“클라우드 보안 체계 점검 강화”…개인정보위, 사업자 운영환경 진단→실질 개선 권고

개인정보보호위원회는 국내 65만 사업자가 사용하는 아마존웹서비스, 마이크로소프트 애저, 네이버클라우드 등 주요 클라우드 서비스의 개인정보보호 실태를 집중 점검한 결과, 기본적인 보안 기능이 제공되고 있었으나 실질적 보호 수준 달성을 위해서는 이용자의 추가 설정 혹은 유료 솔루션 구독이 필수적인 것으로 나타났다고 12일 밝혔다. 이번 조치는 개인정보 유출의 선제적 예방과 국내 중소기업·스타트업의 클라우드 운영 실태 개혁을 목표로 시행됐다.

점검에 따르면 권한 차등부여, 권한설정 내역 및 접속기록 장기 보관, 2차 인증 등 핵심 기능은 대개 기본적으로 탑재돼 있었으나, 구체적 보안법 준수를 위해서는 이용자 주도 설정 혹은 별도 솔루션 도입이 요구됐다. 특히 개인정보접근 권한 세분화와 장기 접속기록 보존, 이상행위 탐지 등은 대부분 추가 기능 설정이나 솔루션 구독이 필요하며, 기본 제공되는 기록보존 기능의 경우 보존 기간이 매우 짧아 법적 기준(최소 1~3년)에 미치지 못하는 것으로 파악됐다. 클라우드 사업자 측 역시, 가상서버와 데이터베이스와 같은 중간재가 공용 인프라의 특성을 갖고 있어, 개인정보처리시스템 요건을 충족하기 위한 모든 안전조치 기능을 기본 탑재하는 데에는 기술적 한계가 있다고 설명했다.

전문가들은 이와 같은 세부 기능의 차이를 명확히 인지하지 못하는 중소사업자가 자칫 보안 허점을 방치하게 될 위험성을 지적하며, 이번 개선 권고가 산업 전반의 개인정보 보호 수준 제고에 기여할 것으로 평가했다. 개인정보위는 클라우드사업자에게 추가 설정 또는 유료 구독이 필요한 보안 기능의 존재와 이용방법을 개발자 문서 등으로 명확히 안내할 것을 권고했고, 향후 한국인터넷진흥원과 함께 이행 점검 및 적극적 계도에 나선다는 방침이다. 이번 실태점검을 계기로 국내 클라우드 기반 개인정보처리자의 보호 역량이 한층 고도화될 전망이다.