개인정보보호위원회는 6월 12일, 국내 주요 클라우드 서비스 제공업체 3곳에 대한 사전 실태점검 결과를 발표했다. 이번 점검 대상은 아마존(AWS), 마이크로소프트(Azure), 네이버클라우드(NCP)이며, 개인정보보호법상 필수 안전조치 기능 제공 현황이 중점적으로 검토됐다.

이번 조사는 약 65만 곳에 달하는 중소기업, 스타트업 등 국내 이용사업자들이 개인정보 유출 사고를 사전에 방지할 수 있도록 돕기 위한 조치다. 점검 결과, 3개 서비스 모두 법적으로 요구되는 기능은 보유하고 있었으나, 일부 기능은 사용자가 직접 설정을 추가하거나 별도의 보안 솔루션을 구독해야 하는 것으로 나타났다.

예를 들어, 접근 권한 차등 부여, IP기반 접속 제한, 2차 인증 기능 등은 기본 제공되나, 이를 활성화하려면 담당자가 개별적으로 설정을 완료해야만 실제 보호가 이뤄진다. 접속기록 보관 기능의 경우도 기본 설정은 수십 일 수준이며, 법적 요구인 1~3년 장기 보관을 위해선 추가 저장용량이나 별도 솔루션이 필요하다.

또한, 이상행위 탐지 시스템, 암호키 관리, 악성 프로그램 탐지 등의 고급 보안 기능은 대부분 별도 유료 서비스로 제공되고 있어 이용자의 주의가 요구된다.

이에 따라 개인정보위는 클라우드 사업자들에게 이용자 가이드, 설정 설명서 등 기술 문서를 통해 필요한 설정방법을 명확하게 안내할 것을 권고했다. 더불어 한국인터넷진흥원 등과 협력하여 업계 전반에 대한 계도 활동도 병행할 예정이다.

점검 보고서에 따르면, 클라우드 보안 책임영역은 이용자가 직접 설정하는 가상서버 내부와, 서비스 제공자가 관리하는 콘솔·포털 영역으로 구분되며, 실제로 접속 관리와 데이터 보호 설정 대부분이 이용자의 손에 달려 있는 것으로 나타났다.