개보위, '아마존·MS·네이버' 클라우드에 안전조치 개선 권고

[이데일리 임유경 기자] 개인정보보호위원회는 아마존웹서비스(AWS), 마이크로소프트(MS), 네이버클라우드 등 3개 클라우드 서비스 제공 사업자에 대한 사전 실태점검을 실시하고, 이용사업자에게 안전조치 기능을 더 명확히 알릴 것을 개선권고했다고 11일 밝혔다.

이번 실태점검은 국내에서 서비스하는 주요 클라우드 제공 사업자를 대상으로 클라우드 상 안전조치 기능 미비로 인해 개인정보 보호법 위반 또는 개인정보 유출 위험에 노출되는 것을 선제적으로 예방하기 위해 진행됐다. 국내에서 3사를 이용하는 고객 사업자 수는 약 65만 개로 추산된다.

점검 결과, 점검대상 클라우드 서비스들은 보호법상 필수 안전조치 기능 자체는 제공하고 있는 것으로 확인했다. 다만, 일부 기능의 경우 이용사업자가 추가설정을 해야 하거나, 별도 솔루션을 구독해야만 하는 경우도 있어 이용사업자들에게 적극적인 안내가 필요한 것으로 나타났다.


예컨대 점검대상 클라우드 서비스들은 기록보존 기능 자체는 기본으로 제공하지만 보존 기간이 대개 수십 일 수준으로 단기에 그치고 있었다. 이용사업자가 1~3년의 보존의무를 이행하려면, 기록을 별도로 장기 보관하는 기능을 자체 구현하면서 필요한 별도 저장용량을 구입하거나, 또는 클라우드사업자가 제공하는 별도 기록 관리 솔루션을 구독해야 한다.


또 이상행위 탐지와 관련해서는, 기본적인 기능을 기본으로 제공하는 클라우드사업자도 일부 있었으나, 실제 현장에서 필요로 하는 수준의 이상행위 탐지시스템은 대개 별도 구독 솔루션으로 제공되고 있었다. 그 외, 암호 키 관리, 악성프로그램 방지 등 기능도 별도 솔루션으로 구독해야 하는 경우가 다수 있었다.

이에 개인정보위는 클라우드사업자 3사를 대상으로 이들이 제공하는 안전조치 기능 중 추가 설정 또는 별도 솔루션 구독이 필요한 기능의 존재 및 설정방법을 개발문서(가이드, 설명서 등)를 통해 이용사업자에게 명확히 알릴 것을 개선권고했다.

개인정보위는 이번에 실태점검한 3사 이외의 클라우드 사업자 및 이용사업자들을 대상으로도 한국인터넷진흥원(KISA) 등 전문기관과 함께 적극적으로 계도해 나간다는 방침이다.