클라우드컴퓨팅 주요법령해설서 2017. 11.
CONTENTS 요약문... 3 I 총론... 13 II 분야별법령해설... 37 1. 공공분야... 38 2. 금융분야... 68 3. 의료분야... 78 4. 교육분야... 92 5. 신산업등기타분야... 98 III Q&A... 107 2 클라우드컴퓨팅주요법령해설서
요약문 추진배경세계적으로활용패러다임이정보시스템을자체구축하는방식에서서비스이용량에따라비용을지불하는클라우드컴퓨팅으로전환되고있습니다우리정부도클라우드컴퓨팅이용확산을통해비용절감및업무혁신을유도하고취약한국내클라우드컴퓨팅산업의경쟁력을높이기위해클라우드컴퓨팅발전및이용자보호에관한법률이하클라우드컴퓨팅법이라함을제정월하고제차클라우드컴퓨팅발전기본계획을수립월하였습니다또한보안인증제실시월공공기관민간클라우드이용가이드라인마련월공공기관선도프로젝트등을통해공공부문의선제적인클라우드컴퓨팅도입을지원하고있으며산업단지내중소기업이용지원전문인력양성등을통해클라우드컴퓨팅산업활성화에역량을집중하고있습니다특히제차규제개혁장관회의월에서는클라우드컴퓨팅분야규제혁신방안을발표하였고이에따라금융의료교육분야등에서클라우드컴퓨팅이용을저해하는규제개선월이이뤄졌습니다그러나국내클라우드컴퓨팅시장은아직초기단계로정부의정책적노력에도불구하고클라우드컴퓨팅에대한인식및신뢰가부족하고일부불명확한규정과해석차이로도입에어려움을겪고있는등클라우드컴퓨팅도입이저조한실정입니다본해설서를통해금융의료교육공공분야등에서클라우드컴퓨팅이용규제개선내용을상세히소개하고이에따른클라우드컴퓨팅이용가능범위절차를명확화함으로써클라우드컴퓨팅이용확산을촉진하고자합니다 - 3 - 요약문 3
총론 클라우드컴퓨팅법제 조의취지와내용 각종법령에서인가허가등록지정등의요건으로전산시설장비설비등이하전산시설등이라함을규정한경우에클라우드컴퓨팅서비스제공자와클라우드컴퓨팅서비스이용계약을체결하는것으로전산시설등의구비의무를대체할수있습니다 클라우드컴퓨팅서비스이용에대해서원칙허용 예외금지 라는이른바네거티브규제원칙을적용하고있습니다예외적으로금지되는경우는법령에서클라우드컴퓨팅서비스이용을명시적으로금지하거나회선또는설비의물리적분리구축등을요구하여사실상클라우드컴퓨팅이용을제한하는경우에전산시설등의구비의무를대체할수없습니다법령에서망분리또는회선분리를요구하고있더라도논리적분리방식을명시적으로금지하지않으면클라우드컴퓨팅서비스이용이가능한것으로해석해야합니다 클라우드컴퓨팅법제 조의적용대상 클라우드컴퓨팅서비스는원칙적으로상용 으로제공되는 서비스이어야됩니다여기서상용이란무상유상에구애받지않고상업용으로제공되는것을의미하므로무상이라하더라도상용으로제공되고있다면포함될수있습니다커뮤니티나하이브리드등의방식으로구축된클라우드컴퓨팅 4 클라우드컴퓨팅주요법령해설서 - 4 -
시스템이라도서비스의전부또는일부를클라우드컴퓨팅서비스제공자가상용으로제공하고있다면그범위내에서제조의클라우드컴퓨팅서비스로볼수있습니다 클라우드컴퓨팅서비스와정보보안클라우드컴퓨팅서비스는수많은기업의정보가클라우드컴퓨팅시스템에공존하기때문에해커들의주요공격목표가될수있어취약점이발견될경우정보유출사고로이어질수있습니다클라우드컴퓨팅법은개별법이나실무에서제기하는정보보안문제를해결하기위하여과학기술정보통신부장관으로하여금클라우드컴퓨팅서비스의정보보호에관한기준을제정하여서비스제공자에게그기준을지킬것을권고하고있습니다. 클라우드컴퓨팅보안인증제도는클라우드컴퓨팅서비스이용자가서비스를안심하고도입이용할수있도록정보보호전문기관인 한국인터넷진흥원 이해당서비스가클라우드컴퓨팅서비 스정보보호에관한기준 과학기술정보통신부고시을준수하 고있는지여부를객관적으로평가인증해주는제도입니다 클라우드컴퓨팅보안인증은클라우드컴퓨팅서비스제공자의의 무사항이아니지만 공공기관을대상으로한서비스제공에는 필요합니다 클라우드컴퓨팅서비스제공자가클라우드컴퓨팅보 안인증을받으면공공기관에상용클라우드컴퓨팅서비스를제 공할때상급기관과국가정보원의보안성검토시관리적 물리 적 기술적보호조치및공공기관추가보호조치사항관련부 분의보안성검토가생략됩니다 - 5 - 요약문 5
