내년부터 클라우드 활용 범위가 개인신용정보까지 확대된다. 다만, 안전성 기준은 강화된다. 다음은 클라우드 활용 확대에 따른 개인정보 보호 취약ㆍ정보 유출 우려에 관한 금융위원회 일문일답이다.
-해외 소재 클라우드의 허용 계획은 어떻게 되는가
"해외 소재 클라우드 허용은 국내 소재 클라우드 운영 이후 성과, 문제점 등을 고려하여 점진적으로 검토할 예정이다. 다만, 금융회사는 이미 국내에 전산센터를 둔 해외 클라우드 사업자(아마존(AWS), MS, IBM 등)의 서비스도 이용 가능하다."
-클라우드 이용 시 클라우드서비스 제공자의 개인정보 열람 등 정보 유출의 위험이 있는 것은 아닌가
"클라우드를 이용하는 경우에도 고객의 개인정보는 개인정보 보호법, 신용정보법에 따라 암호화하여 전송되며, 클라우드서비스 제공자 등 접 근권한이 없는 자는 열람이 불가하다"
-개정안은 클라우드서비스 제공자의 관리시스템을 국내에 설치하여야 하는지 여부가 불명확해 보이는데
"현재 전자금융감독 규정은 국내에 본점을 둔 금융회사의 전산실 및 재해복구센터를 국내에 설치토록 하고 있다. 또한, 개인신용정보를 처리하는 업무의 정보처리시스템을 국내에 설치하도록 명시했다."
-미국 정부가 클라우드 법에 따라 미국 클라우드 서비스업체에 저장되는 우리 국민의 정보에 접근할 수 있다는데 정보 유출 우려가 있는 것 아닌가
"국내 클라우드 시스템은 미국 해외 정보 이용법(CLOUDㆍClarifying Lawful Overseas Use of Data Act)에 따른 미국 정부의 데이터 제공 요청에 반드시 따라야 하는 것은 아니다. 동 법은 범죄조사에 필요한 해외 소재 데이터 확보, 안보 유지를 위해 제정한 것으로, 외국 정부 법령을 고려하여 데이터를 요청할 수 있도록 했다. 범죄 수사를 위한 외국 정부의 정보제공 요청 시 국내법 위반 소지가 있을 경우 거부가 가능하다.
-외국계 클라우드 사업자는 국내 개인정보보호 관련 법규를 따르지 않아 개인정보 보호에 취약한 것 아닌가
"외국계 클라우드 사업자도 국내 개인정보보호 법령을 준수해야 한다. 따라서, 중요정보 암호화, 접속기록 위ㆍ변조 방지, 시스템 접근 통제 등 개인정보 보호 관련 제반 보호조치 사항을 준수해야 한다."
-외국계 클라우드 서비스 업체에 대하여 감독․조사권이 실질적으로 확보될 수 있는 것인가
"감독 당국은 사고 발생, 예방ㆍ점검 등 필요 시 자료제출 요구, 현장 점검을 통해 관리ㆍ감독할 수 있으며, EU, 영국 등 해외 사례와 같이 클라우드 이용 계약서에 금융회사와 감독 당국의 조사․접근권을 명시토록 했다. 관리시스템을 포함한 개인신용정보를 처리하는 모든 시스템을 국내에 두도록 해 감독 당국의 신속한 현장 감독ㆍ조사가 가능하다."
-최근 클라우드 장애 사고처럼 주요 클라우드 사업자의 서비스 장애 발생할 경우 금융권 주요 서비스가 마비될 가능성이 있지 않은지. 이에 대한 대책은 무엇인가
"사고 발생 시 신속한 대응을 위해 국내 전산센터 내 필수 운영인력이 상주하고, 장애 발생 사실을 지체없이 통지ㆍ대응토록 했다. 관리시스템을 포함하여 개인신용정보를 처리하는 모든 시스템을 국내에 설치토록 하여 신속한 장애 대응ㆍ복구가 가능토록 할 예정이다.
-클라우드 보안 수준과 관련해 국내외 클라우드 업체 간 규제 형평성의 차이는 발생하지 않는가
"금융 클라우드 서비스 제공 관련 보호조치 기준에서 제시하는 안전성 확보조치 사항은 국내외 클라우드 사업자 모두에게 동일하게 적용된다. 클라우드 안전성 확보조치 평가ㆍ검증과 관련하여 국내의 경우 클라우드 서비스 보안 인증(CSAP)이 있으며 해외의 경우 FedRAMP(미국), CSA STAR(글로벌 협회), MTCS(싱가포르) 등 국내 기준에 부합하는 일정한 인증을 받은 경우 이에 상응하는 보호조치를 갖춘 것으로 간주한다."