Home » ISMS 인증기준 – 정보보호대책 (암호통제)

ISMS 인증기준 – 정보보호대책 (암호통제)

9.1 암호 정책

9.1.1 암호 정책 수립

조직의 중요정보 보호를 위하여 암호화 대상, 암호 강도(복잡도), 키관리, 암호사용에 대한 정책을 수립하고 이행하여야 한다. 또한 정책에는 개인정보 저장 및 전송 시 암호화 적용 등 암호화 관련 법적 요구사항을 반드시 반영하여야 한다.

  • 개인정보 등 중요정보의 전송 및 저장 시 안전한 보호를 위한 암호 정책을 수립 ∙ 이행하고 있는가?
ㅇ 조직 내 개인정보, 기밀정보, 영업정보, 인사정보와 같은 중요정보에 대해 전송 및 저장 시 다음과 같은 내용이 포함된 암호정책을 수립하여야 한다.

– 암호대상 : 취급 정보 민감도 및 중요도에 따라 정의
– 암호화 대상별 암호화 방식과 알고리즘 강도 정의
– 암호키 관리 대책
– 정보 전송 및 저장 시 암호화 방안
– 암호화 관련 시스템 운영 담당자 역할 및 책임 정의
– 암호화 관련 법적 요구사항 반영 (개인정보보호 관련 법률 등)

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호조치)
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ‘개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)’ 제6조(개인정보의 암호화)
– 개인정보보호법 ‘개인정보의 안전성 확보조치 기준(고시)’ 제7조(개인정보의 암호화)
– 전자금융거래법 ‘전자금융감독규정(고시)’ 제15조(해킹 등 방지대책) 및 제17조(홈페이지 등 공개용 웹서버 관리대책)
– 위치정보의 보호 및 이용에 관한 법률 제16조(위치정보의 보호조치 등)

  • 서비스 이용자 및 내부 사용자(임직원 등) 비밀번호 저장 시 암호화 정책을 수립 ∙ 이행하고 있는가?
ㅇ 관련 법률에 따라 이용자 및 내부 사용자(임직원 등)의 비밀번호는 안전한 알고리즘(예 : 128비트 이상. SHA 256, SHA384 등)을 통해 일방향 암호화하여야 한다.

– 법률에 따른 대상 이외의 서비스 및 시스템 비밀번호도 일방향 암호 알고리즘을 이용하여 암호화하는 것이 바람직하다.

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호조치)
– 개인정보보호법 ‘개인정보의 안전성 확보조치 기준(고시)’ 제7조(개인정보의 암호화)
– 전자금융거래법 ‘전자금융감독규정(고시)’ 제32조(내부사용자 비밀번호 관리) 및 제33조(이용자 비밀번호 관리)

  • 중요정보 저장 시 암호화 정책을 수립 ∙ 이행하고 있는가?
ㅇ 다음과 같은 법적 요구사항에 따라 개인정보 저장 시 암호화를 하여야 한다.

– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ‘개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)’ : 주민등록번호, 신용카드번호, 계좌번호를 안전한 알고리즘(128 비트 이상 보안강도 권고 : SEED, AES128 등)으로 암호화하도록 하고 있음
– 개인정보보호법 ‘개인정보의 안전성 확보조치 기준(고시)’ : 인터넷구간 및 인터넷구간과 내부망의 중간지점(DMZ)에 저장하는 고유식별정보(주민등록번호, 여권번호, 면허번호, 외국인등록번호)는 반드시 암호화하여야 하며 내부망에 고유식별정보를 저장할 경우에는 별도의 개인정보 영향평가, 위험도 분석을 시행하여 암호화 적용 여부를 정하도록 하고 있음

ㅇ 법률에서 정한 대상 이외의 개인정보(휴대폰 번호, 이메일 등), 기밀정보, 영업비밀과 같은 중요정보에 대해서도 저장 시 암호화를 고려하여야 한다.

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호조치)
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ‘개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)’ 제6조(개인정보의 암호화)
– 개인정보보호법 ‘개인정보의 안전성 확보조치 기준(고시)’ 제7조(개인정보의 암호화)

  • 정보통신망을 통해 중요정보를 송 ∙ 수신 하는 경우 암호화 정책을 수립 ∙ 이행하고 있는가?
ㅇ 다음과 같은 법적 요구사항에 따라 이용자의 개인정보 및 인증정보를 정보통신망을 통해 송 ∙ 수신 할 경우 암호화를 하여야 한다.

– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ‘개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)’ : 정보통신망을 통해 이용자의 모든 개인정보 및 인증정보를 송 ∙ 수신 할 경우 보안서버 구축(SSL 인증서 등) 등의 암호화를 하도록 하고 있음
– 개인정보보호법 ‘개인정보의 안전성 확보조치 기준(고시)’ : 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호), 비밀번호, 바이오정보를 정보통신망을 통해 내외부로 송 ∙ 수신하거나 보조저장매체를 통해 전달하는 경우 암호화 하도록 하고 있음

ㅇ 법률에서 정한 대상 이외의 중요정보를 정보통신망을 통해 송 ∙ 수신 및 보조저장매체를 통한 전달 시 암호화를 고려하여야 한다.

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호조치)
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ‘개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)’ 제6조(개인정보의 암호화)
– 개인정보보호법 ‘개인정보의 안전성 확보조치 기준(고시)’ 제7조(개인정보의 암호화)

  • 조직 내 중요정보를 개인용 컴퓨터(PC 등)에 저장할 경우 암호화 정책을 수립 ∙ 이행하고 있는가?
ㅇ 다음과 같은 법적 요구사항에 따라 개인정보를 개인용 컴퓨터(PC 등)에 저장할 경우 암호화를 하여야 한다.

– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ‘개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)’ : 서비스 이용자의 개인정보를 개인용컴퓨터(PC)에 저장할 때 암호화 하도록 하고 있음
– 개인정보보호법 ‘개인정보의 안전성 확보조치 기준(고시)’ : 업무용 컴퓨터에 고유식별정보를 저장할 경우 암호화하도록 하고 있음

ㅇ 법률에서 정한 대상 이외의 중요정보를 개인용 컴퓨터(PC 등)에 저장할 경우 암호화를 고려하여야 한다.

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호조치)
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ‘개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)’ 제6조(개인정보의 암호화)
– 개인정보보호법 ‘개인정보의 안전성 확보조치 기준(고시)’ 제7조(개인정보의 암호화)
– 상용소프트웨어에서의 암호기능 이용 안내서 (KISA)

9.2 암호키 관리

9.2.1 암호키 생성 및 이용

암호키 생성, 이용, 보관, 배포, 파기에 관한 안전한 절차를 수립하고 필요 시 복구방안을 마련하여야 한다.

  • 암호키 생성, 이용, 보관, 배포, 복구, 파기 등에 관한 절차를 수립 ∙ 이행하고 있는가?
ㅇ 암호키 생성, 이용, 보관, 배포, 파기에 대해 다음과 같은 항목이 포함된 정책 및 절차를 수립하고 이행하여야 한다.

– 암호키 관리 담당자 지정
– 암호키 생성, 보관(소산 백업 등) 방법
– 암호키 배포 대상자 정의 및 배포방법 (복호화 권한 부여 포함)
– 암호키 사용 유효기간 (변경주기)
– 복구 및 폐기 절차 및 방법 등

  • 암호키 생성 후 암호키는 별도의 안전한 장소에 소산 보관하고 암호키 사용에 관한 접근권한 부여를 최소화하고 있는가?
ㅇ 생성된 암호키는 암호키 손상 시 시스템 또는 암호화된 정보의 복구를 위하여 별도의 매체에 저장 후 안전한 장소에 보관(소산 백업 포함)하여야 한다.

ㅇ 암호키는 암호키를 이용하는 시스템(웹서버 또는 DB서버 등)에 저장할 수 있으나 물리적으로 분리된 서버에 저장하는 것이 좋다.

– 다만 암호키는 하드코딩 방식으로 구현하여서는 안된다.

ㅇ 암호키에 대한 접근권한 부여는 최소화하여야 한다.

  • 암호키 변경에 관한 정책을 수립 ∙ 이행하고 있는가?
ㅇ 암호기술 구현 안내서(KISA)에서 암호키의 사용기간은 최대 2년 유효기간은 최대 5년을 권고하고 있으나 암호키 변경 시 비용과 기업의 정보자산 및 업무 중요도를 고려하여 자체적으로 정하여 적용할 수 있다.

ㅇ 다만 암호키 유출, 암호시스템 해킹이 의심되는 경우, 즉시 암호키를 변경하여야 한다.

※ 참고 ※
– 암호기술 구현 안내서 (KISA, http://seed.kisa.or.kr)