출처 : http://www.boannews.com/media/view.asp?idx=45561&page=1&kind=2&search=title&find=
클라우드 서비스 환경 내 개인정보보호 측면에서의 국내외 동향분석.pdf
해외, 클라우드 서비스 보안 및 개인정보보호 대책 표준화 마련
국내, ‘클라우드 법’ 국회 통과로 클라우드컴퓨팅 산업 발전 가속화
[보안뉴스 김태형] 지난 3일 ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률’(이하 클라우드법)이 국회 본회의를 통과해 오는 9월부터 본격 시행된다. 이미 미국 등 해외에서는 민간기업뿐만 아니라 정부기관과 공공부문에서도 클라우드 서비스를 적극적으로 도입하고 있는 상황이다. 특히 아마존, MS, 구글, IBM 등의 기업들은 우리나라를 비롯한 글로벌 영역으로 시장을 확대하고 있다.
|
반면, 우리나라는 정보를 외부에 맡기는 것에 대한 보안 우려와 기업들의 투자 회피 등으로 클라우드 컴퓨팅 도입이 활성화되지 못했다. 이러한 문제를 해소하기 위해 지난 2013년 10월 발의된 국내 클라우드 산업육성과 이용자 보호를 주요 내용으로 하는 법률안이 이번에 국회 본회의를 통과하면서 국내 클라우드컴퓨팅 산업 발전이 가속화될 것으로 보인다.
이처럼 클라우드 시장에 대한 관심은 뜨겁다. 클라우드 컴퓨팅은 주문형(on-demand) 서비스로 IT 자원을 제공해 비용 절감과 협업의 기회를 도모하고 다양한 장치를 통한 접근성과 유연성 확보가 가능하므로 개인과 기업 등 클라우드 사용자의 호응이 높아지고 있다. 국가적인 차원에서도 클라우드 산업의 활성화를 위한 노력(예: 2009년 ‘범정부 클라우드 컴퓨팅 활성화 종합계획’ 발표)이 지속적으로 이루어지고 있다.
하지만 최근 애플의 아이클라우드(iCloud) 해킹으로 해외 유명인사들의 사진이 유출되었고 KT나 LG유플러스의 클라우드 서비스에서 비밀번호를 5회 이상 틀려도 이용자 확인을 하지 않는 등 보 문제가 불거지고 있다. 대부분의 기업에서는 클라우드 서비스의 도입 및 확산에 주요 장애요인으로 정보보안 및 개인정보보호 문제를 가장 시급히 해결해야 할 이슈로 인식하고 있다.
이에 ISO/IEC와 ITU-T 등 국제적인 표준기구와 국가별 표준기구 및 관련 산업계에서 클라우드 서비스 보안 및 개인정보보호에 대한 기술과 관리적 대책을 표준화하고 있다. 클라우드 컴퓨팅 보안에 대한 국제표준은 ISO/IEC JTC 1과 ITU-T 등 양대 국제표준기구에서 2010년경부터 개발에 착수해 아직까지 작업이 진행 중이다.
클라우드 서비스 보안에 관련된 주요 용어의 정의는 JTC 1/SC 38(분산 어플리케이션 플랫폼 및 서비스)에서 국제표준 ISO/IEC 17788으로 발간했으며, 관련 클라우드 보안 아키텍처, 보안통제, 프라이버시 통제 등에 대한 표준화 작업이 현재 진행 중이다. NIST, ENISA 등 미국 및 유럽에서도 클라우드 보안에 대한 기준, 지침 등이 다수 개발되어 널리 사용되고 있으며, 그 결과에 해당하는 내용이 ISO/IEC와 ITU-T의 국제표준 작업에 반영되고 있다.
