정부기관 간 민감정보 노출 방지를 위한 동형암호 도입 방안에 대한 연구

Abstract

우리나라 정부기관에서는 은행 등 금융기관과 금융정보분석원을 통해 각 기관 고유 업무에 필요한 금융거래정보를 확보하고 있다. 국세청, 관세청, 검찰청, 경찰청과 같은 다양한 법집행기관이 각 기관 고유 업무에 활용하기 위해서 금융정보분석원으로부터 연간 수 만 건의 금융거래 정보를 제공받고 있는 실정이다. 금융정보분석원은 은행과 증권사와 같은 금융사로부터 자금세탁 관련 혐의정보를 수집, 분석하여 불법거래, 자금세탁행위와 관련된다고 판단되는 금융거래 자료를 법집행기관에 제공하는 업무를 주로 하는 기관이다. 개인과 회사의 민감한 금융거래내역을 연간 수 십만 건 이상 보고 받고 있으며, 법집행기관에서 특정인에 대한 금융정보를 요청하면 법적 요건 검토 후 해당 기관에 특정인의 금융거래정보를 회신하여 주고 있다. 본 논문은 이 과정에서 정부기관의 민감한 비밀정보가 필연적으로 외부에 노출될 수 밖에 없다는 점을 문제점으로 인식하고, 이를 동형암호 기술을 사용하여 효과적으로 보완할 수 있는 방안을 논해보았다. 정부기관에서 특정인의 금융거래정보를 요청할 때, 정부기관 고유 업무 대상자(세무조사 대상자, 수사 대상자, 체납자 등)들의 인적사항을 명시하여 금융정보분석원으로 보내야만 한다. 이는 정부기관 내에서도 절대 공개해서는 안되는 극히 민감한 개인정보에 해당하지만, 금융거래정보를 확보하여 활용하기 위해서 부득이하게 타 정부기관인 금융정보분석원에 정보를 노출시킬 수 밖에 없는 것이다. 본 논문은 이 문제점을 동형암호 기술을 이용하여 해결할 수 있을 것이라고 보았다. 민감정보 노출의 가장 핵심 원인은 금융정보분석원이 보유한 금융정보 데이터베이스 중에서 특정인의 금융정보를 검색하여 추출하기 위해서는 반드시 평문화 상태로 작업이 진행되어야 한다는 점이다. 현재 상용화 되어있는 암호기술로는 암호화 상태로 연산이 이루어 질 수 없기 때문이다. 최근 연구가 활발히 이루어지고 있는 동형암호의 가장 큰 특징은 암호화 된 상태로 컴퓨터가 할 수 있는 모든 연산이 가능하다는 점이며, 이를 활용하면 민감정보 노출 없이 각 기관 간 정보협조를 원활히 할 수 있을 것으로 기대된다. 법집행기관에서 동형암호로 암호화 된 특정인의 명세를 전송하면 금융정보분석원에서는 이를 암호화 상태로 데이터베이스에서 검색 및 추출하는 방식이다. 본 논문에서는 위와 같이 동형암호를 활용하여 정부기관 간 민감정보 노출을 방지하기 위한 기본적인 시스템 제안 외에 추가로 비밀키의 분산 보관 방식으로 보안성을 한 층 높이는 방안과 동형암호 데이터베이스의 검색 연산 속도를 높일 수 있는 방안을 추가로 제안하였다.

Korean government agencies are securing financial transaction information necessary for their own business through financial institutions such as banks and the FIU. Various law enforcement agencies receive tens of thousands of financial transaction information annually from the FIU for use in their own business. This thesis proposes a method to supplement the fact that sensitive and confidential information of government agencies is inevitably exposed to the outside by using homomorphic encryption technology. The most important reason for the exposure of sensitive information is that in order to search and extract the financial information of a specific person from the financial information database held by the FIU, the work must be performed in a plain text state. Calculation cannot be performed in the encrypted state with the currently commercialized encryption technology. It is expected that the use of homogeneous encryption can facilitate information cooperation between organizations without exposing sensitive information. In this paper, in addition to the basic system proposal to prevent the exposure of sensitive information between government agencies by using homomorphic encryption as above, in addition to the method of increasing the security by a distributed storage method of secret keys, and increasing the search operation speed of the homomorphic encryption database. An additional plan was proposed.