개인정보위, 클라우드 서비스 제공·이용사업자 간담회 개최

[디지털투데이 황치규 기자]개인정보보호위원회와 한국인터넷진흥원은 16일 서울 중구 소재 한국프레스센터에서 최장혁 개인정보위 부위원장, 주요 클라우드 서비스 제공사업자(이하 ‘클라우드사업자’), 클라우드 서비스 이용 기술지원 사업자(이하 ‘기술지원사업자’) 및 한국클라우드산업협회 등이 참석한 가운데 간담회를 개최했다.

클라우드사업자는 아마존웹서비스, 마이크로소프트, 네이버클라우드가, 클라우드를 이용하는 사업자에 기술 지원을 제공하는 기술지원사업자로는 메가존클라우드, 베스핀글로벌, 클루커스, 진인프라 4개 업체가 참여했다.

이번 간담회는 개인정보위가 사전실태점검 결과 6월 11일 전체회의에서 의결한 개선권고 후속조치로, 각 클라우드사업자 점검대상 서비스 내 안전조치 기능 제공 현황과 향후계획을 공유하고, 클라우드 환경에 적합한 실질적인 개인정보의 안전성 확보방안을 모색하기 위해 마련됐다.

앞선 의결에서 개인정보위는 클라우드서비스를 이용하는 사업자(중소기업·스타트업·소상공인 포함, 이하 ‘이용사업자’)가 클라우드상에서 개인정보처리시스템을 구축하는 과정에서 보호법상 안전조치 의무를 제대로 이행할 수 있도록, 클라우드사업자로 하여금 추가설정 또는 별도 도입이 필요한 기능 존재 및 구체적인 이용방법을 개발문서(안내서) 등을 통해 명확히 알릴 것을 개선권고했다.

이에 따라, 이번 간담회에서 각 클라우드사업자들은 개인정보위 개선권고를 수용하여 현재 준비중인 ‘개인정보 안전성 확보조치 기능 설정 안내서’ 취지와 방향성에 대해 발표했다.

이어 기술지원사업자들은 이용사업자측 입장을 대변해 현장 의견을 전달했다. 참석자들은 보호법상 위·수탁 감독 절차에 따른 현장 애로사항과 개선방안도 논의했다. 이용사업자(위탁자)는 클라우드사업자(수탁자)가 개인정보를 수탁업무 목적 범위 내에서 안전하게 처리하는지를 감독해야 한다. 그러나 실제로는 다수 이용사업자들이 개별적으로 대형 수탁자인 클라우드사업자를 감독하는 것이 쉽지 않은 것이 현실이다.

이에 대해 개인정보위는, 클라우드사업자가 이용사업자 데이터에 접근하지 않는다는 사실을 약관 등에 명시하고, 보안 인증 등을 통해 제3의 전문기관으로부터 주기적으로 점검을 받고 이를 이용사업자에게 알리는 방법으로 보호법상 위·수탁 관리·감독 절차를 대체할 수 있다는 해결방안을 제시했다.

최장혁 개인정보위 부위원장은 “클라우드 환경에서 개인정보 처리의 안전성 확보는 참여하는 사업자 모두의 노력이 필요하다” 라며, “개인정보위는 이용사업자가 안전한 개인정보 처리환경을 내재화할 수 있도록 기술 지원 방안과 더불어 행정·재정 지원 방안을 적극 모색하겠다”라고 밝혔다.