개인정보위, 클라우드 환경 개인정보 보호 강화 방안 논의

주요 클라우드 사업자·기술지원업체와 간담회 개최…실효성 있는 보호조치 모색

[한국정보기술신문] 개인정보보호위원회(위원장 고학수)와 한국인터넷진흥원(원장 이상중)이 클라우드 환경에서의 개인정보 보호 강화를 위한 실질적 방안을 모색하기 위해 업계와 간담회를 개최했다. 이번 간담회는 개인정보위가 지난 6월 11일 전체회의에서 의결한 개선권고의 후속조치로, 클라우드 서비스 제공사업자와 이용사업자 간의 협력 방안을 중점적으로 논의했다.

7월 16일 서울 중구 한국프레스센터에서 열린 이번 간담회에는 최장혁 개인정보위 부위원장을 비롯해 주요 클라우드 서비스 제공사업자와 기술지원사업자, 한국클라우드산업협회 관계자들이 참석했다. 클라우드 서비스 제공사업자로는 아마존, 마이크로소프트, 네이버클라우드 3개사가 참석했으며, 기술지원사업자로는 메가존클라우드, 베스핀글로벌, 진인프라, 클루커스 4개사가 자리를 함께했다.

이번 간담회는 개인정보위가 실시한 사전실태점검 결과를 바탕으로 마련된 것으로, 각 클라우드사업자의 점검대상 서비스 내 안전조치 기능 제공현황과 향후계획을 공유하는 자리였다. 특히 AWS(아마존), Azure(마이크로소프트), Naver Cloud Platform(네이버클라우드) 내 각 가상서버와 데이터베이스 구독 서비스에 대한 개인정보 보호 방안이 집중적으로 논의됐다.

클라우드사업자의 개인정보 보호 지원 계획

개인정보위는 앞선 6월 11일 전체회의에서 클라우드 서비스를 이용하는 사업자들이 개인정보 처리시스템을 구축하는 과정에서 보호법상 안전조치 의무를 제대로 이행할 수 있도록 지원 방안을 마련했다. 이에 따라 클라우드사업자들로 하여금 추가설정 또는 별도 도입이 필요한 기능의 존재와 구체적인 이용방법을 개발문서(안내서) 등을 통해 명확히 알리도록 개선권고했다.

이번 간담회에서 각 클라우드사업자들은 개인정보위의 개선권고를 수용하여 현재 준비 중인 '개인정보 안전성 확보조치 기능 설정 안내서'의 취지와 방향성에 대해 발표했다. 이 안내서는 중소기업, 스타트업, 소상공인을 포함한 이용사업자들이 클라우드상에서 개인정보처리시스템을 안전하게 구축할 수 있도록 돕기 위한 것이다.

기술지원사업자들은 이용사업자측 입장을 대변하여 현장의 의견을 전달했다. 이들은 클라우드사업자의 안내서가 발표되면 이용사업자들이 클라우드 기반 개인정보처리시스템을 안전하게 구축하는데 기술적으로 큰 도움을 받을 수 있다며 취지와 방향성에 대해 공감한다고 밝혔다. 특히 중소기업과 스타트업들이 복잡한 개인정보 보호 요구사항을 충족하는 데 실질적인 도움이 될 것이라고 평가했다.

하지만 이에 소요되는 추가 보안기능 구독비용 등이 일부 중소·영세 이용사업자들에게 부담이 될 수 있다는 현실적인 애로사항도 언급했다. 이는 개인정보 보호 강화와 경제적 부담 사이의 균형을 찾아야 할 과제임을 시사한다.

클라우드 환경에서의 위·수탁 관리·감독 개선 방안

참석자들은 보호법상 위·수탁 감독 절차에 따른 현장의 애로사항과 개선방안도 논의했다. 현행 개인정보보호법에 따르면 이용사업자(위탁자)는 클라우드사업자(수탁자)가 개인정보를 수탁업무 목적 범위 내에서 안전하게 처리하는지를 감독해야 한다. 그러나 실제로는 다수 이용사업자들이 개별적으로 대형 수탁자인 클라우드사업자를 감독하는 것이 쉽지 않은 것이 현실이다.

