“클라우드 속 개인정보 안전성 높인다”…정부, 글로벌 사업자와 관리 기준 논의

클라우드 환경에서 개인정보 보호를 강화하기 위한 논의가 본격화되고 있다. 정부와 민간 클라우드 기업들이 실제 서비스 현장에 맞춘 보안 기준을 마련하기 위해 머리를 맞댔다. 아마존, 마이크로소프트(MS), 네이버클라우드 등 글로벌 및 국내 클라우드사업자와 메가존클라우드, 베스핀글로벌 등 기술지원기업들이 개인정보위원회와 한국인터넷진흥원이 주최한 간담회에 모였다. 업계는 최근 개인정보 실태점검에 따른 개선 권고에 따라, 서비스 내 안전조치 기능 현황과 향후 보완 계획을 공유하며 “클라우드 보안 경쟁의 분기점”이라는 평가도 나온다.

간담회에서 각 클라우드사업자는 개인정보 처리 시스템 안전성 제고를 위한 ‘개인정보 안전성 확보 조치 기능 설정 안내서’ 준비 방향을 공개했다. 이는 클라우드 이용 사업자들이 법적 의무를 정확히 이행할 수 있도록 지원하려는 취지다. 구체적으로 클라우드 상 개인정보 처리 시 필요한 보안 기능 설명, 서비스 내 제공 여부와 활용 매뉴얼, 추가 도입이 필요한 기능 안내 등 실무 중심 내용이 포함됐다. 예컨대 데이터 접근 통제, 암호화, 주기적 점검 관련 인증 프로세스 등 기존 온프레미스(자체 시스템 운영) 환경 대비 클라우드 특화 대응책이 제시된다. 특히 이번 기술 안내는 기존 사업자별 개별 매뉴얼의 한계를 보완한다는 평가다.

기술지원사업자들은 “실제 현장에서 중소·영세 이용기업이 클라우드 기반 개인정보처리시스템을 안전하게 구성할 때 안내서가 기술적 경계선이 될 수 있다”고 설명했다. 다만 향후 추가적으로 필요한 보안기능 구독 비용이 이용 기업에 부담이 될 수 있다는 현실적 의견도 제기됐다. 산업계는 이러한 보안 기능 표준화와 비용 문제의 균형이 중요하다는 입장이다.

아울러 현행 개인정보보호법상 위탁·수탁자의 책임‧감독 의무에 대한 대체 방안도 논의됐다. 정부는 클라우드사업자가 원칙적으로 이용기업의 데이터에 접근하지 않으며, 관련 내역을 약관 및 보안 인증을 통해 독립적으로 검증받고 이를 투명하게 공유하는 방식이 현행 위수탁 감독 절차를 대체할 수 있다고 제안했다. 이와 관련해 참여 기업들은 정책적 명확성 제고와 인증 등 부담 최소화를 요구했다.

글로벌 시장에서는 이미 AWS, Azure 등 대형 플랫폼이 각국 개인정보 규제에 맞춘 인증 체계, 데이터 보안 솔루션을 지속 강화 중이다. 유럽 GDPR, 미국 CCPA 등 지역마다 데이터 주권·접근권을 둘러싼 논의가 활발하다. 국내 역시 클라우드 도입 확산에 맞춰 IT인프라·서비스 공급자와 이용기업이 공동으로 준수 가능한 현실적 가이드라인이 중요해졌다.

최장혁 개인정보위원회 부위원장은 “클라우드 개인정보 안전성은 어느 한 주체의 노력만으로 이뤄질 수 없다”며 “기술 지원에 더해 행정·재정적 뒷받침까지 다각도로 제도화 방안을 검토할 것”이라고 말했다. 업계는 이번 간담회를 계기로 실제 현장에 적용 가능한 개인정보 보호 기준 마련과, 중소기업 지원 정책의 속도에 주목하고 있다. 산업계는 이번 기술과 제도 논의가 실질적 시장 안착으로 이어질지 주시하고 있다.