클라우드 활성화 위해 꼭 짚어봐야 할 개인정보 이슈

클라우드 컴퓨팅에서 개인정보보호와 이용활성화 방안 두고 갑론을박

[보안뉴스 김경애] 빅데이터와 클라우드, 사물인터넷 등 ICT 신기술에 따른 개인정보보호와 활용에 대한 사회적 관심이 갈수록 높아지고 있다. 특히, 클라우드 분야의 경우 지난 9월 28일 클라우드컴퓨팅발전법 시행과 더불어 더욱 고조되고 있다. 하지만 개인정보 국외 이전 등 우려의 목소리도 점차 커지고 있다.

▲클라우드 컴퓨팅 개인정보보호 및 이용활성화 방안 토론회 모습

이에 클라우드 산업 발전을 위한 다양한 문제점과 방안을 모색하는 자리가 마련돼 눈길을 모았다. 바로 20일 양재동 EL타워에서 개최된 ‘신규 ICT 서비스 분야의 개인정보보호 및 이용활성화 대토론회’가 그것.

방송통신위원회가 주최하고 한국인터넷진흥원이 주관한 이번 대토론회에서는 특히 ‘클라우드 컴퓨팅 개인정보보호 및 이용활성화 방안’이란 주제 아래 산·학·연 전문가들이 한자리에 모여 열띤 토론을 펼쳤다.

▲ 기조발제를 하고 있는 경희대학교 이창범 교수

먼저 기조 발제를 맡은 경희대학교 이창범 교수가 ‘클라우드 컴퓨팅 개인정보보호 및 이용활성화 방안’이란 주제로 △클라우드 서비스의 법적 구조 △플레이어별(Players) 책임과 의무 △클라우드 발전법과 다른 법의 관계 △클라우드 서비스의 주요 법적 이슈 △클라우드 서비스와 정보보안 문제 △클라우드 서비스와 개인정보 문제 △클라우드 서비스의 이용촉진 문제 등에 대해 발표했는데, 이날 주로 논의된 내용은 개인정보보호 이슈 문제와 클라우드 산업 발전 방안이다.

클라우드 보안 우려에 대해 MS코리아 법무정책실 김금선 변호사는 클라우드 통제를 위한 국제표준 ISO27018을 참고할 필요성을 언급했다. ISO27018에는 클라우드 이용자 정보는 승인 후 이용해야 하고, 데이터 처리 및 저장은 투명해야 한다는 내용을 담고 있다. 데이터에 대해서는 통제권을 가져야 하고, 사고 발생시 통지 의무와 함께 감사 역할 등을 통해 클라우드 서비스가 검증될 수 있도록 명시하고 있다.

이와 관련 김금선 변호사는 “국제표준과 같은 기준을 바탕으로 클라우드 산업 활성화와 보안 강화를 함께 도모해야 하며, 금융 및 의료분야와 같은 민감 정보를 많이 다루는 업계에 명확한 가이드라인을 제시해야 한다”고 말했다.

개인정보 국외 이전과 관련해서는 정보통신망법과 개인정보보호법에서 개인정보를 국외 이전 시 이용자에게 동의를 구해야 하는데, 이 경우 중간에 도입한 클라우드 서비스 사업자는 따로 동의를 받아야 하는 경우가 발생해 산업 활성화 측면에 있어 문제가 될 수 있다고 지적했다. 무엇보다 클라우드 서비스에서 정보 이전 절차를 투명하게 해야 하며, 정보보호 수준도 동일하게 해주는 것이 중요하다고 강조했다.

클라우드 사업자의 법적 지위 측면에서 사업자는 개인정보처리자나 수탁자로 해석되고 있는데, 이 경우 규정이 엄격하게 적용돼 발전을 저해하거나 여러 문제가 발생할 수 있어 기존 법률과는 다르게 접근할 필요가 있다고 제시했다.

이어 녹색소비자연대전국협의회 이주홍 정책국장은 “클라우드 산업 발전과 정보보호를 위해서는 ISO27018뿐만 아니라 국내의 특수성도 함께 고려해야 하고, 정보보호의 불확실성을 해소하기 위해 소비자들이 지켜야 할 가이드라인이 필요하다”며 “가이드라인이 마련되지 않은 상태에서 클라우드 서비스 활용 확대는 위험할 수 있다”고 말했다. 또한, 그는 꼭 올려야 할 정보와 보호해야 할 정보를 구분해야 하며, 어디까지 개인정보를 저장하는 것이 맞는지 평가위원회를 두고 활용하는 방안과 정보유출 방지를 위해 사전규제를 강화해야 한다고 덧붙였다.