클라우드컴퓨팅서비스와개인정보보호 클라우드컴퓨팅서비스는서비스제공자의하드웨어 소프트웨어 플랫폼등을이용해서이용자이용사업자가직접개인정보를처리하므로전산시설등의사용대차또는소비대차로볼수도있으나저장된개인정보의보관관리등을클라우드서비스제공자가자신의책임하에수탁받아행하게되므로개인정보처리업무의위탁에해당한다는것이다수의해석입니다따라서기업이나공공기관이클라우드컴퓨팅서비스를이용할때에는개인정보보호관련법령의개인정보처리업무위탁규정에따라개인정보처리업무를위탁하여야합니다분야별법령해설공공분야 국가기관등의클라우드컴퓨팅도입촉진국가기관등은클라우드컴퓨팅을도입하도록노력하여야합니다 여기에서국가기관등은국가기관 지방자치단체및전자정부 법 제조제호에따른공공기관을의미합니다 공공기관의클라우드컴퓨팅서비스이용촉진 클라우드컴퓨팅법제 조는공공기관이자체적으로클라우드컴 퓨팅을갖추게하는것이아니라민간사업자의클라우드컴퓨팅 서비스를이용하도록하고있습니다 공공기관의범위에는 공공기관의운영에관한법률에따른 6 클라우드컴퓨팅주요법령해설서 - 6 -
법인단체또는기관 지방공기업법에따른지방공사및 지방공단특별법에따라설립된특수법인법률에따라 설치된각급학교 정부출연연구기관등의설립운영및육 성에관한법률에따른연구기관 과학기술분야정부출연 연구기관등의설립운영및육성에관한법률에따른연구기관이포함됩니다 공공기관민간클라우드컴퓨팅서비스이용절차공공기관민간클라우드이용가이드라인에따른이용절차는다음과같습니다 공공기관 정책협의체 ( 주무부처협의 ) 이용가능여부검토 공공기관 민간클라우드 이용자체검토 (Ⅲ등급) 통보, (Ⅱ등급) 검토요청 정보공유국정원보안성검토 (Ⅱ 등급 ) 결과통보 민간클라우드 이용 정책협의체와국가정보원보안성검토공공부문에서클라우드컴퓨팅서비스이용기반을마련하고이에필요한지원을위해행정안전부과학기술정보통신부기획재정부조달청국가정보원클라우드컴퓨팅전담기관등관계기관합동의정책협의체가구성되어운영되고있습니다정책협의체는공공기관이민간클라우드컴퓨팅서비스이용에대한자체판단이어려워검토요청이있을경우의견을제시하며공공기관의자체판단결과정보자원등급평균값이등급인경우에도민간클라우드컴퓨팅서비스이용가능여부에대한의견을제시할수있습니다 - 7 - 요약문 7
정보보호사항은해당공공기관이상급기관중앙행정기관광역지방자치단체에보안성검토를의뢰하여야하며국가정보보안기본지침제조에따라국가정보원에보안성검토를요청하여야합니다금융분야 개정전자금융감독규정주요내용전자금융거래법령에서는클라우드컴퓨팅서비스의이용을명시적으로금지하지않으며해당법령을준수할경우금융회사와전자금융업자는클라우드컴퓨팅서비스를이용할수있습니다다만물리적망분리등클라우드컴퓨팅서비스이용이어려운규정으로인해개선이필요했습니다금융위원회는금융권클라우드컴퓨팅서비스이용을보다활성화하기위해금융회사등으로하여금고유식별정보또는개인신용정보를처리하지않는전산시스템을비중요정보처리시스템으로지정할수있도록하고해당시스템에대해서는물리적망분리등클라우드컴퓨팅서비스이용을저해하는규정의적용을배제하였습니다비중요정보처리시스템은전자금융거래의안정성및신뢰성에미치는영향이낮은시스템으로서고유식별정보또는개인신용정보를처리하지않는정보시스템을의미합니다금융회사나전자금융업자는자체적으로수립한정보자산중요도평가기준에따라전자금융거래의안전성및신뢰성에미치는영향이현저히낮은정보처리시스템을비중요정보처리시스템으로지정할수있습니다 8 클라우드컴퓨팅주요법령해설서 - 8 -
