본문 바로가기
웹/Hacking

중요정보 송수신 암호화 관련

by 즉흥 2022. 11. 7.
728x90
반응형

애플리케이션 검수를 진행하다보면 주민등록번호, 신용카드번호 등 중요정보 관련 문의사항이 오는 경우가 종종 있다.

 

막연하게 '중요정보는 암호화 하여 송수신 및 저장한다'라고 알고는 있지만,

 

어느 법규에 의거하는지 깊게 물어보면 즉답하기 꽤나 까다롭다.

 

하여, 비슷한 문의가 들어온 지금 정리하여 포스팅한다.

 

1. 개인정보의 기술적·관리적 보호조치 기준

https://www.law.go.kr/%ED%96%89%EC%A0%95%EA%B7%9C%EC%B9%99/(%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%9C%84%EC%9B%90%ED%9A%8C)%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EC%9D%98%EA%B8%B0%EC%88%A0%EC%A0%81%C2%B7%EA%B4%80%EB%A6%AC%EC%A0%81%EB%B3%B4%ED%98%B8%EC%A1%B0%EC%B9%98%EA%B8%B0%EC%A4%80/%EC%A0%9C6%EC%A1%B0 

 

(개인정보보호위원회)개인정보의기술적·관리적보호조치기준

 

www.law.go.kr

 

제6조(개인정보의 암호화) ① 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.
② 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다.
1. 주민등록번호
2. 여권번호
3. 운전면허번호
4. 외국인등록번호
5. 신용카드번호
6. 계좌번호
7. 생체인식정보
③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.
1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능
2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능
④ 정보통신서비스 제공자등은 이용자의 개인정보를 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 이를 암호화해야 한다.

암호화 저장은 기본, 송수신의 경우 2가지 방법(SSL, 암호화) 중 하나의 기능만을 갖추면 위법은 아니다.

 

2. 신용정보감독규정

https://www.law.go.kr/%ED%96%89%EC%A0%95%EA%B7%9C%EC%B9%99/%EC%8B%A0%EC%9A%A9%EC%A0%95%EB%B3%B4%EC%97%85%EA%B0%90%EB%8F%85%EA%B7%9C%EC%A0%95

 

신용정보업감독규정

 

www.law.go.kr

 

제20조(기술적ㆍ물리적ㆍ관리적 보안대책)의 별표 3을 보면 아래와 같다

 

제20조(기술적ㆍ물리적ㆍ관리적 보안대책)의 별표 3

 

이것도 마찬가지로 암호화 하여 저장하는 것은 기본이고, 송수신 시에 SSL을 적용하거나 별도의 암호화 응용프로그램으로 암호화 하여 송수신해야 한다.

 


다만 개인적인 경험상, SSL만 적용하고 중요정보(개인정보)를 모두 평문으로 보낸 사업체는 거의 없고 대부분 두 가지 모두 사용한다.

.

728x90
반응형

' > Hacking' 카테고리의 다른 글

User-Agent Switcher for Chrome  (0) 2022.11.03
취약한 HTTPS 점검 관련 정리  (0) 2022.09.15
"Scanner State 24 not Recognized" while trying XXE  (0) 2022.04.06
CRSF  (1) 2022.03.10
mitmproxy  (0) 2020.10.28
웹 사이트 검수할 때 참고하면 좋은 사이트  (43) 2019.07.01

댓글