포럼
개인정보보호법 기준에 맞는 비밀번호 암호화 적용은 언제?
2012.08.22 13:46
요즘 계속 개인정보보호법 때문에 말들이 많던데요~
XE로 만들어준 홈페이지의 고객들에게서 문의가 몇번 오더라구요~
암호화부분은 전혀 모르는 분야라서 관련 내용들을 좀 찾아봤습니다.
XE는 비밀번호 암호화 방식이 처음에 MD5였다가 최근 1.5.2.3 버전부터는 SHA1 해시가 추가되었더라구요.
그런데 SHA1도 복호화가 가능하기 때문에 개인정보보호법 기준에는 미달하는 방법이더라구요.
개인정보보호법에서 권고하는 비밀번호 암호화 방식은 단방향 암호화 방식인 SHA-224, SHA-256, SHA-384, SHA-512 라고 합니다.
XE개발팀에서는 개인정보보호법에서 권고하는 비밀번호 암호화 방식을 적용할 계획이 있는지 궁금합니다.
혹시 오픈소스라서 단방향 암호화방식을 안쓰는건가요? 아니면 다른 이유가 있는지...
그리고 개인정보보호법에 관련해서 궁금한 게 있는데요~
개인정보보호법에서 권고하는 암호화방식에 미달하지만 SSL적용을 하면 괜찮은지..
아니면 SSL은 통신에 대한 보안이라 비밀번호 저장시 사용되는 암호화랑은 별개로 생각해야 하는지 궁금하네요.
개인적으로 XE를 좋아하구요~ 늘 감사하게 잘 쓰고 있습니다.
비밀번호 암호화 부분이 개인정보보호법 기준에 맞게 적용된다면 더 많은 사람들이 XE를 사용하지 않을까 생각됩니다.ㅎㅎ
댓글 5
-
misol
2012.08.22 13:54
-
샤인922
2012.08.22 14:07
암호화관련 함수가 php5이상에서만 지원이 되는군요~ㅠㅠ
설명 감사합니다~ 첨부해주신 파일도 개인정보보호관련해서 도움이 많이 될 것 같습니다~^^ -
misol
2013.10.14 09:36
XE 얘긴 아니지만, PHP 5.3 이상을 필수 조건으로 하고 SHA-512 로 단방향 해시를 하면 많이 쓰실까요? -
Gunmania
2013.10.14 10:55
5.3정도면 별 문제가 없지 않을까요?
-
리크스
2013.10.14 11:46
미국 사례이긴 합니다만 취약점이 발견된 sha1 방식을 사용하였다가 집단 소송이 제기된 사례가 있는데php 5.5 버전의 경우 bcrypt라는 암호화 방식이 기본 함수로 들어갔다고 하여 저 방식으로 변경했다고 하는군요버전이 차차 높아진다면 나중에 저 방식이 적용될 가능성도 있지 않을까요?
글쓴이 | 제목 | 최종 글 |
---|---|---|
YJSoft | XE 통합검색용 구글 검색 스킨입니다 [3] | 2013.10.18 by 푸시아 |
푸시아 | 커뮤니티, 애드센스, 스팸 [7] | 2013.10.18 by 푸시아 |
XE | [게시판관리자 권한 정리] 불법적인 서버 접근 시도가 확인되어 게시판 권한 정리를 진행합니다. | |
쿡래빗 | 레이아웃에서 다국어 설정시 조심하세요 | |
귀머거리하늘 | 미니온 채팅 홈페이지가 문을 닫았나봐요 [7] | 2013.10.16 by 권태성 |
가르송 | 나만 이렇게 보이나요? [2] | 2020.03.14 by BonaSera |
정도의길을걷기싫다 | 혼돈상태 [1] | 2013.10.16 by socialskyo |
10000kg | 환장하네요 ㅎㅎ [5] | 2013.10.15 by 10000kg |
권태성 | DEVIEW2013에 왔더니 XE에 관련된 발표 내용이 있었습니다. [13] | 2013.10.15 by socialskyo |
귀머거리하늘 | 게임조선 레벨 아이콘 (0~211) [4] | 2013.10.14 by rainnovel |
큰성565 | iframe(아이프레임) 일반회원에게 사용가능하도록..하기 [8] | 2013.10.14 by 귀머거리하늘 |
샤인922 | 개인정보보호법 기준에 맞는 비밀번호 암호화 적용은 언제? [5] | 2013.10.14 by 리크스 |
디쎔버 | 종전 게시판EX 휴지통이 어디 있죠? | |
백년여우 | 도와주세요...ㅠㅠ [1] | 2013.10.12 by 참치.k |
socialskyo | [진지하게] 공홈에러는 구글 프로젝트입니까? 네이버 고객센터입니까? [3] | 2013.10.12 by ToFinder |
스비라 | XE 1.7.3.4버전.. [8] | 2013.10.11 by 스비라 |
피파13 | 서브도메인을 이용하면 하나의 웹호스팅 계정으로 여러개의 홈페이지를 운영할 수 있나요? [11] | 2014.05.21 by BonaSera |
휘즈 | 공홈 에러관련 혹시나 해서 | |
GGobugi | 이슈에 등록된 문제들이 빨리빨리 해결되지 않는 것 같아 답답합니다. | |
스비라 | 저만의 문제인지 궁금합니다. 짧은주소 관련 [2] | 2013.10.10 by 스비라 |
SHA-224 등의 암호화 방식을 사용하려면, PHP 함수 중 hash_hmac 와 같은 함수를 사용해야 하는데, http://kr2.php.net/manual/en/function.hash-hmac.php 페이지에서 보시면 아시겠지만, PHP5 이상에서만 지원합니다. XE 가 PHP4 이하도 지원하고 있는 상황이라, 1.6이 나오기 전까진 어렵지 않을까 합니다.
md5도 복호화는 불가능 합니다. 단방향 암호화 함수이고, 단지 해시된 문자열에 대해서 입력값들이 많이 조사된 상황이라서 특수문자, 영문, 숫자 등을 섞어 만들지 않으면, 원문을 알 '가능성'이 높을 뿐이지요.제2010-31호-개인정보의기술적관리적보호조치기준해설서.pdf 60쪽을 보시면, 해당 내용이 있습니다만, 여건이 안됩니다. 라고 하는게 더 맞는 말일까요?.. 권고사항 인 것 같습니다.