인터넷 개인정보 보안관련 클래식 ASP 구현방안

클래식 ASP를 제외하고 다른 스크립트 언어들은 보안용 해쉬함수나 암호/복호화 함수들이 지원이 괜찮은 편이라 걱정되는 부분은 없는데 여전히 예전 ASP를 사용하는 경우 암호화에 대한 부분이 사실 좀 막막한 느낌이 든다.

KISA(한국인터넷진흥원)에서 일단 소개하는 방법들을 보자면 웹방화벽으로 WebKnight가어플단으로 있고, CASTLE이라는 스크립트상에서의 방화벽 역할을 하는 필터가 존재한다.

근래 네이트나 넥슨같은 포털에서도 개인정보 유출이 되면서 개인정보를 다루는 사이트에서 보안에 대한 장치를 더 강화하도록 하고 있다.

요점만 정리하자면

2011.8.9 일자 인터넷 매체에서 나온 "인터넷 개인정보 보안 강화"에 대한 내용은 :

1. 주민등록번호 수집 금지 ( 사이트 성격에 따라 예외가 있을 수 있음 )
2. 개인정보 DB서버, 외부망과 분리 운영 ( 내부망에 서버를 하나 더 두고 연결해서 쓰게 된다. 외부에서 접근 불가능하도록 )
3. 기존 : 비밀번호, 주민번호, 계좌번호 암호화 -> 기존 내용에 전화번호, 주소, 이메일등 암호화로 항목 추가

법적인 구속력이나 시행시점에 대해서는 정확히 모르겠지만 일단 이런 내용으로 보안강화에 대한 시행내용들이 정리되어 있다.

각 정보들을 DB저장시에 암호화 하고 또 DB에서 가져올때는 복호화 해야 하는데 이때 필요한 것들이 암호화관련 모듈들이다. 바로 본론으로 얘기하자면 KISA에서 제시하는 해쉬보안함수(복호화 안됨)는 SHA-256, 이건 비밀번호를 암호화 할때 사용하는 것이고, SEED-CBC는 암/복호화 함수로 쓰도록 되어 있다. dll로 제공하고 있으면 윈도우에 dll을 등록하게 되면 클래식 ASP에서 사용 가능하게 된다.

추가적으로 필요한 설정은 key.dat라는 것이 있는데 여기 코드를 재설정해서 하드저장소 임의 위치에 옮겨놓고, config파일같은 곳에 KEY_PATH를 지정해주면 된다.

아직 실제 적용은 하지 않았지만 차후에 클래식 ASP를 사용해야 하는 경우 같이 사용할 예정인다. 

암호화된 데이터의 경우 DB에서 직접 통계적의미가 있는 결과를 빼내기 힘들게 된다. 이때문에 암호화하는 데이터를 통계적인 데이터로 쓰기위해서 따로 테이블을 만들어서 통계 데이커를 이용하는 방법을 사용해야 할 수도 있다.(통계 결과만 입력되는...)