이에 대해 개인정보위는 클라우드사업자가 이용사업자의 데이터에 접근하지 않는다는 사실을 약관 등에 명시하고, 보안 인증 등을 통해 제3의 전문기관으로부터 주기적으로 점검을 받고 이를 이용사업자에게 알리는 방법으로 보호법상 위·수탁 관리·감독 절차를 대체할 수 있다는 해결방안을 제시했다.

개인정보위가 제시한 개선안에 따르면, 클라우드사업자가 이용사업자 데이터 미접근·미열람, 재위탁 제한, 손해배상책임 등 정책을 계약상 약정하는 경우 위탁자에 의한 관리·감독 절차를 대체할 수 있다. 이때 보안 안전성 관련 제3의 전문기관으로부터 주기적 점검을 받고 있음을 공개해야 한다는 조건이 있다.

여기서 제3의 전문기관은 클라우드에 적용가능한 보안인증(ISMS, CSAP, ISO27001, 27002, 27018 등) 평가기관 등을 의미한다. 또한 클라우드사업자가 이용사업자에게 안전조치의무 준수에 필요한 기능을 제공하고 필요한 설정 방법을 안내함으로써 위탁받은 업무를 수행하는 경우, 이용사업자 유출사고 발생 시 원인파악에 필요한 경우 개인정보위 조사에 협조함으로써 수탁자에게 준용되는 수검의무도 이행할 수 있다.

클라우드 서비스 특성을 고려한 맞춤형 대안

이번 개선안은 클라우드사업자가 개인정보 처리시스템 전부를 완제품 형태로 제공하지 않고 일부 표준화된 요소(예: IaaS 가상서버, PaaS 데이터베이스)만 제공하며, 이를 기반으로 개인정보 처리시스템 구축을 완성하는 주체는 이용사업자라는 특성을 고려한 것이다. 예를 들어 클라우드사업자가 제공하는 개인정보취급자별 접속계정·접근권한 차등설정 및 접속기록 기능을 기반으로, 이용사업자가 계정·권한설정 및 기록보존 활동을 함으로써 보호법상 의무를 이행할 수 있다.

이는 기존의 획일적인 규제 방식에서 벗어나 클라우드 환경의 특성에 맞는 실질적이고 효율적인 개인정보 보호 체계를 구축하려는 시도로 평가된다.

최장혁 개인정보위 부위원장은 "클라우드 환경에서 개인정보 처리의 안전성 확보는 참여하는 사업자 모두의 노력이 필요하다"라며, "개인정보위는 이용사업자가 안전한 개인정보 처리환경을 내재화할 수 있도록 기술 지원 방안과 더불어 행정·재정 지원 방안을 적극 모색하겠다"라고 밝혔다. 이는 개인정보 보호 강화가 단순한 규제 차원을 넘어 정부의 종합적인 지원책과 함께 추진되어야 함을 시사한다.

특히 중소·영세 이용사업자들이 제기한 비용 부담 문제에 대해서도 행정·재정 지원 방안을 적극 모색하겠다는 의지를 표명한 것으로, 개인정보 보호와 산업 발전의 조화를 추구하는 정부의 정책 방향을 확인할 수 있다.

이번 간담회는 급속히 성장하는 클라우드 산업에서 개인정보 보호를 강화하면서도 산업 발전을 저해하지 않는 균형점을 찾기 위한 정부와 업계의 공동 노력을 보여준 사례로 평가된다. 특히 일방적인 규제 강화보다는 업계의 현실적인 애로사항을 청취하고 실질적인 해결방안을 함께 모색하는 협력적 접근방식을 택했다는 점에서 의미가 있다.

앞으로 개인정보위와 클라우드 업계가 지속적으로 소통하며 클라우드 환경에 적합한 개인정보 보호 체계를 구축해 나갈 것으로 기대된다.

한국정보기술신문 클라우드분과 이준호 기자 news@kitpa.org