금융회사나전자금융업자는비중요정보처리시스템을지정하기위해서는정보보호위원회의심의의결을거쳐야하며비중요정보처리시스템을지정한날로부터일이내에금융감독원장이정하는양식에따라정보자산중요도평가기준지정결과관리방안등을포함한보고서를금융감독원에제출하여야합니다 금융권클라우드컴퓨팅서비스이용금융보안원은금융권클라우드서비스이용가이드에서비중요정보처리시스템의지정기준클라우드컴퓨팅서비스제공자선정클라우드컴퓨팅서비스이용시보호대책재해복구및침해사고대응관리등을안내하고있습니다특히클라우드컴퓨팅서비스를이용할수있는비중요정보처리시스템즉상품개발과리스크관리등고유식별정보또는개인신용정보가포함되지않는분야또는개인정보비식별조치가이드라인에따라비식별조치를취한경우비중요정보처리시스템으로지정하여클라우드컴퓨팅서비스이용이가능함을예시하고있습니다의료분야 전자의무기록의클라우드컴퓨팅서비스이용의료법시행규칙개정및전자의무기록의관리보존에필요한시설및장비에관한기준보건복지부고시제호시행시행으로의료기관은정보보호기준을충족하는의료기관외부에전자의무기록을보관할수있습니다전자의무기록의외부보관방법으로의료기관자체외부설비의료기관공동이용설비전문기관보유설비등의이용이가능 - 9 - 요약문 9
하여기업이운영하는데이터센터나클라우드컴퓨팅서비스를이용할수있습니다 클라우드컴퓨팅서비스에서갖추어야할시설장비와세부조치무중단백업및복구가가능해야하고침입탐지시스템등보안솔루션은인증을받은제품을사용해야하며출입통제구역과설치운영도필수적입니다전자의무기록시스템및백업장비의물리적위치는국내로한정하고있으며물리적혹은그에준하는논리적포함둘이상의회선을분리해이중화네트워크를구성해야합니다교육분야 학교등교육기관의클라우드컴퓨팅도입클라우드컴퓨팅법에서규정하고있는국가기관등에는교육부및그산하기관, 시 도교육청및그산하기관, 법률에따라설치된각급학교등이포함되며, 교육기관도클라우드컴퓨팅법에따라클라우드컴퓨팅을도입하도록노력할의무가있습니다. 교육기관의민간클라우드컴퓨팅서비스이용촉진정부는교육기관이업무를위하여클라우드컴퓨팅서비스제공자의클라우드컴퓨팅서비스를이용할수있도록노력해야합니다. 사이버대학의클라우드컴퓨팅서비스이용원격교육설비기준교육부고시제호시행은사이버대학이원격교육및학사관리를위해갖추어야할최소한의원격교육설비기준을정하고있습니다 10 클라우드컴퓨팅주요법령해설서 - 10 -
이기준은가상화기술의이용이나서버설비및네트워크설비의클라우드컴퓨팅서비스등전문외주업체를이용한외주관리를할수있도록규정함으로써클라우드컴퓨팅서비스를이용하여원격교육설비를구성할수있도록허용하고있습니다신산업등기타분야 서비스등신산업의클라우드컴퓨팅서비스이용 서비스는인허가에있어서명시적또는사실상클라우드컴퓨팅서비스이용을금지하지아니하므로해당서비스제공시클라우드컴퓨팅서비스이용이가능합니다 관세법상전자문서중계사업자의클라우드컴퓨팅서비스이용개정관세법시행규칙시행에따라관세법상전자문서중계사업자는전산설비를자기사업장에설치하지않아도지정기준을충족할수있게됨으로써클라우드컴퓨팅서비스를이용할수있습니다 클라우드허용의명시적규정으로서공인전자문서센터지정기준제자의전자문서를대신보관하거나증명하는기능을수행하는공인전자문서센터는시설및장비를직접갖추도록지정기준을정하고있었으나개정공인전자문서센터의시설및장비등에관한규정구미래창조과학부고시제호시행에따라클라우드컴퓨팅서비스정보보호에관한기준을준수하는경우에클라우드컴퓨팅서비스이용이허용됩니다 클라우드허용의명시적규정으로서지능형홈네트워크설비기준아파트단지는 초고속정보통신건물 인증을받기위해서단지내 - 11 - 요약문 11
부에서버를설치해야했으나, 지능형홈네트워크설비설치및기술기준 ( 국토교통부 과학기술정보통신부 산업통상자원부공동고시, 시행 ) 의개정으로국가균형발전특별법제조에따른지역발전위원회에서선정한단지서버설치규제특례지역의경우에는아파트단지외부의클라우드컴퓨팅서비스를이용해도인증을받을수있습니다. 12 클라우드컴퓨팅주요법령해설서 - 12 -
I 총론 클라우드컴퓨팅주요법령해설서
