개보위, CSP 대상 첫 개인정보 실태 조사...일부 개선 권고

컴퓨팅입력 :2025-06-12 12:00:04    수정:

 개인정보보호위원회(위원장 고학수) 11일 전체회의를 열고 클라우드 서비스 제공사업자(Cloud Service Provider, CSP) 3개 사인 아마존(AWS), 마이크로소프트(Azure), 네이버클라우드(Naver Cloud Platform, NCP)에 대한 사전 실태점검 결과를 발표했다. 이들 3개사의 서비스를 이용하는 국내 고객사는 약 65만 곳에 달한다. 

공정위 조사자료(2021년)에 따르면 AWS는 국내 CSP시장에서 62%, 애저는 12%, 네이버클라우드는 7%를 차지했다. 이번에 실태점검 결과를 발표한 전승재 개인정보위 조사조정국 조사3팀장은 "CSP를 대상으로 개인정보 실태 조사를 한 건 이번이 처음이며 CSP같은 중간재를 대상으로 개인정보 실태를 조사한 것도 이번이 처음"이라고 밝혔다.  

이번 사전 실태점검은 개인정보보호법(제63조의2)에 따른 것이다. 개인정보 보호 취약점을 선제적으로 점검해 침해 위험을 사전에 예방하는 제도다. 법 위반 또는 개선 필요사항 발견 시 시정과 개선을 권고할 수 있다.

개보위는 "이번 실태점검은 클라우드를 기반으로 개인정보처리시스템을 운영하는 이용사업자(중소기업·스타트업·소상공인 포함)들이 클라우드 상 안전조치 기능 미비로 인해 개인정보 보호법(이하 ‘보호법’) 위반 또는 개인정보 유출 위험에 노출되는 것을 선제적으로 예방하기 위해 진행했다"고 설명했다. 

■ 점검 결과

점검대상 클라우드 서비스들은 보호법상 필수 안전조치 기능 자체는 제공하고 있지만 ① 일부 기능의 경우 이용사업자가 추가 설정을 해야 하거나 ②별도 솔루션을 구독해야만 하는 경우도 있어 이용사업자들에게 적극적인 안내가 필요한 것으로 조사됐다.

① 기본 안전조치 설정 외 추가 설정이 필요한 기능

개인정보보호법은 개인정보취급자에게 업무 수행에 필요한 최소한의 범위로 개인정보처리시스템의 접근권한을 차등 부여하고 접속계정을 공유하지 않을 것을 요구한다. 이를 위해 필요한 하위계정 발급 및 접근권한 설정 기능은 점검 대상 클라우드 서비스들에서 기본 제공되는데, 이용사업자가 이 기능을 활용하려면 자사 담당자별로 하위계정을 발급하고 각기 접근권한을 부여하는 조치를 추가로 해야만 한다.

또 보호법은 개인정보취급자가 개인정보처리시스템에 접속할 수 있는 범위를 인터넷 프로토콜(이하 IP) 주소 등으로 제한하고, 외부 인터넷에서 접속 시 아이디·비밀번호 이외의 안전한 인증수단(이하 ‘2차 인증’)을 적용할 것을 요구한다. 점검 대상 서비스들은 접속IP 주소 대역 제한 기능을 기본으로 갖추고 있지만, 실제 이용사업자가 자사 환경에 맞게 허용·제한할 IP 주소 대역을 추가로 설정해야만 한다. 2차 인증 기능의 경우 대개 기본 탑재되어 있지만 일부 추가설정이 필요한 부분이 있어 이용사업자의 주의를 요한다.

전승재 개인정보위 조사조정국 조사3팀장이 발표를 하고 있다.

② 별도 솔루션 서비스 구독 등이 필요한 기능

보호법은 개인정보처리시스템과 관련, 개인정보취급자에게 접근권한을 부여한 기록(log)을 3년간 보존 및 개인정보취급자가 접속한 기록을 1년(일정 규모 이상 개인정보처리자는 2년)간 보존해야 하며, 이 접속기록을 평상시 및 공격을 받을 시를 비롯해 상시 분석함으로써 개인정보 유출 시도(이상행위)를 탐지할 의무를 부여한다.

점검대상 클라우드 서비스들은 기록보존 기능 자체는 기본으로 제공하지만 보존 기간이 대개 수십 일 수준으로 단기에 그치고 있었다. 이용사업자가 1~3년의 보존의무를 이행하려면, 기록을 별도로 장기 보관하는 기능을 자체 구현하면서 필요한 별도 저장용량을 구입하거나, 또는 클라우드사업자가 제공하는 별도 기록 관리 솔루션을 구독해야 한다.

이상행위 탐지와 관련해서는, 기본적인 기능을 기본으로 제공하는 클라우드사업자도 일부 있었으나, 실제 현장에서 필요로 하는 수준의 이상행위 탐지시스템은 대개 별도 구독 솔루션으로 제공하고 있었다. 이 외에 암호 키 관리, 악성프로그램 방지 등의 기능도 별도 솔루션으로 구독해야 하는 경우가 다수 있었다.

■ 개선 권고 

김홍일 방통위원장

관련기사