주요법령 해설서

(1)

주요법령 해설서

2017. 11.

(2)

(3)

요약문

...

5

I

총론

...

15

1. 공공분야 ...

41

2. 금융분야 ...

71

3. 의료분야 ...

81

4. 교육분야 ...

95

5. 신산업 등 기타분야 ...

101

II

분야별 법령 해설

...

39

III

Q&A

...

109

(4)

(5)

추진배경

• 세계적으로 ICT활용 패러다임이 정보시스템을 자체구축하는 방식에서 서비 스 이용량에 따라 비용을 지불하는 클라우드컴퓨팅으로 전환되고 있습니다.

• 우리 정부도 클라우드컴퓨팅 이용 확산을 통해 비용절감 및 업무혁신을 유도하 고, 취약한 국내 클라우드컴퓨팅 산업의 경쟁력을 높이기 위해 「클라우드컴퓨 팅 발전 및 이용자 보호에 관한 법률」(이하 ‘클라우드컴퓨팅법’이라 함)을 제정^(‘¹⁵^.³^월)하 고, ‘제1차 클라우드컴퓨팅 발전 기본계획^(‘¹⁶^~’¹⁸⁾’을 수립^(‘¹⁵^.¹¹^월)하였습니다.

• 또한 보안인증제 실시^(‘¹⁶^.⁴^월), 공공기관 민간 클라우드 이용 가이드라인 마련

(‘16.7월), 공공기관 선도 프로젝트 등을 통해 공공부문의 선제적인 클라우드컴 퓨팅 도입을 지원하고 있으며, 산업단지 내 중소기업 이용 지원, 전문인력 양 성 등을 통해 클라우드컴퓨팅 산업 활성화에 역량을 집중하고 있습니다.

• 특히 제5차 규제개혁장관회의^(‘¹⁶^.⁵^월)에서는 클라우드컴퓨팅 분야 규제혁신 방안을 발표하였고, 이에 따라 금융·의료·교육분야 등에서 클라우드컴퓨팅 이용을 저해하는 규제개선^(‘¹⁶^.⁷^~¹⁰^월)이 이뤄졌습니다.

• 그러나 국내 클라우드컴퓨팅 시장은 아직 초기단계로 정부의 정책적 노력에 도 불구하고 클라우드컴퓨팅에 대한 인식 및 신뢰가 부족하고 일부 불명확한 규정과 해석차이로 도입에 어려움을 겪고 있는 등 클라우드컴퓨팅 도입이 저 조한 실정입니다.

• 본 해설서를 통해 금융, 의료, 교육, 공공 분야 등에서 클라우드컴퓨팅 이용 규제개선 내용을 상세히 소개하고 이에 따른 클라우드컴퓨팅 이용 가능범 위·절차를 명확화함으로써 클라우드컴퓨팅 이용확산을 촉진하고자 합니다.

요약문

(6)

총론

클라우드컴퓨팅법 제21조의 취지와 내용

• 각종 법령에서 인가·허가·등록·지정 등의 요건으로 전산 시설·장비·설비 등(이하 ‘전산시설등’이라 함)을 규정한 경우에 클라우드컴퓨팅서비스 제공자와 클 라우드컴퓨팅서비스 이용계약을 체결하는 것으로 전산시설등의 구비 의무를 대체할 수 있습니다.

• 클라우드컴퓨팅서비스 이용에 대해서 ‘원칙 허용, 예외 금지’라는 이른바 네 거티브 규제 원칙을 적용하고 있습니다.

• 예외적으로 금지되는 경우는 법령에서 클라우드컴퓨팅서비스 이용을 명시적 으로 금지하거나 회선 또는 설비의 물리적 분리구축 등을 요구하여 사실상 클라우드컴퓨팅 이용을 제한하는 경우에 ‘전산시설등’의 구비 의무를 대체할 수 없습니다.

• 법령에서 망분리 또는 회선분리를 요구하고 있더라도 논리적 분리방식을 명 시적으로 금지하지 않으면 클라우드컴퓨팅서비스 이용이 가능한 것으로 해 석해야 합니다.

클라우드컴퓨팅법 제21조의 적용 대상

• 클라우드컴퓨팅서비스는 원칙적으로 상용^(商用)으로 제공되는 서비스이어야 됩니다. 여기서 ‘상용’이란 무상ㆍ유상에 구애받지 않고 상업용으로 제공되는 것을 의미하므로 무상이라 하더라도 상용으로 제공되고 있다면 포함될 수 있습니다.

(7)

• 커뮤니티나 하이브리드 등의 방식으로 구축된 클라우드컴퓨팅 시스템이라도 서비스의 전부 또는 일부를 클라우드컴퓨팅서비스 제공자가 상용으로 제공 하고 있다면 그 범위 내에서 제21조의 클라우드컴퓨팅서비스로 볼 수 있습 니다.

클라우드컴퓨팅서비스와 정보보안

• 클라우드컴퓨팅서비스는 수많은 기업의 정보가 클라우드컴퓨팅시스템에 공 존하기 때문에 해커들의 주요 공격목표가 될 수 있어 취약점이 발견될 경우 정보 유출사고로 이어질 수 있습니다.

• 클라우드컴퓨팅법은 개별법이나 실무에서 제기하는 정보보안 문제를 해결하 기 위하여 과학기술정보통신부장관으로 하여금 클라우드컴퓨팅서비스의 정 보보호에 관한 기준을 제정하여 서비스 제공자에게 그 기준을 지킬 것을 권 고하고 있습니다.

• 클라우드컴퓨팅 보안인증제도는 클라우드컴퓨팅서비스 이용자가 서비스를 안심하고 도입·이용할 수 있도록 정보보호 전문기관인 한국인터넷진흥원

(KISA)이 해당 서비스가 「클라우드컴퓨팅서비스 정보보호에 관한 기준」^(과학기

술정보통신부 고시)을 준수하고 있는지 여부를 객관적으로 평가·인증해 주는 제 도입니다.

• 클라우드컴퓨팅 보안인증은 클라우드컴퓨팅서비스 제공자의 의무사항이 아 니지만, 공공기관을 대상으로 한 서비스 제공에는 필요합니다. 클라우드컴 퓨팅서비스 제공자가 클라우드컴퓨팅 보안인증을 받으면 공공기관에 상용 클라우드컴퓨팅서비스를 제공할 때 상급기관과 국가정보원의 보안성 검토 시 관리적ㆍ물리적ㆍ기술적 보호조치 및 공공기관 추가 보호조치 사항 관련 부분의 보안성 검토가 생략됩니다.

(8)

클라우드컴퓨팅서비스와 개인정보 보호

• 클라우드컴퓨팅서비스는 서비스제공자의 하드웨어, 소프트웨어, 플랫폼 등 을 이용해서 이용자^{(이용사업자)}가 직접 개인정보를 처리하므로 전산시설등의 사용대차 또는 소비대차로 볼 수도 있으나, 저장된 개인정보의 보관, 관리 등 을 클라우드서비스제공자가 자신의 책임 하에 수탁받아 행하게 되므로 개인 정보 처리업무의 위탁에 해당한다는 것이 다수의 해석입니다.

• 따라서 기업이나 공공기관이 클라우드컴퓨팅서비스를 이용할 때에는 개인정 보보호 관련 법령의 개인정보 처리업무 위탁 규정에 따라 개인정보 처리업 무를 위탁하여야 합니다.

분야별 법령해설

1. 공공분야

국가기관등의 클라우드컴퓨팅 도입 촉진

• 국가기관등은 클라우드컴퓨팅을 도입하도록 노력하여야 합니다. 여기에서

“국가기관등”은 ‘국가기관, 지방자치단체 및 「전자정부법」 제2조 제3호에 따 른 공공기관’을 의미합니다.

공공기관의 클라우드컴퓨팅서비스 이용 촉진

• 클라우드컴퓨팅법 제20조는 공공기관이 자체적으로 클라우드컴퓨팅을 갖추 게 하는 것이 아니라 민간 사업자의 클라우드컴퓨팅서비스를 이용하도록 하 고 있습니다.

(9)

• 공공기관의 범위에는 ① 「공공기관의 운영에 관한 법률」에 따른 법인·단체 또는 기관, ② 「지방공기업법」에 따른 지방공사 및 지방공단, ③ 특별법에 따 라 설립된 특수법인, ④ 법률에 따라 설치된 각급 학교, ⑤ 「정부출연연구기 관 등의 설립·운영 및 육성에 관한 법률」에 따른 연구기관, ⑥ 「과학기술분 야 정부출연연구기관 등의 설립·운영 및 육성에 관한 법률」에 따른 연구기관 이 포함됩니다.

