개인정보의 암호화 조치 안내서





                     불필요하거나 과도한 개인정보를 보유하는 경우 개인정보 관리를 위한 비용과 암호화 적용을 위한
                   시간 및 비용이 과다 소요되므로, 개인정보 암호화의 기본 전제는 불필요하게 보유하고 있는 개인
                   정보의 안전한 폐기라 할 수 있다. 또한 주민등록번호를 대체할 수 있는 방안도 함께 검토되어야 한다.


                     데이터 암호화를 적용하면 일반적으로 암호화 전보다 응답 속도 지연이나 시스템 사용률 증가 등

                   성능이 저하 될 수 있으며, 암·복호화 처리 절차를 최적화함으로서 이를 최소화 할 수 있다.
                  •Inner Join 등의 작업 시 불필요한 복호화 절차 제거
                  •Batch 처리 시 불필요한 복호화 제거
                  •부분 암호화 적용을 통한 복호화 절차 제거
                  •SQL 튜닝, 업무 프로세스 개선을 통한 성능 개선


                     일반적으로 Plug-In 방식(암·복호화 View Trigger를 이용하여 자동으로 암·복호화를 수행)  적용 시
                   성능 저하 가능성이 있으며, View Trigger를 이용하여 자동으로 수행 되는 암·복호화 부분에 대해
                   불필요한 암·복호화를 수행하지 않도록 구성하면 암·복호화 성능을 개선할 수 있다.



                     운영 시스템에 암호화를 적용하는 작업 수행 시 사전 준비, 암호화 이행, 이행 후 검증, 안정화 등의 작업
                   절차를 거치며 각 단계별 작업 사항에 대한 충분한 준비와 검토가 필요하다.
                  •작업 절차 정의 시 고려 사항
                    - 사전 준비 사항 확인
                    - 암호화 이행 절차 및 소요 시간 분석
                    - 이행 후 검증 방안 수립

                    - 백업 및 원복 방안 확보
                  •작업 담당자별 주요 역할과 책임 정의
                    - 의사결정 담당: 암호화 작업 진행 총괄 및 오픈, 원복 등의 주요 의사 결정
                    - 인프라 담당: 응용프로그램 백업, DBMS 백업, WAS 구동 등 인프라 관련 작업 수행
                    - 암호화 작업 담당: 암호화 이행 및 검증
                    - 응용프로그램 담당: 응용프로그램 소스 배포, 암호화 후 응용프로그램의 정상 동작 확인


                    암호화를 적용하게 되면 관리 프로세스, 데이터 형태, 응용프로그램 개발과 사용 시 기존 환경에서
                  변화되는 부분에 대한 고려가 필요하다.

                  •관리 프로세스 변경 및 추가
                    - 암호화 대상 및 정책 관리
                    - 암호화 키관리


              60