화 조치는 선택이 아닌 반드시 수행해야 할 법적 의무입니다.
1) 대칭키 암호화
대칭키 암호화 방식은 전송하고자 하는 평문을 암호화하고 복호화하는데 동일한 키를 사용하는 방식입니다. 대칭키 암호화 방식은 공개키 암호화 방식에 비해 빠른 처리속도를 제공하고, 암호키의 길이가 공개키 암호화 방식보다 상대적으로 작아서 일반적인 정보의 기밀성을 보장하기 위한 용도로 사용되고 있습니다.
반면에 정보 교환 당사자 간에 동일한 키를 공유해야 하므로 여러 사람과의 정보 교환 시 많은 키를 유지 및 관리해야 하는 어려움이 있습니다. 대표적인 대칭키 암호 알고리즘은 국내의 SEED, ARIA, 미국의 DES, Triple-DES, AES, 유럽의 IDEA, 일본의 FEAL, MISTY 등이 있습니다.
2) 공개키 암호화
공개키 암호화 방식은 공개키와 개인키의 키 쌍이 존재하여 평문을 암·복호화하는데 서로 다른 키를 사용하는 방식으로 비대칭키 암호화 방식이라고도 불립니다.
공개키 암호화 방식은 데이터 암호화 속도가 대칭키 암호화 방식에 비해 느리기 때문에 일반적으로 대칭키 암호화 방식의 키 분배나 전자서명 또는 카드번호와 같은 작은 크기의 데이터 암호화에 많이 사용되고 있습니다.
대표적인 공개키 암호 알고리즘으로는 국내에는 KCDSA가 있으며 국외에서는 RSA, ElGamal, ECC 등이 있습니다.
3) 대칭키&공개키 하이브리드 암호화
결합된 암호 시스템을 요약하면, 대칭키 암호 시스템으로 속도를 높이고, 공개키 암호 시스템으로 대칭키 암호에 사용되는 세션키(Session Key)를 보호하는 방식을 뜻합니다. 이러한 하이브리드 암호 시스템의 장점은 대칭키 암호의 장점인 빠른 처리 속도와 비대칭 암호, 즉 공개키 암호의 장점인 키 배송문제의 편리함을 꼽을 수 있습니다.
이러한 시스템의 원리는 우선 평문을 대칭 암호로 암호화 하고 평문을 암호화 할 때 사용했던 대칭 암호키를 공개키 암호로 암호화하는 것입니다. 따라서 대칭키 암호화 공개키 암호의 장점을 흡수한 통신이 가능하게 됩니다.
기존의 대칭키 암호 시스템을 사용하면 기밀성(Confidentiality)을 유지한 통신이 가능합니다. 그러나 대칭 암호를 실제 운용하기 위해서는 키 배송 문제를 해결할 필요가 있습니다. 이에 공개키 암호를 사용하면 복호화에 사용할 키를 배송할 필요가 없어지기 때문에 대칭키 암호가 근본적으로 가지고 있는 키배송 문제를 해결할 수 있게 됩니다.
4) 일방향(해쉬함수) 암호화
일방향 암호화 방식은 해쉬함수를 이용하여 암호화된 값을 생성하며 복호화 되지 않는 방식을 뜻합니다.
해쉬함수는 임의의 길이를 갖는 메시지를 입력으로 하여 고정된 길이의 해쉬값 또는 해쉬 코드라 불리는 값을 생성하며, 동일한 입력 메시지에 대해 항상 동일한 값을 생성하지만 해쉬값만으로 입력 메시지를 유추할 수 없어 전자서명 체계와 함께 데이터의 무결성을 위해 사용됩니다.
비밀번호와 같이 복호화가 필요 없지만 입력 값의 정확성 검증이 필요한 경우에 사용하고 있습니다. 대표적인 해쉬함수로는 SHA-2(SHA-224/256/384/512, RIPEMD-160 등과 국내에서 개발한 HAS-160이 있습니다.
법무법인 조율 정동근 변호사
지식재산권법 전문변호사 (대한변호사협회)
부동산 전문변호사 (대한변호사협회)
(06606)서울시 서초구 서초대로 301, 19층(서초동, 동익성봉빌딩)
직통전화 : 02-533-5558, 팩스 : 02-3476-7796
E-Mail: jdglaw1@hanmail.net