클라우드컴퓨팅법제 21 조의취지및내용 법제 조의의의및성격 가제 조의입법취지 클라우드컴퓨팅법제조는다른법령에서인가허가등록지 정등의요건으로전산시설장비설비등을규정한경우해당 전산시설등에클라우드컴퓨팅서비스가포함되는것으로본다 라고하여클라우드컴퓨팅서비스이용에대해서원칙허용 예 외금지라는이른바네거티브규제원칙을적용하고있습니다 다른법령에서전산시설등하드웨어및소프트웨어의구비의무 를규정하고있는경우 인허가등의신청자는해당전산시설등 을구입설치하는대신클라우드컴퓨팅서비스제공자와클라우드컴퓨팅서비스이용계약을체결하는것으로전산시설등의구비의무를대체할수있습니다인허가등의사업자는일시에고가의전산장비및소프트웨어를구입하지않아도됨으로막대한초기투자비용을절약할수있어 창업이촉진되고 적은비용으로보다다양한최신의정보서비스 를활용할수있게되며 전산시설등의노후화에따른교체비용 도줄일수있게됩니다다만해당법령에서클라우드컴퓨팅서비스의이용을명시적으로금지하거나회선또는설비의물리적분리구축등을요구하여사실상클라우드컴퓨팅서비스이용을제한하는경우에는클라우드컴퓨팅서비스로전산시설등의구비의무를대체할수없습니다 14 클라우드컴퓨팅주요법령해설서 - 14 -
나제 제 조의법적성격 조는강행규정이므로소관행정기관이인가허가등록지정 등의요건으로전산시설등의구비여부를판단할때에는클라우드컴퓨팅서비스를반드시포함해야하고포함여부를임의로판단해서배제할수없습니다따라서행정기관이인가허가등록지정등을위해공개신청을받거나공모등을할때에는신청조건에일반전산시설등외에클라우드컴퓨팅서비스도반드시포함시켜야합니다해당법령에서클라우드컴퓨팅서비스의이용을금지하거나회선또는설비의물리적분리구축등을요구하고있는지여부는인허가등의신청당시법령을기준으로해야하며소급입법으로클라우드컴퓨팅서비스를배제해서는안됩니다 제 조는클라우드컴퓨팅서비스의이용을촉진하기위한규정이 므로해당법령이클라우드컴퓨팅서비스이용을금지하는지의미 가불분명한경우에이용이가능한방향으로적극적인해석을하 여야하고 회선또는설비의물리적분리구축등이불가피한상 황이아니면클라우드컴퓨팅서비스이용이가능하도록해당법령 을개정하는등의적극적인조치를취해야합니다 다제 제 조와관련한주요법령 조가클라우드컴퓨팅서비스이용에대해서네거티브규제원 칙을채택하고있음에도불구하고 여전히클라우드컴퓨팅서비스 이용을사실상금지하거나제한하는법령이있습니다 - 15 - 총론 15
또한클라우드컴퓨팅서비스를도입하기위해준수해야할지침이 나가이드라인도적지않아관련법령및가이드라인에대한숙 지가필요합니다 클라우드컴퓨팅서비스관련주요법령 ( 과학기술정보통신부 ) 클라우드컴퓨팅발전및이용자보호에관한법률, 국가정보화기본법, 소프트웨어산업진흥법 ( 방송통신위원회 ) 정보통신망이용촉진및정보보호등에관한법률 ( 행정안전부 ) 전자정부법, 개인정보보호법, 공공기록물관리에관한법률 ( 기획재정부 ) 국가를당사자로하는계약에관한법률 ( 보건복지부 ) 의료법시행규칙 ( 조달청 ) 전자조달의이용및촉진에관한법률 ( 관세청 ) 관세법시행규칙 등 클라우드컴퓨팅서비스관련지침가이드 ( 과학기술정보통신부 ) 클라우드컴퓨팅서비스정보보호에관한기준, 클라우드컴퓨팅서비스품질 성능에관한기준, 신산업분야공공소프트웨어사업대기업참여제도운영지침, 공인전자문서센터의시설및장비등에관한규정 ( 행정안전부 ) 공공기관민간클라우드이용가이드라인 ( 금융위원회 ) 전자금융감독규정, 금융회사의정보처리업무위탁에관한규정 ( 보건복지부 ) 전자의무기록의관리 보존에필요한시설및장비에관한기준 ( 교육부 ) 원격교육설비기준 ( 국토교통부 ) 지능형홈네트워크설비설치기술기준 ( 국가정보원 ) 국가 공공기관클라우드컴퓨팅보안가이드라인 ( 금융보안원 ) 금융권클라우드서비스이용가이드 등 16 클라우드컴퓨팅주요법령해설서 - 16 -
법제 조의주요내용 법제조전산시설등의구비다른법령에서인가허가등록지정등의요건으로전산시설장비설비등이하전산시설등이라한다을규정한경우해당전산시설등에클라우드컴퓨팅서비스가포함되는것으로본다다만다음각호의어느하나에해당하는경우에는그러하지아니하다해당법령에서클라우드컴퓨팅서비스의이용을명시적으로금지한경우해당법령에서회선또는설비의물리적분리구축등을요구하여사실상클라우드컴퓨팅서비스이용을제한한경우해당법령에서요구하는전산시설등의요건을충족하지못하는클라우드컴퓨팅서비스를이용하는경우 가클라우드컴퓨팅서비스의원칙적허용다른법령의의미이조에서인허가등의요건으로전산시설등을규정하고있는법령이란국회에서제정한법률그하위규범인시행령시행규칙대통령령총리령부령을의미합니다그밖에국 회규칙 대법원규칙등도법령에포함될수있습니다 고시또는훈령은원칙적으로법령에는해당하지아니합니다 다 만상위법령의위임에따라또는그에근거하여구체적인기준을정한고시또는훈령으로서해당고시또는훈령위반이상위법령위반인경우에는예외적으로법령에해당할수있습니다상위법령에명시적근거가없음에도불구하고훈령지시예규 - 17 - 총론 17
