클라우드 컴퓨팅 이용자 보호 법제도 연구 (NIPA, 2020. 02. 25)

뉴딜코리아 홈페이지 

클라우드 컴퓨팅 이용자 보호 법제도 연구 (NIPA, 2020. 02. 25)

올해로 클라우드컴퓨팅법이 제정된지 5년이 됩니다.

지난 5년 동안 많은 변화가 있었습니다.

국내 클라 우드컴퓨팅 산업은 미국 시장조사기관 가트너에 따르면 시장 규모가 지난해 2조원을 넘었다고 하고, 정보통 신산업진흥원의 클라우드컴퓨팅 산업 실태조사 결과도 2.97조원으로 조사되었습니다.

글로벌 클라우드컴퓨 팅 기업은 규모의 경제를 이용하여 규모 인프라와 자금 투자를 통해 국내 진입을 가속화하여 추진하고 있습니다.

아마존웹서비스(AWS), 마이크로소프트(MS) 등 글로벌 클라우드컴퓨팅 1위, 2위 기업에 이어 구글까지 데이터센터 구축을 통해 국내 클라우드컴퓨팅서비스 시장에 뛰어들면서 치열한 경쟁이 예상됩니다.

국내 표적인 IT 기업 네이버도 신규 데이터센터 구축을 추진하고 있습니다.

최근 2~3년 사이 국내 외 표 IT 기업이 잇따라 국내에 데이터센터를 세우거나 증설하고 있어서 한국은 클라우드컴퓨팅 신흥 시 장으로 떠오르고 있습니다.

이러한 상황 변화는 중국이 해외 기업 규제와 일본의 지진 위험으로부터 자유로운 한국의 지리적 요인, 세계 최초 5G(5세 이동통신) 상용화와 전기 공급이 안정적이라는 기술 요인, 인공지능(AI)·자율주행차 개발 가속화로 빅데이터를 저장하고 분석할 데이터센터에 한 수요가 크게 늘고 있는 산업적 요인, 클라우 드컴퓨팅 활용을 위한 금융 클라우드나 공공 클라우드 규제개선 등 제도적 요인이 주요 변화의 이유로 분 석됩니다.

최근 정부는 ‘AI 국가전략’(2019년)에 따라 세계 최고의 인공지능 생태계 조성하기 위한 인프라 구축과 공공데이터 개방을 클라우드컴퓨팅 기반으로 구현할 예정이어서 국내 클라우드컴퓨팅 산업은 더욱 성장할 것으로 전망됩니다.

그러나 국내 클라우드컴퓨팅 산업의 성장 이면에 이용자 보호 문제도 두하였습니다.

2018년 11월 글로 벌 1위 클라우드컴퓨팅서비스 기업 아마존웹서비스(AWS)의 국내 서비스 장애 사건이 발생하였습니다.

AWS 접속 장애로 AWS 서울 데이터센터(리전)만 단독으로 이용하는 기업의 피해가 큰 것으로 나타났습니다.

국내 온라인 쇼핑몰과 배달, 숙박서비스, 암호화폐 거래소, 게임회사, 온라인 영상 플랫폼, 일부 온라 인 금융서비스 등 업종에 상관없이 AWS를 이용하는 서비스의 상당수가 당일 접속 불가 문제를 겪었습니다.

기업의 업무처리가 클라우드컴퓨팅서비스로 처리되고 있는 상황에서 서비스 장애는 기업의 비즈니스 중 단을 의미하는 것으로 영업 손실과 신뢰 상실 등 막한 피해로 연결될 수 있는 위험이 있습니다.

이러한 문제를 법제도적 측면에서 분석하고 개선할 수 있도록 정보통신산업진흥원은 법학교수, 변호사, 전문가와 함께 ‘클라우드컴퓨팅 이용자 보호 법제도 연구반’을 구성하여 연구를 진행하였습니다.

2019년 3 월부터 12월까지 10개월 간 매달 세미나를 개최하고 발제와 토론을 통해 연구를 진행하여 그 결과물을 이 렇게 연구보고서로 발간하게 되었습니다.

이번 연구보고서는 이용자 정보의 유출‧장애‧침해사고에 한 국내 외 법제도 사례 분석과 개선방안이 담겨 있습니다.

그 뿐만 아니라 클라우드컴퓨팅 서비스의 국경간 정보이 전과 컴퓨팅 설비의 위치, 디지털 세금 부과 등 통상 이슈도 함께 다루고 있습니다.