CSA(Cloud SecurityAlliance) 등 산업계에서도 보안가이드 3.0, 클라우드 보안통제 3.1 등이 개발되어 많은 기업과 기관에서 참조 모델로서 사용되고 있으며 그 내용도 국제표준으로 반영되고 있다. 여기에서는 각국의 법제도 현황을 살펴보고 클라우드 취약점에 따른 개인정보보호 방안은 어떤 것이 있는지 정리하고자 한다.
미국, 유럽 등 클라우드 선진국에서의 개인정보보호 관련 법 제도 현황을 분석하면 ‘클라우드 보안’이라는 범주 안에서 개인정보보호를 위한 대책을 포함시켜 다루고 있으며 별도로 구분해 시행하고 있지 않다.
|
▲ 각국의 법제도 현황 (출처: KISA 클라우드 서비스 환경 내 개인정보보호 측면에서의 국내외 동향분석) |
EU의 법제도 현황
EU는 연합체의 성격으로 법제도의 성격이 지침이나 규칙이기 때문에 유럽 각 국가에 의무적으로 적용되지는 않는다. 초기 EU의 클라우드 컴퓨팅 환경은 활성화가 중점이었지만 클라우드 환경의 변화와 최근 미국과의 개인정보 이전에 대한 갈등으로 클라우드 환경에서의 개인정보보호에 대한 관심이 높아지고 있다.
EU의 클라우드 컴퓨팅은 유럽위원회(EC)와 유럽정보보안기구(ENISA)에서 주도적으로 이끌고 있으며 이들 위원회와 기구에서 클라우드 환경의 활성화와 개인정보보호를 포함한 보안에 대한 범 유럽적 지침과 규칙을 만들어 발표하고 있다.
EU의 경우 대부분의 클라우드 컴퓨팅 서비스 기업이 미국 기업이라는 것에 중점을 두어 EU 클라우드 컴퓨팅 서비스 기업의 지원과 더불어 SLA의 중요성을 부각시키고 있다. 이와 더불어 클라우드 서비스 이용자들의 개인정보가 해외로 유출되는 것을 막기 위한 해외 클라우드 컴퓨팅 서비스 기업들에 대한 규제도 하고 있다.
미국의 법제도 현황
개인정보에 관련된 문제가 발생하는 경우 각 영역의 개별법에 의해 규제를 받고 있다. 최근 연방정부와 의회 주도로 클라우드 컴퓨팅 관련 법안과 기존 법안들의 개정안들이 제안 및 개정되고 있다. 개별법 측면에서는 개인의 프라이버시 관련 법률들에서 클라우드 환경의 개인정보에 대한 취급 및 보호에 대한 광의적인 내용들을 포함하고 있다.
△ GLB Act(Gramm-Leach Bliley Act, 1999): 기업들로 하여금 고객정보 보호방법에 대해 설명한 보안계획서를 직접 작성하도록 하여 클라우드 사용자로 하여금 개인정보를 안전하게 보호한다는 것에 대한 신뢰도를 생성 할 수 있도록 하고 있다.
△ 전기통신비밀보호법(ECPA, 2001): 클라우드 환경에서의 비인가된 접근 및 정보 공개를 원칙적으로 금지함으로서 클라우드 서비스 소비자의 개인 프라이버시를 보장받을 수 있도록 하고 있다.
△ 애국법(USA PATRIOT Act, 2001): 컴퓨터를 통한 외부자의 공격에 대한 법집행 절차로서 감시와 조사권을 좀더 폭넓게 인정해 클라우드 컴퓨팅 서비스를 통한 국가적 개인정보의 유출 등을 방지하기 위한 법으로서의 역할을 하고 있다.
일본의 법제도 현황
미국, EU와 같이 클라우드 컴퓨팅 환경에 직접적인 법제도는 아직 마련이 되어 있지 않지만 총무성을 중심으로 가스미가세키 프로젝트(Kasumigaseki Project, 2013)를 통해 일본만의 클라우드 컴퓨팅 활성화와 법제도를 마련하고 있다.
