[인터뷰] 고려사이버대학교 박대하 교수
클라우드 프라이버시 이슈 및 규칙 포함한 계약 수립 논의
[보안뉴스 김경애] IT 기술의 발달에 따라 클라우드와 빅데이터, 사물인터넷(IoT)이 새롭게 떠오르면서 정보보안 역시 이러한 신기술의 보안이슈에 대한 관심이 높아지고 있다.
국내의 경우 ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률’(이하 클라우드법)이 오는 9월부터 본격 시행을 앞두고 있어 클라우드에 대한 관심이 커지고 있다. 빅데이터 역시 ICT 산업의 핵심요소로 부각되면서 이와 관련한 정보보호 국제표준 논의도 활발해지고 있다.
이에 본지는 GRC연구회 정기모임에서 만난 고려사이버대학교 박대하 교수와의 인터뷰를 통해 클라우드, 빅데이터, 에너지 분야 등 새롭게 떠오르는 주요 이슈과 관련해 정보보호 국제표준화 회의에서 어떤 논의가 이루어지고 있는지 자세하게 들어봤다.
Q. 빅데이터와 관련해 리스크 관리 표준화도 준비 중인 것으로 알고 있습니다. 이에 대해 자세히 설명해 주신다면?
이번 회의에서 클라우드 서비스와 빅데이터로 인해 새롭게 등장하는 위험을 식별, 평가, 처리하는 방법을 담은 위험관리 방법을 신규 연구기간(SP) 작업으로 진행하기로 결정했습니다.
클라우드 서비스는 둘 이상의 조직에 걸쳐서 함께 발생하는 위험이 많으며, 빅데이터는 기존의 프라이버시 원칙으로 적용하기 어려운 개인정보의 자체 생성 등과 같은 위험을 다룰 수 있는 방법이 요구되기 때문입니다. 추후 SP 보고서가 나오면 신규 표준화 아이템으로 채택할지 여부가 결정되기 때문에 조금 더 지켜봐야 할 것 같습니다.
Q. 클라우드에 대한 주요 논의사항은 무엇인가요?
ISO/IEC 27017은 클라우드 서비스 고객과 서비스 제공자 측면에서 각각 ISMS를 구축하는데 필요한 별도의 통제항목을 표준화한 것입니다. 현재 국제표준 바로 전 단계인 FDIS 단계로 투표를 진행 중이며, 올해 연말까지는 표준으로 공표될 예정입니다.
이번 회의에서는 클라우드 서비스 고객과 서비스 제공자 간의 역할과 책임을 할당하고, 서비스 제공자가 구축한 정보보호 기능에 대한 정보를 서비스 고객에게 전달하는 방식을 주로 논의했습니다.
▲ 고려사이버대학교 박대하 교수
Q. 클라우드 서비스 제공자가 외국기업일 경우 인증과정에서 국내 개인정보가 국외로 이전되는 프라이버시 문제가 발생할 수 있는데, 이에 대한 논의현황은?
클라우드 프라이버시 통제(ISO/IEC 27018)에서는 개인정보의 지역적인 위치문제를 해결할 수 있는 통제로, 유럽연합(EU)에서 채택하고 있는 모델 계약 조항(Model Contract Clauses)이나 아시아태평양경제협력체(APEC)의 국경간 프라이버시 규칙(Cross Border Privacy Rules)을 포함하는 계약을 수립하도록 요구하고 있습니다. 현재는 국경문제를 해결할 구체적인 계약내용에 대해서는 ISO/IEC 차원에서 별도의 표준을 국제적으로 개발할 예정은 없으나 관심있게 봐야 할 부분입니다.
Q. 에너지 분야도 최근 화두로 떠오르고 있는데 이에 대한 논의 내용도 궁금합니다.
ISO/IEC 27019는 에너지 분야에서 ISO/IEC 27001을 구축할 수 있도록 ISO/IEC 27002를 보완할 수 있는 에너지 산업 분야의 보안통제 지침을 개발하고 있습니다. 이번 회의에서는 표준 적용범위를 주로 논의했습니다. 전력, 가스, 난방 등의 분야에서 에너지를 생성·전송·배분하도록 통제하고 모니터링하는 에너지 산업의 프로세스 통제 시스템을 보호하는 것을 주요 범위로 포함시켰습니다. 다만, 핵(nuclear) 발전 설비에 대한 보안은 IEC 62645에서 이미 다루고 있으므로 제외하기로 결정했습니다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>