잇단 고객사 정보유출 사고에 AWS 책임론 급부상

류은주 기자
입력 2021.11.01 06:00
최근 개인정보 유출 사업자들 상당수는 아마존웹서비스(AWS) 클라우드를 쓴다. AWS에 대한 책임론이 급부상한 이유다.

엄밀히 말하면 클라우드 서비스 공급자(CSP)인 AWS는 클라우드 인프라만 제공했기 때문에 해킹에 대한 책임이 없다. 하지만 고객들이 최소한의 보안조치를 할 수 있도록 돕는 CSP 차원의 역할이 부족했다고 지적한다. 정부 역시 업계의 목소리를 듣고 대응에 나섰다.

클라우드 해킹 이미지 / 아이클릭아트
10월 31일 개인정보보호위원회에 따르면, 최근 개인정보위는 국내외 CSP와 클라우드 매니지드 서비스(MSP) 사업자를 대상으로 보안사고 예방을 위한 자율적 관리·감독 강화 방안에 대한 의견을 청취 중이다.

디지털 전환 가속화와 함께 클라우드를 활용하는 기업이 늘고 있는데, 관리 미숙으로 인한 개인정보 유출 등의 보안 사고가 연이어 발생하고 있기 때문이다.

개인정보위가 최근 제재를 가한 사업자들 상당수는 아마존웹서비스(AWS) 등 클라우드를 사용하는 것으로 나타났다. 야놀자, 스타일쉐어, 집꾸미기, 스퀘어랩, 샤넬코리아 등이 해당 기업들이다. 대부분 관리자 접근 권한을 충분히 제한하지 않거나, 장기 미이용자의 개인정보를 파기 또는 분리 보관하지 않은 가운데 개인정보가 유출된 것으로 파악됐다.

회원정보 유출 관련 개인정보위의 조사를 받는 데이팅 앱 ‘골드스푼'과 패션 이커머스 플랫폼 ‘브랜디'도 AWS 인프라를 사용 중인 것으로 알려졌다.

개인정보위는 개인정보 유출 사고가 잦아지자 CSP가 서비스를 이용하는 기업들에 적절한 수준의 서비스를 제공하고 있는지에 대해서는 논란의 소지가 있을 수 있다고 판단한다.

개인정보위 관계자는 "클라우드 사업자가 2차 인증, 방화벽 등 개인정보보호 관련 툴은 제공하고 있기에 법률상 클라우드 사업자들의 책임은 없다"며 "다만, 클라우드를 이용하는 사업자들 사이에서 ‘해당 툴이 있다고 알려줘야 하는 것 아니냐'는 불평이 나오고 있다"고 말했다.

이어 "클라우드 서비스 제공사업자의 위법행위는 없지만 서비스 측면에서 최선을 다하고 있는지에 대한 의문이 있다"며 "자율적으로 개인정보에 대한 안내를 적극적으로 하도록 하는 것에 대한 클라우드 사업자들의 의견을 듣고 있다"고 말했다.

국내 사업자들만 개인정보위의 의견을 받아들이고, 해외 사업자는 받아들이지 않을 경우 역차별이 될 수 있겠냐는 질문에 그는 "지금으로서는 단정하기 어렵다"며 "강제할 수는 없는 부분이기에 국내 업체들이 수용한다면 그것을 바탕으로 해외 업체들에도 더 권고할 수는 있다"고 말했다.

AWS 측은 개인정보위의 이러한 움직임에 대한 입장을 물었지만 별다른 입장을 내놓지 않았다. AWS 관계자는 "현재로서는 확인드릴 내용이 없다"며 "추후에 확인할 내용이 있으면 전달하겠다"고 말했다.

류은주 기자 riswell@chosunbiz.com


T조선 뉴스레터 를 받아보세요! - 구독신청하기
매일 IT조선 뉴스를 받아보세요 닫기