해외 클라우드 사업자, 개인정보 유출 사고 조사 응하지 않아...법 명확해야
- 해외사업자, 클라우드 사고조사 응하지 않아 법집행 난관
- IaaS 제공 사업자 법적 책임 부과 인식 없어
- 클라우드 서비스 제공사업자도 그 기준 맞춰 수탁자 지위 해석 명확해야
클라우드 서비스 제공사업자가 개인정보보호법상 수탁자 지위에 있다는 해석을 명확히해야 한다는 제언이 나왔다.
일반적으로 안전성 확보조치 미흡으로 유출 사고가 발생한 경우, 개인정보 보호위원회는 해당 개인정보처리자의 서버 내 로그 등을 제출 받아 사고 원인분석을 하고 이를 행정처분 근거자료로 삼는다.
클라우드 환경서 유출 사고가 터진 경우, 로그 등이 클라우드 제공사업자 영역에 보관된 사례가 많다. 개인정보 보호위원회는 클라우드측 로그 등을 제출 받을 수 있어야만 사고조사 를 제대로 할 수 있고, 법적 책임을 부과할 수 있다.
그러나 IaaS 제공 사업자 경우 그러한 인식이 없는 실정이다. 특히 해외사업자는 클라우드측 로그 제출을 요청 받고도 응하지 않아 사고조사와 법집행의 난관이 돼 왔다.
이에 따라 클라우드 서비스 제공사업자가 개인정보보호법상 수탁자 지위에 있다는 해석이 명확해야 한다는 것이다.
한국인터넷진흥원이 외주용역을 맡겨 발표한 '클라우드 분야 개인정보 보호조치 현황 분석' 연구보고서에 따르면 수탁 범위는 클라우드 서비스 내용에 따라 IaaS는 기반 인프라 제공⸱관리 부분만 수탁범위이고, SaaS라면 클라우드측에서 마련한 애플리케이션에서 이뤄지는 정보처리까지 수탁범위로 봐야 한다.
개인정보 보호법 제63조에 따라 수검업무 대상자에는 ‘수탁자’도 포함돼 있다. 클라우드 서비스 제공사업자의 수탁자 지위를 명확하게 인정하는 해석이 뒷받침돼야 한다.
특히 IaaS 제공사업자의 수탁자 지위를 명확히 하려면, 해당 IaaS상에서 개인정보 처리가 일어나는지 여부를 이용사업자로부터 ‘고지’ 받는 절차 마련이 필요하다. IaaS 제공사업자가 법적 지위를 인식하고 필요한 조치를 할 수 있다.
‘필요한 조치’는 ①클라우드 서비스 이용개 시 시 개인정보 처리에 관한 위‧수탁계약 체결이다. 법상 요구되는 위수탁 계약사항이 클라우드 이용약관에 포함돼야 한다. ② 이용기간 중 위‧수탁 점검에 응하거나 클라우드 인증, 이용사업자 서비스에서 해킹 사고 발생 시 IaaS 로그가 제출될 수 있도록 조치해야 한다. ③ 이용종료 시 당해 이용사업자측의 데이터를 파기다. 파기는 파기확인서 제공, 최소한 이용약관에 파기 약정이 있어야 한다.
또한 이용사업자가 개인정보 안전성 확보조치의 보호조치기능을 미흡하게 제공한 경우도 있다. 예컨대 애플리케이션 내 마스킹이 미흡하거나 고객정보 암호화 저장여부를 확인할 수 없는 사례다.
이러한 경우 과연 이용사업자가 고시를 준수할 수 있을지 검토가 필요하다. 만약 이용사업자가 투입해야 하는 추가 비용⸱노력이 과다하다면 클라우드 서비스 제공사업자가 해당 보호조치기능을 필수 제공하도록 개선‧권고하는 방안도 고려해야 한다.
Related Materials
CheifEditor
문가용 기자
CheifEditor
![[TE머묾] 헝가리 통해 보는 보안 배척 레퍼토리](https://images.unsplash.com/photo-1590520477800-3907c51f094b?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDR8fCVFRCU5NSU5OCVFRCU5MiU4OHxlbnwwfHx8fDE3Nzg1NjYxMjR8MA&ixlib=rb-4.1.0&q=80&w=600)