프라이버시 중심 설계 통해 개인정보 무결성 보장해야

[보안뉴스 김태형] 클라우드 환경의 보안문제을 해결하고, 클라우드 컴퓨팅 활성화 및 산업 발전을 위한 클라우드법이 오는 9월부터 본격 시행된다. 이에 클라우드가 활성화 되기 위해서는 클라우드 환경에서 수집 또는 생성되는 개인정보를 보호하고, 적절한 접근을 유지함으로써 개인정보에 대한 무결성을 보장해야 한다.

이에 따라 프라이버시 중심설계(PbD: Privacy by Design)가 클라우드 환경에서도 적용되어야 한다는 목소리가 높아지고 있다. 이 PbD의 개념은 1990년대에 Ann Cavoukian 박사에 의해 무한히 증가하는 대규모의 네트워크화 된 데이터 시스템에서 발생하는 문제점을 다루기 위해 최초로 제안됐다.

클라우드 프라이버시 강화 기술은 정보주체와 서비스 제공자 간에 사전 합의된 프라이버시 정책에 따라 개인정보의 안전한 처리를 통제하도록 개인을 지원하기 위한 기술이다. 개인정보의 생명주기에 따른 프라이버시 강화 기술을 열거하면 프라이버시 정책 언어, 암호화, 익명화 및 가명화, 매체 폐기 기법을 들 수 있다.

클라우드 컴퓨팅 환경에서의 정보보호 관련 이슈

△ 시스템의 복잡성(system complexity) : 클라우드 컴퓨팅 환경은 다양한 구성요소를 지니고 있어 업그레이드 및 기능 개선에 있어 사용자간 상호작용의 증가에 의한 개인정보에 대한 분실, 무단 사용·수정의 위험성을 지닌다.

△ 다중 임차 환경(multi-tenant environment) : 클라우드 서비스는 서비스 제공자와 소비자 그리고 사용자와 사용자간에 다양한 구성 요소 및 자원을 공유하게 된다. 이때 비인가 정보 공유의 위험성이 존재한다.

△ 인터넷 연결 서비스(Internet-facing services) : 높은 비용과 보안대책 구성에 대한 부담으로 사용자의 개인정보가 위험에 노출되는 상황이 증가하고 있다.

△ 통제의 손실(loss of control) : 클라우드 서비스의 발전에 따라 데이터가 기하급수적으로 증가하고 있다. 지속적인 모니터링과 업데이트가 필요하다.

해외 주요 기관에서도 보안 강화가 이슈

NIST(미국표준기술연구소, National Institute of Standards and Technology), ENISA(유럽네트워크정보보호원, European Network and Information Security Agency), CSA(Cloud Security Alliance) 등 3개 기관에서 발표한 보안 및 개인정보보호 이슈를 보면, NIST의 경우 클라우드 컴퓨팅 전반에 걸쳐 위험에 대해 분석하고 있다. 클라우드 환경상의 사용자 개인정보보호에 대한 기술적 위험을 중점적으로 다루기보다는 전체적인 큰 틀에서의 책임성, 컴플라이언스, 신뢰구조, 아키텍처 등 거버넌스 차원에서의 위험들을 제시한 점이 특징이다.

ENISA에서도 기술적인 측면보다는 서비스 제공자와 사용자간의 개인정보보호 이슈들을 중점적으로 다루고 있다. 따라서 SLA를 통해 클라우드 환경에서 서비스 제공자와 사용자간에 사용자의 개인정보를 어떻게 관리하고 보호할 것인지에 대해 언급하고 있다. 그리고 ENISA의 또 다른 특징은 개인정보를 보호하는데 있어서 단순히 제공자만의 책임보다는 사용자도 제공자와 함께 책임감을 가져야 한다는 점을 강조하면서 불완전하고 안전성이 보장되지 않는 데이터 파기의 위험성을 지적하고 있다.

CSA의 경우에는 클라우드 컴퓨팅의 위험을 서비스 트래픽 하이재킹, 안전하지 않은 인터페이스 및 API와 같은 시스템과 네트워크 요소들이 포함된 기술적인 측면을 강조하고 있으며 최종적으로는 사용자의 개인정보에 피해를 입을 수 있다는 점을 설명하고 있다. 또한 데이터의 도난과 손실을 언급하면서 개인의 데이터를 관리 운영하는데 있어서 여러 가지 위험상황에 대한 보호적 차원의 방안들을 강구할 필요성을 강조하고 있다.

앞의 위험들은 전반적으로 개인정보보호에 대해서 직접적인 언급은 하고 있지 않지만 기술적 측면이나 관리적인 측면에서의 접근을 통해 개인정보를 보호하고 있다. 클라우드 초기에는 기술적인 측면이 강조되었지만, 기술이 발전하고 이에 따라 위험도 함께 증가하면서 제공자뿐만 아니라 사용자도 책임이 있다는 점이 주목할 만하다고 볼 수 있다.

정보보호 중심의 클라우드 정책 필요

이처럼 클라우드 서비스는 빅데이터와 더불어 차세대 유망 분야중 하나이다. 하지만 보안문제와 사생활 침해 우려로 인해 도입이 지연되고 있다. 현재 전 세계의 클라우드 컴퓨팅 환경을 직접적으로 관리 및 규제하는 법제도는 아직 없거나 현재 마련 중에 있다. 이는 클라우드 도입 초기에 각국의 클라우드 컴퓨팅 정책이 개인정보보호가 아닌 활성화에 치중한 것에 기인했다고 볼 수 있다.

현재 각국 법제도의 화두는 개인정보의 관리와 해외 이전을 들 수 있다. 클라우드 컴퓨팅 서비스를 제공자의 대부분이 미국 기업인 점을 감안하면 앞으로의 각국의 클라우드 법제도의 쟁점은 개인정보의 해외유출을 어떻게 방어하고 예방할 것인지가 될 것으로 보인다.

국내의 경우 정부차원의 클라우드 환경에서의 개인정보보호 관련 법안(클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률)이 제정됐지만 안전성이 떨어진다는 이유로 늦춰지고 있다. 또 개인정보보호보다는 관련 산업발전에 역점을 두고 있다.

클라우드 컴퓨팅 관련 보안문제가 이슈가 되고 있는 만큼 사용자들이 안심하고 클라우드 서비스를 이용할 수 있는 환경 조성 마련이 필요하다. 이를 위해서는 개인정보보호 및 정보보호가 중심이 된 클라우드 정책이 마련되어야 한다.

(자료: KISA, 클라우드 서비스 환경 내 개인정보보호 측면에서의 국내외 동향분석)

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>