금융위원회는 “국내 클라우드시스템에 대해서는 미국 클라우드법에 따른 미국정부의 데이터 제공 요청에 반드시 따라야 하는 것은 아니며, 금융권 클라우드 이용 확대 추진시 안전성 확보를 위해 엄격한 기준을 도입할 계획”이라고 밝혔습니다.
금융위는 11월 16일 동아일보 <외국계가 잠식한 클라우드… 우리 국민정보 유출 우려>에 대해 이 같이 설명했습니다.
[보도 내용]
① 미국 클라우드법은 수사기관이 클라우드 기업의 해외 서버에 저장된 메일, 문서, 기타 통신 자료 등을 열람할수 있도록 권한을 부여하고 있어 현지 당국이 합법적으로 우리 국민의 정보를 감시할 수 있는 상황이다.
② 개정안에서는 정보처리시스템의 국내 설치를 규정하고 있기는 하지만 관리시스템까지 포함하는지는 불명확하다. 관리시스템의 국내 설치를 의무화하지 않으면 국내에 관리 인력을 둘 의무가 없어 정보유출 등 문제가 발생해도 해외에 있는 담당자가 대응해 조치가 지연될 우려가 크다.
③ 개인정보 유출 등 사고 발생시 국내법 적용과 집행의 한계가 존재한다. KISA에서도 “해외 클라우드 사업자는 클라우드 서비스를 제공할 때 개인정보보호 등 국내 관련 법규를 따르지 않을 수 있고, 이 경우 국내법에 따라 개인정보가 보호받지 못할 수 있다”고 경고하고 있다.
[부처 설명]
◆ 기사내용 ① 관련
□ 미국 CLOUD법(Clarifying Lawful Overseas Use of Data Act)은 범죄 조사에 필요한 해외 소재 데이터 확보 및 안보 유지를 위해 제정한 것으로, 외국 정부의 법령을 고려하여 데이터를 요청할 수 있음
○ 따라서, 국내 클라우드시스템에 대해서는 미국 클라우드법에 따른 미국정부의 데이터 제공 요청에 반드시 따라야 하는 것은 아님*
* ① 고객 또는 가입자가 미국인이 아니며 미국에 거주하지 않고, ② 요구된 데이터 공개로 인해 사업자가 자격 있는 외국 정부의 법을 위반할 중대한 위험이 있는 경우,
사업자는 미국 정부의 데이터 요구에 대한 각하 또는 변경을 법원에 청구할 수 있음(Clarifying Lawful Overseas Use of Data Act §2703)
◆ 기사내용 ② 관련
□ 금번 금융권 클라우드 이용 확대 추진시 중요정보 처리시스템의 안전성을 확보하기 위해 클라우드 이용(금융회사), 제공(제공자)시 엄격한 기준을 도입할 계획
○ (금융회사) 중요정보 클라우드 이용시 정보보호 의무 준수, 서비스 제공자 관리?감독, 중요장비 이중화 등 안전성 관리를 강화
☞ 금융회사의 서비스 도입검토, 이용계약, 운영관리, 사후처리 등 모든과정에서 필요한 클라우드 관리 및 보안요구사항을 포함
* 서비스 연속성 보장, 정보보호 의무, 감독·검사권 수용 등을 서비스 이용 계약에 포함하여 클라우드 서비스 제공자에 대한 관리·감독 수행, 중요장비의 이중화, 클라우드 시스템 및 데이터의 물리적 위치 제한(국내로 한정) 등
○ (제공자) 금융 특수성을 반영해 금융회사 수준의 시스템 구축·운영, 암호화 적용 등 클라우드 서비스 제공자가 준수해야 할 기준을 마련
☞ ‘중요정보’의 경우 기존 금융권 전산시스템과 유사한 수준의 보안 요구사항을 제공기준에 반영하여 사고발생을 미연에 방지
* 클라우드 정보보호 기준 고시의 통제항목에 더하여 금융 고유 특수성을 반영(건물, 전원·공조, 전산실 등에 대하여 금융회사 수준의 구축 및 운영, 검증필 암호화 기술 적용, 통합보안관제 제반환경 지원 등)
□ 또한, 금융회사와 클라우드 제공자 계약시 클라우드 서비스 이용 관련 금융당국의 조사·접근(현장방문 포함)에 협조할 의무를 명시
◆ 기사내용 ③ 관련
□ 개인신용정보·고유식별정보는 클라우드 활용 여부와 상관없이 국내 개인정보보호법·신용정보법 등 개인정보보호 법령에 따라 철저하게 보호·관리되고 법령 위반시 행정제재 및 형사처벌 등으로 규율
<개인정보보호법, 신용정보법상 보호조치>
(신용정보법 제17조 등) 신용정보 위탁 제공시 암호화 등 보호조치 준수, 위탁 업무범위를 초과한 이용금지, 수탁자 교육, 재위탁 금지 등
(개인정보보호법 제26조) 제3자 업무 위탁시 목적외 개인정보처리 금지, 기술적·관리적 보호조치 준수, 수탁자 관리·감독 의무 등
(개인정보보호법 제24조 및 제24조의2) 암호화 등 안전성 확보조치 준수
□ 또한, 금융회사와 제공자간 클라우드 이용 계약 체결시 개인정보유출, 전자적 침해사고 등에 대한 책임 소재를 명확히 규정하도록 할 계획
문의 : 금융위원회 전자금융과(02-2100-2973)