고시공고지침등으로인허가등을규정하거나인허가등의요건으로전산시설등의구비를요구하고있는경우에는이를근거로클라우드컴퓨팅서비스를거부할수없습니다제조의취지상훈령지시지침예규공고고시등으로법령상의전산시설등의구비의무를클라우드컴퓨팅서비스로대체하는것은가능합니다인가허가등록지정등의의미해당사업을위한요건으로행정기관의인가허가등록지정등 이요구되는경우가많습니다 일반적으로인가란타인의법률 행위의효력을보충하여법률상의효력을완성시키는것을의미 하고 허가란금지되는행위를특정한경우에해제하는것을 의미하며 등록이란일정한사실이나법률관계를행정기관의 장부에등재하고그존부 를공적으로증명하는것을의미 합니다 지정은일반적으로행정기관이자신의업무를타인으로하여 금수행하게할때위임위탁대신활용하는방식이나예 인증기관지정등 때로는영업규제의일환으로인허가또는특 허와같은의미로사용되기도하며예 부동산거래정보망설치 운영자지정등최근에는산업발전기술개발등공익을위하 여필요한사업자를지원육성하기위한대상자를선정하는방 식으로활용되고있습니다예 인창조기업선정등 제 조는신고에대해서는명시적인규정을두고있지아니하 나사업의조건으로신고를요구하는경우도포함된것으로보 18 클라우드컴퓨팅주요법령해설서 - 18 -
아야합니다 신고란특정한사실이나법률관계의존부를행정 청에알리는것을의미합니다 신고는행정기관에도달하면그 효력이발생하는경우와행정청의수리를요구하는신고가있습 니다 후자는명칭만신고일뿐그실질은일종의완화된형태의 허가에해당합니다결론적으로용어의명칭과관계없이해당사업의수행조건으로관련법령에서전산시설등의구비를요구하고있는경우모두여기에서규정하고있는인가허가등록지정등에해당합니다나클라우드컴퓨팅서비스의이용제한명시적이용금지의의미및사례 클라우드컴퓨팅법제 조제호 해당법령에서클라우드컴퓨팅서비스의이용을명시적으로금지한경우 해당법령에서클라우드컴퓨팅서비스의이용을명시적으로 금 지하고있어야합니다 클라우드컴퓨팅서비스의이용을은닉적 또는모호한방식으로배제하는것은제 조제호에해당하지 않습니다 명시적으로금지해야하므로클라우드컴퓨팅법제조제호에따 라클라우드컴퓨팅서비스제공자가제공하는클라우드컴퓨팅서 비스를제외한다 등의방식으로클라우드컴퓨팅서비스를제외하 려는입법자의의도가분명하게드러나야합니다 종종전산시설등의설치장소를제한하고있는경우가있는데 전산시설등을허가등의신청자의장소적지배관리영역내에 - 19 - 총론 19
설치하여야한다고규정하고있는경우에도온전한의미의퍼블릭클라우드컴퓨팅서비스의이용은제한되지만클라우드컴퓨팅서비스의제공이전혀불가능한것은아니므로하이브리드방식의클라우드컴퓨팅서비스의이용이배제되는것으로해석해서는안됩니다해당법령에서클라우드컴퓨팅서비스의이용을명시적으로금지하고있지않음에도불구하고법령을확대해석하거나유추해석하여클라우드컴퓨팅서비스의도입을방해해서도안됩니다현재클라우드컴퓨팅서비스를법령에서명시적으로금지하고있는입법사례는발견되지않고있습니다 물리적분리구축등의의미및사례 클라우드컴퓨팅법제 조제호 해당법령에서회선또는설비의물리적분리구축등을요구하여사실상클라 우드컴퓨팅서비스이용을제한한경우 각종법령이나고시에서요구하고있는물리적망분리 물리적 회선분리등이이에해당합니다물리적망분리는두대의를 이용해업무망과인터넷망을물리적으로완전히분리시키는것 이고 물리적회선분리는이용자만을위한전용선을설치하는것 입니다그러나해당법령에서망분리또는설비이중화를요구한다고해서무조건클라우드컴퓨팅서비스이용을금지하는것은아닙니다물리적망분리또는회선분리등을요구하여사실상클라우드컴퓨팅서비스의이용이불가능한경우에만해당합니다 20 클라우드컴퓨팅주요법령해설서 - 20 -
