Posted by 개인정보보호위원회는 지난 9월 야놀자를 비롯한 4개의 사업자에게 AWS(Amazon Web Service)를 이용하여 데이터 관리를 하는 과정에서 개인정보 보호법을 위반하였다는 점을 근거로 과징금 및 과태료를 부과하고 시정명령 처분을 하였습니다.
해당 사업자들은 사업을 영위하는 과정에서 AWS를 이용하면서, 서비스 가입자들의 개인정보 또한 AWS에 보관하여 왔습니다. 그런데, AWS를 이용하면서 AWS 관리자 접근권한(Access Key)을 IP 주소로 제한하지 않아, 권한 없는 자가 접근권한만 확보하면 외부 인터넷 어디서나 접속할 수 있도록 운영해왔으며, 개인정보보호위원회는 이러한 점을 지적하였습니다. AWS 관리 접근권한을 제한하지 않았기 때문에, 권한없는 제3자가 임의로 접근권한을 확보할 경우 사업자들이 관리하는 유저들의 개인정보를 무단으로 열람하거나 이용할 수 있는 상황이 발생하였고, 이에 실제로 서비스 가입자들의 개인정보 유출이 발생하였습니다.
대부분의 사업자들은 모두 클라우드 기반 서버를 사용하고 있습니다. 클라우드 서버는 물리적인 서버에 비하여 비용 및 확장성 측면에서 유리하다는 장점이 있으며, 클라우드 서버를 이용하는 흐름은 가속화되고 있습니다. 개인정보의 관점에서 클라우드 서버를 이용할 때 규제가 적용되는 대표적인 영역으로는 의료분야와 금융분야가 있습니다. 우리나라에서는 클라우드를 이용에 관한 규제를 해소하기 위하여 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」을 별도로 제정하였지만, 그럼에도 아시아클라우드컴퓨팅협회(AACA)에서 중국을 제외한 아태평양 지역 국가 가운데 두 번째로 클라우드 도입과정에서 강력한 규제를 보유하고 있다고 평가하는 등 클라우드 서버 도입에 있어 국가의 관리감독권을 강하게 부여하고 있습니다. 하지만 최근 고려대학교 병원의 경우 클라우드 기반 병원정보시스템으로 100% 전환하는 등 클라우드 서버의 이용은 거스를 수 없는 흐름이 되고 있습니다.
이하에서는 국내에서 사업자가 클라우드 서버를 이용하는 과정에서 개인정보의 취급에 관하여 흔히 간과하는 부분이나 주의하여야 할 사항들에 대하여 살펴보도록 하겠습니다.
개인정보 DB의 접근권한의 통제
클라우드 서버를 이용하는 경우, 계정들을 그룹별로 구분하여 DB에 대한 접근 권한을 설정할 수 있는데, 사업자들은 해당 기능을 이용해서 사업자가 처리 및 관리하는 DB에 접근할 수 있는 계정 및 임직원을 구분하는 경우가 일반적입니다. 예를 들어, 영업비밀을 관리하기 위해 핵심적인 소스코드는 개발부서 또는 특정 임직원들만 열람이 가능하게 하거나 수정권한을 CTO에게만 부여하는 등의 조치를 취하는 경우를 떠올리실 수 있습니다.
사업자가 취급하는 개인정보 관련 DB 또한 마찬가지입니다. 개인정보처리자에 해당하는 사업자는 개인정보의 처리에 과한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 하고, 개인정보 보호책임자는 사업자가 관리하는 개인정보파일의 보호 및 관리ㆍ감독에 관한 업무를 수행합니다(개인정보 보호법 제31조). 이에, 사업자는 개인정보 보호책임자를 비롯하여 개인정보 DB를 취급하는 임직원들의 범위를 제한하고, 클라우드 서버에 저장되어 있는 개인정보 DB에 해당 임직원들의 계정으로만 접근 가능하도록 권한을 설정하는 경우가 많습니다.