초기 클라우드 도입 시에는 개인정보보호에 관련된 내용은 대부분 각 분야별 개별법의 개정을 통한 확대적용이 주류였으나, 2011년클라우드 서비스 업체 ‘First Server’의 초대형 전산장애로 대규모의 개인정보가 유출되고 소실되면서 클라우드 환경에서의 개인정보보호의 중요성이 부각됐다.
이후 일본에서는 총무성을 중심으로 공공기관과 대기업의 클라우드 서비스에 있어서 개인정보 보유 및 관리에 대한 가이드라인을 만들어 배포하고 있다. 개별법적으로 클라우드 컴퓨팅 환경에서 개인정보 보호에 대한 내용을 포함하고 있는 법률들을 각 분야별 정부 기관에서 개정과 가이드라인발표를 통해 시행하고 있다.
한국의 법제도 현황
한국은 클라우드 도입 초기 다른 국가들과는 달리 정부차원의 클라우드 도입이 미진한 편이다. 하지만 기업들의 클라우드 도입으로 클라우드 서비스 이용자는 증가하였고 최근 대규모 개인정보 유출로 인해 클라우드 컴퓨팅과 서비스 이용자 보호에 대한 중요성이 부각되고 있다.
클라우드 도입 초기 2011년 7월 방송통신위원회가 ‘클라우드 개인정보보호 수칙(안)’을 공표했다. 이 수칙에는 클라우드 컴퓨팅 서비스 이용자들을 보호하기 위한 조치들을 포함해 SLA의 내용을 포함했다. 개별법 측면에서는 기존의 개인정보보호를 위해 제정된 법안들의 개정 및 적용범위와 대상의 수정을 통해서 시행되고 있다.
△ 개인정보보호법은 개인정보의 수집, 처리 및 보호에 대한 기본적 사항들을 종합적으로 규율하고 있다. 개인정보보호법 이외에 인터넷상의 개인정보를 보호하는 법제도로 정보통신망법과 방송통신위원회의 방송통신 이용자 보호법이 있다.
△ 정보통신망법은 1986년 ‘전산망 보급 확장과 이용촉진에 관한 법률’로 시작되어 2001년‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’로 전부 개정되어 오늘날까지 흐름에 맞추어 개정이 이루어지고 있다.
주요 내용으로는 주기적으로 정보통신서비스 제공자 등이 이용자에게 개인정보 이용내역을 통지하도록 하여 이용자의 알 권리를 보장한다. 그리고 이용자가 자신의 정보에 대한 통제권을 강화하고 있다.
△ 방송통신 이용자보호법은 현행 전기통신사업법, 방송법 및 정보통신망법 등에 산재한 이용자 보호 관련 규정을 통합하고 이용자 역량 강화 및 피해구제제도 개선방안 등을 추진하여 이용자의 피해를 줄이고 권리를 더욱 강화할 방향으로 추진될 예정이다.
종합적으로 한국의 경우 도입 초기 정부차원의 도입이 미진한 결과 국내 기업들과 개인의 클라우드 서비스 이용량은 증가했지만, 이에 따른 법적 마련은 보완되지 못하는 모습을 보였다.
최근 일련의 대량 개인정보 유출사태로 범정부적 대대적인 클라우드 컴퓨팅에 대한 규제들이 마련되고 있지만 기존의 다양한 개인정보보호법에 존재하는 클라우드 관련 개인정보에 대한 법제도들이 산재하고 있다.
'old > 관리적 보안' 카테고리의 다른 글
| [기사] BYOD, 기술 아니라 보안의 문제 (0) | 2015.04.14 |
|---|---|
| [자료] 개인정보 안전성 확보조치 기준 비교표 (0) | 2015.03.28 |
| [기사] 보안관련 법률속 DB암호화 조항 (0) | 2015.02.26 |
| [자료] 개인정보보호 관련 한국판례_2012.06 (0) | 2015.02.24 |
| [자료] ISO/IEC 27000 시리즈 (0) | 2015.02.09 |
