개인정보위 “AWS·MS·네이버클라우드, 추가 보안조치 명확히 안내하라”

[아이티데일리] 개인정보보호위원회(이하 개인정보위)는 11일 전체회의를 열고, 아마존웹서비스(AWS), 마이크로소프트(MS), 네이버클라우드(NCP) 등 주요 클라우드 서비스 제공사업자 3곳을 대상으로 실시한 사전 실태점검 결과를 발표했다. 개인정보위는 이들 기업이 개인정보보호법상 필수 안전조치 기능은 제공하고 있으나, 일부 기능은 이용사업자가 직접 추가 설정하거나 유료 구독이 필요해 이에 대한 명확한 안내를 강화할 것을 권고했다. 

이번 점검은 클라우드 환경에서 개인정보처리시스템을 운영하는 이용사업자들이 개인정보보호법 상 요구되는 안전조치를 충분히 이행할 수 있도록, 클라우드 서비스 자체의 기능 제공 여부와 이용 편의성을 사전에 점검하는 차원에서 이뤄졌다.

12일 개인정보위 전승재 조사3팀장은 정부서울청사에서 개인정보위 브리핑을 통해 “3개 클라우드 서비스 사업자 모두 법에서 요구하는 필수 안전조치 기능은 기본적으로 제공하고 있었다”며 “다만 일부 기능은 이용사업자가 별도로 설정하거나 유료 솔루션을 구독해야 활용 가능한 구조여서, 이에 대한 명확한 안내가 필요하다”고 밝혔다.

해당 클라우드 서비스들에 모든 안전조치 기능이 기본적으로 탑재되기 어려운 이유는 클라우드가 ‘최종재’가 아니라 사용자 맞춤형 구성이 가능한 ‘중간재’기 때문이라는 게 개인정보위의 설명이다. 클라우드는 개인정보처리시스템 또는 단순 데이터 처리 용도 등 다양하게 활용 가능한 범용 서비스기 때문에, 모든 법적 안전조치 기능을 기본값으로 탑재하는 데에는 제약이 있다. 

실제로 점검 대상 클라우드 사업자 측에서는 △하위계정 발급 및 계정별 권한 설정 기능 △IP 주소 등 기반 접근제한 기능 △아이디·비밀번호 이외의 인증수단 적용기능(2차 인증) 등을 모두 제공하고 있으나, 이용사업자가 이를 직접 활성화하거나 환경에 맞춰 설정하는 과정이 필요한 것으로 파악됐다. 특히 개인정보위는 2차 인증의 경우 일부 추가설정이 필요한 부분이 있어 이용사업자의 주의를 요한다고 강조했다. 

또한 접속기록 장기 보관이나 이상행위 탐지 기능 등 일부 고급 보안 기능은 기본 기능 외 별도 유료 구독이 필요한 경우도 포착됐다. 예를 들어 기본적으로 제공되는 로그 보존기간은 대략 10~90일 정도로, 이용사업자가 1년 또는 2~3년 장기 보관하기 위해서는 별도 스토리지 구매나 로그 관리 솔루션 구독이 필요했다. 이상행위 탐지, 암호 키 관리, 악성코드 방지 등도 고도화된 기능은 유료 구독을 해야 한다. 

이에 개인정보위는 점검 대상 클라우드 사업자에 대해 자사가 제공하는 보안 기능 중 설정이 필요한 항목이나 유료 구독이 필요한 항목을 개발문서 등을 통해 명확히 안내할 것을 권고했다. 아울러 “이번 점검 대상 외 다른 클라우드 사업자와 이용사업자에 대해서도 한국인터넷진흥원(KISA) 등 전문기관과 협력해 지속적인 계도 및 인식 제고 활동을 이어갈 계획”이라고 밝혔다.