2019년 ‘클라우드컴퓨 팅 산업진흥 법제도 연구’보고서에 이어 올해에도 ‘클라우드컴퓨팅 이용자 보호 법제도 연구’보고서 발간을 통해 클라우드컴퓨팅의 발전 및 이용을 촉진하고 클라우드컴퓨팅서비스를 안전하게 이용할 수 있는 환경 조 성을 위해 정보통신산업진흥원은 노력하겠습니다.

향후 이 연구보고서가 클라우드컴퓨팅 이용자 보호를 위 한 연구와 정책 활용 등을 위해 널리 참고되고 후속 연구에 도움이 될 수 있기를 바랍니다.

□ 주요내용

 1. 글로벌 클라우드 서비스에 대한 실효적 행정조치

 2. 클라우드 컴퓨팅에 있어 피해 예방과 구제 체계 개선방안에 관한 연구

 3. 클라우드컴퓨팅 환경에서 국제재판관할과 증거에 관한 쟁점

 4. 미국의 클라우드법과 디지털증거의 압수·수색 

 5. 디지털 경제의 과세와 클라우드 컴퓨팅

 6. 클라우드 컴퓨팅과 국경간 개인정보 이전

 7. 클라우드 컴퓨팅 설비의 현지화(Data Localization)

 8. 클라우드서비스 불공정계약과 표준계약서

 9. EU GDPR과 클라우드 서비스의 유럽연합 진출

☞ 상세 내용은 첨부파일을 참고 바랍니다

컨설팅 : ISMS, ISO27001, GDPR, PCI-DSS 

CLOUD MSP : AWS, Azure
070-7867-3721, ismsbok@gmail.com

한 번에 하나씩 차근차근히

한 번에 하나씩 차근차근히

요즘 사람들은 늘 바쁩니다.

개를 데리고 산책을 하면서 핸드폰으로 통화하고 ...

그러면서 머릿속에는 집에 가서 해야 할 일이 가득 차 있습니다.

이러한 삶은 오히려 삶을 서두르게 하고 지치게 합니다.

서두르고 허둥대면 삶의 초점을 잡기가 힘이 듭니다.

집중하지 못한다는 것은 실수하기 쉽다는 뜻입니다.

조급하면 당연히 불만만 쌓이고 효율도 떨어집니다.

‘한 번에 하나씩 차근차근 해나간다면 하루 안에 모든 것을 처리할 시간이 충분히 있다.’

체스터필드 (영국의 작가 )

컨설팅 : ISMS-P, ISO27001  GDPR,PCI-DSS 

취약점 진단 및 모의 침투

개인정보 비식별화 솔루션

보안솔루션 공급

070-7867-3721, ismsbok@gmail.com

챗봇 구축 실무 가이드

챗봇 구축 실무 가이드

챗봇은 생각보다 우리 주변에 가까이 와 있다. 

뱅크오브아메리카, 마스터카드 등 세계적 금융, 카드사가 이미 도입해 운영중이고 제조, 유통 등에서도 활발하게 사용하고 있다. 

챗봇 기술의 확산 속도는 지금은 보편화된 모바일 앱보다도 훨씬 빠르다. 

앞으로 단순한 조회 기능을 넘어 완벽하게 개인화된 미래의 인터페이스로 자리를 잡을 것이라는 전망도 나오고 있다.

여기서는 전자상거래와 유통, 제조, 금융 등의 주요 사례와 함께 챗봇 구축시 주의해야 할 사항을 살펴본다. 

궁극의 인터페이스로써 챗봇의 발전 가능성도 전망해 본다.

업종별 대표 사례로 본 챗봇의 현주소

 • 전자상거래 : 카테고리 분류·쿠폰 발행에 활용

 • 유통 : 오프라인으로 챗봇 성과 확장

 • 제조 : 불량 줄이고 헬프데스크 업무 대행

 • 금융 : 24시간 고객 응대 가능

챗봇 구축 시 주의해야 할 3가지

챗봇의 미래는 ‘완전한’ 개인화 서비스

첨부파일 : 

 챗봇 구축 실무 가이드 (IBM)

 챗봇서비스 구현을 위한 기술로드맵 (TIPA)

 챗봇기술과서비스사례소개(AIRI)

