클라우드 시대, 개인정보·정보자산보호 방안은?

북마크 완료!

마이페이지의 ‘북마크한 기사’에서 읽으실 수 있습니다.

북마크한 기사 보러가기 close
입력 2015.11.25 17:44 | 수정 2015.11.25 18:11

[IT조선 노동균] 클라우드를 둘러싼 기대와 우려의 시선은 크게 ‘효율성’과 ‘보안’으로 요약된다. 클라우드를 통해 고도의 IT 인프라를 사용한 만큼 지불하면서 유연하게 운용할 수 있는 점은 기업의 비즈니스 효율성 제고에 크게 기여할 수 있다. 반면, 민감한 정보를 클라우드에 보관함으로써 발생 가능한 보안 이슈는 그동안 클라우드 산업 확대에 걸림돌로 작용해왔다.

클라우드 발전법 시행으로 관련 시장 확대가 기대되는 가운데, 개인정보보호 방안에 대한 논의도 활발하게 이뤄지고 있다.

 

국내에서도 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 클라우드 발전법)이 본격 시행됨에 따라 본격적으로 관련 시장이 확대될 것으로 기대되고 있는 가운데, 개인정보보호 방안에 대한 논의도 끊이지 않고 있다. 대표적인 것이 클라우드에 저장된 개인정보의 국외이전 이슈다. 이는 클라우드 서비스 제공자와 이용자의 의견이 가장 첨예하게 대립하고 있는 사안이기도 하다.

클라우드 발전법은 개인정보보호를 위해 기본적으로 개인정보보호법과 정보통신망법 등 관련 법률이 적용된다. 개인정보보호법 제 17조와 정보통신망법 제 63조는 개인정보처리자 및 정보통신서비스 제공자는 개인정보를 국외로 이전하거나 제3자에게 제공할 때 정보주체인 이용자로부터 동의를 받아야 한다고 명시하고 있다.

그러나 이를 두고도 단순 인프라로서 클라우드 서비스를 이용할 경우에도 개인정보의 국외 이전으로 평가할 것인지를 두고 의견이 엇갈린다. 또한, 개인정보보호법상 위탁의 경우는 위탁자의 관리 가능성을 고려해 국외 이전 동의를 받지 않아도 될 수 있다. 무엇보다 모든 고객의 동의를 받는 것이 사실상 불가능하기 때문에 해외 클라우드 서비스 사업자를 차별하는 법이 될 수도 있다는 지적도 제기된다.

개인정보 파기에 관한 내용도 마찬가지다. 정보통신망법은 개인정보 수집, 이용 목적을 달성하거나 보유 기간이 경과한 경우 개인정보를 파기하도록 명시하고 있다. 그러나 클라우드 서비스의 경우 복수의 서버에 복제 또는 백업을 하고 있기 때문에 개인정보의 완벽한 파기를 현실적으로 장담할 수 없다. 이는 곧 클라우드 서비스 제공자와 이용자 사이의 법적 분쟁 가능성으로 남는다.

이렇듯 클라우드와 관련한 다양한 법적 이슈에 대응하기 위해서는 개인정보보호와 정보자산보호의 개념을 이해하고 구분할 필요가 있다는 의견도 제시된다. 이를 위해서는 클라우드 서비스를 이용하는 기업 내 개인정보보호책임자(CPO) 및 정보보호최고책임자(CISO)와 같은 전문가의 역할이 명확히 구분될 필요가 있는데, 현실적으로 대기업을 제외한 대부분의 기업들은 이를 제대로 지키지 않고 있다는 지적이다.

특히 업계에 따르면 국내에서는 금융권 등을 중심으로 최고정보관리책임자(CIO)가 CISO를 겸임하는 경우가 많은 것으로 알려져 있다. 엄밀히 규정 위반은 아니지만, 이는 여전히 보안 투자에 인색한 국내 현실을 잘 말해준다.

이에 대해 구태언 테크앤로 변호사는 “클라우드를 도입하는 기업이라면 CIO와 CPO, CISO는 물론, 최고법률책임자(CLO)까지 아우르는 협업 프로세스를 구축하는 것이 가장 바람직하지만, 부득이하게 일부 역할을 겸임하는 경우 중복되는 사항을 치우치지 않고, 잘 나눠서 고려하고 있는지를 판단할 필요가 있다”고 말했다.

CPO와 CISO를 분리할 경우 역할을 명확하게 분리하고, 책임의 소재를 분명히 할 수 있지만, 동일한 안건에 대해 개인정보보호와 정보자산보호를 두고 리더십이 충돌할 수 있다는 게 단점으로 꼽힌다. 반면, CPO와 CISO를 겸임할 경우 개인정보보호와 정보자산보호 계획 수립에는 용이하지만, CPO에 주로 요구되는 정책전문성과 CISO에 주로 요구되는 보안기술 전문성을 두루 겸비한 책임자를 구하기 쉽지 않다는 점이 걸림돌이다.

구 변호사는 “법과 기술이라는 관점에서 CPO와 CISO를 분리하는 것과 겸임하는 경우 둘 다 모두 장단점이 존재한다는 점에서 전문가의 역할을 통합할 것인가, 분산할 것인가를 조직에 맞게 설계하는 것이 중요하다”며 “결국 위기 발생 시 조직이 원활하게 대응할 수 있도록 역할과 책임을 명확하게 한다는 차원에서 각 전문가의 역할을 이해할 필요가 있다”고 말했다.

노동균 기자 yesno@chosunbiz.com

0
주요 뉴스
지금 주목할 뉴스