본문 바로가기 메인메뉴 바로가기
공직 노하우로 후배 공무원을 가르치는 지금, 행복합니다

국내 클라우드, 미국 요청 반드시 따라야 하는 것 아냐

2018.11.16 금융위원회

금융위원회는 “국내 클라우드시스템에 대해서는 미국 클라우드법에 따른 미국정부의 데이터 제공 요청에 반드시 따라야 하는 것은 아니며, 금융권 클라우드 이용 확대 추진시 안전성 확보를 위해 엄격한 기준을 도입할 계획”이라고 밝혔습니다. 

금융위는 11월 16일 동아일보 <외국계가 잠식한 클라우드… 우리 국민정보 유출 우려>에 대해 이 같이 설명했습니다.

[보도 내용]

① 미국 클라우드법은 수사기관이 클라우드 기업의 해외 서버에 저장된 메일, 문서, 기타 통신 자료 등을 열람할수 있도록 권한을 부여하고 있어 현지 당국이 합법적으로 우리 국민의 정보를 감시할 수 있는 상황이다.

② 개정안에서는 정보처리시스템의 국내 설치를 규정하고 있기는 하지만 관리시스템까지 포함하는지는 불명확하다. 관리시스템의 국내 설치를 의무화하지 않으면 국내에 관리 인력을 둘 의무가 없어 정보유출 등 문제가 발생해도 해외에 있는 담당자가 대응해 조치가 지연될 우려가 크다.

③ 개인정보 유출 등 사고 발생시 국내법 적용과 집행의 한계가 존재한다. KISA에서도 “해외 클라우드 사업자는 클라우드 서비스를 제공할 때 개인정보보호 등 국내 관련 법규를 따르지 않을 수 있고, 이 경우 국내법에 따라 개인정보가 보호받지 못할 수 있다”고 경고하고 있다.

[부처 설명]

◆ 기사내용 ① 관련

□ 미국 CLOUD법(Clarifying Lawful Overseas Use of Data Act)은 범죄 조사에 필요한 해외 소재 데이터 확보 및 안보 유지를 위해 제정한 것으로, 외국 정부의 법령을 고려하여 데이터를 요청할 수 있음

○ 따라서, 국내 클라우드시스템에 대해서는 미국 클라우드법에 따른 미국정부의 데이터 제공 요청에 반드시 따라야 하는 것은 아님* 

* ① 고객 또는 가입자가 미국인이 아니며 미국에 거주하지 않고, ② 요구된 데이터 공개로 인해 사업자가 자격 있는 외국 정부의 법을 위반할 중대한 위험이 있는 경우,

사업자는 미국 정부의 데이터 요구에 대한 각하 또는 변경을 법원에 청구할 수 있음(Clarifying Lawful Overseas Use of Data Act §2703)

◆ 기사내용 ② 관련

□ 금번 금융권 클라우드 이용 확대 추진시 중요정보 처리시스템의 안전성을 확보하기 위해 클라우드 이용(금융회사), 제공(제공자)시 엄격한 기준을 도입할 계획

○ (금융회사) 중요정보 클라우드 이용시 정보보호 의무 준수, 서비스 제공자 관리?감독, 중요장비 이중화 등 안전성 관리를 강화

☞ 금융회사의 서비스 도입검토, 이용계약, 운영관리, 사후처리 등 모든과정에서 필요한 클라우드 관리 및 보안요구사항을 포함

* 서비스 연속성 보장, 정보보호 의무, 감독·검사권 수용 등을 서비스 이용 계약에 포함하여 클라우드 서비스 제공자에 대한 관리·감독 수행, 중요장비의 이중화, 클라우드 시스템 및 데이터의 물리적 위치 제한(국내로 한정)  등

○ (제공자) 금융 특수성을 반영해 금융회사 수준의 시스템 구축·운영, 암호화 적용 등 클라우드 서비스 제공자가 준수해야 할 기준을 마련

☞ ‘중요정보’의 경우 기존 금융권 전산시스템과 유사한 수준의 보안 요구사항을 제공기준에 반영하여 사고발생을 미연에 방지

* 클라우드 정보보호 기준 고시의 통제항목에 더하여 금융 고유 특수성을 반영(건물, 전원·공조, 전산실 등에 대하여 금융회사 수준의 구축 및 운영, 검증필 암호화 기술 적용, 통합보안관제 제반환경 지원 등)

□ 또한, 금융회사와 클라우드 제공자 계약시 클라우드 서비스 이용 관련 금융당국의 조사·접근(현장방문 포함)에 협조할 의무를 명시

◆ 기사내용 ③ 관련

□ 개인신용정보·고유식별정보는 클라우드 활용 여부와 상관없이 국내  개인정보보호법·신용정보법 등 개인정보보호 법령에 따라 철저하게 보호·관리되고 법령 위반시 행정제재 및 형사처벌 등으로 규율 

