대칭키 암호화 방식은 대칭키 알고리즘을 사용하여 평문을 암·복호화하는데 사용되는 키가 동일한 방식을 이야기 하며 대표적인 알고리즘으로는 AES, SEED, ARIA 등이 있으며 비대칭키 암호화 방식은 비대칭키 알고리즘을 사용하여 암호화하며 서로 다른 키(공개키와 개인키)를 사용하여 암·복호화 하는 방식을 말합니다. 대표적인 알고리즘으로는 RSA, ElGamal, ECC 등이 있습니다. 

공개키(비대칭키)는 일반적으로 데이터의 암호화 속도가 느리기 때문에 주로 키 분배 또는 전자 서명, 크기가 작은 데이터를 암호화 하는데 주로 사용 되며, 대칭키는 비교적 처리 속도가 빠르고 암호키의 길이가 공개키에 비해 상대적으로 작기 때문에 데이터베이스에 저장된 데이터와 같이 일반적인 데이터의 기밀성을 보장하기 위한 용도로 사용 됩니다.

PetraCipher는 대칭키 암호화 방식을 사용 하고 있으며 AES, ARIA, DES, SEED, LEA 알고리즘과 SHA-2(SHA-256,512) 해쉬 함수를 제공하고 있습니다.

SQL 결과값(리턴값)을 마스킹하는 타 보안솔루션의 경우 Join Query 사용시 조인 조건이 맞지 않으면 마스킹이 해제 되는 현상이 발생 하지만 페트라는 사용자가 요청한 SQL을 세밀하게 분석하여 SQL변조 후 데이터베이스에 마스킹된 결과값을 전송하기 때문에 SQL Join시에도 데이터 마스킹을 유지하는 우수한 보안성을 갖고 있는 것이 특징 입니다.(특허 제 10-0921255)

개인정보보호법 시행령 제30조(개인정보의 안전성 확보 조치)

개인정보처리자는 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치, 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치, 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치를 해야 합니다.

개인정보 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행)

개인정보처리자는 개인정보를 분실·도난·유출·위조·변조·훼손되지 않도록 접근 권한의 관리, 접근 통제의 관리, 접속 기록 보관 및 점검 등의 사항을 내부 관리 계획으로 수립하여 시행 하여야 합니다.

개인정보 안전성 확보조치 기준 제5조(접근 권한의 관리)

개인정보처리자는 직무 분리, 최소 권한의 원칙에 따라 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여 하여야 합니다.

개인정보 안전성 확보조치 기준 제6조(접근통제)

개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한하여야 합니다.

개인정보 안전성 확보조치 기준 제8조(접속기록의 보관 및 점검)

개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리해야 하고, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리하여야 합니다. 또한, 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속 기록을 안전하게 보관하여야 합니다.

개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)

정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여해야 하며, 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 합니다. 또한, 전보, 퇴직등의 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소하고, 그 기록을 최소 5년간 보관해야 합니다.

개인정보의 기술적·관리적 보호조치 기준 제5조(접속기록의 위·변조방지)

정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 1년에 이상 접속기록을 보존·관리하여야 합니다.

개인정보의 기술적·관리적 보호조치 기준 제10조(개인정보 표시 제한 보호조치)

정보통신서비스 제공자등은 개인정보 업무처리를 목적으로 개인정보의 조회, 출력 등의 업무를 수행하는 과정에서 개인정보보호를 위하여 개인정보를 마스킹하여 표시제한 조치를 취해야 합니다.

전자금융감독규정시행세칙 제22조(전산원장 통제) 

금융기관 또는 전자금융업자는 장애 또는 오류 등에 의한 전산원장의 변경을 위하여 별도의 변경절차를 수립·운용하여야 하며 변결 절차에는 변경 대상 및 방법, 변경 권한자 지정, 변경 전후내용 자동기록 및 보존, 변경내용의 정당여부에 대한 제3자 확인 등이 포함되어야 하며 중요원장에 직접 접근하여 중요원장을 조회, 수정, 삭제 및 삽입하는 경우에는 작업자 및 작업내용 등을 기록하여 5년간 보존하여야 합니다.

주민등록번호와 비밀번호 등은 원칙적으로 전부 암호화해야 하나, 시스템 운영이나 고객 식별을 위해 해당 개인정보를 활용해야 하는 경우에는 그 개인정보의 일부만을 암호화할 수 있습니다.