클라우드 서비스 보안실증 사례집

클라우드 서비스 보안실증 사례집

■ 지원 사업 개요

○ 목적

클라우드 규제 개건과 관련된 분야(의료, 금융, 교육 등)에 대한 보안실증(클라우드 구축 지원, 안전성 검증 등)을 통해 안전한 클라우드 서비스 도입 사례 발굴

○ 클라우드 보안실증 사례 (2016~2018)

ⓐ 클라우드 기반 의료 개인정보보호 서비스
ⓑ 클라우드 기반 은행권 CMS
ⓒ 클라우드 기반 개인 의료정보 공유 포털
ⓓ 클라우드 기반 통합 의료정보서비스
ⓔ 클라우드 기반 통합 병원정보시스템 서비스
ⓕ 보험대리점의 금융 상담용 개인재무관리(PFMS)
ⓖ 비대면 대화형 전자청약 클라우드 서비스
ⓗ 보험대리점 ERP 보안 클라우드 서비스
ⓘ 원격교육용 온라인평가 클라우드 서비스
ⓙ 클라우드 기반 P2P 결제를 위한 인증 서비스
ⓚ 클라우드 기반의 의료정보 보안 서비스

☞ 첨부파일 :
. 클라우드서비스보안실증사례집(2018)
. 클라우드서비스보안실증사례집(2017)
(출처 : 한국인터넷진흥원)

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 

취약점 진단 및 모의 침투

보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

액센추어의 AWS 보안프레임워크

 뉴딜코리아 홈페이지 

액센추어의 AWS 보안프레임워크

- 싱가포르통화청(Monetary Authority of Singapore) 지침 -

싱가포르 통화청은 공용 클라우드 이용을 도입하기 위하여 기존의 장애물을 제거하였습니다.

클라우드 도입을 돕기 위하여, 싱가포르 은행연합회는 아웃소싱 및 클라우드 도입에 관한 싱가포르 통화청의 지침을 충족할 수 있도록 고안된 몇 가지 주요 제어를 식별해 내었습니다.

AWS 플랫폼에서 제공되는 서비스 구성이 매우 많다는 점을 고려하면, 많은 기관들은 AWS 구현이 ABS 주요 제어 지침을 충족하는지에 관하여 의문을 가질 수 있습니다.

액센추어의 AWS 보안 프레임워크와 그것을 싱가포르 통화청 지침과 연계시키는 방법은 ABS 주요 제어를 다루면서 MAS 요구사항을 준수하기 위하여 AWS 서비스를 설계 및 구성하는 규범적 방법을 제공함으로써 그러한 불확실성을 제거합니다.

액센추어의 AWS 보안 프레임워크는 올바른 AWS 서비스 및 플랫폼을 구현하기 위한 간단한 규범적 방법을 설명하며, 이를 통해 어떤 기관이라도 아웃소싱 및 클라우드 도입에 있어 싱가포르 통화청의 요건을 충족할 수 있을 것입니다.

ABS 가 기술한 각각의 주요 제어에 대하여, 액센추어의 AWS 프레임워크는 적용될 수 있는 AWS 서비스와 ABS 가 나열한 주요 제어를 충족하기 위해서 어떻게 배치되어야 하는지를 개괄합니다.

본 프레임워크는 금융서비스 부문에게 기관 내 모든 작업을 지원하는 안전하고 복원력 있는 AWS 플랫폼을 구축함으로써, 클라우드 기반 개발 및 보안 기술의 도입하면서도 데이터를 안전하게 관리할 수 있다는 신뢰를 제공합니다.

첨부파일 :
- 액센추어의 AWS 보안프레임워크 : 싱가포르통화청(Monetary Authority of Singapore) 지침
- top 10 best practices for aws security

클라우드 보안의 핵심이슈 와 대응책
Key Issues and Countermeasures in Cloud Security

■ 요약문

클라우드 컴퓨팅은 세계적으로 활용률이 높아지고 있으나 국내에서는 도입과 확산이 저조한 편으로, 그 큰 원인 중 하나는 보안에 대한 우려 때문인 것으로 조사되었다.

그러나 클라우드 컴퓨팅의 보안은 일반적인 정보 보안과 본질적으로 다르지 않으며, 공유자원의 사용으로 새롭게 야기되는 위협에 대해서도 기존 보안기술을 재구성한 방어체계를 통해 현재의 정보 보안 수준으로 해결이 가능하다.

