클라우드 환경에서 개인정보를 안전하게 보호하는 방안을 모색하기 위한 자리가 마련됐다.
개인정보보호위원회와 한국인터넷진흥원(KISA)은 16일 오후 서울 중구 한국프레스센터에서 클라우드 서비스 제공·이용사업자 간담회를 개최했다. 아마존·마이크로소프트·네이버클라우드 등 클라우드 서비스 제공사(CSP)와 메가존클라우드·베스핀글로벌·진인프라·클루커스 등 클라우드 관리서비스 제공사(MSP)가 참석했다.
이번 간담회는 개인정보위가 지난달 11일 전체회의에서 의결한 개선권고의 후속조치다. 개인정보위는 개인정보보호법상 안전조치의무 준수를 위해 추가 설정 또는 별도 구독 등 필요한 항목의 존재 방법을 이용사업자가 명확히 인지할 수 있도록 개발문서(안내서) 등을 통해 알릴 것을 권고한 바 있다.
CSP는 이날 개인정보위의 개선권고를 수용해 현재 준비 중인 '개인정보 안전성 확보조치 기능 설정 안내서'의 취지와 방향성에 대해 발표했다.
MSP는 이용사업자 측 입장을 대변해 현장의 의견을 전달했다. 이들은 CSP의 안내서가 발표되면 이용사업자들이 클라우드 기반 개인정보처리시스템을 안전하게 구축하는 데 기술적으로 큰 도움을 받을 수 있다며 취지와 방향성에 대해 공감했다. 다만 추가 보안기능 구독비용 등이 일부 중소·영세 이용사업자에게 부담이 될 수 있다는 현실적인 애로사항을 언급했다.
아울러 참석자들은 개인정보보호법상 위·수탁 감독 절차에 따른 현장의 애로사항과 개선방안에 대해 의견을 나눴다.
이용사업자(위탁자)는 CSP(수탁자)가 개인정보를 수탁업무 목적 범위 내에서 안전하게 처리하는지를 감독해야 하지만, 다수 이용사업자가 개별적으로 대형 수탁자인 CSP를 감독하는 것이 쉽지 않은 것이 현실이다.
개인정보위는 CSP가 △이용사업자의 데이터에 접근하지 않는다는 사실을 약관 등에 명시하고, △보안 인증 등을 통해 제3의 전문기관으로부터 주기적으로 점검을 받고 이를 이용사업자에게 알리는 방법으로 개인정보보호법상 위·수탁 관리·감독 절차를 대체할 수 있다는 해결방안을 제시했다.
최장혁 개인정보위 부위원장은 “클라우드 환경에서 개인정보 처리의 안전성 확보는 참여하는 사업자 모두의 노력이 필요하다”며 “이용사업자가 안전한 개인정보 처리환경을 내재화할 수 있도록 기술 지원 방안과 더불어 행정·재정 지원 방안을 적극 모색하겠다”고 밝혔다.
조재학 기자 2jh@etnews.com
