안녕하세요
회사가 주민번호를 포함한 개인정보를 보유하고 있는데요
개인정보 보호법 차원에서 문제가 없으려면
어떠게 해야 할까요? ^^;;;
가르침 부탁드려요~
1.DB 암호화 로 충분
2.DB 접근제어 로 충분
3.둘다 (둘다 지원하는 제품도 있더군요...)
4.암호화 후 나중에 접근제어ㅋ
5.접근제어 후 나중에 암호화
6.기타
개인정보 DB 암호화 ,접근제어 선택? 문제
안녕하세요
회사가 주민번호를 포함한 개인정보를 보유하고 있는데요
개인정보 보호법 차원에서 문제가 없으려면
어떠게 해야 할까요? ^^;;;
가르침 부탁드려요~
1.DB 암호화 로 충분
2.DB 접근제어 로 충분
3.둘다 (둘다 지원하는 제품도 있더군요...)
4.암호화 후 나중에 접근제어ㅋ
5.접근제어 후 나중에 암호화
6.기타
7개의 답변이 있습니다.
전산관리를 하는 사람중 한사람으로 둘다 도입하셔야 합니다.
간단하게 도입하신다면 DB암호화는 업체에 맡기시고요.(범위는 전체를 하느냐, 일부만 하느냐에 따라 금액 틀려짐), 접근 제어는 IP Sec을 이용하거나 ID로 접근 제어하시면 됩니다.
법에는 암호화와 접근제어만 하면 된다고 나와있으므로 어떤 형태로든 하시면 됩니다.
가장 저렴하고 법에 접촉되지 않는 범위에서 진행하시면 됩니다.
짧은 소견이였습니다.^^;;;
저희회사도 진행중인데 솔루션의 문제가 아니라 접근을 제어하고 개인정보는 암호화 하도록 되어있습니다.그래서 암호화 솔루션이나 접근제어 솔루션이나 둘다 각각의 일부기능들을 제공하고 있습니다.
접근제어 솔루션은 전문적으로 접근하는 걸 제어하고 로깅을 남기며 db의 변동사항등을 통제하는 것체 초점이 맞춰저 있고 부족하지만 솔루션내부적으로 조회시 암호화해서 보여주는 기능을 제공하고 있습니다.
암호화 솔루션은 테이블의 개인정보를 암호화해서 이역시 db에 접근하는 걸 일부 제어 할 수 있는 기능을 제공합니다.
가격은 접근제어보단 암호화가 비싸고 암호화하면 성능의 이슈,프로그램 수정의 이슈가 있으므로 잘 고민해야 하며 각 솔루션을 상담받은 뒤 법에서 요구하는 기능을 맞출 수 있는지 확인해봐야 합니다.
위 질문보다, 지금 현재 사용하고 계시는 DB제품 이름이 궁금합니다.
저는 MS쪽 기술지원 엔지니어로 말씀을 드리는데요.
DB암호화를 단순히 컬럼만 암호화를 하실 껀지..
DB전체를 암호화 하실껀지...
각각 하고자 하시는 부분에 따라 다릅니다.
DB 컬럼에 대한 암호화는 해당 소스와 해당 컬럼만 변경을 하시면 될 듯..
DB 전체에 대한 암호화도 마찬가지겠지요... 하지만, 거의 전반적으로 변경이 되어야 할 듯합니다.
만약에 사용하시는 DB가 MS SQL Server 2012 Enterprise 버전 이상,
이라면 TDE 기능만 쓰셔도 DB암호화에 대한 부분은 정리 하실 듯 합니다.
접근제어는 SQL에서 기본적으로 사용하는 부분이라 크게 신경 쓸 것은 없습니다.
Oracle은 제가 다루는 제품이 아니라서 ^^;; 정보를 드릴 수 없네요..
개인 정보 보호 법 상 두 개 다 도입되어야 합니다.
주민번호는 올해 10월까지 삭제 해야 됩니다.
결국 암호화 대상이 아니라는 이야기죠
암호화는 비밀번호 및 개인정보 쪽이 되는거죠
삭제를 안해도 되는 경우는 관련법 상 주민번호의 수집이 가능하다는 규정이 있어야 합니다.
개인정보보호법이 아닌, 현재 사용하는 어플리케이션에서 관련법이 있어야 한다는 이야기지요
( 공공기관이나 가능한 이야기죠..)
접근제어 든 암호화든 솔루션을 안쓰고도 가능합니다만,
(디비에서 동일한 기능을 제공합니다. )
그렇게 하라고 하면 퇴사하는것을 추천합니다...
디비 담당하는 사람이 죽어납니다.
그래서 접근제어/암호화 솔루션을 도입해야 하는 이유가 되기도 합니다.
암호화를 도입하면 디비가 느려지는 것은 감안하셔야 해요..
최소 20% 정도는 느려지죠
그래서 이전에 튜닝을 먼저 해두는것도 하나의 방법입니다.
MS-SQL이라면 튜닝을 저한테 연락 주시면 됩니다 ^_^
저도 궁금한 내용인데 좀 더 확실한 답이 궁금하군요 ^^
법 자체 항목으로 보면 둘다 도입하셔야 맞습니다.
8월부터 적용 되는 개정법 항목은 자세히 보지 못하였으나 일전 법으로 본다면
한가지 솔루션으로는 항목을 충족하기 어렵습니다.
다만 한가지라도 도입되어 있어야 면책사유의 여지가 있겠지요.
암호화나 접근제어 중 하나만 해도 법적으로는 문제 없지 않나요??? 지난달에 교육가서 이야기 들었는데 졸면서 들었더니 확실하지는 않아요 ㅋ