개인정보위원회가 주요 클라우드 서비스 제공업체들이 개인정보 보호를 위한 필수 기능을 갖추고는 있으나, 일부 기능은 이용자가 직접 설정해야 적용되는 구조임을 확인하고, 이에 대한 안내를 강화하도록 권고했다.
12일 정부서울청사에서 열린 개인정보보호위원회 브리핑에 따르면, 아마존웹서비스(AWS), 마이크로스프트 애저, 네이버클라우드 3사 모두 개인정보 보호법상 필수 안전조치 기능은 제공하고 있었으나 일부 기능은 기본값으로 적용되지 않고 이용자가 별도로 설정해야 작동하는 것으로 나타났다.
예를 들어, 하위계정 발급이나 접근권한 차등 부여 기능, 지식재산권(IP) 제한 설정, 2차 인증 등은 기본적으로 지원되지만, 실제로 이를 작동시키기 위해선 이용사업자가 직접 설정을 해야 하는 경우가 많았다. 특히, 관리자 외 계정에 대한 2차 인증 설정이나 최대 접속 시간 제한 기능은 일부 플랫폼에서는 기본 적용되지 않아 주의가 요구된다.
또한, 접속기록 및 이상행위 탐지 기능의 경우 대부분의 서비스가 기본 제공하는 보존 기간은 짧았으며, 법적으로 요구되는 최대 3년간의 기록 보관을 위해서는 별도의 저장공간 구매 또는 솔루션 구독이 필요한 상황이다. 암호키 관리나 악성코드 탐지 기능도 마찬가지로 별도 보안솔루션을 통해 제공되고 있었다.
개인정보위는 이들 클라우드 사업자에게 추가 설정이 필요한 항목과 방법을 개발 가이드나 설명서를 통해 명확히 안내하도록 권고했으며, 향후 한국인터넷진흥원 등과 함께 타 클라우드 기업 및 이용자에 대해서도 계도를 강화해 나갈 계획이다.
전승재 개인정보보호위원회 조사3팀장은 "이번 점검을 통해 클라우드를 이용하는 개인정보처리자들의 인식 제고와 보호 수준 향상이 기대된다"고 밝혔다.
한편 이번 점검은 약 65만 개에 달하는 국내 중소기업, 스타트업, 소상공인 등 클라우드 이용사업자의 개인정보 유출 위험을 사전 예방하고자 진행됐다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
