클라우드컴퓨팅 정보보호 규제체계를 만들 때 ISO/IEC 27018 등 국제표준을 적극 도입해 ‘클라우드 갈라파고스화’를 막아야 한다는 주장이 제기됐다.
 
18일 한국개인정보보호협의회(KCPPI 회장 박성득)와 개인정보보보호범국민운동본부가 한국프레스센터에서 공동 주최한 ‘클라우드 환경과 개인정보보호 과제' 포럼에서 순천향대 염흥열 교수는 “국내 클라우드 사업자를 위한 개인정보보호 기준은 글로벌 국제표준과 호환성을 만족시켜야 한다”고 주장했다.

 
이번 포럼은 지난 9월28일 ‘클라우드컴퓨팅 발전 및 이용자보호에 관한 법률’이 시행되고 미래창조과학부와 관련기관들이 클라우드 컴퓨팅 산업 및 이용자에 대한 보안과 개인정보 등에 관한 기준과 인증 체계 등을 마련하고 있는 가운데 열려 관심을 끌었다.
 
이번 포럼에서 ITU-T SG17 부의장인 염 교수는 “클라우드 컴퓨팅에서의 개인정보보호와 관련 정부는 국제표준을 반영한 기준을 제시해 정책의 투명성을 제공하고, 사업자의 개인식별정보(PII)보호를 효과적으로 구현했다는 점 등을 보여주어야 한다”고 강조했다. 그는 특히 개인정보보호 측면에서 신뢰할 수 있는 수준의 서비스를 제공하기 위해 “국제표준(ISO 27001, 27002, 27018 등)을 최대한 반영한 기준을 이용해 클라우드 서비스 제공자를 위한 개인정보보호 인증체계를 구축할 필요가 있다”고 강조했다.
 
ISO/IEC27018은 국제표준화기구(ISO)와 국제전기술위원회(IEC)가 EU의 개인정보보호법에 근거해 2014년 제정한 클라우드 서비스 제공자에 대한 개인정보보호 국제표준으로, 이용자의 데이터 통제권 보장, 이용자 정보의 처리와 저장의 투명성 확보, 이용자의 동의 없이 개인정보의 광고 등 활용금지, 이용자 정보에 영향을 미치는 침해 사고 시 이용자에게 통지 의무, 독립적인 제3자로부터의 준수사항 감사 실시 등을 주요 내용으로 담고 있다.
 
한국마이크로소프트 김명호 최고기술임원(NTO)는 “과거 독자적인 모바일 플랫폼 국내 표준이었던 WIPI는 국내 기업 육성은 고사하고 IT갈라파고스화를 촉진하였을 뿐이며 WIPI를 통해서 육성된 기업은 극소수에 불과했다”면서 “클라우드에서는 개인정보보호 국제기준인 ISO27018 등을 포함, 국제적으로 통용되는 표준과 관행, 제도 등을 적극 채택하고 활용해 WIP의 큰 실패를 반복하지 말아야 한다”고 강조했다.
 
그는 이어 “국내 클라우드 기업 육성을 위해선 하이퍼스케일 클라우드를 제공하는 국내외 기업을 디딤돌로 활용해 클라우드에 최적화된 여러 솔루션이나 서비스를 제공한 것도 훌륭한 윈윈전략이 될 수 있을 것”이라고 강조했다. 그는 이와 함께 “현재의 개인정보 관련 법령들이 주로 데이터 수집에 관심을 두고 있는데, 클라우드 시대에는 데이터 수집보다는 데이터 사용을 제어하는 것에 관심을 두어야 한다”고 설명했다.
 
