개인정보위, 클라우드 분야 사전 실태점검 결과 발표
추가설정 필요 항목 명확히 안내토록 개선권고

[그래픽=뉴시스] 재판매 및 DB금지. hokma@newsis.com

[서울=뉴시스]송혜리 기자 = 정부가 아마존웹서비스(AWS), 마이크로소프트 애저(Azure), 네이버클라우드(NCP) 등 국내 65만 사업자가 사용하는 주요 클라우드 서비스를 상대로 개인정보보호 사전 실태점검을 실시한 결과 기본적인 보안 기능은 제공되고 있었지만, 일부 기능은 이용자가 별도 설정을 하거나 추가 솔루션을 구독해야만 사용할 수 있는 것으로 나타났다.

정부는 해당 클라우드사업자 3사를 대상으로 이들이 제공하는 안전조치 기능 중 추가 설정 또는 별도 솔루션 구독이 필요한 기능의 존재와 설정방법을 개발문서(가이드, 설명서 등)를 통해 이용사업자에게 명확히 알릴 것을 개선 권고했다.

정부는 이번 개선 권고에 대해 개발 역량이 부족한 소규모 사업자들이 해당 클라우드 서비스만으로 높은 보안 수준이 자동으로 보장된다고 오해하지 않도록, 개인정보 보호를 위한 필수 보안 기능은 별도로 구독해야 한다는 점을 개발자 문서 등을 통해 명확히 안내하자는 데 그 취지가 있다고 설명했다.

클라우드 이용사업자 개인정보 유출 위험 노출되는 것 선제적 예방 목적

개인정보보호위원회는 클라우드 서비스 제공사업자(이하 클라우드사업자) 3개 사에 대한 사전 실태점검 결과를 12일 발표했다. 

사전 실태점검은 개인정보 보호 취약점을 선제적 점검해 침해 위험을 사전에 예방하는 제도로 개인정보위는 법 위반 또는 개선 필요사항 발견 시 시정·개선권고한다.

이번 실태점검은 클라우드를 기반으로 개인정보처리시스템을 운영하는 중소기업·스타트업·소상공인 등 이용사업자가 클라우드 상 안전조치 기능 미비로 인해 관련법 위반 또는 개인정보 유출 위험에 노출되는 것을 선제적으로 예방하기 위해 진행했다.

개인정보위는 가상서버와 데이터베이스(DB) 클라우드 서비스를 대상으로 이용사업자 관점에서 워드프레스와 같은 응용프로그램을 구축해 안전조치 기능 현황을 점검했다.

접근 권한 차등부여·권한설정 내역 및 접속기록 보관 하려면 추가 설정 필요해

점검 결과, 점검대상 클라우드 서비스들은 보호법상 필수 안전조치 기능 자체는 제공하고 있었으나 일부 기능의 경우 이용사업자가 추가설정을 해야 하거나 별도 솔루션을 구독해야만 하는 경우도 있어 이용사업자들에게 적극적인 안내가 필요했다.

기본 안전조치 설정 외 이용자의 추가 설정이 필요했던 부분은 개인정보 접근 권한 차등부여, 권한설정 내역 및 접속기록 보관, 비인가 접근제한(방화벽), 2차 인증, 최대 접속 시간 등 부분이었다.

구체적으로 관련 법은 개인정보취급자에게 업무 수행에 필요한 최소한의 범위로 개인정보처리시스템의 접근 권한을 차등 부여하고, 접속 계정을 공유하지 않도록 요구한다. 이를 위해 필요한 하위계정 발급과, 접근권한 설정 기능은 점검 대상 클라우드 서비스들에서 기본 제공됐다. 다만, 이용사업자가 이 기능을 활용하려면 자사 담당자별로 하위계정을 발급하고 각기 접근권한을 부여하는 조치를 추가로 취해야만 했다.

아울러 관련법은 개인정보취급자가 개인정보처리시스템에 접속할 수 있는 범위를 인터넷 프로토콜(IP) 주소 등으로 제한하고, 외부 인터넷에서 접속 시 아이디·비밀번호 외에도 안전한 인증수단(2차 인증)을 적용할 것을 요구한다.

