2024-03-29 23:45 (금)
클라우드, SLA 가이드와 개인정보보호수칙 제정
상태바
클라우드, SLA 가이드와 개인정보보호수칙 제정
  • 길민권
  • 승인 2011.10.06 03:12
이 기사를 공유합니다

방통위, 월 누적장애시간 최대 3.6 시간으로 가이드 제시
클라우드 서비스 관련 주체별 개인정보보호수칙 마련
방송통신위원회(위원장 최시중)는 클라우드 서비스의 품질·백업·AS 수준 등을 명확하고 객관적으로 제시하는 ‘SLA (Service Level Agreement) 가이드’를 제정하여, 클라우드 서비스 업체에게 보급한다고 밝혔다. 이번 가이드는 클라우드 업체들이 서비스 계약을 맺거나 이용 약관을 통해 서비스 수준을 규정할 때, 지침서로 활용된다.
 
SLA (Service Level Agreement) 개념은 업체가 이용자에게 제공하는 서비스의 수준을 정량화 등을 통해 명확하게 제시하고, 이에 미달하는 경우 손해를 배상토록 하여 서비스의 품질을 보장하기 위한 약정이다.
 
또한, 방통위는 클라우드 서비스의 확산에 대비하여 개인정보 침해에 선제적으로 대응하기 위해 마련하였던 “클라우드 서비스 개인정보보호수칙(안)”에 대한 의견수렴을 마침에 따라, 최종안을 배포한다고 밝혔다.
 
이와 같이, 방통위에서 클라우드 SLA 가이드와 개인정보보호수칙을 마련한 것은 우리나라의 경우 클라우드 시장이 초기 상태에 있는 만큼, 아직 서비스의 품질·보안 등에 대한 이용자의 불안감이 높아 미국과 같은 선진 시장에 비해 클라우드 서비스에 대한 수요가 취약한 점을 해결하기 위한 것이다.
 
◇클라우드 SLA 가이드
이번 ‘클라우드 SLA (Service Level Agreement) 가이드’를 통해 서비스의 수준이 명확히 제시되면 이용자의 클라우드에 대한 막연한 불안감이 해소되어 국내 클라우드 시장이 활성화될 수 있을 것이다. 또한, 서비스 업체 간 품질에 기반을 둔 경쟁이 이루어져 국내 업체의 서비스 경쟁력 제고에도 도움이 될 것으로 기대된다.
 
현재, 국내 클라우드 서비스 제공자의 경우 주로 약관을 통해 서비스의 수준이나 손해배상의 기준·규모 등을 제시하고 있으나, 해외 업체에 비해 서비스 및 보상 수준이 낮고, 유사 서비스의 비슷한 장애에도 불구하고 배상액의 차이가 큰 것도 이용자의 불안감을 높이고 있는 것으로 보인다.
 
한편, 방통위는 이 가이드가 지침서의 성격에 그치는 만큼 업계의 최소 기준으로 자리 잡을 수 있도록 설명회를 개최하는 등 적극적으로 서비스 업체와 이용자에게 홍보하는 한편, 10~11월 예정인 클라우드 서비스 인증제 도입 시 가이드 내용을 평가 내용에 반영하여 업체들의 가이드 준수를 유도한다는 계획이다. 아울러, 클라우드 서비스 업체의 SLA 수준을 지속적으로 점검하여 필요한 경우 그 수준을 비교·공표하는 방안을 검토할 계획이라고 밝혔다.
 
이 가이드는 ①서비스 가용성, ②데이터 백업·복구 및 보안, ③고객 지원, ④위약금 등을 주요 내용으로 하고 있으며, 이외에 계약 조건·보안·확장성·서비스 수준 보고 등을 규정하고 있다.
 
①서비스 가용성
가이드는 정전이나 내부 서버의 오작동과 같은 갑작스런 클라우드 서비스의 장애로 인해 서비스가 중단되는 우려를 최소화하기 위해, 클라우드 업체에게 서비스 도중 장애가 발생한 시간이 월 누적 3.6시간(가용성 99.5% 이상 - ※ 現 83.3% ~ 99.2%) 이내로 유지되도록 제시하였다. 다만, 서비스 제공자가 통제하기 어려운 외부 N/W로 인한 장애는 제외하며, 천재지변·사변·그 밖의 불가항력이나 이용자의 고의 또는 과실로 인하여 발생한 장애는 면책하도록 하였다.
 
