[클라우드+] 개인정보위, AWS·MS·네이버 실태점검…보안기능 OK, 설정은 '이용자 몫'

[아이뉴스24 윤소진 기자] 아마존웹서비스(AWS), 마이크로소프트(MS), 네이버클라우드 등 주요 클라우드 서비스 제공 사업자(CSP)들이 필수 보안 기능 중 일부를 사용자가 유료 또는 추가 설정으로 선택하도록 유도하고 있는 것으로 나타났다.

개인정보보호위원회(개인정보위)는 12일 오전 서울 종로구 정부서울청사에서 브리핑을 열고 이같은 내용의 '클라우드 분야 사전 실태점검' 결과를 발표했다.

이번 점검은 클라우드를 기반으로 개인정보 처리 시스템을 운영하는 이용 사업자들이 보안 기능의 작동 여부를 정확히 인식하지 못해 개인정보 유출 위험에 노출되는 사각지대를 선제적으로 해소하기 위해 이뤄졌다.

개인정보위는 국내 약 65만 개 이용 사업자가 AWS, MS, 네이버클라우드 등 3사의 클라우드 서비스를 사용 중인 것으로 파악하고 이번 사전 실태 점검을 실시했다.

점검 결과 하위 계정 발급, 접근 권한 설정, IP 대역 제한, 2차 인증 등 주요 기능은 모두 기본적으로 제공되고 있었지만 실질적으로 이를 활용하려면 이용 사업자가 직접 추가 설정을 수행해야 했다.

일부 기능은 기본 제공만으로는 보호법 요건을 충족하기 어려워 별도 보안 솔루션을 유료로 구독하거나 장기 보관용 스토리지를 확보해야 하는 경우도 확인됐다. 예를 들어 개인정보취급자 접속기록(로그)의 경우 보호법상 1년간 보존해야 하는데 클라우드 서비스들의 기본 보존 기간은 수십일 수준에 그쳐 추가 조치가 필요하다.

개인정보위는 모든 보안 기능이 기본 탑재될 수 없는 배경에 대해 클라우드 서비스 중에서도 이번 점검 대상이 된 가상 서버와 데이터베이스가 개인정보 처리에만 쓰이는 전용 시스템이 아닌 ‘중간재’ 성격이 강하다는 점을 들었다. 이용 목적이 서로 다른 사업자들에게 모든 보안 기능을 일괄 적용하는 건 현실적으로 어렵다는 설명이다.

전승재 개인정보보호위원회 조사3팀장은 "클라우드 서비스는 매우 다양하지만 이번에는 개인정보 처리 시스템의 기반이 되는 가상 서버와 데이터베이스만을 점검 대상으로 삼았다"며 "이들 서비스는 일반 데이터 처리에도 활용되기 때문에 기본 보안 수준을 초과하는 기능을 일률적으로 포함하면 불필요한 비용 부담이나 과잉 설정 우려가 있어 별도 옵션으로 제공하는 것은 적법하다"고 설명했다. 이어 "보안 기능이 플랫폼에 존재하더라도 실제 보호 수준은 이용자가 설정을 하고 구독을 하느냐에 따라 달라질 수밖에 없다"고 부연했다.

따라서 클라우드 기반으로 개인정보 처리 시스템을 운영하는 이용 사업자는 보안 기능이 탑재된 서비스를 이용하고 있더라도 자사 환경에 맞는 보안 설정을 점검하고 개인정보 보호법상의 의무를 충족하고 있는지 자체적으로 반드시 확인해야 한다는 것이다.

전 팀장은 "보안 전문성이 부족하거나 규모가 작은 기업 등은 클라우드 서비스를 이용하면 높은 수준의 보안이 자동으로 보장될 것이라고 기대할 수 있다”며 “하지만 필요한 기능을 추가 설정하거나 구독하지 않으면 완전한 보호가 어렵다는 점을 명확히 인식해야 한다”고 말했다.

개인정보위는 클라우드 사업자 3사를 대상으로 이들이 제공하는 안전조치 기능 중 추가 설정 또는 별도 솔루션 구독이 필요한 기능의 존재 및 설정 방법을 개발문서(가이드, 설명서 등)를 통해 이용 사업자에게 명확히 알릴 것을 개선 권고했다. 다른 클라우드 사업자와 이용 사업자들을 대상으로도 한국인터넷진흥원 등 전문 기관과 함께 적극적으로 계도해 나갈 계획이다.