공공기관 민간 클라우드컴퓨팅서비스 이용 절차

• 「공공기관 민간 클라우드 이용 가이드라인」에 따른 이용절차는 다음과 같습 니다.

정책협의체와 국가정보원 보안성 검토

• 공공부문에서 클라우드컴퓨팅서비스 이용 기반을 마련하고 이에 필요한 지 원을 위해, 행정안전부, 과학기술정보통신부, 기획재정부, 조달청, 국가정보 원, 클라우드컴퓨팅 전담기관 등 관계기관 합동의 ‘정책협의체’가 구성되어 운영되고 있습니다.

• 정책협의체는 공공기관이 민간 클라우드컴퓨팅서비스 이용에 대한 자체판단 이 어려워 검토요청이 있을 경우 의견을 제시하며, 공공기관의 자체판단 결 과 정보자원 등급평균값이 II등급인 경우에도 민간 클라우드컴퓨팅서비스 이용가능 여부에 대한 의견을 제시할 수 있습니다.

- 7 -

공공기관 ⇨ 정책협의체(주무부처 협의)

⇨ 공공기관

민간 클라우드 이용 자체 검토

이용 가능 여부 검토

민간 클라우드 이용 (Ⅲ등급)통보,

(Ⅱ등급)검토요청 ⇕ 정보 공유 (Ⅱ등급)결과통보

⇨ 국정원

보안성 검토 ⇨

법인 단체 또는 기관 지방공기업법 에 따른 지방공사 및 지방공단 특별법에 따라 설립된 특수법인 법률에 따라 설치된 각급 학교 정부출연연구기관 등의 설립 운영 및 육 성에 관한 법률 에 따른 연구기관 과학기술분야 정부출연 연구기관 등의 설립 운영 및 육성에 관한 법률 에 따른 연구기 관이 포함됩니다

 공공기관 민간 클라우드컴퓨팅서비스 이용 절차

공공기관 민간 클라우드 이용 가이드라인 에 따른 이용절차 는 다음과 같습니다

 정책협의체와 국가정보원 보안성 검토

공공부문에서 클라우드컴퓨팅서비스 이용 기반을 마련하고 이에 필요한 지원을 위해 행정안전부 과학기술정보통신부 기획재 정부 조달청 국가정보원 클라우드컴퓨팅 전담기관 등 관계 기관 합동의 정책협의체 가 구성되어 운영되고 있습니다

정책협의체는 공공기관이 민간 클라우드컴퓨팅서비스 이용에 대한 자체판단이 어려워 검토요청이 있을 경우 의견을 제시 하며 공공기관의 자체판단 결과 정보자원 등급평균값이 등 급인 경우에도 민간 클라우드컴퓨팅서비스 이용가능 여부에 대한 의견을 제시할 수 있습니다

(10)

• 정보보호 사항은 해당 공공기관이 상급기관(중앙행정기관, 광역지방자치단체)에 보 안성 검토를 의뢰하여야 하며 「국가 정보보안 기본지침」 제69조에 따라 국가 정보원에 보안성 검토를 요청하여야 합니다.

2. 금융분야

개정 전자금융감독규정 주요내용⁽²⁰¹⁶^.¹⁰^.⁵^.)

• 전자금융거래법령에서는 클라우드컴퓨팅서비스의 이용을 명시적으로 금지 하지 않으며, 해당 법령을 준수할 경우 금융회사와 전자금융업자는 클라우 드컴퓨팅서비스를 이용할 수 있습니다. 다만 물리적 망분리 등 클라우드컴퓨 팅서비스 이용이 어려운 규정으로 인해 개선이 필요했습니다.

• 금융위원회는 금융권 클라우드컴퓨팅서비스 이용을 보다 활성화하기 위해 금융회사 등으로 하여금 고유식별정보 또는 개인신용정보를 처리하지 않는 전산시스템을 ‘비중요 정보처리시스템’으로 지정할 수 있도록 하고, 해당 시 스템에 대해서는 물리적 망분리 등 클라우드컴퓨팅서비스 이용을 저해하는 규정의 적용을 배제하였습니다.

• 비중요 정보처리시스템은 ‘전자금융거래의 안정성 및 신뢰성에 미치는 영향 이 낮은 시스템’으로서 ‘고유식별정보 또는 개인신용정보’를 처리하지 않는 정보시스템을 의미합니다.

• 금융회사나 전자금융업자는 자체적으로 수립한 정보자산 중요도 평가기준 에 따라 전자금융거래의 안전성 및 신뢰성에 미치는 영향이 현저히 낮은 정 보처리시스템을 비중요 정보처리시스템으로 지정할 수 있습니다.

• 금융회사나 전자금융업자는 비중요 정보처리시스템을 지정하기 위해서는 정보보호위원회의 심의ㆍ의결을 거쳐야 하며, 비중요 정보처리시스템을 지정

(11)

한 날로부터 7일 이내에 금융감독원장이 정하는 양식에 따라 정보자산 중요 도 평가기준, 지정 결과, 관리 방안 등을 포함한 보고서를 금융감독원에 제 출하여야 합니다.

금융권 클라우드컴퓨팅서비스 이용

• 금융보안원은 「금융권 클라우드 서비스 이용 가이드」에서 비중요 정보처리시 스템의 지정기준, 클라우드컴퓨팅서비스 제공자 선정, 클라우드컴퓨팅서비스 이용 시 보호대책, 재해복구 및 침해사고 대응 관리 등을 안내하고 있습니다.

• 특히 클라우드컴퓨팅서비스를 이용할 수 있는 비중요 정보처리시스템, 즉 상 품개발과 리스크 관리 등 고유식별정보 또는 개인신용정보가 포함되지 않는 분야 또는 「개인정보 비식별 조치 가이드라인」에 따라 비식별조치를 취한 경 우 비중요 정보처리시스템으로 지정하여 클라우드컴퓨팅서비스 이용이 가 능함을 예시하고 있습니다.

3. 의료분야

전자의무기록의 클라우드컴퓨팅서비스 이용

• 「의료법 시행규칙」 개정⁽²⁰¹⁶^.²^.⁵^.) 및 「전자의무기록의 관리·보존에 필요한 시설 및 장비에 관한 기준」(보건복지부고시 제2016-140호, 2016.8.6. 시행) 시행으로 의료기관은 정보보호 기준을 충족하는 의료기관 외부에 전자의무기록을 보 관할 수 있습니다.

• 전자의무기록의 외부보관 방법으로 ‘의료기관 자체 외부설비’, ‘의료기관 공 동 이용설비’, ‘전문기관 보유 설비’ 등의 이용이 가능하여 IT기업이 운영하는 데이터센터나 클라우드컴퓨팅서비스를 이용할 수 있습니다.

(12)

클라우드컴퓨팅서비스에서 갖추어야 할 시설·장비와 세부조치

• 무중단 백업 및 복구가 가능해야 하고, 침입탐지시스템 등 보안솔루션은 CC인증을 받은 제품을 사용해야 하며, 출입통제구역과 CCTV 설치 운영 도 필수적입니다.

• 전자의무기록시스템 및 백업장비의 물리적 위치는 국내로 한정하고 있으며, 물리적 혹은 그에 준하는^{(논리적 포함)} 둘 이상의 회선을 분리해 이중화 네트워 크를 구성해야 합니다.

4. 교육분야

학교 등 교육기관의 클라우드컴퓨팅 도입

• 클라우드컴퓨팅법에서 규정하고 있는 국가기관등에는 교육부 및 그 산하기 관, 시·도 교육청 및 그 산하기관, 법률에 따라 설치된 각급 학교 등이 포함 되며, 교육기관도 클라우드컴퓨팅법에 따라 클라우드컴퓨팅을 도입하도록 노 력할 의무가 있습니다.

교육기관의 민간 클라우드컴퓨팅서비스 이용촉진

• 정부는 교육기관이 업무를 위하여 클라우드컴퓨팅서비스 제공자의 클라우드 컴퓨팅서비스를 이용할 수 있도록 노력해야 합니다.

사이버대학의 클라우드컴퓨팅서비스 이용

• 「원격교육 설비 기준」^{(교육부고시 제}²⁰¹⁶^-⁹⁵^호,²⁰¹⁶^.⁷^.¹¹^.시행)은 사이버대학이 원격 교육 및 학사관리를 위해 갖추어야 할 최소한의 원격교육 설비 기준을 정하 고 있습니다.