법무법인 인 권창범 변호사는 “정통망법과 클라우드발전법 상에서 이용자의 의미는 다를 수 있다”며 “클라우드 발전법 상에서의 이용자는 엔드유저가 아닌 서비스 계약자로 해석됨으로 다른 개별법을 적용해야 하며, 누가 이용자인지 개념 정리가 선행되어야 한다”고 말했다.

또한, 정보유출 및 국외이전과 관련해서는 각국의 정보보호 수준에 따라 이슈가 발생할 수 있는데, 개인정보 이용 동의 원칙은 너무 높은 수준을 요구하고 있다며 클라우드발전법의 취지를 잘 살려 최소한의 규제장치만 마련하고, 나머지는 시장과 소비자 판단에 맡겨야 한다고 언급했다.

한국인터넷진흥원 보안산업단 손경호 단장은 방송통신위원회에서 지난 2013년말부터 ISO27018를 참조해 만든 개인정보보호지침에 대한 소개와 함께 피해예방을 위한 표준계약서, 이용자 보호를 위한 신고센터 운영, 이용자 지원을 위한 컨설팅과 협의체 등의 내용을 담고 있는 클라우드법의 침해사고 통지부분에 대해 설명했다.

또한, KT 박상학 팀장은 현재 KT에서 운영하고 있는 클라우드 운영 정책에 대해 설명했다. 박 팀장은 “KT의 경우 데이터를 KT에 이전시켜도 이용자가 통제권을 갖고 있으며, 데이터 저장과 백업 등도 고객사에서 직접 수행하고 있다”며, “가용성에 있어서는 아마존 클라우드와 호환되기 때문에 클라우드 간의 이전도 가능하고, 무결성의 경우 기본적으로 가상서버만 제공하기 때문에 고객사만이 정보를 알 수 있어 고객사보다 먼저 인지하기 힘들다”고 말했다.

이용 활성화 측면에서는 클라우드 서비스를 쓰고 싶어도 각종 규제사항 때문에 사용하지 못하는 경우가 있다고 우려했다. 일례로 공공기관의 경우 데이터를 옮겼을 때 보안지침에 위배될까 우려해 주저하는 경우가 있는데, 명확한 지침이 마련돼 보다 적극적으로 사용할 수 있도록 해야 한다는 게 그의 설명이다.

법무법인 태평양 장준영 변호사는 “여러 설문조사에서 데이터 보안이 클라우드 활성화에 저해요소로 꼽히고 있다”며 “이용자 보호를 위해 보안등급 절차를 거치거나 클라우드 서비스 인증, 인센티브 제공 등 별도의 자율 제도가 정착될 수 있는 방안이 마련되면 좋을 것 같다”고 말했다.

이와 함께 그는 “클라우드발전법에서 이용자정보는 법인정보, 식별이 어려운 정보 등이 모두 해당된다며 개인정보보호법보다는 이용자 재산권 측면에서 포괄적으로 봐야 하며, 개인정보보호법보다는 완화된 접근방법을 취해야 한다”고 말했다.

마지막으로 단국대학교 법학과 손승우 교수는 “클라우드법에서 이용자 정보에 대한 정의는 일반적인 이용자하고는 다르다”며 “다른 서비스에서도 개인정보를 취급하지만 개인정보보호법, 정통망법을 우선 적용하기 때문에 우선 적용이 논리적으로 맞다. 다만 IoT 서비스에 있어 융합 측면에서 서로 충돌할 수 있기 때문에 정보 위치 변경과 서비스 중단 시 이용자에게 지체 없이 알려야 하고, 클라우드 사업자는 이를 잘 관리할 의무가 있다”고 설명했다.

클라우드 서비스 발전을 위해서는 대규모 데이터센터를 동반하는 대기업 참여가 요구되며, 개인정보가 상대적으로 덜 민감한 분야부터 점차적으로 클라우드 서비스 도입이 필요하다고 말했다.
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)