개인정보위, 네이버·MS·아마존에 '고객사 안전조치 개선' 권고

개인정보위, 클라우드 3社 실태점검

정부 "고객사에 안전조치 기능 명시해야"

개인정보위 명패. 연합뉴스

개인정보보호위원회가 네이버·마이크로소프트·아마존 등 클라우드 사업자는 해당 서비스 이용 사업자(고객사)에게 안전조치 기능을 명확히 알려야 한다고 권고했다.

개인정보보호위원회는 전날 전체회의에서 아마존웹서비스(AWS), 마이크로소프트(애저), 네이버클라우드(NCP) 등 클라우드 서비스 제공사업자 3곳에 대한 사전 실태점검 결과를 심의·의결했다고 12일 밝혔다.

이번 실태점검은 해당 클라우드를 기반으로 개인정보처리시스템을 운영하는 사업자들이 클라우드상 안전조치 기능 미비로 개인정보보호법을 위반하거나, 개인정보 유출 위험에 노출되는 것을 예방하고자 진행됐다. 현재 중소기업과 스타트업, 소상공인 등 약 65만 개의 국내 사업자가 이번 실태점검 대상인 기업 3곳의 클라우드 서비스를 쓰고 있는 것으로 파악된다.

개인정보위 점검 결과 해당 클라우드 서비스들은 관련법에서 규정한 필수적인 안전조치 기능을 제공하고 있었다. 다만 이 과정에서 개인정보위는 이용사업자가 추가설정을 해야 하거나 별도 솔루션을 구독해야만 하는 것으로 나타나 이용사업자들에게 적극적인 안내가 필요하다고 판단했다.



현재 개인정보보호법은 개인정보취급자에게 업무 수행에 필요한 최소한의 범위로 개인정보처리시스템의 접근권한을 차등해 부여하고, 접속계정을 공유하지 않도록 규정하고 있다. 이 때문에 해당 클라우드 서비스를 이용하는 사업자들은 필요한 하위계정 발급이나 접근권한 설정 기능을 활용하려면 추가 조치가 필요하다. 전승재 개인정보위 조사3팀장은 “기존에도 해당 내용에 대한 안내가 클라우드 서비스에 존재했지만, 백과사전식으로 나열된 탓에 고객사들이 해당 내용을 파악하기 어려운 실정이었다”고 설명했다.

또한 관련법에서는 개인정보 유출 시도를 탐지하기 위한 목적으로 개인정보 취급자에게 개인정보처리시스템 접근권한을 부여한 기록을 3년간 보존하고, 개인정보취급자가 접속한 기록을 1년간 보존하도록 규정한다. 그러나 이번 점검 대상에 오른 클라우드 서비스의 경우 기록보존 기능 자체는 제공하지만, 그 기간이 수십 일에 그쳤다. 이에 이용사업자는 보존 의무를 이행하기 위해 기록을 별도로 장기 보관하는 기능을 자체적으로 구축해야 했다. 이 외에도 필요한 별도 저장용량을 구입하거나 클라우드 사업자가 제공하는 별도 기록 관리 솔루션을 구독해야 했다.

개인정보위는 이러한 점검 결과를 근거로 클라우드 사업자 3사가 제공하는 안전조치 기능 중 추가 설정이나, 별도 솔루션 구독이 필요한 기능의 존재 및 설정 방법을 가이드라인을 통해 이용사업자에게 명확히 알릴 것을 개선 권고했다.

전 팀장은 “개인정보 처리에 필요한 안전조치 기능을 추가 구독하지 않으면 이른바 완전체가 될 수가 없다는 상황을 문서 등을 통해 명확히 알려야 한다는 게 이번 개선 권고의 취지”라고 말했다.