포럼
개인정보보호법 기준에 맞는 비밀번호 암호화 적용은 언제?
2012.08.22 13:46
요즘 계속 개인정보보호법 때문에 말들이 많던데요~
XE로 만들어준 홈페이지의 고객들에게서 문의가 몇번 오더라구요~
암호화부분은 전혀 모르는 분야라서 관련 내용들을 좀 찾아봤습니다.
XE는 비밀번호 암호화 방식이 처음에 MD5였다가 최근 1.5.2.3 버전부터는 SHA1 해시가 추가되었더라구요.
그런데 SHA1도 복호화가 가능하기 때문에 개인정보보호법 기준에는 미달하는 방법이더라구요.
개인정보보호법에서 권고하는 비밀번호 암호화 방식은 단방향 암호화 방식인 SHA-224, SHA-256, SHA-384, SHA-512 라고 합니다.
XE개발팀에서는 개인정보보호법에서 권고하는 비밀번호 암호화 방식을 적용할 계획이 있는지 궁금합니다.
혹시 오픈소스라서 단방향 암호화방식을 안쓰는건가요? 아니면 다른 이유가 있는지...
그리고 개인정보보호법에 관련해서 궁금한 게 있는데요~
개인정보보호법에서 권고하는 암호화방식에 미달하지만 SSL적용을 하면 괜찮은지..
아니면 SSL은 통신에 대한 보안이라 비밀번호 저장시 사용되는 암호화랑은 별개로 생각해야 하는지 궁금하네요.
개인적으로 XE를 좋아하구요~ 늘 감사하게 잘 쓰고 있습니다.
비밀번호 암호화 부분이 개인정보보호법 기준에 맞게 적용된다면 더 많은 사람들이 XE를 사용하지 않을까 생각됩니다.ㅎㅎ
댓글 5
-
misol
2012.08.22 13:54
-
샤인922
2012.08.22 14:07
암호화관련 함수가 php5이상에서만 지원이 되는군요~ㅠㅠ
설명 감사합니다~ 첨부해주신 파일도 개인정보보호관련해서 도움이 많이 될 것 같습니다~^^ -
misol
2013.10.14 09:36
XE 얘긴 아니지만, PHP 5.3 이상을 필수 조건으로 하고 SHA-512 로 단방향 해시를 하면 많이 쓰실까요? -
Gunmania
2013.10.14 10:55
5.3정도면 별 문제가 없지 않을까요?
-
리크스
2013.10.14 11:46
미국 사례이긴 합니다만 취약점이 발견된 sha1 방식을 사용하였다가 집단 소송이 제기된 사례가 있는데php 5.5 버전의 경우 bcrypt라는 암호화 방식이 기본 함수로 들어갔다고 하여 저 방식으로 변경했다고 하는군요버전이 차차 높아진다면 나중에 저 방식이 적용될 가능성도 있지 않을까요?
SHA-224 등의 암호화 방식을 사용하려면, PHP 함수 중 hash_hmac 와 같은 함수를 사용해야 하는데, http://kr2.php.net/manual/en/function.hash-hmac.php 페이지에서 보시면 아시겠지만, PHP5 이상에서만 지원합니다. XE 가 PHP4 이하도 지원하고 있는 상황이라, 1.6이 나오기 전까진 어렵지 않을까 합니다.
md5도 복호화는 불가능 합니다. 단방향 암호화 함수이고, 단지 해시된 문자열에 대해서 입력값들이 많이 조사된 상황이라서 특수문자, 영문, 숫자 등을 섞어 만들지 않으면, 원문을 알 '가능성'이 높을 뿐이지요.제2010-31호-개인정보의기술적관리적보호조치기준해설서.pdf 60쪽을 보시면, 해당 내용이 있습니다만, 여건이 안됩니다. 라고 하는게 더 맞는 말일까요?.. 권고사항 인 것 같습니다.