Q. 빅데이터·클라우드 환경에서의 개인정보보호 체계는 어떻게 구성하나요? 클라우드 서비스의 보안관련 입법상황이 궁금합니다. 또 클라우드 보안에서 보안의 책임주체가 상당히 논란이 될 것 같습니다. 이를 어떻게 구분해야 하나요?


A-1. 클라우드 서비스에 대한 정보보호 및 개인정보보호는 아직 법규로 제정되어있지 않습니다. 방통위와 미래부를 중심으로 ‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률안’을 제정해 국회로 보냈지만 통과되지 않은 상태입니다. 따라서 현재 클라우드 환경에 대한 개인정보보호는 기존 개인정보보호법에 따라 다뤄야 합니다.

개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)에 따라 클라우드 소비자에 해당하는 조직(공공기관 또는 민간기업)에서 개인정보를 활용하는 업무 중 일부를 클라우드 서비스를 이용하여 수행하는 경우에 클라우드 소비자는 위탁자가 되고 클라우드 제공자는 수탁자에 해당하는 것으로 볼 수 있습니다.

클라우드 서비스 환경의 개인정보 수탁자인 클라우드 제공자는 제26조 제7항이 요구하는 개인정보의 기술적·관리적 보호조치에 따라 이행해야 하며, 개인정보 위탁자인 클라우드 소비자는 제26조 제2항에 따라 위탁하는 업무의 내용(또는 클라우드 서비스 정보)과 수탁자인 클라우드 제공자를 정보주체가 언제든지 쉽게 확인할 수 있도록 공개해야 합니다.

또한, 제26조 제6항에서는 수탁자가 법을 위반해 발생한 손해배상 책임에 대해 위탁자가 책임을 질 수 있도록 규정하고 있어서 제26조 제4항에 따라서 개인정보를 위탁한 클라우드 소비자는 이를 수탁한 클라우드 제공자의 교육과 보호조치의 이행을 감독할 의무를 갖게 됩니다.
(박대하 고려사이버대학교 교수/summer69@cuk.edu)

A-2. 보안은 데이터센터를 포함한 하드웨어인프라, 망분리, OS, 보안관련 솔루션,암호화 등 여러 가지 측면이 있는데, 하드웨어 인프라나 망분리에 대한 부분은 클라우드 사업자가 책임져야 하는 부분입니다. 기타 부분은 고객사가 책임져야 합니다. 클라우드 사업자는 고객이 사용하는 가상서버의 OS 영역에 접근하지 못하기 때문입니다. 다만, 고객사 책임 부분에 대해서 클라우드사업자가 별도로 매니지드 서비스를 제공할 수는 있습니다.
(김형용 KT IT기술운영본부 IT인프라보안팀 부장 /claude.kim@kt.com)
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>