(13)

• 이 기준은 가상화 기술의 이용이나 서버 설비 및 네트워크 설비의 클라우드 컴퓨팅서비스 등 전문외주업체를 이용한 외주관리를 할 수 있도록 규정함으 로써 클라우드컴퓨팅서비스를 이용하여 원격교육 설비를 구성할 수 있도록 허용하고 있습니다.

5. 신산업 등 기타분야

O2O서비스 등 신산업의 클라우드컴퓨팅서비스 이용

• O2O서비스는 인·허가에 있어서 명시적 또는 사실상 클라우드컴퓨팅서비스 이용을 금지하지 아니하므로 해당 서비스 제공 시 클라우드컴퓨팅서비스 이 용이 가능합니다.

관세법상 전자문서중계사업자의 클라우드컴퓨팅서비스 이용

• 개정 관세법 시행규칙 시행⁽²⁰¹⁷^.³^.³¹^.)에 따라 관세법상 전자문서중계사업자 는 전산설비를 자기 사업장에 설치하지 않아도 지정기준을 충족할 수 있게 됨으로써 클라우드컴퓨팅서비스를 이용할 수 있습니다.

클라우드 허용의 명시적 규정으로서 공인전자문서센터 지정기준

• 제3자의 전자문서를 대신 보관하거나 증명하는 기능을 수행하는 공인전자 문서센터는 시설 및 장비를 직접 갖추도록 지정기준을 정하고 있었으나, 개 정 「공인전자문서센터의 시설 및 장비 등에 관한 규정」(구 미래창조과학부 고시 제 2016-112호, 2016.10.31. 시행)에 따라 「클라우드컴퓨팅서비스 정보보호에 관한 기 준」을 준수하는 경우에 클라우드컴퓨팅서비스 이용이 허용됩니다.

(14)

클라우드 허용의 명시적 규정으로서 지능형 홈네트워크 설비 기준

• 아파트 단지는 ‘초고속정보통신건물’인증을 받기 위해서 단지 내부에 서버를 설치해야 했으나, 「지능형 홈네트워크 설비 설치 및 기술기준^{(국토교통부·과학}

기술정보통신부·산업통상자원부 공동고시, 2016.2.24. 시행)」의 개정으로 「국가균형발전 특별법」 제22조에 따른 지역발전위원회에서 선정한 단지서버 설치 규제특례 지역의 경우에는 아파트 단지 외부의 클라우드컴퓨팅서비스를 이용해도 인 증을 받을 수 있습니다.

(15)

PART I

총 론

(16)

(17)

I. 클라우드컴퓨팅법 제21조의 취지 및 내용

1. 법 제21조의 의의 및 성격

가. 제21조의 입법 취지

• 「클라우드컴퓨팅법」 제21조는 ‘다른 법령에서 인가·허가·등록·지정 등의 요건으로 전산 시설·장비·설비 등을 규정한 경우 해당 전산시설등에 클라우드컴퓨팅 서비스가 포함되 는 것으로 본다.’라고 하여 클라우드컴퓨팅서비스 이용에 대해서 “원칙 허용, 예외 금지”

라는 이른바 네거티브 규제 원칙을 적용하고 있습니다.

• 다른 법령에서 전산시설등(하드웨어 및 소프트웨어)의 구비 의무를 규정하고 있는 경우, 인·허가등의 신청자는 해당 전산시설등을 구입·설치하는 대신 클라우드컴퓨팅서비스 제공자와 클라우드컴퓨팅서비스 이용계약을 체결하는 것으로 전산시설등의 구비 의무를 대체할 수 있습니다.

• 인·허가등의 사업자는 일시에 고가의 전산장비 및 소프트웨어를 구입하지 않아도 됨으 로 막대한 초기 투자비용을 절약할 수 있어 창업이 촉진되고, 적은 비용으로 보다 다양 한 최신의 정보서비스를 활용할 수 있게 되며, 전산시설등의 노후화에 따른 교체비용도 줄일 수 있게 됩니다.

• 다만 해당 법령에서 클라우드컴퓨팅서비스의 이용을 명시적으로 금지하거나 회선 또는 설비의 물리적 분리구축 등을 요구하여 사실상 클라우드컴퓨팅서비스 이용을 제한하는 경우에는 클라우드컴퓨팅 서비스로 전산시설등의 구비 의무를 대체할 수 없습니다.

나. 제21조의 법적 성격

• 제21조는 강행규정이므로 소관 행정기관이 인가·허가·등록·지정 등의 요건으로 전산시 설등의 구비 여부를 판단할 때에는 클라우드컴퓨팅서비스를 반드시 포함해야 하고 포함 여부를 임의로 판단해서 배제할 수 없습니다.

(18)

때에는 신청 조건에 일반 전산시설등 외에 클라우드컴퓨팅서비스도 반드시 포함시켜야 합니다.

• 해당 법령에서 클라우드컴퓨팅서비스의 이용을 금지하거나 회선 또는 설비의 물리적 분 리구축 등을 요구하고 있는지 여부는 인·허가등의 신청 당시 법령을 기준으로 해야 하며 소급 입법으로 클라우드컴퓨팅서비스를 배제해서는 안됩니다.

• 제21조는 클라우드컴퓨팅서비스의 이용을 촉진하기 위한 규정이므로 해당 법령이 클라 우드컴퓨팅서비스 이용을 금지하는지 의미가 불분명한 경우에 이용이 가능한 방향으로 적극적인 해석을 하여야 하고, 회선 또는 설비의 물리적 분리구축 등이 불가피한 상황이 아니면 클라우드컴퓨팅서비스 이용이 가능하도록 해당 법령을 개정하는 등의 적극적인 조치를 취해야 합니다.

다. 제21조와 관련한 주요 법령

• 제21조가 클라우드컴퓨팅서비스 이용에 대해서 네거티브 규제 원칙을 채택하고 있음에 도 불구하고, 여전히 클라우드컴퓨팅서비스 이용을 사실상 금지하거나 제한하는 법령이 있습니다.

• 또한 클라우드컴퓨팅서비스를 도입하기 위해 준수해야 할 지침이나 가이드라인도 적지 않아 관련 법령 및 가이드라인에 대한 숙지가 필요합니다.

클라우드컴퓨팅서비스 관련 주요 법령

• (과학기술정보통신부) 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」, 「국가정보화 기본법」, 「소프트웨어산업 진흥법」

• (방송통신위원회) 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」

• (행정안전부) 「전자정부법」, 「개인정보 보호법」, 「공공기록물 관리에 관한 법률」

• (기획재정부) 「국가를 당사자로 하는 계약에 관한 법률」

• (보건복지부) 「의료법 시행규칙」

(19)

• (조달청) 「전자조달의 이용 및 촉진에 관한 법률」

• (관세청) 「관세법 시행규칙」 등

클라우드컴퓨팅서비스 관련 지침・가이드

• (과학기술정보통신부) 「클라우드컴퓨팅서비스 정보보호에 관한 기준」, 「클라우드컴퓨팅서 비스 품질·성능에 관한 기준」, 「신산업 분야 공공소프트웨어사업 대기업참여제도 운영지 침」, 「공인전자문서센터의 시설 및 장비 등에 관한 규정」

• (행정안전부) 「공공기관 민간 클라우드 이용 가이드라인」

• (금융위원회) 「전자금융감독규정」, 「금융회사의 정보처리 업무 위탁에 관한 규정」

• (보건복지부) 「전자의무기록의 관리·보존에 필요한 시설 및 장비에 관한 기준」

• (교육부) 「원격교육 설비 기준」

• (국토교통부) 「지능형 홈네트워크 설비 설치 기술기준」

• (국가정보원) 「국가·공공기관 클라우드 컴퓨팅 보안 가이드라인」

• (금융보안원) 「금융권 클라우드 서비스 이용 가이드」 등

(20)

법 제21조(전산시설등의 구비) 다른 법령에서 인가·허가·등록·지정 등의 요건으로 전산 시설·장비·설비 등(이하 “전산시설등”이라 한다)을 규정한 경우 해당 전산시 설등에 클라우드컴퓨팅서비스가 포함되는 것으로 본다. 다만, 다음 각 호의 어느 하 나에 해당하는 경우에는 그러하지 아니하다.

