정보 보안

정보의 유출과 개인정보와 같은 보안문제는 클라우드 컴퓨팅 서비스를 위협하는 가장 심각한 문제이다. 클라우드 보안 우려는 지속적으로 증가하고 있으며 클라우드 환경에서는 다양한 위협이 존재한다. 클라우드 신뢰성 확보를 위한 보안문제를 해결할 수 있는 권고사항이 아닌 강력한 법적 처벌을 통한 법제도적 기반이 마련되어야 한다.

2015년 클라우드 관련 하반기 정보보호 동향²⁶⁾을 살펴보면, 클라우드 발전 및 이용자 보호법 (클라우드 컴퓨팅 발전법)(’15.9.28 시행)(<표 6-1> 참조), 정보보호산 업진흥법(’15. 12.23 시행), 빅데이터 산업 진흥법(’15.9.14 발의)을 시행 및 발의함으 로써 정보보호의 문제를 개선하고자 노력하고 있다(<그림 6-4> 참조). 미래창조과학 부의 클라우드 컴퓨팅 발전법(2015년 9월 28일 시행)의 주요 내용 중 “이용자 보호”를 위해서는 “1) 침해사고, 이용자 정보 유출, 사전예고 없이 10분 이상의 서비스 중단시 지체없이 이용자에게 알리고 필요한 조치를 하여야 하며, 2)동의 없이 제3자에게 정보 제공 금지, 사용 종료시 정보의 반환 및 파기해야 하며, 3) 피해가 발생한 경우 손해를 배상하여야 하며 입증 책임은 사업자가 지게 되어있다”(미래창조과학부 보도자료, 2015. 9.28)(<표 6-1> 참조).

26) 이슈로 보는 2015년 하반기 정보보호 동향 (last accessed date: 2015. 10.18) http://blog.naver.com/PostView.nhn?blogId=mssinnovator&logNo=220482619254)

<그림 6-4> 2015년 하반기 정보보호 동향

자료: 이슈로 보는 2015년 하반기 정보보호 동향 (last accessed date: 2015. 10.18) (http://blog.naver.com/PostView.nhn?blogId=mssinnovator&logNo=220482619254)

구분 주요내용

이용자 보호

y 침해사고, 이용자 정보 유출, 사전예고 없이 10분 이상의 서비스 중단시 지체없이 이용자에게 알리고 필요한 조치를 하여야 함

y 동의 없이 제3자에게 정보 제공 금지, 사용 종료시 정보의 반환 및 파기 y 피해가 발생한 경우 손해를 배상하여야 하며 입증 책임은 사업자 짐 공공・민간

확산

y 국가기관 등의 클라우드컴퓨팅 도입, 공공기관의 민간 클라우드 이용 촉진 및 시범사업 추진

y 클라우드를 이용할 경우 각종 인허가시 전산설비 구비 의무 완화

산업 육성

y 연구개발, 중소기업 지원, 시범사업, 전문인력 양성, 해외 진출 지원 등 y 클라우드 기반 집적정보통신시설 구축 지원, 산업단지 조성

y 클라우드컴퓨팅 산업 진흥 및 이용 촉진을 위한 전담기관 지정

<표 6-1> 클라우드 컴퓨팅 발전법의 주요내용

자료: 미래창조과학부 보도자료, 소프트웨어진흥과 (2015.9.25.)

<미래창조과학부> 클라우드 컴퓨팅 발전법 (2015년 9월 28일 시행)

① 정부와 지자체, 공공기관 등 공공부문이 클라우드를 적극 도입할 수 있는 근거가 마련됐다.

국가정보화계획과 예산편성시 클라우드를 우선 고려하도록 규정됐으며(법 제12조), 미래부장관 은 해당사항을 검토한 후 기획재정부장관과 관계 중앙행정기관의 장에게 의견을 제시할 수 있도록 규정됐다(시행령 제9조)

② 민간기업에서도 클라우드를 적극 도입할 수 있도록 다양한 정책을 추진할 수 있는 근거가 마련됐다. 클라우드의 도입과 이용을 촉진하기 위한 다양한 시범사업이 추진되고(법 제9조, 시행령 제7조), 세제지원의 근거도 마련됐으며(법 제10조), 각종 사업의 인·허가시 전산설비를 직접 구축하지 않고 클라우드 이용만으로도 가능하도록 규제가 개선됐다.(법 제21조)

