기록보존·이상행위 탐지 등 필수 기능 안내 미흡…이용자 안전조치 안내 강화 권고
국내 약 65만 이용사업자 안전조치수준 제고 기대
[보안뉴스 여이레 기자] 아마존웹서비스(AWS), 마이크로소프트(MS), 네이버클라우드 등 3개 클라우드 서비스 제공 사업자에 대한 사전 실태점검을 실시한 개인정보위원회가 이용사업자에 대한 안내 미흡을 지적하고 안전조치 기능을 더 명확히 알리라고 12일 권고했다.
[자료: gettyimagesbank]
이들 3사 클라우드를 이용하는 국내 고객 사업자 수는 약 65만 개로 추산된다. 이번 개인정보위 실태점검은 3사 클라우드를 기반으로 개인정보처리시스템을 운영하는 사업자들이 클라우드 서비스 자체의 안전조치 기능 미비로 개인정보보호법을 위반하거나 개인정보 유출 위험에 노출되는 것을 예방하고자 진행됐다.
점검 결과 해당 클라우드 서비스들은 관련법에서 규정된 필수 안전조치 기능을 제공한다. 다만 이용사업자가 추가설정을 해야 하거나 별도 솔루션을 구독해야 하는 경우가 있는 것으로 나타나 이용자들에 적극적 안내가 필요하다는 판단이다.
개인정보보호법은 개인정보취급자에게 업무 수행에 필요한 최소한 범위로 개인정보처리시스템 접근권한을 차등해 부여하고 접속계정을 공유하지 않도록 규정하고 있다. 클라우드 서비스에서 이에 필요한 하위계정 발급이나 접근권한 설정 기능을 활용하려면 추가 조치가 필요한 경우가 있었다.
또 관련법에 따르면 개인정보 유출 시도를 탐지하기 위한 목적으로 개인정보 취급자에게 개인정보처리시스템 접근권한을 부여한 기록을 3년간 보존하고 개인정보취급자가 접속한 기록을 1년간 보존하도록 규정한다.
하지만 이번 점검 대상 클라우드 서비스들은 기록보존 기능 자체는 제공하지만 그 기간이 수십 일 수준에 그쳤다. 이용자는 보존 의무 이행을 위해 별도 기록 장기 보관 기능을 자체적으로 구현하면서 필요한 별도 저장 용량을 구입하거나 클라우드 사업자가 제공하는 별도 기록 관리 솔루션을 구독해야 했다.
이상행위 탐지 관련 기능을 기본 제공하는 클라우드사업자도 일부 있었으나 실제 현장에서 필요로 하는 수준의 이상행위 탐지시스템은 대개 별도 구독 솔루션으로 제공됐다. 그 외 암호 키 관리, 악성프로그램 방지 등 기능도 별도 솔루션으로 구독해야 하는 경우가 다수 있었다.
개인정보위는 3개 클라우드 사업자에게 이들이 제공하는 안전조치 기능 중 추가 설정 또는 별도 솔루션 구독이 필요한 기능의 존재 및 설정 방법을 개발문서(가이드, 설명서 등)를 통해 이용사업자에게 명확히 알릴 것을 개선권고했다.
개인정보위는 “이번 실태점검 및 후속 개선을 통해 클라우드를 활용하는 국내 다수 개인 정보처리자들의 인식과 보호 수준이 향상될 것으로 기대한다”고 밝혔다.
[여이레 기자(gore@boannews.com)]
국내 약 65만 이용사업자 안전조치수준 제고 기대
[보안뉴스 여이레 기자] 아마존웹서비스(AWS), 마이크로소프트(MS), 네이버클라우드 등 3개 클라우드 서비스 제공 사업자에 대한 사전 실태점검을 실시한 개인정보위원회가 이용사업자에 대한 안내 미흡을 지적하고 안전조치 기능을 더 명확히 알리라고 12일 권고했다.
[자료: gettyimagesbank]
이들 3사 클라우드를 이용하는 국내 고객 사업자 수는 약 65만 개로 추산된다. 이번 개인정보위 실태점검은 3사 클라우드를 기반으로 개인정보처리시스템을 운영하는 사업자들이 클라우드 서비스 자체의 안전조치 기능 미비로 개인정보보호법을 위반하거나 개인정보 유출 위험에 노출되는 것을 예방하고자 진행됐다.
점검 결과 해당 클라우드 서비스들은 관련법에서 규정된 필수 안전조치 기능을 제공한다. 다만 이용사업자가 추가설정을 해야 하거나 별도 솔루션을 구독해야 하는 경우가 있는 것으로 나타나 이용자들에 적극적 안내가 필요하다는 판단이다.
개인정보보호법은 개인정보취급자에게 업무 수행에 필요한 최소한 범위로 개인정보처리시스템 접근권한을 차등해 부여하고 접속계정을 공유하지 않도록 규정하고 있다. 클라우드 서비스에서 이에 필요한 하위계정 발급이나 접근권한 설정 기능을 활용하려면 추가 조치가 필요한 경우가 있었다.
또 관련법에 따르면 개인정보 유출 시도를 탐지하기 위한 목적으로 개인정보 취급자에게 개인정보처리시스템 접근권한을 부여한 기록을 3년간 보존하고 개인정보취급자가 접속한 기록을 1년간 보존하도록 규정한다.
하지만 이번 점검 대상 클라우드 서비스들은 기록보존 기능 자체는 제공하지만 그 기간이 수십 일 수준에 그쳤다. 이용자는 보존 의무 이행을 위해 별도 기록 장기 보관 기능을 자체적으로 구현하면서 필요한 별도 저장 용량을 구입하거나 클라우드 사업자가 제공하는 별도 기록 관리 솔루션을 구독해야 했다.
이상행위 탐지 관련 기능을 기본 제공하는 클라우드사업자도 일부 있었으나 실제 현장에서 필요로 하는 수준의 이상행위 탐지시스템은 대개 별도 구독 솔루션으로 제공됐다. 그 외 암호 키 관리, 악성프로그램 방지 등 기능도 별도 솔루션으로 구독해야 하는 경우가 다수 있었다.
개인정보위는 3개 클라우드 사업자에게 이들이 제공하는 안전조치 기능 중 추가 설정 또는 별도 솔루션 구독이 필요한 기능의 존재 및 설정 방법을 개발문서(가이드, 설명서 등)를 통해 이용사업자에게 명확히 알릴 것을 개선권고했다.
개인정보위는 “이번 실태점검 및 후속 개선을 통해 클라우드를 활용하는 국내 다수 개인 정보처리자들의 인식과 보호 수준이 향상될 것으로 기대한다”고 밝혔다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