해당법령이망분리또는회선분리를요구하고있더라도논리적분리방식을명시적으로배제하지않는다면논리적분리만으로도망분리또는회선분리의효과를기대할수있으므로클라우드컴퓨팅서비스의이용을배제하는것으로해석해서는안됩니다물리적망분리를요구하고있는사례로는클라우드컴퓨팅서비스정보보호에관한기준과학기술정보통신부고시제조제항제호에따른공공기관전자금융감독규정금융위원회고시제조제항제호에따른금융회사등이있습니다반면정보통신망법제조제항제호와개인정보보호법제조제항제 호 전자의무기록의관리보존에필요한시설과장비에관한기 준보건복지부고시별표는망분리를요구하고있으나관련 고시에서논리적망분리도허용하고있습니다 논리적망분리도충분히그안전성이확보되어있으므로포괄적 으로물리적망분리를요구하는것은바람직하지않습니다 보안 목적상불가피하게망분리가필요한경우에도클라우드컴퓨팅법 의취지에따라원칙적으로 논리적망분리를허용해야하고 논리적망분리로는도저히보안목적을달성할수없는경우에 한해서매우예외적으로만물리적망분리를규정하는것이네거 티브규제원칙을규정하고있는제 조의취지에부합합니다 요건을충족하지못한경우의의미및사례 클라우드컴퓨팅법제 조제호 해당법령에서요구하는전산시설등의요건을충족하지못하는클라우드컴퓨팅 서비스를이용하는경우 - 21 - 총론 21
해당법령에서클라우드컴퓨팅서비스의이용을금지하거나제한하고있지않더라도그법령에서요구하는전산시설등의수준시설설비장비성능안전성등을충족하지못한경우에는전산시설등을구비한것으로간주되지아니합니다클라우드컴퓨팅서비스가전산시설등의요건중일부만충족하고있는경우에도그부분에대해서는클라우드컴퓨팅서비스의이 용이가능합니다 클라우드컴퓨팅서비스는매우유연해서전산시 설등의일부만도이용이가능합니다 클라우드컴퓨팅서비스가전산시설등의구비요건을충족하고있 는지여부에대한입증책임은원칙적으로인허가등의신청자 에게있다고보아야할것이나 임대차와유사한클라우드컴퓨팅 서비스의특성상서비스이용계약 인증서등을통해서전산시설등의이용관계성능안전성등이 입증되면인허가등의요건을충족한것으로보아야합니다 22 클라우드컴퓨팅주요법령해설서 - 22 -
법제 21 조의적용대상 법제 조의적용분야 인허가등이요구되는업종 제 조는업종이나업태의구분없이또는민간이나공공의구 분없이해당법령에서인가허가등록지정등의요건으로전산시설등의구비의무를규정하고있는경우에는모두적용대상이됩니다법령에의해서인허가등이요구되고있는대표적인분야로는금융의료교육정보통신등이있지만이에한정되지아니합니다특히최근다양한전통산업분야에서를활용한신산업 신서비스가등장하고있어 에대한의존도가확대되고될것 으로전망됨에따라전산시설등의요건을규정하는법령의수도 많아질수것으로예상됩니다 그밖의인허가등의대상분야 정부를대신해서각종인가및평가업무 조사검사업무등을 대행하는기업이나기관단체개인에대해서도평가인증검사기 관의지정등의요건으로전산시설등의구비를요구하는경우가 많습니다 이경우에도전산시설등의구비요건을클라우드컴퓨 팅서비스로대체할수있습니다 - 23 - 총론 23
클라우드컴퓨팅서비스의범위 클라우드컴퓨팅서비스의개념 법제 조에서다른법령에서규정하고있는전산시설등의구비 요건을대체할수있는클라우드컴퓨팅서비스는상용 으로 제공되는서비스여야됩니다법제조제호가클라우드컴퓨팅서비스를클라우드컴퓨팅을활용하여상용으로타인에게정보통신자원을제공하는서비스로정의하고있기때문입니다상용으로타인에게제공하는클라우드컴퓨팅서비스여야하므로타인이아닌자기스스로이용을위하여구축한전산시설등은비록클라우드컴퓨팅기술을도입한것이라도이법의클라우드컴퓨팅서비스에해당하지아니합니다 여기서상용이란무상 유상에구애받지않고상업용으로제 공되는것을의미하므로무상으로제공되는클라우드컴퓨팅서비 스라도상용으로제공되고있다면포함될수있습니다 무상으로 클라우드컴퓨팅서비스를제공하더라도광고를통해서수익을올 리고있다면상용에해당합니다 반면전산시설등의사용수수료를내더라도상용 으로제공 되는클라우드컴퓨팅서비스가아니라면이법에서말하는클라 우드컴퓨팅서비스에해당하지아니합니다예컨대협회단체등 이전용으로구축한클라우드컴퓨팅서비스는포함되지않습니다 24 클라우드컴퓨팅주요법령해설서 - 24 -
