- 품질·성능, 정보보호 기준 고시, 클라우드 보안 인증제도 시행 예정

[디지털데일리 이유지기자] 지난해 ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 클라우드발전법)’이 제정·시행되면서 클라우드 서비스 활성화에 걸림돌로 제기돼온 보안 우려를 해소하기 위한 법제도 기반이 마련됐다.

클라우드발전법(제4장)에는 클라우드서비스 신뢰성 향상과 이용자 보호를 위한 조항들이 규정돼 있다. 정부는 지난해 클라우드 산업 육성과 서비스 활성화 정책 일환으로 관련 정보보호 대책도 수립했다.

◆안전한 서비스·이용자 보호 법규정 마련=클라우드발전법에는 클라우드 서비스 신뢰성을 확보하기 위한 품질·성능에 관한 기준과 정보보호에 관한 기준(관리적·물리적·기술적 보호조치)을 정해 고시토록 함으로써 서비스 제공자들이 그 기준을 지키도록 권고할 수 있도록 규정돼 있다.(제23조)

이에 따라 클라우드 서비스 제공자는 관리적·물리적·기술적 보호조치를 포함, 정보보호체계를 마련해야 한다. 또한 침해사고 발생시, 이용자 정보 유출시, 일정 기간 이상 서비스 중단시에는 이를 이용자들에게 통지하고 즉시 미래창조과학부장관에게 알려야 하며, 피해 확산·재발방지 조치해야 한다. 통지나 조치 사항 등은 대통령령으로 정하도록 돼 있다.(제25조)

클라우드발전법 시행령에는 서비스 중단시 기간이 연속 10분 이상인 경우, 중단 사고가 발생한 때부터 24시간 이내에 2회 이상 서비스가 중단된 경우로서 그 중단 기간을 합해 15분 이상인 경우 이용자 통지를 하도록 규정돼 있다.(제16조)

또한 법률에는 서비스 제공자가 동의 없이 이용자 정보를 제3자 등에 제공하거나 서비스 제공 목적 외 이용을 금지해 사전에 반드시 이용자 동의를 받도록 했다.

이용자는 클라우드 서비스 제공업체가 이 법 규정을 위반해 손해를 입었을 경우 손해배상을 청구할 수 있다. 서비스 제공자가 사업을 종료할 경우 사전에 이용자 정보를 반환하고 파기해야 한다.(제27조)

이와 관련 서비스 제공자는 서비스 계약 종료 30일 전까지 종료 일시와 내용·사유, 이용자 정보 반환·파기 방법과 절차 등의 정보를 명시하도록 시행령(제19조)에 명시돼 있다.

이용자는 클라우드 서비스 제공자가 이같은 법 규정을 위반해 손해를 입었을 경우 손해배상을 청구할 수 있다. 서비스 제공자는 고의나 과실이 없다는 것을 입증하지 못하면 책임져야 한다.(제29조)

◆‘안전한 클라우드 선도국’ 비전 실현 위한 정부 대책 수립=오는 2019년까지 클라우드 이용률을 40%로 끌어올리겠다는 목표를 설정하며 클라우드 활성화 정책을 이끌고 있는 미래창조과학부는 지난해 9월 ‘안전한 클라우드(Safe K-Cloud) 선도국가 실현’이라는 비전을 내건 클라우드 정보보호 대책을 내놨다.

이 대책에는 ▲클라우드 사업자 정보보호 수준향상·대응체계 구축 ▲클라우드 이용자 정보보호 기반 구축 ▲클라우드 정보보호 전문기업 육성 등의 과제를 오는 2019년까지 추진한다는 계획이 담겨 있다.

미래부는 클라우드 사업자들이 정보보호 대응체계를 구축할 수 있도록 관리적·기술적·물리적 보호조치에 대한 기준을 마련해 시행할 방침이다. 이를 위해 1월 중 관련 공청회를 열 계획이다.

또 이용자가 클라우드 서비스 품질을 보장받을 수 있도록 ‘클라우드 서비스 품질·성능에 관한 기준’도 마련한다.

사업자의 정보보호 조치 현황을 자율적으로 공개하도록 권고하고, 정보보호 수준을 전문기관에서 진단하고 컨설팅 할 수 있도록 지원에 나선다.

클라우드 침해사고 예방체계로 클라우드 정보공유분석센터(ISAC)도 구축·운영하고, 침해사고 발생시 피해를 최소화하기 위해 침해사고대응팀을 운용할 계획이다. 침해사고대응팀은 기존 인터넷침해대응센터(KISC)와 연계해 운영을 추진한다.

클라우드 보안 기술 개발 투자와 클라우드 기반 정보보호 서비스 제공 전문기업(SeCaaS)도 육성할 방침이다.

한편, 미래부는 공공기관이 민간 클라우드 서비스를 이용할 수 있도록 사업자에 부여하는 보안인증 기준도 마련한다. 이 인증은 미국에서 시행하고 있는 ‘페드램프(FedRAMP)’의 한국판으로, 상반기 중 시범적용을 거쳐 제도화를 추진하기로 했다.

<이유지 기자>yjlee@ddaily.co.kr