[뉴스토마토 신상민 기자] 개인정보보호위원회는 아마존, 마이크로소프트, 네이버(
NAVER(035420))클라우드 등 클라우드 서비스 제공사업자 3개사에 대한 사전 실태점검 결과를 11일 발표했습니다.
이번 실태점검은 클라우드를 기반으로 개인정보처리시스템을 운영하는 이용사업자(중소기업·스타트업·소상공인 포함)들이 클라우드 상 안전조치기능 미비로 개인정보 보호법 위반 또는 개인정보 유출 위험에 노출되는 것을 선제적으로 예방하기 위해 진행됐습니다.
개인정보위 점검 결과, 점검대상 클라우드 서비스들은 보호법상 필수 안전조치 기능 자체는 제공하고 있었으나, 일부 기능의 경우 이용사업자가 추가설정을 해야 하거나 별도 솔루션을 구독해야만 하는 경우도 있어 이용사업자들에게 적극적인 안내가 필요합니다.
보호법은 개인정보취급자에게 최소한의 범위로 개인정보처리시스템의 접근권한을 차등 부여하고 접속 계정을 공유하지 않을 것을 요구합니다. 이를 위해 하위 계정 발급 및 접근권한 설정 기능은 점검 대상 클라우드 서비스들에서 기본 제공되는데, 이용사업자가 이 기능을 활용하려면 하위 계정을 발급하고 각기 접근권한을 부여하는 추가 조치가 필요합니다.
또한 보호법상 개인정보취급자가 개인정보처리시스템에 접속할 수 있는 범위를 인터넷 IP 주소 등으로 제한하고, 외부 인터넷에서 접속 시 아이디·비밀번호 이외의 안전한 인증수단을 적용해야 합니다.
점검 대상 서비스들은 접속 IP 주소 대역 제한 기능을 기본으로 갖추고 있지만, 실제 이용사업자가 자사 환경에 맞게 허용·제한할 IP 주소 대역을 추가로 설정해야 합니다. 일부 추가 설정이 필요한 부분이 있어 이용사업자의 주의가 필요합니다.
보호법은 개인정보처리시스템에 관해 개인정보취급자에게 접근권한을 부여한 기록을 3년간 보존 및 개인정보취급자가 접속한 기록을 1년간 보존해야 합니다. 하지만 점검대상 클라우드 서비스들은 기록보존 기능 자체는 기본으로 제공하지만 보존 기간이 대개 수십 일 수준으로 단기에 그쳤습니다.
이상행위 탐지 시스템은 대개 별도 구독 솔루션으로 제공되고 그 외, 암호 키 관리, 악성프로그램 방지 등 기능도 별도 솔루션으로 구독해야 하는 경우가 다수였습니다.
개인정보위는 클라우드사업자 3사를 대상으로 이들이 제공하는 안전조치 기능 중 추가 설정 또는 별도 솔루션 구독이 필요한 기능의 존재 및 설정 방법을 개발문서(가이드, 설명서 등)를 통해 이용사업자에게 명확히 알릴 것을 개선 권고했습니다.
전승재 개인정보보호위원회 조사3팀장이 12일 오전 서울 종로구 정부서울청사에서 2025년 제13회 개인정보보호위원회 전체회의 안건인 클라우드 분야 사전 실태점검 결과에 대해 브리핑하고 있다.(사진=개인정보보호위원회)
신상민 기자 lmez0810@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김나볏 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지