안정민 한림대 교수 역시 토론을 통해 “ISO 표준과 같은 국제적인 표준은 적절한 보안수준 혹은 개인정보보호 수준을 설정하는데 좋은 참고가 될 것”이라고 강조했다. 특히 안 교수는 “클라우드 서비스의 적절한 정보보호 및 개인정보 보호 수준의 설정은 글로벌 클라우드 서비스 이용이나 우리나라 서비스의 글로벌 경쟁력 강화를 위해 필수불가결하다”면서 “너무 과도한 수준은 자칫 국제적인 클라우드 서비스 활성화에 장애가 될 것이고 나아가 국내사업자와 해외사업자의 차별적 규제로 규결될 것”이라고 지적했다.
 
법무법인 민후의 김경환 변호사는 ‘클라우드 관련 법제의 현황과 과제’에 대한 발제를 통해 개인정보의 국외이전 문제와 관련한 내용을 다루었다. 그는 현행 정보통신망법과 개인정보보호법에서 동의를 얻어 이전하도록 하고 있으나 정보의 자유로운 이전을 증진시키도록 다양한 이전방안을 마련함과 동시에 인터넷 너머로 발생하는 정보 약용 문제에 대해 국가가 적극적으로 대처해야 할 필요가 있다고 지적했다. 특히 김 변호사는 “정부의 자유로운 국외 이전에 대한 위험은 자국민 보호 강화로 제거해야 하지만 경제적인 이유 등으로 정보의 자유로운 국외이전 자체는 금지시킬 수 없다”면서 “결국 이 문제는 국가간 서로 다른 규범체계간 마찰을 줄이려고 상호협력하는 ‘상호운용성(interoperability)’을 증진시키는 것으로 해결해야 한다”고 주장했다.
 
이와 관련 이진화 넥슨코리아 개인정보보호팀장은 토론문을 통해 “클라우드서비스를 사용하는 가장 큰 이유는 저비용과 고효용으로 편리성에 중점을 두고 있는데 글로벌서비스에 특화되어 사용될 경우 최적의 환경을 보장받을 수 있기 때문”이라며 “특히 글로벌 서비스를 제공하려는 기업이용자 입장에서는 개인정보가 국외로 이전되게 되는데 정보통신망법에서는 개인이용자에게 개별적인 동의 및 보호조치를 하도록 규정하고 있을 뿐만 아니라 정보를 이전한 국가의 정보보호 관련 법률도 준수해야 한다는 견해가 있어 현실적 어려움이 크다”고 지적했다. 이 팀장은 이어 “어떤 경우에 개인정보 국외이전으로 불 수 있는 지와 어떤 경우에 준거법을 적용할 지 등에 대해 산업의 활성화를 고려한 면밀한 검토가 필요하다”고 덧붙였다.
 
이와 함께 한국인터넷진흥원(KISA)의 손경호 보안산업단장은 ‘클라우드 컴퓨팅 환경에서의 정보보호 이슈’를 주제로 한 발제문에서 “클라우드 정보보호 수준 향상을 위해 내년까지 사업자의 관리적, 기술적, 물리적 보호조치에 대한 정보보호 기준을 마련해 시행할 것”이라며 “내년에 클라우드 서비스의 갑작스런 중단을 막기 위해 제3의 기관에 보관하는 임치제도를 도입하는 등 클라우드 이용자 정보보호 기반을 구축하기 위한 정책적 노력을 기울이고 있다”고 말했다.
 
박춘식 서울여대 교수는 토론문에서 “클라우드서비스 기업은 개인정보 보호를 규제로 보는 시각에서 벗어나 새로운 서비스 기본 기능으로 보고 연구 및 기술 개발 등에 투자하여 오히려 개인정보보호 기능이 제공된 새로운 서비스가 기업의 경쟁력을 갖게 된다는 새로운 패러다임 전환을 시도해야 한다”며 기업의 책임을 강조했다.
 
한편 이날 이강신 김장법률사무소 위원(전 한국정보보호학회 부회장)의 사회로 진행된 종합토론에서는 서성일 미래창조과학부 소프트웨어진흥과장, 엄 열 방송통신위원회 개인정보보호윤리과장 등이 패널로 참여해 정부의 클라우드에서의 개인정보보호 정책 방향 등에 대해 밝혔다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com