“법 지키려면 별도 솔루션 구독 필요 알려야”…개보위, CSP 3사 개선권고

개인정보보호위원회가 주요 클라우드 서비스 제공사(CSP) 3개사가 이용사업자에 개인정보보호법을 준수하려면 추가 기능을 설정하거나 별도 솔루션 구독이 필요하다는 사실을 안내하도록 개선권고했다.

개인정보위는 12일 오전 서울 종로구 정부서울청사에 브리핑을 열고, 클라우드 서비스 제공사업자(CSP) 3개사에 대한 사전 실태점검 결과를 발표했다.

사전 실태점검은 개인정보 보호 취약점을 선제적 점검하여 침해 위험을 예방하는 제도로, 법 위반 또는 개선 필요사항 발견 시 시정·개선권고할 수 있다.

이번 점검 대상은 아마존(AWS), 마이크로소프트(Azure), 네이버클라우드(NCP)로, 클라우드를 기반으로 개인정보처리시스템을 운영하는 이용사업자가 클라우드상 안전조치 기능 미비로 인해 개인정보보호법 위반 또는 개인정보 유출 위험에 노출되는 것을 예방하기 위해 진행했다.

점검 결과, 개인정보보호법상 필수 안전조치 기능 자체는 제공하고 있었다. 하지만 일부 기능의 경우 이용사업자가 추가설정을 해야 하거나, 별도 솔루션을 구독해야 해 이용사업자에게 적극적인 안내가 필요했다.

구체적으로 개인정보보호법상 요구되는 접근권한 차등부여, 권한설정 내역 및 접속기록 보관, 비인가 접근 제한(방화벽), 2차인증, 최대 접속 시간 등은 추가 설정이 필요했다. 또 접근권한을 부여한 기록(log)과 개인정보취급자가 접속한 기록 보존기간 의무를 이행하기 위해선 별도 저장용량을 구입하거나 기록 관리 솔루션을 구독해야 했다. 이상행위 탐지 기능의 경우 기본으로 제공했으나 현장에서 필요한 수준의 시스템은 별도 구독 솔루션이 필요했으며, 유출탐지·대응, 암호키관리, 악성프로그램탐지 등 보안기능 등도 별도 솔루션을 구독해야 하는 경우가 다수 있었다.

이에 개인정보위는 안전조치 기능 중 추가 설정이나 별도 솔루션 구독이 필요한 기능과 설정방법을 가이드·설명서 등을 통해 이용사업자에게 명확히 알릴 것을 개선권고했다.

전승재 개인정보위 조사3팀장은 “점검 대상이 아닌 다른 CSP와 이용사업자들을 대상으로 한국인터넷진흥원(KISA) 등 전문기관과 함께 적극 계도를 해나갈 것”이라며 “이번 실태점검과 후속 개선을 통해 클라우드를 사용하는 국내 다수 개인정보처리자들의 인식과 안전조치 보호 수준이 향상될 것으로 기대된다”고 말했다.

한편, 개인정보위는 지난 11일 전체회의에서 안전조치의무를 소홀히 해 개인정보를 유출한 전북대와 이화여대에 총 9억6600만원의 과징금과 540만원의 과태료를 부과하고 시정명령, 공표명령 및 징계권고를 하기로 의결했다. 또 개인정보를 유출한 머크·디알플러스에 각각 과징금 8000만원·과태료 600만원, 과징금 3242만원·과태료 840만원을 부과했다.

조재학 기자 2jh@etnews.com