이 보고서에서는 기존 클라우드 컴퓨팅의 보안 위협에 대한 관점을 종합하고, 기술 및 기술외적인 측면에서 다양한 해결방안을 살펴보면서, 클라우드 컴퓨팅 보안에 대한 인식전환이 필요함을 설명하고 있다.

Cloud computing is growing globally, but the adoption and diffusion of cloud computing is slow in Korea. One of the major causes was the concern of security.

 However, the security of cloud computing is not fundamentally different from general information security, and new security threats caused by the use of shared resources can be solved by the existing information security level through a defense systems that reconstruct existing security technology.

This report summarizes the viewpoints of security threats of existing cloud computing, explores various solutions in terms of technology and non-technology, and explains the necessity of changing awareness of cloud computing security.


☞ 첨부파일 :  http://cafe.naver.com/rapid7/3051

클라우드 & 가상화 취약점 분석

뉴딜코리아 컨설팅 사업부 ( 070-7867-3721, ismsbok@gmail.com)

클라우드 컴퓨팅 주요 법령 해설서 (2017. 11)

뉴딜코리아 홈페이지 

1 추진배경

○ 세계적으로 ICT활용 패러다임이 정보시스템을 자체구축하는 방식에서 서비스 이용량에 따라 비용을 지불하는 클라우드컴퓨팅으로 전환되고 있습니다.

○ 우리 정부도 클라우드컴퓨팅 이용 확산을 통해 비용절감 및 업무혁신을 유도하고, 취약한 국내 클라우드컴퓨팅 산업의 경쟁력을 높이기 위해 ｢클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률｣(이하 ‘클라우드컴퓨팅법’이라 함)을 제정(‘15.3월)하고, ’제1차 클라우드컴퓨팅 발전 기본계획(‘16~’18)‘을 수립(‘15.11월)하였습니다.

○ 또한 보안인증제 실시(‘16.4월), 공공기관 민간 클라우드 이용 가이드라인 마련(‘16.7월), 공공기관 선도 프로젝트 등을 통해 공공부문의 선제적인 클라우드컴퓨팅 도입을 지원하고 있으며, 산업단지 내 중소기업 이용 지원, 전문인력 양성 등을 통해 클라우드컴퓨팅 산업 활성화에 역량을 집중하고 있습니다.

○ 특히 제5차 규제개혁장관회의(‘16.5월)에서는 클라우드컴퓨팅 분야 규제혁신 방안을 발표하였고, 이에 따라 금융·의료·교육분야 등에서 클라우드컴퓨팅 이용을 저해하는 규제개선(‘16.7～10월)이 이뤄졌습니다.

○ 그러나 국내 클라우드컴퓨팅 시장은 아직 초기단계로 정부의 정책적 노력에도 불구하고 클라우드컴퓨팅에 대한 인식 및 신뢰가 부족하고 일부 불명확한 규정과 해석차이로 도입에 어려움을 겪고 있는 등 클라우드컴퓨팅 도입이 저조한 실정입니다.

○ 본 해설서를 통해 금융, 의료, 교육, 공공 분야 등에서 클라우드컴퓨팅 이용 규제개선 내용을 상세히 소개하고 이에 따른 클라우드컴퓨팅 이용 가능범위·절차를 명확화함으로써 클라우드컴퓨팅 이용확산을 촉진하고자 합니다.


2 총  론

󰊱 클라우드컴퓨팅법 제21조의 취지와 내용

 ○ 각종 법령에서 인가·허가·등록·지정 등의 요건으로 전산 시설·장비·설비 등(이하 ‘전산시설등’이라 함)을 규정한 경우에 클라우드컴퓨팅서비스 제공자와 클라우드컴퓨팅서비스 이용계약을 체결하는 것으로 전산시설등의 구비 의무를 대체할 수 있습니다.

 ○ 클라우드컴퓨팅서비스 이용에 대해서 ‘원칙 허용, 예외 금지’라는 이른바 네거티브 규제 원칙을 적용하고 있습니다.

 ○ 예외적으로 금지되는 경우는 법령에서 클라우드컴퓨팅서비스 이용을 명시적으로 금지하거나 회선 또는 설비의 물리적 분리구축 등을 요구하여 사실상 클라우드컴퓨팅 이용을 제한하는 경우에 ‘전산시설등’의 구비 의무를 대체할 수 없습니다.

 ○ 법령에서 망분리 또는 회선분리를 요구하고 있더라도 논리적 분리방식을 명시적으로 금지하지 않으면 클라우드컴퓨팅서비스 이용이 가능한 것으로 해석해야 합니다.