예시 : 생년월일 및 성별을 포함한 앞 7자리를 제외하고 뒷자리6개 번호 이상을 암호화 (예: 750101-1******)

출처 : 개인정보보호 포털, 자주하는 질문응답 28번 게시물

개인정보보호법 제23조(민감정보의 처리 제한)

민감정보는 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보를 말하며 개인정보처리자가 민감정보를 처리하는 경우 분실·도난·유출·위조·변조 또는 훼손되지 않도록 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 합니다.

개인정보보호법 제24조(고유식별정보의 처리 제한)

고유식별정보(주민등록번호, 여권번호, 면허번호, 외국인등록번호)를 처리하는 경우에는 고유식별정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 암호화 등 안전성 확보에 필요한 조치를 해야 합니다.

개인정보보호법 제24조의2(주민등록번호의 처리 제한)

주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 합니다.

개인정보보호법 제29조(안전조치의무)

개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록을 보관하고 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 합니다.

개인정보처리자는 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치, 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치, 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치를 해야 합니다.

개인정보보호법 시행령 제48조의2(개인정보의 안전성 확보 조치에 관한 특례)

개인정보가 안전하게 저장ㆍ전송될 수 있도록 하기 위해 비밀번호는 일방향 암호화하여 저장하고, 주민등록번호, 계좌정보, 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보를 암호화 해야 합니다.

개인정보 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행)

개인정보처리자는 개인정보를 분실·도난·유출·위조·변조·훼손되지 않도록 접근 권한의 관리, 접근 통제의 관리, 접속 기록 보관 및 점검 등의 사항을 내부 관리 계획으로 수립하여 시행 하여야 합니다.

개인정보 안전성 확보조치 기준 제5조(접근 권한의 관리)

개인정보처리자는 직무 분리, 최소 권한의 원칙에 따라 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여 하여야 합니다.

개인정보 안전성 확보조치 기준 제6조(접근통제)

개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한하여야 합니다.

개인정보 안전성 확보조치 기준 제7조(개인정보의 암호화)

개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하고, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 합니다.

개인정보 안전성 확보조치 기준 제8조(접속기록의 보관 및 점검)

개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리해야 하고, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리하여야 합니다. 또한, 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 합니다.

개인정보의 기술적·관리적 보호조치 기준 제6조(개인정보의 암호화)

정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장하고 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드번호, 계좌번호, 바이오정보를 안전한 암호알고리즘으로 암호화하여 저장해야 합니다.

Petra 시리즈는 자체 개발한 SOHA(MMDBMS) 데이터베이스를 이용하여 데이터를 저장, 관리하며 아래와 같은 장점을 가지고 있습니다.

· 페트라 제품군의 데이터는 Insert Only 테이블에 저장되어 최고 관리자를 포함하여 어떠한 사용자도 데이터의 수정, 삭제가 불가능 합니다.

· 대량의 트랜잭션이 발생하도라도 빠른 규칙 처리가 가능하며 감사 로그를 빠르게 저장할 수 있습니다.

· 반복적으로 사용되는 SQL을 재사용하여 서버의 리소스를 효율적으로 사용 합니다.

· 데이터 파일을 안정적으로 보호하며, 데이터에 대한 백업, 복구가 편리 합니다.

페트라 시리즈는 상용 DBMS가 아닌 데이터베이스 보안에 최적화된 In-Memory 기반의 DBMS를 자체적으로 연구/개발하여 사용하고 있습니다. 따라서 최고 관리자라 하더라도 메타테이블 접근이 불가능하며, 감사 로그를 저장하는 테이블의 형태는 Insert Only Table로 되어 있어 임의로 데이터를 수정 또는 삭제하는 행위가 불가능하여, 감사 데이터의 위·변조로 부터 안전 합니다.

페트라 시리즈 모듈을 설치하기 위해 권장되는 보안 서버의 최소 환경 정보는 다음과 같습니다.

Server : Redhat, CentOS 7(x86_64, x86) / Solaris 8(SPARC_64) / Solaris 10(x86_64, x86) / AIX 6 / AIX 5(POWERPC) / HP-UX 11.23(Itanium/IA64) / HP-UX 11.31(PA-RISC)

Client : Windows 10(x86_64, x86)

※ 단, 서버의 환경 정보는 제품별로 상이할수 있으며, 최신 버전은 별도 확인이 필요할 수 있습니다.