1. 해당 법령에서 클라우드컴퓨팅서비스의 이용을 명시적으로 금지한 경우

2. 해당 법령에서 회선 또는 설비의 물리적 분리구축 등을 요구하여 사실상 클라우 드컴퓨팅서비스 이용을 제한한 경우

3. 해당 법령에서 요구하는 전산시설등의 요건을 충족하지 못하는 클라우드컴퓨팅 서비스를 이용하는 경우

가. 클라우드컴퓨팅서비스의 원칙적 허용

▶

“다른 법령”의 의미

• 이 조에서 인·허가등의 요건으로 전산시설등을 규정하고 있는 “법령”이란 1) 국회에서 제정한 법률, 2) 그 하위규범인 시행령·시행규칙(대통령령·총리령·부령)을 의미합니다.

그밖에 3) 국회규칙, 대법원규칙 등도 법령에 포함될 수 있습니다.

• 고시 또는 훈령은 원칙적으로 법령에는 해당하지 아니합니다. 다만 상위 법령의 위임에 따라 또는 그에 근거하여 구체적인 기준을 정한 고시 또는 훈령으로서 해당 고시 또는 훈령 위반이 상위법령 위반인 경우에는 예외적으로 법령에 해당할 수 있습니다.

• 상위 법령에 명시적 근거가 없음에도 불구하고 훈령, 지시, 예규, 고시, 공고, 지침 등으로 인·허가 등을 규정하거나 인·허가 등의 요건으로 전산시설등의 구비를 요구하고 있는 경 우에는 이를 근거로 클라우드컴퓨팅서비스를 거부할 수 없습니다.

• 제21조의 취지상 훈령, 지시, 지침, 예규, 공고, 고시 등으로 법령상의 전산시설등의 구비 의무를 클라우드컴퓨팅서비스로 대체하는 것은 가능합니다.

(21)

▶

인가·허가·등록·지정 등의 의미

• 해당 사업을 위한 요건으로 행정기관의 인가·허가·등록·지정 등이 요구되는 경우가 많 습니다. 일반적으로 “인가”란 타인의 법률행위의 효력을 보충하여 법률상의 효력을 완성 시키는 것을 의미하고, “허가”란 금지되는 행위를 특정한 경우에 해제하는 것을 의미하 며, “등록”이란 일정한 사실이나 법률관계를 행정기관의 장부에 등재하고 그 존부(存否) 를 공적으로 증명하는 것을 의미합니다.

• “지정”은 일반적으로 행정기관이 자신의 업무를 타인으로 하여금 수행하게 할 때 위임·

위탁 대신 활용하는 방식이나(예, ISMS 인증기관 지정 등), 때로는 영업규제의 일환으로 인허가 또는 특허와 같은 의미로 사용되기도 하며(예, 부동산거래정보망 설치·운영자 지 정 등), 최근에는 산업발전, 기술개발 등 공익을 위하여 필요한 사업자를 지원·육성하기 위한 대상자를 선정하는 방식으로 활용되고 있습니다(예, 1인 창조기업 선정 등).

• 제21조는 “신고”에 대해서는 명시적인 규정을 두고 있지 아니하나 사업의 조건으로 신고 를 요구하는 경우도 포함된 것으로 보아야 합니다. “신고”란 특정한 사실이나 법률관계 의 존부를 행정청에 알리는 것을 의미합니다. 신고는 행정기관에 도달하면 그 효력이 발 생하는 경우와 행정청의 수리를 요구하는 신고가 있습니다. 후자는 명칭만 신고일 뿐 그 실질은 일종의 완화된 형태의 허가에 해당합니다.

• 결론적으로 용어의 명칭과 관계없이 해당 사업의 수행 조건으로 관련 법령에서 전산시설 등의 구비를 요구하고 있는 경우 모두 여기에서 규정하고 있는 인가·허가·등록·지정 등 에 해당합니다.

나. 클라우드컴퓨팅서비스의 이용 제한

▶

명시적 이용 금지의 의미 및 사례 클라우드컴퓨팅법(제

21

조제

1

호)

• 해당 법령에서 클라우드컴퓨팅서비스의 이용을 명시적으로 금지한 경우

(22)

클라우드컴퓨팅서비스의 이용을 은닉적 또는 모호한 방식으로 배제하는 것은 제21조제1 호에 해당하지 않습니다.

• 명시적으로 금지해야 하므로 ‘클라우드컴퓨팅법 제2조제3호에 따라 클라우드컴퓨팅서비 스 제공자가 제공하는 클라우드컴퓨팅서비스를 제외한다‘ 등의 방식으로 클라우드컴퓨팅 서비스를 제외하려는 입법자의 의도가 분명하게 드러나야 합니다.

• 종종 전산시설등의 설치 장소를 제한하고 있는 경우가 있는데 ‘전산시설등을 허가 등의 신청자의 장소적 지배·관리 영역 내에 설치하여야 한다’고 규정하고 있는 경우에도 온전 한 의미의 퍼블릭 클라우드컴퓨팅서비스의 이용은 제한되지만 클라우드컴퓨팅서비스의 제공이 전혀 불가능한 것은 아니므로 하이브리드 방식의 클라우드컴퓨팅서비스의 이용 이 배제되는 것으로 해석해서는 안됩니다.

• 해당 법령에서 클라우드컴퓨팅서비스의 이용을 명시적으로 금지하고 있지 않음에도 불 구하고 법령을 확대 해석하거나 유추 해석하여 클라우드컴퓨팅서비스의 도입을 방해해 서도 안됩니다.

• 현재 클라우드컴퓨팅서비스를 법령에서 명시적으로 금지하고 있는 입법 사례는 발견되지 않고 있습니다.

▶

물리적 분리구축 등의 의미 및 사례

클라우드컴퓨팅법(제

21

조제

2

호)

• 해당 법령에서 회선 또는 설비의 물리적 분리구축 등을 요구하여 사실상 클라우드컴퓨팅 서비스 이용을 제한한 경우

• 각종 법령이나 고시에서 요구하고 있는 물리적 망분리, 물리적 회선분리 등이 이에 해당 합니다. 물리적 망분리는 두 대의 PC를 이용해 업무망과 인터넷망을 물리적으로 완전히 분리시키는 것이고, 물리적 회선분리는 이용자만을 위한 전용선을 설치하는 것입니다.

(23)

• 그러나 해당 법령에서 망분리 또는 설비 이중화를 요구한다고 해서 무조건 클라우드컴퓨 팅서비스 이용을 금지하는 것은 아닙니다. “물리적” 망분리 또는 회선분리 등을 요구하 여 사실상 클라우드컴퓨팅서비스의 이용이 불가능한 경우에만 해당합니다.

• 해당 법령이 망분리 또는 회선분리를 요구하고 있더라도 논리적 분리방식을 명시적으로 배제하지 않는다면 논리적 분리만으로도 망분리 또는 회선분리의 효과를 기대할 수 있으 므로 클라우드컴퓨팅서비스의 이용을 배제하는 것으로 해석해서는 안됩니다.

• 물리적 망분리를 요구하고 있는 사례로는 「클라우드컴퓨팅서비스 정보보호에 관한 기준」

(과학기술정보통신부 고시) 제6조제1항제5호에 따른 공공기관, 「전자금융감독규정」(금 융위원회 고시) 제15조제1항제5호에 따른 금융회사 등이 있습니다. 반면 정보통신망법 제15조제2항제3호와 「개인정보 보호법」 제30조제1항제2호, 「전자의무기록의 관리·보존 에 필요한 시설과 장비에 관한 기준」(보건복지부 고시) 별표는 “망분리”를 요구하고 있으 나 관련 고시에서 논리적 망분리도 허용하고 있습니다.

• 논리적 망분리도 충분히 그 안전성이 확보되어 있으므로 포괄적으로 물리적 망분리를 요 구하는 것은 바람직하지 않습니다. 보안 목적상 불가피하게 망분리가 필요한 경우에도 클라우드컴퓨팅법의 취지에 따라 “원칙적으로” 논리적 망분리를 허용해야 하고, 논리적 망분리로는 도저히 보안 목적을 달성할 수 없는 경우에 한해서 매우 예외적으로만 물리적 망분리를 규정하는 것이 네거티브 규제원칙을 규정하고 있는 제21조의 취지에 부합합니다.

▶

요건을 충족하지 못한 경우의 의미 및 사례

21

조제

3

호)

• 해당 법령에서 요구하는 전산시설등의 요건을 충족하지 못하는 클라우드컴퓨팅서비스를 이용하는 경우

• 해당 법령에서 클라우드컴퓨팅서비스의 이용을 금지하거나 제한하고 있지 않더라도 그 법령에서 요구하는 전산시설등의 수준(시설, 설비, 장비, 성능, 안전성 등)을 충족하지 못 한 경우에는 전산시설등을 구비한 것으로 간주되지 아니합니다.

