• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

“개인정보보호법, 기존 DB암호화 기준해설 그대로 준용하면 안돼” 2011.03.30

기존 해설서만 그대로 준용하면 더 큰 개인정보보호 사고 발생

강조만 말고 대상기업 정확히, 어떻게 암호화해야 하는지 제시돼야


[보안뉴스 김정완] ‘개인정보보호법’이 3월 29일 공포돼 오는 9월 30일부터 법시행을 앞두고 있다. 그에 따라 개인정보보호법률이 위임하고 있는 사항을 구체화하는 시행령 및 시행규칙 등이 제정될 예정이다.

그중에서도 대부분의 개인정보 유출사고가 DB에 대한 분실·도난·유출·변조 또는 훼손에 따라 발생함에 따라 이를 관리·보안할 수 있는 DB암호화에 대한 관심이 집중되고 예상된다. 개인정보보호법에서 DB보안과 관련해 명확히 명시해 이를 준수해야 하는 것이 암호화이기 때문이다.


‘개인정보보호법’에서 고유식별정보의 처리 제한을 명시하고 있는 제24조 ③은 “개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다”고 하고 있다.


이는 DB암호화에 대한 부분으로 ‘대통령령으로 정하는 바에 따라’라는 것은 이후 법시행에 따라 시행령, 시행규칙 및 기준해설서에 이에 대한 상세한 내용이 담길 것으로 예상된다. 다만 이후 법시행으로 제정될 시행규칙이나 기준해설서가 기존 해설서의 수준에 머문다면 이는 결국 암호화는 했으나 유출 위험성은 여전히 존재하는 상황이 될 것이라고 업계는 지적하고 있다.


◇ 암호화된 DB에 웹쉘 등 이용해 복호키 접근해 암호 푼다면?

기업은 고객의 주민등록번호, 신용카드번호 등의 민감한 개인정보 DB는 암호화해 저장해야 한다. 하지만 언젠가는 복호화해 사용해야 한다. 암호화는 특정의 비트열을 가진 암호키를 사용해 정보의 의미를 알 수 없는 형식인 암호문으로 변환하는 것이고 복호화는 복호키를 사용해 원래의 정보를 복원하는 것이다. 즉 복호키를 갖고 있지 않은 사람은 정보를 올바르게 복원할 수 없으므로, 복호키가 제3자에게 알려지지 않으면 정보는 보호되는 것이다. 또한 당연히 복호키는 인가된 DB사용자가 인가된 조건에서만 사용할 수 있어야 암호화를 이용한 보안의 안전성이 성립되는 것이다.


그렇기에 ‘암호화 등 안전성 확보’에는 암호화는 물론 복호화를 포함하고 있다고 봐야 한다. 그런데 암·복호화된 특정 기업의 DB서버에 해커가 웹쉘 등을 이용해 복호키에 접근해 암호화된 DB를 정보로 활용하게 된다면? 또는 정상적으로 시스템을 관리하는 절차인 파일 백업(tar 유틸리티 또는 ufsdump를 이용해 DBMS가 설치된 폴더를 백업)을 했음에도 이 백업 파일이 유출된다면?


문제는 기존 암호화 관련 기준 가이드 등은 관리자에 대한 접근 이력 및 키 관리 등에 대해서는 위험성을 인지시키고 있지만 이러한 복호화 키에 대한 접근을 통제하는 것에 대한 가이드나 규정 등이 없다는 것이다. 특히 기술적으로도 기존 몇몇 DB암호화 적용형태에서도 보안이 취약하다고 보안전문가들은 지적한다.


DB암호화 업체 한 관계자는 “접근제어제품과 암호기능만을 가진 제품으로 별개 구성하는 형태 또한, DB접근제어 제품의 완벽하고 시기 적절한 통제의 어려움으로 인해 정보 유출이 될 가능성이 존재한다”고 말하고 “특히 문제가 되는 것은 두 개의 제품이 느슨한 결합 형태로 작동함에 따라 유출 시 책임소재에 대한 시비가 발생할 소지가 있다”고 지적했다.


또한 그는 “DB의 암호화 기능의 경우에는 법정 암호 알고리즘 지원이 불가하고 애플리케이션을 수정하지 않아도 되는 장점 외에는 성능·보안성 등의 모든 측면에서 커다란 문제점을 안고 있다”고 말하고 “또한 권한통제가 불가능해 암호화의 의미가 전혀 없는 경우도 있으며 이는 기업에게 있어 다시 암호화 구축해야 하는 이중 투자가 있을 수 있으며 이러한 문제점은 파일암호화 제품으로 DB를 암호화하는 경우에도 DB사용자에 대한 권한 통제가 불가능해 동일한 결과가 불가피하다”고 밝혔다.


◇ 기존 암호화 기준만 준용하는 건 ‘눈 가리고 아웅’...정확한 기준해설 필요

DB에 있는 개인정보를 암호화함에 있어서, 현재 가장 자세한 기준은 방송통신위원회의 지침서이고 DB암호화 제품이 유출 없이 안전하게 작동하기 위한 제품적 기준은 국가정보원의 ‘DB암호제품의 보안 요건’으로 업계는 판단하고 있다.


하지만 방통위의 기준해설서의 내용은 암호화 대상과 암호알고리즘(보안 강도)만 정의해 놓았고 핵심적인 키 기밀성이나 권한통제 부분에 대해서는 기준이 없는 실정이다.


그러다 보니 권한통제와 키 기밀성이 되지 않는 방법인줄 알면서도 암호화만 하면 되도록 규정된 요건 때문에 눈 가리고 아웅하는 식의 사례가 빈발하고 있어 장차 개인정보 유출사고로 이어질 가능성이 높다고 업계는 보고 있는 것이다.


즉 개인정보보호법 시행을 앞두고 정부는 시행령 및 시행규칙의 제정 및 기준해설서를 공표 할 텐데 기존의 해설서만을 그대로 준용하게 된다면, 더 큰 화를 부를 수 있다는 것.


이와 관련 업계 한 관계자는 “개인정보보호법을 제정한 기본 이념을 보건데, 지침·가이드라인대로 하면 적어도 인재가 아닌 구조적인 유출위험은 없어야 한다. 왜냐하면 지침대로 하고도 유출 사고가 나면 면책이 되기 때문이다”며 “하지만 사고의 원인이 기준이 잘못돼 발생한 것이라면 이는 정부의 책임이 되는 만큼 이번에 제대로 된 지침이 만들어져야 할 것”이라고 주장했다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>