개인정보보호법 (요약)

제7조(개인정보의 암호화)
① 영 제21조 및 영 제30조제1항제3호에 따라 암호화하여야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오정보를 말한다.

 

② 개인정보처리자는 제1항에 따른 개인정보를 정보통신망을 통하여 송·수신하거나 보조 저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.

 

③ 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.

 

④ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.

 

⑤ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.

 

1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과

 

2. 위험도 분석에 따른 결과

 

⑥ 개인정보처리자는 제1항에 따른 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.

 

⑦ 개인정보처리자는 제3항, 제4항 및 제5항에 따른 개인정보 저장시 암호화를 적용하는 경우, 이 기준 시행일로부터 3개월 이내에 다음 각 호의 사항을 포함하는 암호화 계획을 수립하고, 2012년 12월 31일까지 암호화를 적용하여야 한다. 단 인터넷 구간 및 인터넷
구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우 위험도 분석과 관계없이 암호화를 적용하여야 한다.

□ 개인정보 저장 시 요구되는 기술
  - 비밀번호 등 암호화된 정보를 다시 복원할 수 없어야 하는 정보는 일방향 해쉬함수를 이용
  - 주민등록번호 등 다시 복원할 수 있어야 하는 정보는 블록암호 알고리즘을 이용

 

⊙ 일방향 해쉬함수 ⇒ 비밀번호 등에 적용(다시 복호화할 수 없는 정보 저장 시)
   보안강도별 해쉬함수 분류

   

   

   

    

※ 권고 해쉬함수는 '11년 현재 기준으로 선정되었으며, IT환경(컴퓨팅 파워, 해킹 능력 등)이 변화하면 달라질 수 있다.

※ 현재 많은 응용에서 사용되고 있는 SHA-1은 알고리즘 변경에 따른 비용, 구축 시간 등을 고려하여 2013년까지 112비트 이상의 보안 강도를 가지는 해쉬함수로 변경 권고

 

⊙ 블록암호 알고리즘 ⇒ 바이오 정보, 주민등록번호, 신용카드번호, 계좌번호, 여권번호, 운전면허번호, 외국인등록번호 등에 적용(다시 복호화할 수 있는 정보 저장 시)

   

보안강도별 블록암호 알고리즘의 사용 권고 기간

   

   

   

   

   

※ 권고 알고리즘은 '11년 현재 기준으로 선정되었으며, IT환경(컴퓨팅 파워, 해킹 능력 등)이 변화하면 달라질 수 있다.

   

□ 개인정보 송·수신시 요구되는 기술
  - SSL 및 TLS와 같은 통신 암호기술 또는 응용프로그램에서 제공하는 암호화 방법을 사용
 ※ 웹서버에서 SSL/TLS 등의 보안 통신 기능을 적용하기 위한 보다 상세한 정보는 한국인터넷진흥원에서 발간한 「보안서버 구축 안내서」를 참조