(24)

에 대해서는 클라우드컴퓨팅서비스의 이용이 가능합니다. 클라우드컴퓨팅서비스는 매우 유연해서 전산시설등의 일부만도 이용이 가능합니다.

• 클라우드컴퓨팅서비스가 전산시설등의 구비 요건을 충족하고 있는지 여부에 대한 입 증책임은 원칙적으로 인·허가 등의 신청자에게 있다고 보아야 할 것이나, 임대차 와 유사한 클라우드컴퓨팅서비스의 특성상 서비스 이용계약, SLA(Service Level Agreement), 인증서 등을 통해서 전산시설등의 이용관계, 성능, 안전성 등이 입증되면 인·허가 등의 요건을 충족한 것으로 보아야 합니다.

(25)

II. 법 제21조의 적용 대상

1. 법 제21조의 적용 분야

▶

인·허가 등이 요구되는 업종

• 제21조는 업종이나 업태의 구분 없이 또는 민간이나 공공의 구분 없이 해당 법령에서 인 가·허가·등록·지정 등의 요건으로 전산시설등의 구비 의무를 규정하고 있는 경우에는 모두 적용 대상이 됩니다.

• 법령에 의해서 인·허가 등이 요구되고 있는 대표적인 분야로는 금융, 의료, 교육, 정보통 신 등이 있지만 이에 한정되지 아니합니다. 특히 최근 다양한 전통산업 분야에서 ICT를 활용한 신산업·신서비스가 등장하고 있어 ICT에 대한 의존도가 확대되고 될 것으로 전 망됨에 따라 전산시설등의 요건을 규정하는 법령의 수도 많아질 수 것으로 예상됩니다.

▶

그 밖의 인·허가 등의 대상 분야

• 정부를 대신해서 각종 인가 및 평가 업무, 조사·검사 업무 등을 대행하는 기업이나 기 관·단체·개인에 대해서도 평가·인증·검사기관의 지정 등의 요건으로 전산시설등의 구 비를 요구하는 경우가 많습니다. 이 경우에도 전산시설등의 구비 요건을 클라우드컴퓨팅 서비스로 대체할 수 있습니다.

2. 클라우드컴퓨팅서비스의 범위

▶

클라우드컴퓨팅서비스의 개념

• 법 제21조에서 다른 법령에서 규정하고 있는 전산시설등의 구비 요건을 대체할 수 있는 클라우드컴퓨팅서비스는 상용(商用)으로 제공되는 서비스여야 됩니다.

(26)

에게 정보통신자원을 제공하는 서비스’로 정의하고 있기 때문입니다.

• 상용으로 타인에게 제공하는 클라우드컴퓨팅서비스여야 하므로 타인이 아닌 자기 스스 로 이용을 위하여 구축한 전산시설등은 비록 클라우드컴퓨팅기술을 도입한 것이라도 이 법의 클라우드컴퓨팅서비스에 해당하지 아니합니다.

• 여기서 “상용”이란 무상·유상에 구애받지 않고 상업용으로 제공되는 것을 의미하므로 무상으로 제공되는 클라우드컴퓨팅서비스라도 상용으로 제공되고 있다면 포함될 수 있 습니다. 무상으로 클라우드컴퓨팅서비스를 제공하더라도 광고를 통해서 수익을 올리고 있다면 상용에 해당합니다.

• 반면 전산시설등의 사용 수수료를 내더라도 상용(商用)으로 제공되는 클라우드컴퓨팅서 비스가 아니라면 이 법에서 말하는 클라우드컴퓨팅서비스에 해당하지 아니합니다. 예컨 대 협회, 단체 등이 전용으로 구축한 클라우드컴퓨팅서비스는 포함되지 않습니다.

2

조제

3

호)

• “클라우드컴퓨팅서비스”란 클라우드컴퓨팅을 활용하여 상용(商用)으로 타인에게 정보통신 자원을 제공하는 서비스로서 대통령령으로 정하는 것을 말한다.

▶

클라우드컴퓨팅서비스의 유형

• 클라우드컴퓨팅서비스는 서비스의 운영 방식(배치 모델)에 따라 일반적으로 1) 프라이빗 클라우드컴퓨팅서비스, 2) 퍼블릭 클라우드컴퓨팅서비스, 3) 커뮤니티 클라우드컴퓨팅서 비스, 4) 하이브리드 클라우드컴퓨팅서비스 등으로 나뉩니다.

• 이 중에서 상용으로 제공되는 클라우드컴퓨팅서비스는 주로 퍼블릭 클라우드컴퓨팅서비 스입니다. 직접 개발·구축·운영·관리하는 경우에는 원칙적으로 이 법에서 규정하고 있 는 클라우드컴퓨팅서비스에 해당하지 않습니다.

(27)

• 커뮤니티 클라우드컴퓨팅서비스나 하이브리드 클라우드컴퓨팅서비스도 서비스의 배치 및 운영 방식만 다를 뿐 상용으로 제공이 가능하므로 상용으로 제공·이용되고 있는 한, 이 법에서 규정하고 있는 클라우드컴퓨팅서비스에 포함될 수 있습니다.

• 커뮤니티, 하이브리드 등의 방식으로 구축된 클라우드시스템이라도 서비스의 전부 또는 일부를 클라우드컴퓨팅서비스 제공자가 유상으로 제공하고 있다면 그 범위 내에서 제21 조에서 규정하고 있는 클라우드컴퓨팅서비스로 볼 수 있습니다.

▶

클라우드컴퓨팅서비스의 범위

• 클라우드컴퓨팅 기술로 제공될 수 있는 서비스는 실무적으로 응용소프트웨어 서비스 (SaaS), 플랫폼 서비스(PaaS), IT 인프라 서비스(IaaS) 등으로 나뉘고 있으나 기술적 으로 클라우드컴퓨팅 기술을 통해서 제공될 수 있는 서비스의 범위에는 제한이 없습니다.

• 법 제21조도 클라우드컴퓨팅서비스로 대체가 가능한 전산시설등의 대상 및 범위에 대해 서 특별한 제한을 두고 있지 아니하므로 정보통신기기, 정보통신설비, 소프트웨어 등 모 든 정보통신자원을 클라우드컴퓨팅서비스로 대체가 가능합니다.

클라우드컴퓨팅서비스의 대상(시행령 제

3

조)

서비스 구분 서비스의 대상 또는 범위

IT인프라서비스 (IaaS)

서버, 가상컴퓨터(VM), 저장장치, 네트워크, 방화벽 등을 제공하는 서비스 (제1호)

플랫폼서비스 (PaaS)

응용프로그램 등 소프트웨어의 개발·배포·운영·관리, 운영체제(OS), 미들 웨어, 데이터베이스 관리, 비즈니스 인텔리전스(BI) 등을 위한 환경을 제공 하는 서비스(제3호)

소프트웨어서비스 (SaaS)

메일, 앱, CRM(고객관계관리), ERP(전사적 자원관리), 문서관리 등의 소 프트웨어(응용프로그램)를 제공하는 서비스(제2호)

복합 서비스 제1호부터 제3호까지의 서비스를 둘 이상 복합하는 서비스(제4호)

(28)

▶

클라우드컴퓨팅의 원리

• 클라우드컴퓨팅서비스를 도입하기 위해서는 클라우드컴퓨팅서비스에 대한 올바른 이해 가 필요합니다. 클라우드컴퓨팅서비스를 이용하면 이용자는 전기나 가스처럼 언제, 어디 서든지 간단한 조작과 클릭만으로 인터넷 상에 자료를 저장할 수 있고 저장된 자료들을 이용할 수도 있습니다.

• 이용자가 필요로 하는 자료(데이터)나 프로그램을 자신의 컴퓨터에 저장하거나 설치하지 않고 클라우드컴퓨팅서비스를 제공하는 제공자의 클라우드컴퓨팅시스템 내에 보관하거 나 클라우드컴퓨팅시스템에서 제공하는 프로그램을 인터넷 접속을 통해 언제 어디서나 주문형으로 이용할 수 있기 때문입니다.