그러나, 이러한 조치만으로는 법령에서 요구하는 의무를 다 한 것이 아닙니다. 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회고시 제2021-2호)와 「개인정보의 기술적ㆍ관리적 보호조치 기준」(개인정보보호위원회고시 제2021-3호)에서는 개인정보처리자와 정보통신서비스 제공자등으로 하여금 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다고 정하고 있습니다(개인정보의 안전성 확보조치 기준 제6조 제1항, 개인정보의 기술적ㆍ관리적 보호조치 기준 제4조 제5항).
개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한
개인정보처리시스템에 접속한 IP 주소 등을 (재)분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
즉, 사업자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 하는데, 특히 IP 주소를 기준으로 하여 접속 권한을 제한할 필요가 있습니다.
실무 관점에서는 임직원들이 다양한 환경과 장소에서 업무를 진행하므로, IP 주소를 기준으로 접근권한을 통제하는 것은 매우 번거롭습니다. 그러나, 임직원의 계정 접속정보가 해킹 등으로 유출될 경우, 한순간에 개인정보 DB가 유출될 수 있는 점을 고려하면 개인정보 DB의 열람권한에 한하여는 사무실 내의 IP 주소를 비롯한 특정 IP 주소에서만 접근할 수 있도록 제한하는 것이 좋습니다.
또한 이와 별도로, 비밀번호를 암호화화지 않은 상태로 저장하거나, 개인정보 보유기간이 종료되어 파기의무가 발생하였음에도 삭제하지 않는 등의 법령 위반의 경우에도 마찬가지로, 클라우드 서버 상에서 이루어질 경우 보다 막대한 피해가 발생한다는 점에서 거듭 점검해 볼 필요가 있습니다.
개인정보의 해외이전
사업자들이 클라우드 서버에서 개인정보가 포함된 DB를 관리할 경우, 이는 개인정보 보호법상 개인정보의 처리 위탁으로 판단됩니다. 개인정보의 처리업무를 위탁하는 경우, 해당 사항은 정보주체에게 별도로 동의를 얻어야 하는 것은 아니고 개인정보처리방침 등에 위탁에 관한 사항을 기재하여 정보주체가 쉽게 확인할 수 있도록 사업자의 홈페이지에 게재하면 충분합니다.
다만, AWS를 비롯한 해외 클라우드 서비스를 이용할 경우, 실제 서버는 해외에 존재하는 경우가 대부분이어서, 보다 세심한 주의를 요합니다.
정보통신서비스 제공자의 경우에는 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함)ㆍ처리위탁ㆍ보관하려면 이용자의 동의를 받아야 함이 원칙입니다. 따라서 일반적인 개인정보 처리 위탁과는 달리 AWS를 통해 국외에 개인정보가 제공되는 형태로 개인정보 처리가 위탁되는 경우에는 이에 대하여 정보주체의 동의를 받아야 하는 것입니다. 다만, 법령에서는 (1) 국외로 이전되는 개인정보 항목, (2) 개인정보가 이전되는 국가, 이전일시 및 이전방법, (3) 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처), (4) 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간에 대한 사항을 개인정보처리방침 등에 정확히 기재하여 홈페이지에 게재할 경우에는 국외에 개인정보 처리위탁을 하기 위해 동의절차를 거치지 않아도 되는 예외규정을 마련해두고 있습니다(개인정보 보호법 제39조의12 제2항 단서 및 제3항).
따라서 AWS를 이용하여 개인정보 DB를 관리하면서 개인정보 처리방침에 이에 대한 사항을 명확하게 기재하지 아니한다면, 단순히 처리위탁에 관한 법률을 위반한 것이 아니라, 국외 이전 개인정보의 보호를 위한 정보주체의 동의 의무까지 위반하게 되는 결과가 발생하게 됩니다. 처리방침에 개인정보의 국외이전에 대하여 전혀 기재하지 않고, 이에 대하여 정보주체의 별도 동의를 받지 않은 경우에는 위반행위와 관련된 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과될 수 있으니 유의하여 주시기 바랍니다.
