세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[시큐리티 Q&A] 개인정보보호를 위한 선택, 암호화와 마스킹
  |  입력 : 2016-12-27 09:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
테이블 내 개인정보, 패스워드 필드만 별도로 암호화가 가능한가요?

[보안뉴스 원병철 기자] 테이블 내 개인정보, 패스워드 필드만 별도 암호화가 가능합니다. DB암호화 솔루션은 물론 DB자체에서도 Column 암호화를 지원하는 경우가 많습니다.
[김형구 현대백화점그룹 IT실 차장(tetisnmepis@naver.com)]
 

물론 가능합니다. 일례로, 보메트릭 데이터 시큐리티 플랫폼의 경우 성능 저하나 키 관리 복잡성 없이 모든 유형의 파일이나 별도의 필드만 암호화가 가능하기 때문에 데이터베이스 및 애플리케이션을 효과적으로 보호하며, 구축 및 관리가 용이한 단일 솔루션입니다.

또한, 보메트릭 인크립션은 리눅스, 유닉스, 윈도우 등 주요 플랫폼을 모두 지원하며, 정형 데이터뿐만 아니라 비정형 데이터를 효과적으로 보호합니다. 신제품인 보메트릭 토크나이제이션은 동적인 데이터 마스킹을 통해 신용카드 등 민감한 정보 노출을 최소화시켜 보안 효과를 극대화시킵니다.
[탈레스 보메트릭]

DB 암호화 적용방법은 솔루션별로 상이하며, 방식은 테이블 스페이스 암호화, 컬럼단위 암호화가 있습니다. 테이블 내 사용자가 원하는 개인정보 및 패스워드 필드에 대해 선택적인 암호화가 가능합니다.
[유현복 투씨에스지(hbyoo@tocsg.co.kr)]
 
가능합니다. 데이터베이스의 일부분 또는 전체에 대해서 권한이 없는 사용자가 접근하는 것을 금지하기 위해 대칭키 또는 비대칭키 암호 방식을 이용하여 암호화합니다.
[한국산업기술보호협회 중소기업기술지킴센터]
 
IBM Guardium Data Encryption 제품은 DB 상에서 개인정보가 포함된 테이블 단위로 암호화를 진행하며, MetaClear 기술을 기반으로 커널에서 DB 및 파일 등 데이터의 원천 저장소를 암호화하는 고성능 블록 암호화 솔루션입니다. 과거에는 고유식별번호, 특별히 주민등록번호에 집중해 한정적으로 암호화를 구성해 개별 필드당 암호화 방법 등이 선호되었으나, 애플리케이션에 대한 수정 개발 공수 및 성능 영향도로 인해 많은 고객에게 부담의 요소가 되어왔습니다.

최근 개인정보보호법의 개정사항을 보면 범위가 DBMS 뿐만 아니라 로그, 백업, 녹취, 이미지 등의 비정형 데이터까지로 확대됐고, 민감정보 유출에 대한 항목이 신설되는 등 보호대상 영역도 확대되고 있습니다. 이러한 법적 규제의 변화 추세로 볼 때 암호화는 더 이상 특정 개발 요건이 아닌 전사 인프라 요소로 인식 및 구현되는 것이 바람직합니다.
[조기원 IBM 실장]
 
전체 테이블을 암호화할 경우 특정 데이터처리 관련 쿼리가 입력될 시 모든 테이블을 복호화 해야 되는 부담이 발생하게 되어 현재 일반적인 DBMS에서는 대부분 특정 필드에 대한 암호화 기능이 제공되고 있습니다.
[이상수 한국전자통신연구원(sangsu@etri.re.kr)]

이미 출력한 문서 내 주민등록번호를 효과적으로 마스킹할 수 있는 방법에는 무엇이 있을까요?
 
주민번호 등 중요한 개인정보는 마스킹해서 출력이 가능한 솔루션은 많이 있는데, 질문과 같이 출력한 상태에서 중요정보를 마스킹을 하는 솔루션은 확인하지 못했습니다. 출력물에 주민번호가 소량으로 포함되었을 경우에는 그 부분만 화이트로 가리고 다시 복사하는 방식이 가능합니다.

포맷이 동일한 인쇄물에서 개인정보 표시 위치가 매 장마다 동일하다면 그 부분을 칼과 같은 도구로 오려내야 하지 않을까 생각합니다. 예산을 투자한다면, 좀 더 자동적인 방법으로는 출력물을 재스캔해 문자 인식되는 개인정보 검출 시스템에서 개인정보를 가리고 출력하는 방법이 가능할 것 같습니다.
[오원철 유니포인트 부장(k5172@hanmail.net)]
 
이미 출력한 문서라면 수정액이나 수정 테이프를 사용해 수작업으로 마스킹 작업을 하는 방법밖에 없을 것 같습니다.
[한국산업기술보호협회 중소기업기술지킴센터]
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



GDPR(유럽 개인정보보호법) 시행이 1년 앞으로 다가왔습니다. 여러분의 회사는 얼마나 준비를 하고 계신가요?
GDPR에 대한 모든 준비를 끝마쳤다
부족하지만 어느 정도 준비를 마쳤다
이대로는 어렵다. 전문가의 손길이 필요하다
전혀 준비가 안됐다. 차라리 유럽관련 사업을 접겠다
전혀 준비가 안됐다. GDPR 컨설팅 업체는 없는 건가?
GDPR이 뭐지? 잘 모른다
기타(댓글로)