• 인터넷 상의 서버에 단순히 자료를 저장하는 것뿐만 아니라, 따로 프로그램을 설치하지 않아도 웹에서 제공하는 응용 프로그램의 기능을 이용하여 원하는 작업을 수행할 수 있 으며, 여러 사람이 동시에 문서를 공유하면서 작업을 진행할 수도 있습니다.

▶

클라우드컴퓨팅 기술

• 클라우드컴퓨팅은 이론적으로는 간단하지만 이를 구현하기 위해서는 매우 복잡한 기술 이 필요합니다. 클라우드컴퓨팅을 가능하게 하는 대표적인 기술로는 가상화 기술, 분산 처리 기술, 자동화 기술 등이 있습니다.

• “가상화 기술”이란 집적·공유된 정보통신기기, 정보통신설비, 소프트웨어 등의 정보통신 자원을 가상으로 결합하거나 분할하여 사용하게 하는 기술입니다.

• “분산처리 기술“이란 대량의 정보를 복수의 정보통신자원으로 분산하여 처리하는 기술 입니다.

• “자동화 기술 등“이란 정보통신자원의 배치와 관리 등을 자동화하는 기술을 포함하여 클라우드컴퓨팅의 구축 및 이용에 관한 정보통신자원을 활용하는 그 밖의 기술을 의미 합니다. 해당 기술로는 오픈 인터페이스, 서비스 프로비저닝 등이 있습니다.

(29)

• 그밖에 클라우드컴퓨팅법은 기술발전에 탄력적으로 대응하기 위해 클라우드컴퓨팅기술 을 개방적으로 규정하고 있습니다.

▶

클라우드컴퓨팅의 구성

• 클라우드컴퓨팅서비스를 제공하기 위해서는 대량·다종의 정보통신자원이 필요하므로 클라우드컴퓨팅서비스 제공자 혼자만의 힘으로 클라우드컴퓨팅서비스 제공에 필요한 모 든 정보통신자원을 조달하기는 어렵습니다.

• 클라우드컴퓨팅서비스 제공자는 다수의 다른 클라우드컴퓨팅서비스 제공자 또는 다른 정보통신서비스 제공자와 계약을 통해서 필요한 정보통신자원을 지원받거나 상호 정보 통신자원을 공유하는 경우가 많습니다.

(30)

III. 클라우드컴퓨팅서비스와 정보보안

1. 클라우드컴퓨팅서비스의 정보보안 문제

▶

클라우드컴퓨팅의 인적 보안 이슈

• 클라우드컴퓨팅서비스도 다른 정보시스템의 사례와 같이 보안사고의 위험성이 있습니 다. 이와 같은 보안 사고는 실수나 해킹에 의해서 발생할 수 있으나, 클라우드컴퓨팅서비 스 제공자의 내부 직원에 의해서 고의로 발생할 수도 있습니다.

▶

클라우드컴퓨팅의 기술적 보안 이슈

• 클라우드컴퓨팅서비스는 수많은 기업의 정보가 클라우드컴퓨팅시스템에 공존하기 때문 에 해커들의 주요 공격목표가 될 수 있어 취약점이 발견될 경우 정보 유출사고로 이어질 수 있습니다.

2. 클라우드컴퓨팅 보안인증 제도

법 제23조(신뢰성 향상) ① 클라우드컴퓨팅서비스 제공자는 클라우드컴퓨팅서비스 의 품질·성능 및 정보보호 수준을 향상시키기 위하여 노력하여야 한다.

▶

클라우드컴퓨팅서비스 정보보호 기준

• 클라우드컴퓨팅서비스는 개별 법령에서 인가·허가·등록·지정 등의 요건으로 규정하고 있는 전산시설등의 자체 구비 의무로 인해 서비스 이용이 제한되기도 하지만, 법령에서

(31)

특별한 정보보호기준을 정하고 있지 아니한 경우에도 앞서 살펴본 정보보안 문제로 인해 서비스의 이용을 꺼리는 경우도 적지 않습니다.

• 클라우드컴퓨팅법은 개별법상 또는 실무상 제기되고 있는 정보보안 문제를 해결하기 위 하여 과학기술정보통신부장관이 클라우드컴퓨팅서비스의 정보보호에 관한 기준을 제정 해 클라우드컴퓨팅서비스 제공자에게 그 기준을 지킬 것을 권고하고 있습니다.

• 자세한 내용은 「클라우드컴퓨팅서비스 정보보호에 관한 기준」(과학기술정보통신부 고 시)을 참고하시기 바랍니다.

▶

클라우드컴퓨팅 보안인증제도

• 클라우드컴퓨팅 보안인증제도는 클라우드컴퓨팅서비스 이용자들이 클라우드컴퓨팅서비 스를 안심하고 도입·이용할 수 있도록 정보보호 전문기관인 한국인터넷진흥원(KISA)이 해당 서비스가 「클라우드컴퓨팅서비스 정보보호에 관한 기준」을 준수하고 있는지 여부를 객관적으로 평가·인증해 주는 제도입니다.

• 클라우드컴퓨팅 보안인증은 클라우드컴퓨팅서비스 제공자의 의무사항이 아니지만, 공공 기관을 대상으로 한 서비스 제공에는 필요합니다. 클라우드컴퓨팅서비스 제공자가 클라 우드컴퓨팅 보안인증을 받으면 공공기관에 상용 클라우드컴퓨팅서비스를 제공할 때 「전 자정부법」 제56조 및 「공공기록물 관리에 관한 법률 시행령」 제5조에 따른 보안성 검토 시 인증받은 부분의 관리적ㆍ물리적ㆍ기술적 보호조치 및 공공기관 추가 보호조치 사항 의 보안성 검토가 생략됩니다.

전자정부법(제

56

조)

제

56

조(정보통신망 등의 보안대책 수립・시행) ① 국회, 법원, 헌법재판소, 중앙선거관리위원 회 및 행정부는 전자정부의 구현에 필요한 정보통신망과 행정정보 등의 안전성 및 신뢰성 확 보를 위한 보안대책을 마련하여야 한다.

② 행정기관의 장은 제

1

항의 보안대책에 따라 소관 정보통신망 및 행정정보 등의 보안대책을 수립·시행하여야 한다.

(32)

③ 행정기관의 장은 정보통신망을 이용하여 전자문서를 보관·유통할 때 위조·변조·훼손 또 는 유출을 방지하기 위하여 국가정보원장이 안전성을 확인한 보안조치를 하여야 하고, 국가 정보원장은 그 이행 여부를 확인할 수 있다.

④ 제

3

항을 적용할 때에는 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관의 경우에는 해당 기관의 장이 필요하다고 인정하는 경우에만 적용한다. 다만, 필요하지 아 니하다고 인정하는 경우에는 해당 기관의 장은 제

3

항에 준하는 보안조치를 마련하여야 한다.

공공기록물 관리에 관한 법률 시행령(제

5

조)

제

5

조(전자기록물의 보안관리) 공공기관 및 기록물관리기관의 장은 「전자정부법」 제

56

조제

3

항에 따라 국가정보원장이 안전성을 확인한 보안조치를 취하여 전자기록물의 생산·이관·보 존 및 폐기 등 기록물관리 과정에서 전자기록물을 안전하게 관리하여야 하며, 국가정보원장 은 그 이행여부를 확인할 수 있다.

• 클라우드 보안인증은 한국인터넷진흥원에 신청하여야 하며, 소요시간은 대략 준비에서 인증까지는 3~6개월이 걸립니다. 정보보호관리체계(ISMS)와 달리 문서점검 및 현장점 검 외에 모의침투 테스트, 취약적 점검 등 기술점검을 실시한다는 점에 차이가 있고, 공 공기관 요구사항을 추가할 수 있다는 점이 특징이라고 할 수 있습니다.

(33)

3. CC인증 및 암호모듈 검증

공통평가기준(CC)인증 제도

• 클라우드컴퓨팅서비스 제공자가 공공기관에 클라우드컴퓨팅서비스를 제공하기 위해서는 특정 정보보호제품(CC인증 필수 제품)에 대해서 별도로 국가정보원이 지정한 인증기관 (IT보안인증사무국)을 통해 CC인증을 받아야 합니다.

• 「클라우드컴퓨팅서비스 정보보호에 관한 기준」(공공기관용 추가 보호조치 14.1.2.)에 따 라 클라우드컴퓨팅서비스 구축을 위해 도입되는 서버·PC 가상화 솔루션 및 정보보호 제품 중에 CC인증이 필수적인 제품군은 국내·외 CC인증을 받은 제품을 사용하여야 합니다.