②데이터 백업·복구 및 보안
클라우드 서비스는 이용자의 데이터를 외부의 데이터 센터에 저장하는 만큼, 데이터가 손상되거나 유실될 경우에 대비하여 백업이 99%(계획 대비) 이상이 되도록 백업 준수율을 제시하도록 하고, 실제 데이터가 손실될 경우 일정 시간 이내에 복구할 수 있도록 필요한 측정 항목들을 제시하였다. 
 
한편, 해킹·악성 코드 감염 등 클라우드에서의 보안 위협에 대한 우려가 증가하고 있는 만큼, 서비스 제공업체가 계약 시 보안 지침이나 인증 내역(예. ISMS) 등을 사전에 제시하도록 하여 이용자의 신뢰를 높이도록 하였다.
 
③고객 지원
고객 지원에 대해서는, 클라우드 서비스가 하드웨어·소프트웨어 등 IT 자원을 “빌려 쓰는” 서비스이므로 상시적인 고객 지원이 중요한 만큼, 서비스와 관련하여 고객 요청이 있는 경우, 최대한 모든 요청을 조속히 처리하도록 제시하였다. 중요 항목으로는 고객 요청 처리율(99% 이상), 서비스 요청 적기 처리율(99% 이상) 등이 있다.
 
④위약금
가용성, 백업 및 복구, 고객지원 등 SLA에서 정하는 바에 따라 서비스 항목의 목표 수준을 제대로 준수하지 못하는 경우 위약금을 지급하도록 한다. 특히 가용성의 경우 국내 클라우드 시장이 초기 상태임을 감안하여 구체적인 수준을 정하지는 않았으나, 해외 유수기업에 비해 장애에 따른 무료 서비스 제공 규모가 30 ~ 60% 수준에 불과한 만큼 해외 클라우드 기업의 일반적 기준을 제시하여 제공자 및 이용자가 참고할 수 있도록 하였다.
 
◇클라우드 개인정보보호 수칙
정부·학계·업계 등 관계 전문가로 구성된 연구반을 통해 마련된 이번 클라우드 개인정보보호 수칙에는 기업, 개인, 서비스 제공자 등 클라우드 서비스와 관련된 주체별로 필요한 보호수칙이 포함되었다. 동 수칙을 보급함에 따라 클라우드 서비스에 대한 사업자 및 개인의 주의를 환기하고 건전한 발전에 기여할 수 있을 것으로 보인다.
 
①기업 이용자 수칙
클라우드 도입에 따른 위험요소 사전분석, 서비스 계약시 데이터 접근제한 명시, 서비스 해지시 데이터 회수 및 삭제 등 클라우드 서비스의 도입부터 해지까지 단계별로 기업에서 고려할 사항을 담았다.
 
②개인 이용자 수칙
개인 이용자가 서비스의 가입, 이용, 해지 단계별로 주의해야 할 사항을 정하여 가입 단계에서는 서비스 제공자의 데이터 처리 방침 및 약관 등을 확인하고, 이용 단계에서는 개인정보가 포함된 파일이 공유 되지 않도록 주의하고 개인정보 파일은 암호화하며, 해지 시에는 자신의 데이터를 완전히 삭제한 후 해지할 것을 수칙으로 정했다.
 
③클라우드 서비스 제공자 수칙
서비스 제공자에 대해서는 개인정보 보호의 국제적인 표준으로 활용되는 OECD '개인정보보호 8원칙‘에 따라, 정보 공개, 안전 확보, 이용 제한, 이용자 권리 보호 등의 원칙을 준용, 각 원칙별로 데이터 저장 위치 등의 명확한 고지, 제3자로부터 주기적인 점검, 해지 고객 데이터의 완전 삭제 등을 포함하였다.
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★