1 추진배경
○ 세계적으로 ICT활용 패러다임이 정보시스템을 자체구축하는 방식에서 서비스 이용량에 따라 비용을 지불하는 클라우드컴퓨팅으로 전환되고 있습니다.
○ 우리 정부도 클라우드컴퓨팅 이용 확산을 통해 비용절감 및 업무혁신을 유도하고, 취약한 국내 클라우드컴퓨팅 산업의 경쟁력을 높이기 위해 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」(이하 ‘클라우드컴퓨팅법’이라 함)을 제정(‘15.3월)하고, ’제1차 클라우드컴퓨팅 발전 기본계획(‘16~’18)‘을 수립(‘15.11월)하였습니다.
○ 또한 보안인증제 실시(‘16.4월), 공공기관 민간 클라우드 이용 가이드라인 마련(‘16.7월), 공공기관 선도 프로젝트 등을 통해 공공부문의 선제적인 클라우드컴퓨팅 도입을 지원하고 있으며, 산업단지 내 중소기업 이용 지원, 전문인력 양성 등을 통해 클라우드컴퓨팅 산업 활성화에 역량을 집중하고 있습니다.
○ 특히 제5차 규제개혁장관회의(‘16.5월)에서는 클라우드컴퓨팅 분야 규제혁신 방안을 발표하였고, 이에 따라 금융·의료·교육분야 등에서 클라우드컴퓨팅 이용을 저해하는 규제개선(‘16.7~10월)이 이뤄졌습니다.
○ 그러나 국내 클라우드컴퓨팅 시장은 아직 초기단계로 정부의 정책적 노력에도 불구하고 클라우드컴퓨팅에 대한 인식 및 신뢰가 부족하고 일부 불명확한 규정과 해석차이로 도입에 어려움을 겪고 있는 등 클라우드컴퓨팅 도입이 저조한 실정입니다.
○ 본 해설서를 통해 금융, 의료, 교육, 공공 분야 등에서 클라우드컴퓨팅 이용 규제개선 내용을 상세히 소개하고 이에 따른 클라우드컴퓨팅 이용 가능범위·절차를 명확화함으로써 클라우드컴퓨팅 이용확산을 촉진하고자 합니다.
2 총 론
클라우드컴퓨팅법 제21조의 취지와 내용
○ 각종 법령에서 인가·허가·등록·지정 등의 요건으로 전산 시설·장비·설비 등(이하 ‘전산시설등’이라 함)을 규정한 경우에 클라우드컴퓨팅서비스 제공자와 클라우드컴퓨팅서비스 이용계약을 체결하는 것으로 전산시설등의 구비 의무를 대체할 수 있습니다.
○ 클라우드컴퓨팅서비스 이용에 대해서 ‘원칙 허용, 예외 금지’라는 이른바 네거티브 규제 원칙을 적용하고 있습니다.
○ 예외적으로 금지되는 경우는 법령에서 클라우드컴퓨팅서비스 이용을 명시적으로 금지하거나 회선 또는 설비의 물리적 분리구축 등을 요구하여 사실상 클라우드컴퓨팅 이용을 제한하는 경우에 ‘전산시설등’의 구비 의무를 대체할 수 없습니다.
○ 법령에서 망분리 또는 회선분리를 요구하고 있더라도 논리적 분리방식을 명시적으로 금지하지 않으면 클라우드컴퓨팅서비스 이용이 가능한 것으로 해석해야 합니다.
클라우드컴퓨팅법 제21조의 적용 대상
○ 클라우드컴퓨팅서비스는 원칙적으로 상용(商用)으로 제공되는 서비스이어야 됩니다. 여기서 ‘상용’이란 무상․유상에 구애받지 않고 상업용으로 제공되는 것을 의미하므로 무상이라 하더라도 상용으로 제공되고 있다면 포함될 수 있습니다.
○ 커뮤니티나 하이브리드 등의 방식으로 구축된 클라우드컴퓨팅 시스템이라도 서비스의 전부 또는 일부를 클라우드컴퓨팅서비스 제공자가 상용으로 제공하고 있다면 그 범위 내에서 제21조의 클라우드컴퓨팅서비스로 볼 수 있습니다.
클라우드컴퓨팅서비스와 정보보안
○ 클라우드컴퓨팅서비스는 수많은 기업의 정보가 클라우드컴퓨팅시스템에 공존하기 때문에 해커들의 주요 공격목표가 될 수 있어 취약점이 발견될 경우 정보 유출사고로 이어질 수 있습니다.
○ 클라우드컴퓨팅법은 개별법이나 실무에서 제기하는 정보보안 문제를 해결하기 위하여 과학기술정보통신부장관으로 하여금 클라우드컴퓨팅서비스의 정보보호에 관한 기준을 제정하여 서비스 제공자에게 그 기준을 지킬 것을 권고하고 있습니다.
○ 클라우드컴퓨팅 보안인증 제도는 클라우드컴퓨팅서비스 이용자가 서비스를 안심하고 도입·이용할 수 있도록 정보보호 전문기관인 한국인터넷진흥원(KISA)이 해당 서비스가 「클라우드컴퓨팅서비스 정보보호에 관한 기준」(과학기술정보통신부 고시)을 준수하고 있는지 여부를 객관적으로 평가·인증해 주는 제도입니다.
○ 클라우드컴퓨팅 보안인증은 클라우드컴퓨팅서비스 제공자의 의무사항이 아니지만, 공공기관을 대상으로 한 서비스 제공에는 필요합니다. 클라우드컴퓨팅서비스 제공자가 클라우드컴퓨팅 보안인증을 받으면 공공기관에 상용 클라우드컴퓨팅서비스를 제공할 때 상급기관과 국가정보원의 보안성 검토 시 관리적ㆍ물리적ㆍ기술적 보호조치 및 공공기관 추가 보호조치 사항 관련 부분의 보안성 검토가 생략됩니다.
클라우드컴퓨팅서비스와 개인정보 보호
○ 클라우드컴퓨팅서비스는 서비스제공자의 하드웨어, 소프트웨어, 플랫폼 등을 이용해서 이용자(이용사업자)가 직접 개인정보를 처리하므로 전산시설등의 사용대차 또는 소비대차로 볼 수도 있으나, 저장된 개인정보의 보관, 관리 등을 클라우드서비스제공자가 자신의 책임 하에 수탁받아 행하게 되므로 개인정보 처리업무의 위탁에 해당한다는 것이 다수의 해석입니다.
○ 따라서 기업이나 공공기관이 클라우드컴퓨팅서비스를 이용할 때에는 개인정보보호 관련 법령의 개인정보 처리업무 위탁 규정에 따라 개인정보 처리업무를 위탁하여야 합니다.
☞ 첨파일 : http://cafe.naver.com/rapid7/3046
아마존웹서비스(AWS) & 가상화 취약점 분석
뉴딜코리아 컨설팅사업부 ( 070-7867-3721, ismsbok@gmail.com)
댓글 없음:
댓글 쓰기