금융분야와 의료분야에서의 유의점
금융분야와 의료분야 모두 온라인을 기반으로 하는 데이터의 취급이 점진적으로 확대되면서 전통적인 금융정보와 의료정보의 경계가 조금씩 흐려지고 있는 상황입니다. 일례로 해외에서 MyData 라는 단어가 처음 등장하였을 때 우선적으로 필요성이 언급된 두 영역이 바로 금융과 의료분야였습니다(우리나라는 신용정보법에서 마이데이터라는 용어를 사용하면서 금융분야에서 해당 용어를 독점하여 사용하고 있습니다).
금융기관의 경우에는 「전자금융감독규정」에서 과거 전산실의 물리적 망분리 등의 요건 때문에 클라우드를 이용하는 것이 사실상 매우 제한되어 있었습니다. 그러나, 2019. 1. 1.자로 해당 규정을 개정하여 원칙적으로 금융회사가 국내외 민간 클라우드를 자율적으로 활용할 수 있도록 허용하였습니다.
현재 금융회사는 클라우드 서비스를 이용하기 위해서는 다음과 같은 절차에 따라 필요한 조치를 수행하여야 합니다.
해당 절차를 모두 이행하는 것이 상당히 번거롭게 느껴질 수 있으나, 금융기관이 자체적으로 본인의 정보처리시스템 및 처리 데이터의 중요도를 평가하도록 하고, 민간 클라우드 서비스를 직접 선택할 수 있도록 한다는 점에서, 기존 금융분야의 규제 또는 공공분야의 클라우드 서비스 규제와 비교하여 상당히 유연하다고 볼 수 있습니다. 개인신용정보나 고유식별정보와 같이 특별하게 취급받는 개인정보들 또한 클라우드 서비스를 통해 처리가 가능하며, 안전성 평가를 거친 이후에는 물리적 망분리 요건을 준수할 필요도 없습니다. 따라서 핀테크 업체들은 현재 위 절차를 거쳐 클라우드 서비스를 도입할 수 있습니다.
의료분야에서는 현재 EMR(전자의무기록, Electronic Medical Record)과 PHR(개인건강기록, Personal Health Record)을 확보하려는 시도가 아주 활발히 이루어지고 있습니다. EMR 데이터란 일반적으로 의료기관이 보관하는 전자의무기록에 대한 데이터를 의미하고, PHR은 이에 국한되지 않은 개인의 일반적인 건강기록을 모두 포함하는 데이터를 의미합니다.
PHR의 중요성은 최근 들어 부각되었으며, PHR을 이용하여 사업을 영위하는 데이터사업자가 최근 들어서 증가한 추세이기 때문에, 이용자들로부터 직접 수집한 PHR의 보관 및 암호화 등에 대한 별도의 규정이 있는 것은 아니며, 클라우드 서비스를 이용하여 PHR을 처리하는 경우에도 마찬가지입니다.
다만, EMR의 경우 현재 보건복지부장관이 시스템, 시설, 장비 및 기록 서식 등에 대한 표준을 정하고 있으며(의료법 제23조의2 제1항), 이를 기반으로 국가에서 EMR 인증제를 시행하고 있습니다. 해당 인증제는 권고사항에 불과하므로 반드시 이행하여야 하는 것은 아니지만, 의료수가와 연결되어 있는 부분이 있어, 대형 의료기관들에서는 대부분 보건복지부의 인증을 받은 EMR을 사용하고 있는 상황입니다. 그런데, 해당 인증기준은 물리적 망분리를 요구하고, 특히 국가·공공 의료기관의 경우에는 클라우드 서비스와 연동을 위해서는 한국인터넷진흥원이 시행하는 CSAP 인증을 받도록 하고 있습니다.
따라서 헬스케어 분야의 사업자들이 의료기관과 연계하여 데이터 기반 서비스를 구상하는 과정에서클라우드 서비스의 이용범위에 대하여 제한이 있을 가능성이 있습니다. 다만, 의료기관이 아닌 환자 본인으로부터 EMR을 제공받는 방식으로 개인정보를 수집할 경우 EMR에 관한 의료법상의 규제가 적용되는 것은 아니므로, 이와 같은 방식으로 데이터를 보다 자유롭게 처리할 수 있는 상황입니다.
김동환 변호사
법무법인 디라이트
dhk@dlightlaw.com