개인정보위, 클라우드 분야 사전 실태점검 결과 발표
 |
정부 조사 결과, 대상 클라우드 서비스들은 보호법상 필수 안전조치 기능 자체는 제공하고 있었다. 하지만 일부 기능은 이용자가 직접 추가 설정하거나, 별도 솔루션을 유료 구독해야만 법 위반을 피할 수 있었다.
개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 12일 전체회의를 열고 AWS, 애저, NCP 클라우드사업자 3개사에 대한 사전 실태점검 결과를 발표했다. 국내 약 65만개사가 3개사 클라우드 서비스를 사용 중이다.
대기업뿐 아니라 중소기업·스타트업들이 3사 클라우드 서비스를 주로 사용하고 있는 상황이다. 자칫, 이용자(사업자)가 클라우드 서비스만 믿다가 안전조치를 취하지 않게 돼 보호법을 위반하는 경우가 발생할 수 있다.
개인정보위 전승재 조사3팀장은 “이용자(사업자)들이 해당 클라우드사업자 서비스만 사용하면 보호법을 충족한다고 오인할 가능성은 충분히 있다”며 “클라우드 서비스 제공 기업들이 대기업인 만큼, 이 서비스를 구독만 하면 대기업 수준 보안이 제공될 것이라고 기대할 수 있다”고 말했다.
이어 “이용자 고지는 하고 있지만 개발자 문서가 방대하다”며 “IT전문성이 낮은 비IT 기업 또는 소기업 경우 이를 챙겨보기 어려운 상황”이라고 지적했다.
개인정보위 조사 결과, 보호법에 따라 점검 대상 클라우드 서비스는 하위 계정 발급과 접근권한 설정 기능을 제공하고 있다. 그러나 이용자가 이 기능을 활용하려면 자사 담당자별로 하위계정을 발급하고 각기 접근권한을 부여하는 조치를 추가로 해야만 한다. 접근 제한 인터넷프로토콜(IP) 주소 대역, 관리자 계정 외 2차 인증 등 일부 추가설정은 이용자 스스로 정해야 하는 부분이다.
별도 솔루션 서비스를 구독해야만 하는 경우도 있다. 이용자가 1~3년 로그 보존 의무를 이행하려면 기록을 별도로 장기 보관하는 기능을 자체 구현하면서, 별도 저장용량을 구입해야 한다. 또는 클라우드 사업자가 제공하는 별도 기록 관리 솔루션을 구독해야 한다.
실제 현장에서 필요로 하는 수준의 이상행위 탐지시스템은 대개 별도 구독 솔루션으로 제공되고 있었다. 암호 키 관리, 악성프로그램 방지 등 기능도 별도 솔루션으로 구독해야 하는 경우가 다수 있었다.
이에 개인정보위는 안전조치 기능 중 추가 설정 또는 별도 솔루션 구독이 필요한 기능 존재 및 설정방법을 개발문서를 통해 이용사업자에게 명확히 알릴 것을 개선권고했다. 개인정보위는 한국인터넷진흥원(KISA) 등과 협력해 타 클라우드 사업자·이용사업자 등을 대상으로 계도할 계획이다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.