개인정보위 개선권고에 CSP 화답…“조만간 한국 전용 안내서 발간”

개인정보보호위원회는 16일 오후 서울 중구 한국프레스센터에서 개최한 '클라우드 서비스 제공·이용사업자 간담회' 전경. (개인정보보호위원회 제공)

클라우드 서비스 제공사(CSP)가 개인정보보호위원회의 개선 권고를 받아들여 개발문서(안내서)를 발간한다. 이용사업자가 개인정보보호법 준수를 위해 추가 기능 설정 또는 별도 솔루션 구독이 필요하다는 사실을 인지할 수 있도록 안내해야 한다는 취지다. 다만 스타트업 등 영세 사업자가 개인정보보호법 준수 수준의 보안 투자가 가능할지는 미지수다.

개인정보보호위원회와 한국인터넷진흥원(KISA)은 16일 오후 서울 중구 한국프레스센터에서 클라우드 서비스 제공·이용사업자 간담회를 개최했다.

앞서 개인정보위는 지난달 11일 전체회의를 열고 CSP가 이용사업자에게 개인정보보호법 준수 방안을 명확히 인지할 수 있도록 안내서 등을 통해 알릴 것을 권고한 바 있다.

아마존웹서비스(AWS)는 개인정보위 개선권고에 따라 한국 전용 개인정보보호백서를 발간할 예정이다. 네이버클라우드 역시 8월 중순 안내서를 배포할 계획이며, MS도 안내서를 준비하고 있다.

김영훈 AWS 정책협력실장은 “이전에도 고객사에 필수 안전조치 의무 준수를 가이드했으나 '고객사에 개인정보 보호·활용에 대해 명쾌한 가이드를 마련하라'는 개인정보위 개선권고를 수용해 한국 전용 개인정보보호백서를 준비하고 있다”고 말했다.

다만 주기적인 서비스 업데이트로 안내서 최신화에 어려움이 있다는 의견도 나왔다.

신용녀 MS 최고기술임원(NTO)는 “하이퍼스케일(초거대형) 클라우드 업체는 서비스를 주기적으로 업데이트를 하지 않으면 운영할 수 없다”며 “클라우드 서비스는 수시로 업데이트되는 점에 이해가 필요하다”고 말했다.

중소·영세사업자는 추가 보안기능, 구독비용 등 부담이 될 수 있다는 지적도 제기됐다.

최용근 메가존클라우드 팀장은 “중소기업·스타트업은 비용 문제 때문에 운영 위주로 상품을 구성하고 보안 인프라·상품은 제외하는 경향이 있다”고 짚었다. 안지연 클루커스 팀장 역시 “이용사업자는 '보안 서비스가 비싸고 이를 다루는 전문인력이 부족하다'고 공통적으로 얘기한다”고 말했다.

이날 개인정보 유출 등 사고 발생 시 CSP와 이용사업자 간 책임 소재 명확화와 개인정보보호법상 위·수탁 관리·감독 절차 대체방안 등이 논의됐다.

최장혁 개인정보보호위원회 부위원장(앞줄 왼쪽에서 다서 번째)이 16일 오후 서울 중구 한국프레스센터에서 열린 '클라우드 서비스 제공·이용사업자 간담회'에서 참석자들과 기념촬영을 하고 있다.(개인정보보호위원회 제공)

조재학 기자 2jh@etnews.com