클라우드컴퓨팅법제조제호클라우드컴퓨팅서비스란클라우드컴퓨팅을활용하여상용으로타인에게정보통신자원을제공하는서비스로서대통령령으로정하는것을말한다 클라우드컴퓨팅서비스의유형클라우드컴퓨팅서비스는서비스의운영방식배치모델에따라일반적으로프라이빗클라우드컴퓨팅서비스퍼블릭클라우드컴퓨팅서비스커뮤니티클라우드컴퓨팅서비스하이브리드클라우드컴퓨팅서비스등으로나뉩니다이중에서상용으로제공되는클라우드컴퓨팅서비스는주로퍼 블릭클라우드컴퓨팅서비스입니다 직접개발구축운영관리하 는경우에는원칙적으로이법에서규정하고있는클라우드컴퓨팅서비스에해당하지않습니다커뮤니티클라우드컴퓨팅서비스나하이브리드클라우드컴퓨팅서비스도서비스의배치및운영방식만다를뿐상용으로제공이 가능하므로상용으로제공이용되고있는한 이법에서규정하 고있는클라우드컴퓨팅서비스에포함될수있습니다 커뮤니티 하이브리드등의방식으로구축된클라우드시스템이라 도서비스의전부또는일부를클라우드컴퓨팅서비스제공자가 유상으로제공하고있다면그범위내에서제 조에서규정하고 있는클라우드컴퓨팅서비스로볼수있습니다 클라우드컴퓨팅서비스의범위 클라우드컴퓨팅기술로제공될수있는서비스는실무적으로응 - 25 - 총론 25
용소프트웨어서비스플랫폼서비스인프라서 비스 등으로나뉘고있으나기술적으로클라우드컴퓨팅기 술을통해서제공될수있는서비스의범위에는제한이없습니 다 법제 조도클라우드컴퓨팅서비스로대체가가능한전산시설등 의대상및범위에대해서특별한제한을두고있지아니하므로 정보통신기기정보통신설비소프트웨어등모든정보통신자원 을클라우드컴퓨팅서비스로대체가가능합니다 클라우드컴퓨팅서비스의대상시행령제조 서비스구분 IT인프라서비스 (IaaS) 플랫폼서비스 (PaaS) 소프트웨어서비스 (SaaS) 복합서비스 서비스의대상또는범위서버, 가상컴퓨터 (VM), 저장장치, 네트워크, 방화벽등을제공하는서비스 ( 제1호 ) 응용프로그램등소프트웨어의개발 배포 운영 관리, 운영체제 (OS), 미들웨어, 데이터베이스관리, 비즈니스인텔리전스 (BI) 등을위한환경을제공하는서비스 ( 제3호 ) 메일, 앱, CRM( 고객관계관리 ), ERP( 전사적자원관리 ), 문서관리등의소프트웨어 ( 응용프로그램 ) 를제공하는서비스 ( 제2호 ) 제1호부터제3호까지의서비스를둘이상복합하는서비스 ( 제4호 ) 클라우드컴퓨팅서비스의구조및원리 클라우드컴퓨팅의원리 클라우드컴퓨팅서비스를도입하기위해서는클라우드컴퓨팅서비 26 클라우드컴퓨팅주요법령해설서 - 26 -
스에대한올바른이해가필요합니다 클라우드컴퓨팅서비스를 이용하면이용자는전기나가스처럼언제 어디서든지간단한조 작과클릭만으로인터넷상에자료를저장할수있고저장된자료들을이용할수도있습니다이용자가필요로하는자료데이터나프로그램을자신의컴퓨터에저장하거나설치하지않고클라우드컴퓨팅서비스를제공하는제공자의클라우드컴퓨팅시스템내에보관하거나클라우드컴퓨팅시스템에서제공하는프로그램을인터넷접속을통해언제어디서나주문형으로이용할수있기때문입니다 인터넷상의서버에단순히자료를저장하는것뿐만아니라 따 로프로그램을설치하지않아도웹에서제공하는응용프로그램 의기능을이용하여원하는작업을수행할수있으며 여러사람 이동시에문서를공유하면서작업을진행할수도있습니다 클라우드컴퓨팅기술 클라우드컴퓨팅은이론적으로는간단하지만이를구현하기위해 서는매우복잡한기술이필요합니다 클라우드컴퓨팅을가능하 게하는대표적인기술로는가상화기술분산처리기술자동화기술등이있습니다가상화기술이란집적 공유된정보통신기기, 정보통신설비, 소프트웨어등의정보통신자원을가상으로결합하거나분할하여사용하게하는기술입니다. 분산처리기술이란대량의정보를복수의정보통신자원으로분산하여처리하는기술입니다 - 27 - 총론 27
