오는 9월 28일 시행될 클라우드발전법에는 클라우드서비스 신뢰성을 확보하기 위해 서비스의 품질성능과 더불어 정보보호에 관한 기준을 정해 고시토록 하고, 서비스 제공자들이 그 기준을 지키도록 권고할 수 있도록 돼 있다.

이에 따라 클라우드 서비스 제공자는 관리적·물리적·기술적 보호조치를 포함, 정보보호체계를 마련해야 한다. 또한 침해사고 통지하고 조치에 필요한 사항도 정해야 한다.

법률에는 서비스 제공자가 동의 없이 이용자 정보를 제3자 등에 제공하거나 서비스 제공 목적 외 이용을 금지했다. 이용자는 클라우드 서비스 제공업체가 이 법 규정을 위반해 손해를 입었을 경우 손해배상을 청구할 수 있다.

미래창조과학부는 법에서 규정한 클라우드 서비스 정보보호 기준을 비롯해 구체적인 대책을 마련할 방침이다.

법 제정 이전에는 한국인터넷진흥원(KISA)을 주축으로 클라우드 사업자 보안성 강화를 지원해 왔다. KISA는 지난 2011년 클라우드 서비스 정보보호 안내서와 클라우드 서비스 환경에서 데이터 보호 안내서를 개발해 배포한 바 있다.

국내 중소 클라우드 서비스 사업자 4곳을 대상으로 보안 컨설팅도 진행했다. 클라우드 서비스 제공자가 서비스 보안을 위해 구현해야 하는 보안관리·개인정보보호 통제항목과 프레임워크를 표준화해 정보보호 지침을 제공하기도 했다.

현재 한국클라우드산업협회가 운영하고 있는 클라우드 서비스 인증제 심사항목에는 정보보호 항목이 포함돼 있다. 향후 관련제도가 마련되면 별도의 클라우드 서비스 보안 인증제가 추진될 예정이다.

클라우드발전법 제정·시행으로 국내에서 클라우드 서비스가 본격화될 것으로 전망됨에 따라 현재 KISA를 주축으로 클라우드 보안대책을 수립하고 있다. 안전한 클라우드 서비스 제공과 이용자 신뢰 확보를 위한 다양한 대책이 마련될 예정이다.

클라우드 서비스에 보안을 내재화하는 방향에서 관련기준과 지침 등이 도입된다. 클라우드 서비스 보안인증제도도 추진된다. 이 인증제는 클라우드 서비스 안전성 검증기준을 기반으로 세부 정검방법, 시험절차 등의 보안 평가방법론을 개발해 사업자 서비스 보안수준을 진단하기 위해 추진된다.

글로벌 클라우드 보안 수준을 강화하기 위한 핵심기술 개발도 강화된다. 클라우드 서비스 보안상태에 따른 위험기반 다중 인증 동적 접근제어 기술, 클라우드 서비스 상태·행위정보 수집을 통한 이상행위 탐지·모니터링 기술, 클라우드 안전성 시험·검증 결과에 따른 정책기반 위험대응 기술 등이 대표적이다.

클라우드 보안 산업경쟁력 강화를 위한 지원체계도 구축한다. 다양한 클라우드 기반 보안서비스 개발·지원과 영세·중소 사업자 대상 클라우드 기반 보안서비스 시범적용·보안컨설팅 수행 등도 추진한다.

정한근 미래창조과학부 정보보호정책관은 한국클라우드보안협회가 최근 개최한 클라우드 보안 워크숍에서 “클라우드 서비스 발전과 안전한 이용환경 조성을 위해 정보보호 기준을 마련, 클라우드 보안 인증제나 이용자 보호조치 강화 방안 등을 고려하고 있다”고 말하고 “국내 클라우드 서비스 안전성을 확보하기 위해서는 보안업체들의 적극적 참여가 필요하다”고 강조했다.

<이유지 기자>yjlee@ddaily.co.kr