• CC인증을 받아야 하는 정보보호제품에 대해서는 국가정보원 홈페이지(http://www.

nis.go.kr, 보안적합성 검증)를 통해서 확인할 수 있습니다.

암호모듈검증 제도

• 클라우드컴퓨팅서비스 제공자가 공공기관에 클라우드컴퓨팅서비스를 제공하기 위해서는 클라우드 보안인증 외에도 「전자정부법 시행령」 제69조 및 ‘암호모듈 시험 및 검증지침’

에 따라 자사가 제공하는 특정 소프트웨어, 하드웨어, 펌웨어 등에 대해서 암호모듈 검증 을 받아야 합니다.

• 암호모듈 검증은 국가보안연구소([email protected])에 신청하여야 하며, 검증대 상 암호알고리즘은 국가정보원 홈페이지를 통해서 확인할 수 있습니다.

전자정부법 시행령(제

69

조)

제

69

조(전자문서의 보관ㆍ유통 관련 보안조치) ① 행정기관의 장은 정보통신망을 이용하여 전자문서를 보관·유통할 때에는 법 제

56

조제

3

항에 따라 국가정보원장이 안전성을 확인한 다음 각 호의 보안조치를 하여야 한다.

1

. 국가정보원장이 개발하거나 안전성을 검증한 암호장치와 정보보호시스템의 도입·운용

(34)

2

. 전자문서가 보관·유통되는 정보통신망에 대한 보안대책의 시행

② 행정기관의 장이 제

1

항의 보안조치를 이행하는 경우에는 미리 국가정보원장에게 보안성 검토를 요청하여야 한다.

③ 제

1

항 및 제

2

항에서 규정한 사항 외에 정보통신망을 이용한 전자문서의 보관·유통 관련 보안조치에 관하여 필요한 사항은 국가정보원장이 따로 지침으로 정할 수 있다.

(35)

IV. 클라우드컴퓨팅서비스와 개인정보 보호

1. 개인정보 처리업무 위탁

법 제4조(다른 법률과의 관계) 이 법은 클라우드컴퓨팅의 발전과 이용 촉진 및 이용 자 보호에 관하여 다른 법률에 우선하여 적용하여야 한다. 다만, 개인정보 보호에 관하여는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」

등 관련 법률에서 정하는 바에 따른다.

▶

개인정보 처리업무 위탁의 의미

• 「개인정보 보호법」상 개인정보의 "처리"란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이 와 유사한 행위를 말하고(제2조제2호), 개인정보 처리 업무의 위탁이란 제3자에게 자신 의 개인정보 처리업무를 맡기는 것을 의미합니다.

• 이와 같이 개인정보 처리업무의 위탁은 자신이 해야 할 개인정보 처리 업무를 자신이 직 접 행하지 않고 다른 사람의 손을 빌어서 행하는 것이므로 흔히 말하는 “아웃소싱”과 유 사합니다.

• 제3자에 의한 개인정보의 처리 행위가 수반되어야 하므로 단순히 물리적인 장소만 빌어 서 자신이 서버를 설치하고 데이터에 대한 관리·통제도 직접 자신이 수행하는 것(IDC co-location)은 위탁에 해당하지 않습니다.

• 개인정보의 수집·이용·가공·편집·파기 등의 업무는 물론이고 저장·관리 업무만 제3자 에게 맡기는 것도 개인정보 처리업무의 위탁에 해당합니다.

(36)

• 클라우드컴퓨팅서비스는 서비스제공자가 제공하는 하드웨어, 소프트웨어, 플랫폼 등을 이용해서 이용자(이용사업자)가 직접 개인정보를 처리하므로 단순히 전산시설등의 사용 대차 또는 소비대차로 이해할 수도 있으나, 저장된 개인정보의 보관·관리 등을 클라우드 서비스제공자가 자신의 책임 하에 수탁받아 행하게 되므로 개인정보 처리업무의 위탁에 해당한다는 것이 다수의 해석입니다.

• 클라우드컴퓨팅법 제4조가 개인정보 보호에 관하여는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등 관련 법률에서 정하는 바에 따른다고 규정하 고 있으므로, 기업이나 공공기관이 클라우드컴퓨팅서비스를 이용할 때에는 「개인정보 보 호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「위치정보의 보호 및 이용에 관한 법률」, 「신용정보의 이용 및 보호에 관한 법률」 등 개인정보보호 관련 법령의 개인 정보 처리업무 위탁 규정에 따라 개인정보 처리업무를 위탁하여야 합니다.

2. 개인정보의 국외 이전

▶

개인정보 국외 이전의 의미

• 개인정보의 국외 이전이란 개인정보가 국외에 제공·조회되거나 국외에 처리위탁·보관되 는 것을 총칭합니다(정보통신망법 제63조제2항). 방법이나 이전매체에 대해서는 특별한 제한이 없습니다.

• 개인정보를 국외의 제3자에게 제공하는 경우뿐만 아니라 국내에 저장되어 있는 개인정 보를 국외에서 조회만 하는 것도 국외 이전에 해당하고, 국외의 제3자에게 개인정보 처리 업무를 위탁하는 경우뿐만 아니라 개인정보를 국외에 단순히 저장해 두는 것도 국외 이 전에 해당한다.

(37)

▶

개인정보 국외이전 해당 여부

• 글로벌 클라우드컴퓨팅서비스 제공자들의 경우 데이터센터를 세계 각지에 두고 있기 때 문에 글로벌 기업이 제공하는 클라우드컴퓨팅서비스의 경우 개인정보가 국경을 넘어서 저장되거나 국가 간에 재유통될 수 있습니다.

• 데이터의 처리 및 저장이 국내에서만 이루어지도록 하는 것이 기술적으로 불가능하지 않 고 실제 국내에서만 저장되도록 하는 경우가 없지 아니하지만, 특정 국내에서만 처리 및 저장 되도록 하는 것은 비용 및 경제성 측면에서 현실적으로 어렵습니다.

• 개인정보를 「개인정보 비식별조치 가이드라인」(2016.6.30.)에 따라 비식별 조치한 경우 에는 더 이상 개인정보가 아니므로 개인정보 국외 이전 제한 규정의 적용을 받지 아니합 니다.

(38)

(39)

PART II

분야별 법령 해설

(40)

(41)

I. 공공분야

1. 국가기관등의 클라우드컴퓨팅 도입 촉진

법 제12조(국가기관등의 클라우드컴퓨팅 도입 촉진) ① 국가기관등은 클라우드컴퓨 팅을 도입하도록 노력하여야 한다.

② 정부는 「국가정보화 기본법」에 따른 국가정보화 정책이나 사업 추진에 필요한 예산을 편성할 때에는 클라우드컴퓨팅 도입을 우선적으로 고려하여야 한다.

법 제12조의 취지

• 법 제3조 국가 등의 책무 규정에 기초하여, 제2장에서는 클라우드컴퓨팅 발전 기반의 조 성에 관한 규정들을 두고 있습니다.

• 제12조는 공공분야에서의 클라우드컴퓨팅 발전 기반 조성을 위하여 클라우드컴퓨팅 도 입을 위한 국가기관등의 노력의무를 규정하고 있습니다.

법 제12조의 내용

• 제1항의 “국가기관등”은 ‘국가기관, 지방자치단체 및 「전자정부법」 제2조 제3호에 따른 공공기관’을 의미합니다(법 제6조 제1항).

• 제2항에서의 “「국가정보화 기본법」에 따른 국가정보화 정책이나 사업 추진에 필요한 예 산을 편성할 때”의 의미란, 정부가 5년마다 수립하는 국가정보화 기본계획(국가정보화 기본법 제6조 제1항) 및 그에 따른 중앙행정기관의 장과 지방자치단체의 장이 매년 수립, 시행하는 국가정보화 시행계획 및 예산편성(국가정보화 기본법 제7조) 등을 의미합니다.

(42)

하고는 이 법에서 정하는 바에 따른다고 되어 있으므로, 국가정보화 기본법의 제반 규정 과 충돌되지 않게 국가정보화기본법상의 기본계획 및 시행계획의 예산편성에서 클라우 드컴퓨팅 도입을 고려하도록 한 것입니다.

9

조)

① 과학기술정보통신부장관은 법 제

12

조제

2

항에 따라 「국가정보화 기본법」에 따라 수립되 는 국가정보화 기본계획 및 시행계획의 내용 중 클라우드컴퓨팅 도입과 관련된 정책이나 사업 추진에 필요한 예산에 관한 사항이 있는 경우에는 해당 사항을 검토한 후 그 의견을 기획재정부장관 및 관계 중앙행정기관의 장에게 제시할 수 있다.

