개인정보위, 빅3 클라우드 사업자 '개선권고'
- AWS, Azure, 네이버클라우드 3개사 사전 실태점검 결과 발표
- 보호법상 안전조치기능 제공 현황 점검
- “추가설정 및 별도 솔루션 구독 필요 항목에 대해 가이드 안내” 개선 권고
개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)가 12일 AWS, Azure, 네이버클라우드 3개 클라우드 서비스 제공 사업자(CSP)에게 개선 권고했다.
개인정보위가 발표한 CSP 사전 실태점검 결과, 클라우드 서비스의 필수 안전조치 기능 자체는 제공했으나, ① 일부 기능은 이용사업자가 추가설정을 해야 하거나, ② 별도 솔루션을 구독해야 했다. 이를 이용사업자가 알 수 있도록 안내하도록 개선돼야 한단 얘기다.
① 기본 안전조치 설정 외 추가 설정이 필요한 기능
보호법에 따르면 개인정보취급자에게 업무 수행에 필요한 최소한의 범위로 개인정보처리시스템의 접근권한을 차등 부여, 접속계정을 공유하지 않아야 한다.
그러나 하위계정 발급과 접근권한 설정 기능은 점검 대상 클라우드 서비스에서 기본적인 것만 제공될 뿐, 이용사업자가 기능을 활용하려면 자사 담당자별로 하위계정을 발급하고 각기 접근권한을 부여하는 조치를 추가로 해야만 한다.
또한 보호법에선 개인정보취급자가 개인정보처리시스템에 접속할 수 있는 범위를 인터넷 프로토콜(이하 ‘아이피’) 주소 등으로 제한, 외부 인터넷에서 접속 시 아이디·비밀번호 이외의 안전한 인증수단(이하 ‘2차 인증’)을 적용하도록 명시하고 있다.
그러나 이용사업자가 자사 환경에 맞게 허용·제한할 아이피 주소 대역을 추가로 설정해야만 한다. 2차 인증 기능은 대개 기본 탑재돼 있으나, 일부 추가 설정이 필요해 이용 사업자의 주의가 필요하다.
② 별도 솔루션 서비스 구독 등이 필요한 기능
보호법은 개인정보처리시스템에 관해, 개인정보취급자에게 접근권한을 부여한 기록(log)을 3년간 보존, 개인정보취급자가 접속한 기록을 1년(일정 규모 이상 개인정보처리자는 2년)간 보존해야 한다. 접속기록은 상시 분석해 개인정보 유출 시도(이상행위)를 탐지해야 한다.
하지만 이용사업자가 보존의무를 이행하려면 기록 보관 기능을 자체 구현하면서 별도 저장용량을 구입해야 하거나, CSP가 제공하는 별도 기록 관리 솔루션을 구독해야 한다. 그러다 보니 보존 기간이 대개 수십 일 수준으로 단기에 그치게 됐다.
이상행위 탐지 경우 기본 기능을 제공하는 사업자도 일부 있으나, 실제 현장에서 필요한이상행위 탐지시스템은 별도 구독 솔루션으로 제공됐다. 그 외, 암호 키 관리, 악성프로그램 방지 등 기능도 별도 솔루션 구독 경우가 다수였다.
이에 따라 개인정보위는 CSP 3사를 대상으로 안전조치 기능 중 추가 설정 시 별도 솔루션 구독과 설정방법을 가이드, 설명서 등을 통해 이용사업자에게 명확히 알릴 것을 개선권고했다.
Related Materials
- 개보위, CSP 대상 첫 개인정보 실태 조사...일부 개선 권고 - 지디넷코리아, 2025-06-12
- 네이버·MS·아마존에 '클라우드 고객사 안전조치 개선' 권고 - 연합뉴스, 2025-06-12
- 개인정보위, AWS·MS·네이버 실태점검…보안기능 안내 개선 권고 - Daum, 2025-06-12
- 개인정보위, 클라우드 분야 사전 실태점검 결과 발표 - 대한민국 정책브리핑, 2025-06-12
- 2024 개인정보 이슈 심층 분석 보고서, 개인정보보호위원회, 2024
- 클라우드 서비스 안전성 평가 및 개인정보 보호 방안 연구, 한국정보보호학회 논문집, 2023