점검 대상 클라우드 서비스들은 접속 IP 주소 대역 제한 기능을 기본적으로 제공하고 있었지만 이용사업자가 직접 자사 환경에 맞는 허용·제한 IP 대역을 설정해야만 했다. 2차 인증 기능 역시 대개 기본 탑재돼 있으나, 일부 추가설정이 필요한 부분이 있었다.

권한설정내역 및 접속기록 보관 등 별도 솔루션 구매 필요한 부분도

아울러 별도 솔루션 서비스 구독 등이 필요했던 부분으로는 권한설정 내역·접속기록 보관, 유출탐지·대응, 암호키관리, 악성프로그램탐지 등 보안기능이 있었다. 

관련 법에 따르면, 개인정보처리시스템에 대해 개인정보취급자에게 접근권한을 부여한 기록(로그)을 3년간, 개인정보취급자의 접속 기록을 1년간(일정 규모 이상의 경우 2년간) 보존해야 하며, 이 접속기록을 평상시 및 공격 발생 시에 상시 분석해 개인정보 유출 시도(이상행위)를 탐지해야 한다.

점검대상 클라우드 서비스들은 기록보존 기능 자체는 기본으로 제공하지만, 보존 기간이 대개 수십 일 수준으로 단기에 그치고 있었다. 따라서 이용사업자가 1~3년의 보존의무를 이행하려면, 기록을 별도로 장기 보관하는 기능을 자체 구현하면서 필요한 별도 저장용량을 구입하거나, 또는 클라우드사업자가 제공하는 별도 기록 관리 솔루션을 구독해야 했다.

아울러 이상행위 탐지와 관련해서는 기본적인 기능을 기본으로 제공하는 클라우드사업자도 일부 있었으나, 실제 현장에서 필요로 하는 수준의 이상행위 탐지시스템은 대개 별도 구독 솔루션으로 제공되고 있었다. 이외에 암호 키 관리, 악성프로그램 방지 등 기능도 별도 솔루션으로 구독해야 하는 경우가 다수 있었다.

높은 보안 수준이 자동으로 보장된다고 오해하지 않도록 하는데 목적

다만, 점검 대상인 클라우드 가상서버와 데이터베이스는 이용자가 용도에 따라 응용 프로그램을 개발해 사용하는 중간재로, 개인정보처리시스템이 아닌 경우도 많아 클라우드 사업자가 모든 안전조치 기능을 기본 탑재하기는 어렵고 개인정보를 처리하려는 경우에는 이용사업자가 추가 설정이나 유료 보안 솔루션 구독이 필요하다는 게 개인정보위 설명이다.

전승재 개인정보위 조사3팀장은 "모든 안전조치 기능이 기본 탑재되기 어려운 이유는 저희가 점검을 한 클라우드 가상서버 그리고 클라우드 데이터베이스 등은 최종재가 아니라 중간재"라며 "이용사업자 임의대로 위에 응용 프로그램을 개발해서 사용하는 중간재이기 때문에 개인정보처리시스템으로도 활용될 수 있지만 그렇지 않은 일반적인 데이터 처리에도 활용되는 범용 서비스이기 때문에 개인정보 처리를 위한 안전조치 기능을 전부 기본 탑재하기에는 어려운 상황이었다"고 설명했다.

이어 "이용사업자가 클라우드를 개인정보처리시스템으로 써야 되는 경우에는 추가 설정을 하거나 또는 별도 솔루션을 유료 구독해야만 하는 것"이라고 설명했다.

이에 따라 개인정보위는 클라우드사업자 3사를 대상으로 이들이 제공하는 안전조치 기능 중 추가 설정 또는 별도 솔루션 구독이 필요한 기능의 존재와 설정방법을 개발문서(가이드, 설명서 등)를 통해 이용사업자에게 명확히 알릴 것을 개선권고했다. 아울러 개인정보위는 이외의 클라우드 사업자·이용사업자들을 대상으로도 한국인터넷진흥원(KISA) 등 전문기관과 함께 적극적으로 계도해 나갈 계획이다.

개인정보위는 "이번 실태점검 및 후속 개선을 통해 클라우드를 활용하는 국내 다수 개인정보처리자들의 인식과 보호 수준이 향상될 것이 기대된다"고 설명했다.


☞공감언론 뉴시스 chewoo@newsis.com 

Copyright © 뉴시스. 무단전재 및 재배포 금지.