• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

클라우드 정보보호 기준 내년초 제정·고시된다 2015.11.19

‘클라우드컴퓨팅 환경과 개인정보보호 과제’로 제3차 개인정보보호 전문가포럼 개최
정부, 클라우드 서비스 활성화 기반 되는 정보보호 기준 마련중...내년초 고시

[보안뉴스 김경애] ‘클라우드컴퓨팅 환경과 개인정보보호 과제’란 주제로 ‘제3차 개인정보보호 전문가포럼’이 18일 한국프레스센터에서 개최됐다.


개인정보보호범국민운동본부와 한국개인정보보호협의회가 공동 주최한 이날 포럼은 개인정보보호전문가 및 유관기관 단체장들이 참석한 가운데 클라우드 컴퓨팅 환경에서의 정보보호 이슈와 클라우드 관련 법제의 현황과 과제, 클라우드 환경의 개인정보보호 국제 표준 등에 대한 주제발표와 ISO, 글로벌 스탠다드 개인정보보호와 관련한 종합토론 순으로 진행됐다.

개인정보보호 기반 위에 클라우드 산업 발전해야
주제발표에 앞서 개인정보보호위원회 임채호 상임위원은 “초연결 시대라는 사회변화의 물결 속에 개인정보와 관련한 그늘도 적지 않다”며 “정부는 제도, 입법 등 개인정보보호 향상을 위해 노력하고 있지만 정부의 노력만으로는 부족하다”고 지적했다. 그러면서 임채호 상임위원은 “클라우드 컴퓨팅 등 새로운 기술도 개인정보보호 기반 위에서 발전해야 한다”며 “이번 포럼에서 논의된 의견을 바탕으로 신중하게 검토하고 정부에 건의하도록 하겠다”고 밝혔다.

방송통신위원회 이기주 상임위원은 “방통위도 IT 산업 변화에 따라 새롭게 떠오른 빅데이터, 클라우드컴퓨팅 등 중요한 산업 흐름으로 보고 있지만 산업 활성화를 위한 개인정보 활용 측면과 보호 측면의 균형점을 찾기가 쉽지 않다”며 “이번 토론회를 통해 개인정보 이용 활성화와 개인정보보호 강화의 조화를 이루기 위한 깊이 있는 논의로 결론이 도출되길 바란다”고 전했다.

소비자시민모임 김자혜 회장은 “IT 환경은 날로 발달하고 있지만, 신기술에 대해 모르는 계층과 알고 싶어하는 계층이 많다”며 “교육기회를 보다 많이 부여해서 계층간 정보 격차를 해소해야 한다”고 강조했다. 이어 개인정보보호 문제와 관련해 김 회장은 “지금도 미래에도 개인정보보호가 무엇보다 중요하다. 안전한 개인정보보호 기반 아래 기술발전이 이루어져야 한다”고 말했다.

클라우드 서비스 활성화 위한 정보보호 대책
다음으로 주제발표에서는 한국인터넷진흥원(KISA)의 손경호 보안산업단장이 ‘클라우드 컴퓨팅 환경에서의 정보보호 이슈’에 대해 발표했다.

특히, 국내 클라우드 서비스 활성화를 위해 정부에서 추진하고 있는 정보보호 대책을 발표해 눈길을 끌었다. 손 단장은 “클라우드 정보보호수준 향상을 위해 사업자의 관리적·기술적·물리적 보호조치에 대한 정보보호 기준을 마련해 내년 초 고시하고, 올해 안으로 이용자의 안전한 서비스 선택을 위한 자율적인 정보보호 조치현황 공개를 추진할 것”이라며 “이와 함께 정보보호 컨설팅 전문기업 등을 통한 사업자의 정보보호수준 진단을 내년 안으로 진행할 계획”이라고 말했다.

이어 클라우드 침해사고 대응체계 구축을 위해 오는 2016년에는 사업자와 유관기관 간 취약점 등 정보공유를 위한 클라우드 아이삭(Cloud-ISAC)을 구축·운영하고, 사업자 대상으로 정기적인 보안점검을 수행할 것으로 알려졌다. 또한, 클라우드 아이삭과 연계한 사고대응체계(Cloud-CERT)를 단계적으로 구축·운영할 방침이다.

클라우드 이용자를 위한 정보보호와 관련해서도 다양한 제도가 시행될 것으로 보인다. 우선 클라우드 서비스의 갑작스런 중단을 막기 위해 제3의 기관에 보관하는 임치제도를 내년 안으로 도입하고, 공공기관의 민간 클라우드 이용을 위한 제도도 관련 부처와의 협력을 거쳐 올해 안으로 마련할 예정이다.

클라우드 이용자 피해 예방을 위한 방안으로는 사업자의 불공정 약정에 따른 이용자 보호를 위해 표준계약서(법 제24조)를 제정하고, 이용자 피해보상을 위해 사업자의 보증보험 가입을 확대하도록 유도할 방침이다.

이어 클라우드 이용자의 편익 증진과 관련해 손경호 단장은 “올해 안으로 클라우드 관련 사고를 신속히 신고할 수 있는 이용자 보호 창구를 개설하고, 클라우드 안전이용 가이드를 배포할 계획”이라고 말했다.

또한, 클라우드 보안 4대 기술인 단말보안, 네트워크 보안, 사업자 보안, 보안정책 및 감사 분야에 오는 2017년까지 집중 투자한다는 방침이다. 시범사업과 실증사업 등을 통한 우수기술 적용도 지속적으로 추진되며, 클라우드 정보보호 인력양성과 클라우드 기반 정보보호(SecaaS) 기업 지원도 강화된다.

이와 함께 공공기관에서 민간 클라우드 도입 시 보안성을 보증하기 위한 보안인증제도가 도입될 것으로 보인다. 인증서 발급은 클라우드 서비스 사업자가 보안인증을 신청하면 평가기관으로부터 보안평가 심사를 받고, 인증위원회에서 보안평가 결과물을 심사한 후 인증을 승인하는 형태다.

이와 관련 손경호 단장은 “현재 일부 클라우드 사업자를 대상으로 시범적용하고 있다”며 “평가기준은 어느 정도 윤곽이 나와 있으며, 구체적인 사항은 국정원, 미래부와 함께 협의중에 있다. 제도화 추진은 2016년 12월경으로 계획하고 있다”고 밝혔다.

이외에 이용자 보호를 위한 클라우드 표준계약서를 마련하는 중으로, 올해 안으로 표준계약서가 제정될 전망이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>