󰊲 클라우드컴퓨팅법 제21조의 적용 대상

 ○ 클라우드컴퓨팅서비스는 원칙적으로 상용(商用)으로 제공되는 서비스이어야 됩니다. 여기서 ‘상용’이란 무상․유상에 구애받지 않고 상업용으로 제공되는 것을 의미하므로 무상이라 하더라도 상용으로 제공되고 있다면 포함될 수 있습니다.

 ○ 커뮤니티나 하이브리드 등의 방식으로 구축된 클라우드컴퓨팅 시스템이라도 서비스의 전부 또는 일부를 클라우드컴퓨팅서비스 제공자가 상용으로 제공하고 있다면 그 범위 내에서 제21조의 클라우드컴퓨팅서비스로 볼 수 있습니다.

󰊳 클라우드컴퓨팅서비스와 정보보안

 ○ 클라우드컴퓨팅서비스는 수많은 기업의 정보가 클라우드컴퓨팅시스템에 공존하기 때문에 해커들의 주요 공격목표가 될 수 있어 취약점이 발견될 경우 정보 유출사고로 이어질 수 있습니다.

 ○ 클라우드컴퓨팅법은 개별법이나 실무에서 제기하는 정보보안 문제를 해결하기 위하여 과학기술정보통신부장관으로 하여금 클라우드컴퓨팅서비스의 정보보호에 관한 기준을 제정하여 서비스 제공자에게 그 기준을 지킬 것을 권고하고 있습니다.

 ○ 클라우드컴퓨팅 보안인증 제도는 클라우드컴퓨팅서비스 이용자가 서비스를 안심하고 도입·이용할 수 있도록 정보보호 전문기관인 한국인터넷진흥원(KISA)이 해당 서비스가 ｢클라우드컴퓨팅서비스 정보보호에 관한 기준｣(과학기술정보통신부 고시)을 준수하고 있는지 여부를 객관적으로 평가·인증해 주는 제도입니다.

 ○ 클라우드컴퓨팅 보안인증은 클라우드컴퓨팅서비스 제공자의 의무사항이 아니지만, 공공기관을 대상으로 한 서비스 제공에는 필요합니다. 클라우드컴퓨팅서비스 제공자가 클라우드컴퓨팅 보안인증을 받으면 공공기관에 상용 클라우드컴퓨팅서비스를 제공할 때 상급기관과 국가정보원의 보안성 검토 시 관리적ㆍ물리적ㆍ기술적 보호조치 및 공공기관 추가 보호조치 사항 관련 부분의 보안성 검토가 생략됩니다.

󰊴 클라우드컴퓨팅서비스와 개인정보 보호

 ○ 클라우드컴퓨팅서비스는 서비스제공자의 하드웨어, 소프트웨어, 플랫폼 등을 이용해서 이용자(이용사업자)가 직접 개인정보를 처리하므로 전산시설등의 사용대차 또는 소비대차로 볼 수도 있으나, 저장된 개인정보의 보관, 관리 등을 클라우드서비스제공자가 자신의 책임 하에 수탁받아 행하게 되므로 개인정보 처리업무의 위탁에 해당한다는 것이 다수의 해석입니다.

 ○ 따라서 기업이나 공공기관이 클라우드컴퓨팅서비스를 이용할 때에는 개인정보보호 관련 법령의 개인정보 처리업무 위탁 규정에 따라 개인정보 처리업무를 위탁하여야 합니다.


☞  첨파일 : http://cafe.naver.com/rapid7/3046

아마존웹서비스(AWS) & 가상화  취약점 분석

 

뉴딜코리아 컨설팅사업부 ( 070-7867-3721, ismsbok@gmail.com)

아마존웹서비스(AWS) 인프라 취약점 진단 서비스

뉴딜코리아 아마존웹서비스(AWS)  인프라 취약점 진단 서비스

AWS 클라우드에서의 보안 이해

뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2522

 

AWS 클라우드에서의 보안 이해

2015년 4월 21일 서울 코엑스에서 열렸던 AWS Summit Seoul 2015의 두번째 트랙에서
양승도 아마존 웹서비스 솔루션스 아키텍트가 발표한 자료입니다.

동영상 :
http://www.slideshare.net/awskorea/aws-summit-seoul-2015-aws-47454367

첨부파일 : http://cafe.naver.com/rapid7/2522