[아이뉴스24 성지은 기자] 내년부터 금융 기업이 개인신용정보 등 민감정보도 클라우드에서 이용할 수 있게 된 가운데, 국내 산·학계가 우려의 목소리를 냈다.
민감정보가 해외 업체 클라우드로 넘어간 이후 문제가 발생할 시 적절한 조치를 취하지 못하고, 관리감독에서 국내외 업체 간 형평성 문제가 발생할 수 있단 지적이다.
한국인터넷기업협회(인기협)와 오픈넷은 30일 서울 양재 엘타워에서 '금융 클라우드 규제 완화와 디지털 정책 전망'을 주제로 토론회를 개최했다.
앞서 금융위원회는 지난 9월 '전자금융감독규정 개정안'을 입법예고하면서 금융권 클라우드 이용 확대방안을 내놨다. 클라우드 이용 범위를 기존 비중요정보에서 개인신용정보, 고유식별정보로 확대하는 대신 클라우드 관리·감독을 강화하는 게 골자다.
금융위는 연말까지 '금융권 클라우드 서비스 가이드라인'을 개정하고 내년 1월부터는 이를 포함한 전자금융감독규정 개정안을 시행한단 방침이다.
◆금융 사고 시, 실질적 제재 어려움 우려
다만 국내 산·학계는 글로벌 업체에 적절한 제재가 이뤄지지 않아 정보 주권을 잃을 것을 우려하고 있다. 가령 금융정보가 유출돼도 실질적인 제재나 피해구제가 어렵다는 시각이다.
최민식 상명대 지적재산권학과 교수는 "최근 아마존웹서비스(AWS)가 먹통이 되면서 쿠팡, 배달의민족 같은 국내 기업들의 서비스가 멈췄다"며 "금융권의 개인신용정보 등이 해외 업체 클라우드로 넘어간 뒤 문제가 발생했을 때 어떻게 구제 조치할 것이냐"고 반문했다.
이어 "가령 금융정보 유출 시 클라우드 사업자의 협조를 통해 조사할 수 있지만, 해외 사업자에 대한 행정권 및 사법권 행사에 제한이 있어 실태조사와 구제조치가 쉽지 않을 것"이라고 우려했다.
그간 개인정보 침해사고와 관련 해외 인터넷 기업에 적절한 제재가 이뤄지지 않은 것을 고려하면, 이는 충분히 가능하다는 설명이다. 실제 지난 4월 초 페이스북에서 대규모 개인정보 유출로 국내 이용자 수만명의 정보가 유출된 것으로 파악되지만, 아직까지 과징금 부과 등 행정처분은 이뤄지지 않은 상태다.
차재필 인기협 실장은 "이철희 의원 자료에 따르면, 최근 3년간 인터넷 기업이 개인정보 침해사건으로 401건의 행정처분을 받았는데, 국외 사업자는 단 한 곳도 포함되지 않았다"며 "이는 우리나라의 행정력이 얼마나 미약한지 알 수 있는 대목"이라고 말했다.
◆형평성 논란 해소 요구…"국·내외 업체 동일 규제·관리감독"
국내 클라우드 업체인 KT는 형평성 문제를 언급하며, 국내외 업체에 동일한 규제와 관리감독이 이뤄져야 한다고 주장했다.
백두현 KT클라우드사업부 팀장은 "클라우드 사업에서 해외 업체를 배제해 달라는 게 아니다"라면서 "국내 사업자들은 높은 수준의 보안을 지키고 규제를 준수하는데, 이와 동일한 방식으로 해외 업체에 대한 규제와 관리감독이 이뤄져야 한다"고 강조했다.
현재 개정 작업이 진행 중인 금융권 클라우드 서비스 가이드라인과 관련해서는 독소조항으로 작용할 수 있는 일부 내용에 대해 우려의 목소리를 냈다.
이 가이드라인에는 클라우드 사업자가 지켜야 할 운영관리, 물리적 보호조치 등에 대한 의무사항을 담았다. 그런데 클라우드 보안 인증 프로그램인 페드램프(FedRAMP), 클라우드보안협회(CSA)가 시행하는 보안인증(CSA스타) 등을 획득하면 운영관리나 물리적 보호조치에 대한 관리감독을 건너뛸 수 있는 내용이 반영됐다는 게 그의 설명이다.
백 팀장은 "해당 내용이 독소조항으로 작용할 수 있다는 사업자의 의견을 반영해 해당 문구는 수정될 것 같다"면서도 "관리감독에 대한 명확한 기준이 제시되지 않을 경우, 금융권에서 클라우드를 도입을 주저할 수 있는 만큼 명확한 정의가 필요하다"고 말했다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기