<개인정보보호법, 신용정보법상 보호조치>

(신용정보법 제17조 등) 신용정보 위탁 제공시 암호화 등 보호조치 준수, 위탁 업무범위를 초과한 이용금지, 수탁자 교육, 재위탁 금지 등

(개인정보보호법 제26조) 제3자 업무 위탁시 목적외 개인정보처리 금지, 기술적·관리적 보호조치 준수, 수탁자 관리·감독 의무 등

(개인정보보호법 제24조 및 제24조의2) 암호화 등 안전성 확보조치 준수

□ 또한, 금융회사와 제공자간 클라우드 이용 계약 체결시 개인정보유출, 전자적 침해사고 등에 대한 책임 소재를 명확히 규정하도록 할 계획

문의 : 금융위원회 전자금융과(02-2100-2973)

정책브리핑의 사실은 이렇습니다 자료는 「공공누리 제1유형 : 출처표시」의 조건에 따라 자유롭게 이용이 가능합니다.
다만, 사진의 경우 제3자에게 저작권이 있으므로 사용할 수 없습니다.
기사 이용 시에는 출처를 반드시 표기해야 하며, 위반 시 저작권법 제37조
제37조(출처의 명시)
① 이 관에 따라 저작물을 이용하는 자는 그 출처를 명시하여야 한다. 다만, 제26조, 제29조부터 제32조까지,
제34조제35조의2의 경우에는 그러하지 아니하다. <개정 2011. 12. 2.>
② 출처의 명시는 저작물의 이용 상황에 따라 합리적이라고 인정되는 방법으로 하여야 하며, 저작자의 실명
또는 이명이 표시된 저작물인 경우에는 그 실명 또는 이명을 명시하여야 한다.
제138조
제138조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 500만원 이하의 벌금에 처한다. <개정 2011. 12. 2.>
1. 제35조제4항을 위반한 자
2. 제37조(제87조 및 제94조에 따라 준용되는 경우를 포함한다)를 위반하여 출처를 명시하지 아니한 자
3. 제58조제3항(제63조의2, 제88조 및 제96조에 따라 준용되는 경우를 포함한다)을 위반하여 저작재산권자의 표지를 하지 아니한 자
4. 제58조의2제2항(제63조의2, 제88조 및 제96조에 따라 준용되는 경우를 포함한다)을 위반하여 저작자에게 알리지 아니한 자
5. 제105조제1항에 따른 신고를 하지 아니하고 저작권대리중개업을 하거나, 제109조제2항에 따른 영업의 폐쇄명령을 받고 계속 그 영업을 한 자 [제목개정 2011. 12. 2.]
에 따라 처벌될 수 있습니다.
<자료출처=정책브리핑 www.korea.kr>
운영원칙 열기

정책브리핑 게시물 운영원칙에 따라 다음과 같은 게시물은 삭제될 수 있습니다.

  • 1. 타인의 메일주소, 전화번호, 주민등록번호 등의 개인정보 또는 해당 정보를 게재하는 경우
  • 2. 확인되지 않은 내용으로 타인의 명예를 훼손시기는 경우
  • 3. 공공질서 및 미풍양속에 위반되는 내용을 유포하거나 링크시키는 경우
  • 4. 욕설 및 비속어의 사용 및 특정 인종, 성별, 지역 또는 특정한 정치적 견해를 비하하는 용어를 게시하는 경우
  • 5. 불법복제, 바이러스, 해킹 등을 조장하는 내용인 경우
  • 6. 영리를 목적으로 하는 광고 또는 특정 개인(단체)의 홍보성 글인 경우
  • 7. 타인의 저작물(기사, 사진 등 링크)을 무단으로 게시하여 저작권 침해에 해당하는 글
  • 8. 범죄와 관련있거나 범죄를 유도하는 행위 및 관련 내용을 게시한 경우
  • 9. 공인이나 특정이슈와 관련된 당사자 및 당사자의 주변인, 지인 등을 가장 또는 사칭하여 글을 게시하는 경우
  • 10. 해당 기사나 게시글의 내용과 관련없는 특정 의견, 주장, 정보 등을 게시하는 경우
  • 11. 동일한 제목, 내용의 글 또는 일부분만 변경해서 글을 반복 게재하는 경우
  • 12. 기타 관계법령에 위배된다고 판단되는 경우
  • 13. 수사기관 등의 공식적인 요청이 있는 경우
운영원칙 닫기
텍스트 데이터는 공공누리 출처표시의 조건에 따라 자유이용이 가능합니다.
단, 사진, 이미지, 일러스트, 동영상 등의 일부 자료는 문화체육관광부가 저작권 전부를 갖고 있지 아니하므로, 자유롭게 이용하기 위해서는 반드시 해당 저작권자의 허락을 받으셔야 합니다.
공공누리가 부착되지 않은 자료는 담당자와 사전에 협의한 이후에 사용하여 주시기 바랍니다.
2019 정부업무보고

아래 뉴스를 좋아하실 것 같아요