③ 클라우드 서비스 이용자의 정보보호에 관한 근거가 마련됐다. 이용자의 동의 없이 정보를 제3자에게 제공할 경우 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해지며, 서비스가 종료될 경우 정보를 이용자에게 반환하고 파기하여야 한다.. 또한 사전 예고 없이 10분 이상 서비스가 중단되거나 이용자의 정보가 유출된 경우 또는 해킹 등 침해사고가 발생한 경우에는 지체 없이 이용자에게 알리고 필요한 조치를 하여야 하며, 피해가 발생한 경우 손해를 배상하도록 하고 과실의 입증 책임을 사업자가 지도록 규정하는 등 이용자의 정보보호에 관한 사항이 규정됐다.(법 제23조 ~ 제37조, 시행령 제16조 ~ 제21조)

자료: 미래창조과학부, 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행령 제정안 (2015);

미래창조과학부 보도자료, 소프트웨어진흥과 (2015.9.25.)

<미래창조과학부> 클라우드 서비스 활성화를 위한 정보보호 대책 수립

① 클라우드 정보보호 대책은 안전한 클라우드(Safe Cloud)를 구현하는 것을 목표로 1) 클라우드 사업자 정보보호 수준향상 및 대응체계 구축, 2) 클라우드 이용자 정보보호 기반 구축, 3) 클라우드 정보보호 전문기업 육성 등의 과제들을 ‘19년까지 단계적으로 추진할 계획

② 클라우드 이용자 보호 기반 구축을 통해 이용자를 위한 안전한 서비스 환경을 조성

③ 미래부는 클라우드컴퓨팅 발전법의 규정에 따라 클라우드를 기반으로 창조경제가 실현될 수 있도록 범정부 차원에서 「클라우드 종합 발전계획」을 11월까지 수립할 계획

자료: 미래창조과학부 소프트웨어진흥과 보도자료(2015년 9월 10일)

정보보호산업진흥법 (2015년 12월 23일 시행)

적극적인 법제도 개선을 통해서 개인정보 오남용 방치 및 투명하게 관리되도록 노력해야 한다. 이를 위해서는 클라우드 관련 개인정보를 포함한 정보 보안을 위해서 는 정부의 강력한 법적 처벌 규정이 수반되어야 한다. 클라우드를 통한 이용자데이터 집중관리로 개인정보 노출 위험도 존재하고 있으며, 정보 보안을 위한 방법으로는

“외부로부터 공격, 내부에서 타 클라우드 이용자 공격, 클라우드를 토대로 한 공격, 컴퓨팅파워 악용(패스워드 해석 암호해독 등), 공격 이외 원인(정전 시스템 고장 등)으로 서비스 중지 등”이 있다(한국정보화진흥원, 2011)²⁹⁾. 따라서, “통합 가상화, 이용자 데이터 집중 관리라는 클라우드 특성에 적합한 데이터 처리, 장애 시 대처, 사업자 책임 등에 관한 보안제도 등”(한국지역정보개발원, 2012)³⁰⁾이 마련되어야 한다.

향후, 클라우드 컴퓨팅 산업 발전을 위한 정보보안을 위한 법제도적 개선 방향³¹⁾으 로는 첫째, 이용자 스스로 정보가 어디에 있는지에 관한 충분한 정보를 이용자에게 제공할 필요가 있다(이용자보호 충실). 둘째, 침해사고의 예방을 위한 방안이 미흡하므 로, 법적 규정을 통해서 정보의 보전과 복구를 위한 백업조치를 규정할 필요가 있다.

셋째, 클라우드 컴퓨팅 가용성 및 안정성을 보장하기 위한 제도로써, 사업자 보증보험 제도를 마련하여 신뢰성 확보를 마련할 필요가 있다. 넷째, 손해배상 피해액 청구 시, 사업자가 재정적 부족으로 인하여 피해자가 손해배상을 받지 못할 경우를 대비하 여 배상책임보호제도 도입을 고려해볼 필요가 있다(고영하, 2014). 이와 같은 클라우 드컴퓨팅 산업 발전을 위한 클라우드 정보 보안사항은 가능하면 권고사항이 아닌 의무규정으로 둘 필요가 있다.