보호대책 요구사항 - 2.7 암호화 적용

안녕하세요,

ISMS 인증 심사 중 보호대책 요구사항의 암호화 적용에 대하여 작성해보려 합니다.

참고하시어 보안 강화에 보탬이 되었으면 좋겠습니다.

 

 

2.7.1 암호정책 적용

✅ Details

개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다.

 

「정보통신망법 제28조, 개인정보 보호법 제29조」 개인정보 보호를 위한 기술적 조치 의무, 암호화 의무

암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가?

 

📌 조치 사항

 

1) 암호화 대상 범위

• DB 내 개인정보 필드, 파일 서버에 저장되는 주요정보, 네트워크 전송 구간(인터넷, 내부망)
  • 저장 시 AES-256 등 강력한 대칭키 암호화 적용
  • 전송 시 TLS 1.2 이상 프로토콜 사용
  • 이메일, 파일 공유 시 암호화 솔루션 적용

2) 암호 강도

• 비밀번호 정책
  • 최소 8~10자리 이상, 대문자, 소문자, 숫자, 특수문자 조합, 동일 문자 반복 제한
  • 비밀번호 변경 주기: 90일, 재사용 금지(최근 3회 이상) 정책 적용
• 암호화 알고리즘
  • 저장: AES-256, RSA-2048 이상
  • 해시: SHA-256 이상

3) 암호 사용 정책

• 암호화 적용 대상, 방식, 키 관리 절차 명시 → 암호 키 생성/배포/폐기 문서화 필수
• 키 교체 주기: 1년 또는 유출 시 즉시

---

2.7.2 암호키 관리

✅ Details

암호키의 안전한 생성·이용·보관·배포·파기를 위한 관리 절차를 수립·이행하고, 필요 시 복구방안을 마련하여야 한다.

 

「정보통신망법 제28조, 개인정보 보호법 제29조」 개인정보 보호를 위한 기술적 조치 의무, 안정성 확보 조치

암호키는 필요시 복구가 가능하도록 별도의 안전한 장소에 보관하고 암호키 사용에 관한 접근권한을 최소화하고 있는가?

 

📌 조치 사항

 

1) 암호키 생성

• 키 길이: 대칭키는 AES-256, 비대칭키는 RSA-2048 이상
• 키 생성 로그 기록 및 변경 이력 관리

2) 암호키 이용

• 키 사용 시 API 호출 로그 기록
• 키 사용 정책 위반 시 자동 차단 기능 설정 (지정된 시스템 및 프로세스에서만 사용)

3) 암호키 보관

• HSM(Hardware Security Module) 또는 키 관리 시스템(KMS)에 저장
• 키는 평문 저장 금지, 반드시 암호화하여 보관
• 키 접근 로그는 1년 이상 보관

4) 암호키 배포

• 키 배포 시 TLS 1.2 이상 암호화 채널 사용
• 배포 대상자 인증 및 승인 절차 필수 → 배포 이력 관리

5) 암호키 변경 & 파기

• 키 교체 주기: 1년 또는 유출 시 즉시
• 파기 시 복구 불가능한 방식으로 적용
  • 파기 후 검증 절차 수행 / 파기 이력 기록 및 관리자 승인 문서화

6) 암호키 복구 방안

• 키 손실 대비 복구용 백업키를 별도 안전한 장소에 보관
• 복구 절차는 관리자 2인 이상 승인 필요
• 복구 테스트를 정기적으로 수행(연 1회 이상)
  • 복구 시 로그 기록 및 감사 대응 준비

---

🔎 증적 자료 수집

• 암호화 적용 현황(저장 및 전송 시)
• 위험도 분석 결과(내부망 고유식별정보 암호화 미적용 시)
• 암호화 솔루션 관리 화면
• 암호키 관리대장 및 관리시스템 화면