개인정보위 “클라우드 서비스, 안전조치 개선” 권고

“네이버-아마존-마이크로소프트
별도 안전기능 명확히 알려줘야”

개인정보보호위원회가 네이버, 마이크로소프트, 아마존 등 클라우드 서비스 제공 사업자에 대해 서비스 이용 사업자(고객사)에게 안전조치 기능을 명확히 알리도록 개선 권고했다.

12일 개인정보보호위는 전날 전체 회의를 열고 네이버(NCP)와 아마존(AWS), 마이크로소프트(Azure) 등 국내 운영 중인 3개 클라우드 서비스 운영사에 대한 사전 실태 점검 결과를 심의, 의결했다고 밝혔다. 이번 실태 점검은 클라우드 기반으로 개인정보 처리 시스템을 운영하는 사업자들이 클라우드상 안전조치 기능이 미비해 개인정보보호법을 위반하거나 개인정보 유출 위험에 노출되는 것을 막기 위해 진행됐다. 점검 결과 해당 클라우드 서비스들은 접근 권한 차등 부여, 접속 계정 분리 등 필수 안전조치 기능 자체는 제공하고 있었다. 그러나 이용 사업자가 따로 추가 설정해야 하거나 별도 솔루션을 구독해야만 했다.

이에 개인정보보호위는 3개 회사를 대상으로 추가 설정 또는 별도 솔루션 구독이 필요한 기능의 존재 및 설정 방법을 가이드라인 등 개발 문서를 통해 이용 사업자에게 명확히 알릴 것을 개선 권고했다. 국내 중소기업과 스타트업, 소상공인 등 약 65만 개의 국내 사업자가 이번 실태 점검 대상인 기업 3곳의 클라우드 서비스를 쓰고 있다.

개인정보보호위는 지난해 개인정보 유출 피해가 발생한 전북대와 이화여대에 각각 6억2300만 원, 3억4300만 원의 과징금을 부과했다. 전북대는 지난해 7월 SQL 인젝션 및 입력값 변조 해킹 공격으로 32만여 명의 개인정보가 유출됐다. 이화여대는 같은 해 9월 해커의 파라미터 변조 해킹 공격으로 8만3000여 명의 개인정보가 유출됐다.

송진호 기자 jino@donga.com

© dongA.com All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지