② 과학기술정보통신부장관은 제

1

항에 따라 의견을 제시할 때에는 전자정부의 구현·운영 및 발전과 관련된 클라우드컴퓨팅 도입에 관한 사항은 행정안전부장관과 미리 협의하여야 한다.

• 시행령 제20조 제4항은 법 제12조에 따른 국가기관등의 클라우드컴퓨팅 도입에 관한 정 책 개발 및 기술 지원과 관련한 업무를 한국정보화진흥원 또는 한국지역정보개발원에 위 탁할 수 있도록 하였습니다.

위임 및 위탁(제

20

조 제

4

항)

④ 과학기술정보통신부장관 및 행정안전부장관은 법 제

31

조제

2

항에 따라 소관 업무 중 다음 각 호의 업무를 한국정보화진흥원 또는 한국지역정보개발원에 위탁할 수 있다. 이 경우 과학기술정보통신부장관 및 행정안전부장관은 수탁기관과 위탁업무를 고시하여야 한다.

(43)

1

. 법 제

12

조에 따른 국가기관등의 클라우드컴퓨팅 도입에 관한 정책 개발 및 기술 지원

2

. 법 제

16

조에 따른 클라우드컴퓨팅기술 기반 집적정보통신시설의 구축 지원(이 영 제

14

조

제

2

항에 따라 행정안전부장관에게 요청한 사항에 한정한다)

3

. 법 제

20

조에 따른 공공기관의 클라우드컴퓨팅서비스 이용에 관한 정책 개발 및 기술 지원

2. 공공기관의 클라우드컴퓨팅서비스 이용촉진

법 제20조(공공기관의 클라우드컴퓨팅서비스 이용 촉진) 정부는 공공기관이 업무 를 위하여 클라우드컴퓨팅서비스 제공자의 클라우드컴퓨팅서비스를 이용할 수 있도 록 노력하여야 한다.

법 제20조의 취지

• 제3장에서 클라우드컴퓨팅서비스의 이용 촉진에 관한 규정들을 두고 있는데, 그 첫 번째 규정이 공공기관에서의 클라우드컴퓨팅서비스 이용촉진과 관련한 법 제20조입니다.

• 법 제20조는 공공기관이 자체적으로 클라우드컴퓨팅을 도입하는 것이 아니라 민간 사업 자의 클라우드컴퓨팅서비스를 이용하도록 권장하고 있습니다. 즉 데이터를 저장·처리·

유통하는 시스템을 자체적으로 구축하는 것이 아니라, 공중의 인터넷망을 통해 불특정다 수의 기업이나 개인이 서버, 스토리지 등의 컴퓨팅 자원이나 개발환경, 소프트웨어 서비 스 등을 빌려 쓰는 방식을 추구하고 있습니다.

• 지능형 정부 구현을 위해서는 공공기관이 클라우드컴퓨팅서비스를 적극적으로 연계할 필요가 있습니다.

• 법 제12조 및 제20조에 따라 국가, 지방자치단체, 공공기관의 클라우드컴퓨팅 도입 근거 규정이 마련되면서, 클라우드컴퓨팅 시장이 확대되고 대국민 업무 편의가 증진될 것으로 예상됩니다.

(44)

• 법 제20조의 “공공기관”이라 함은 전자정부법 제2조제3호에 따른 공공기관을 의미하며, 클라우드컴퓨팅서비스 제공자라 함은 클라우드컴퓨팅서비스를 이용하여 클라우드컴퓨팅 서비스를 제공하는 자를 말합니다(법 제2조 제4호).

• 「전자정부법」에 따른 공공기관의 범위에는 ① 「공공기관의 운영에 관한 법률」 제4조에 따른 법인·단체 또는 기관, ② 「지방공기업법」에 따른 지방공사 및 지방공단, ③ 특별법 에 따라 설립된 특수법인, ④ 「초·중등 교육법」, 「고등교육법」 및 그 밖의 다른 법률에 따 라 설치된 각급 학교, ⑤ 「정부출연연구기관 등의 설립·운영 및 육성에 관한 법률」 제8조 제1항에 따른 연구기관, ⑥ 「과학기술분야 정부출연연구기관 등의 설립·운영 및 육성에 관한 법률」 제8조제1항에 따른 연구기관이 포함됩니다.

• 한편, 법 제12조(국가기관등의 클라우드컴퓨팅 도입 촉진)와 제13조(클라우드컴퓨팅사업 의 수요예보)에서는 공공기관뿐만 아니라 국가기관과 지방자치단체도 클라우드컴퓨팅을 우선적으로 도입하도록 규정하고 있는 반면, 법 제20조에 따른 상용클라우드컴퓨팅서비 스의 이용은 공공기관에 한정되어 있고 국가기관과 지방자치단체가 포함되어 있지 아니 합니다.

• 법 제20조는 공공기관이 클라우드컴퓨팅서비스를 이용할 수 있도록 가장 먼저 노력하라 는 의미가 강조된 것이며, 중앙부처와 지방자치단체 등 다른 공공부문의 클라우드컴퓨팅 서비스 이용을 불허하는 의미로 해석될 수 없습니다.

(45)

3. 공공기관 민간 클라우드컴퓨팅서비스 이용

가이드라인 마련

• 행정안전부는 2016년 7월 공공기관이 민간 클라우드컴퓨팅서비스를 안전하고 신뢰성 있 게 이용할 수 있도록 이용 관련 절차와 기준을 정한 「공공기관 민간 클라우드 이용 가이 드라인」(이하 ‘가이드라인’이라 합니다)을 마련하였습니다.

• 본 가이드라인은 법 제20조의 공공분야 클라우드컴퓨팅서비스 이용촉진과 직접적인 관 련이 있어 본 해설서에서 상세하게 설명합니다. 가이드라인에 따른 민간 클라우드컴퓨팅 서비스 이용 절차에 대해서는 4.에서 소개합니다.

가이드라인 적용 대상

• 가이드라인의 적용대상은 전자정부법 제2조제3호에 따른 공공기관을 의미하는 것으로 앞서 설명한 법 제20조의 공공기관이 이에 해당됩니다.

(46)

4. 공공기관 민간 클라우드컴퓨팅서비스 이용 절차

가이드라인에 따른 이용절차를 간략히 설명하면 다음과 같습니다.

① 공공기관의 장은 사업계획 수립 시, 민간 클라우드컴퓨팅서비스 이용 가능 여부를 기관 자체적으로 검토(사전검토, 본검토)

② 공공기관의 장은 검토결과 파악된 정보자원의 등급에 따라 정책협의체에게 자체검토의 결과를 통보하거나(III등급), 자체판단이 어려울 경우 검토요청(II등급)

③ 정책협의체는 필요 시 해당 공공기관의 소속 행정기관의 의견을 참고하여 2주내 결과 통보 (NIA 공공클라우드지원센터에서 접수 및 통보 창구 역할 수행)

④ 정보보호에 관한 사항은 국가정보원이 별도 검토하여 결과 통보

⑤ 공공기관의 장은 정책협의체 의견을 참고하여 민간 클라우드컴퓨팅서비스 이용

- 43 - 공공기관 ⇨ 정책협의체(주무부처 협의)

⇨ 공공기관

민간 클라우드 이용 자체 검토

이용 가능 여부 검토

민간 클라우드 이용 (Ⅲ등급)통보,

(Ⅱ등급)검토요청 ⇕ 정보 공유 (Ⅱ등급)결과통보

⇨ 국정원

보안성 검토 ⇨

공공기관 민간 클라우드컴퓨팅서비스 이용 절차

가이드라인에 따른 이용절차를 간략히 설명하면 다음과 같습니다.

공공기관(자체 판단)

⇨ 통보

‧ 검토 요청

정책협의체

⇨ 사전 검토 통과

단계(사전 검토) 단계(본검토) 검토(주무부처 협의)

-1 시 스 템

↓

-2 구 현 성

↓

-3 경 제 성

-1 정보자원 등급

⇩

공공기관 통보

공공기관의 장은 사업계획 수립 시 민간 클라우드컴퓨팅서비스 이용 가능 여부를 기관 자체적으로 검토 사전검토 본검토

공공기관의 장은 검토결과 파악된 정보자원의 등급에 따라 정책 협의체에게 자체검토의 결과를 통보하거나 등급 자체판단이 어려울 경우 검토요청 등급

주요법령 해설서