자동화기술등이란정보통신자원의배치와관리등을자동화 하는기술을포함하여클라우드컴퓨팅의구축및이용에관한 정보통신자원을활용하는그밖의기술을의미합니다 해당기술 로는오픈인터페이스서비스프로비저닝등이있습니다그밖에클라우드컴퓨팅법은기술발전에탄력적으로대응하기위해클라우드컴퓨팅기술을개방적으로규정하고있습니다클라우드컴퓨팅의구성클라우드컴퓨팅서비스를제공하기위해서는대량다종의정보통신자원이필요하므로클라우드컴퓨팅서비스제공자혼자만의힘으로클라우드컴퓨팅서비스제공에필요한모든정보통신자원을조달하기는어렵습니다클라우드컴퓨팅서비스제공자는다수의다른클라우드컴퓨팅서비스제공자또는다른정보통신서비스제공자와계약을통해서필요한정보통신자원을지원받거나상호정보통신자원을공유하는경우가많습니다 28 클라우드컴퓨팅주요법령해설서 - 28 -
클라우드컴퓨팅서비스와정보보안 클라우드컴퓨팅서비스의정보보안문제 클라우드컴퓨팅의인적보안이슈 클라우드컴퓨팅서비스도다른정보시스템의사례와같이보안사 고의위험성이있습니다 의해서발생할수있으나 이와같은보안사고는실수나해킹에 클라우드컴퓨팅서비스제공자의내부 직원에의해서고의로발생할수도있습니다클라우드컴퓨팅의기술적보안이슈클라우드컴퓨팅서비스는수많은기업의정보가클라우드컴퓨팅시스템에공존하기때문에해커들의주요공격목표가될수있어취약점이발견될경우정보유출사고로이어질수있습니다 클라우드컴퓨팅보안인증제도 법제조신뢰성향상클라우드컴퓨팅서비스제공자는클라 우드컴퓨팅서비스의품질성능및정보보호수준을향상시키기 위하여노력하여야한다 클라우드컴퓨팅서비스정보보호기준 클라우드컴퓨팅서비스는개별법령에서인가허가등록지정등 의요건으로규정하고있는전산시설등의자체구비의무로인 - 29 - 총론 29
해서비스이용이제한되기도하지만 법령에서특별한정보보호 기준을정하고있지아니한경우에도앞서살펴본정보보안문제로인해서비스의이용을꺼리는경우도적지않습니다클라우드컴퓨팅법은개별법상또는실무상제기되고있는정보보안문제를해결하기위하여과학기술정보통신부장관이클라우드컴퓨팅서비스의정보보호에관한기준을제정해클라우드컴퓨팅서비스제공자에게그기준을지킬것을권고하고있습니다자세한내용은클라우드컴퓨팅서비스정보보호에관한기준과학기술정보통신부고시을참고하시기바랍니다클라우드컴퓨팅보안인증제도클라우드컴퓨팅보안인증제도는클라우드컴퓨팅서비스이용자들이클라우드컴퓨팅서비스를안심하고도입이용할수있도록정 보보호전문기관인한국인터넷진흥원 이해당서비스가 클라우드컴퓨팅서비스정보보호에관한기준을준수하고있는 지여부를객관적으로평가인증해주는제도입니다 클라우드컴퓨팅보안인증은클라우드컴퓨팅서비스제공자의의 무사항이아니지만 공공기관을대상으로한서비스제공에는필 요합니다 클라우드컴퓨팅서비스제공자가클라우드컴퓨팅보안 인증을받으면공공기관에상용클라우드컴퓨팅서비스를제공할 때전자정부법제조및공공기록물관리에관한법률시행 령제조에따른보안성검토시인증받은부분의관리적물 리적 기술적보호조치및공공기관추가보호조치사항의보안 성검토가생략됩니다 30 클라우드컴퓨팅주요법령해설서 - 30 -
전자정부법제 조 제조정보통신망등의보안대책수립시행국회법원헌법재판소중앙선거관리위원회및행정부는전자정부의구현에필요한정보통신망과행정정보등의안전성및신뢰성확보를위한보안대책을마련하여야한다행정기관의장은제항의보안대책에따라소관정보통신망및행정정보등의보안대책을수립시행하여야한다행정기관의장은정보통신망을이용하여전자문서를보관유통할때위조변조훼손또는유출을방지하기위하여국가정보원장이안전성을확인한보안조치를하여야하고국가정보원장은그이행여부를확인할수있다제항을적용할때에는국회법원헌법재판소중앙선거관리위원회의행정사무를처리하는기관의경우에는해당기관의장이필요하다고인정하는경우에만적용한다다만필요하지아니하다고인정하는경우에는해당기관의장은제항에준하는보안조치를마련하여야한다 공공기록물관리에관한법률시행령제조제조전자기록물의보안관리공공기관및기록물관리기관의장은전자정부법제조제항에따라국가정보원장이안전성을확인한보안조치를취하여전자기록물의생산이관보존및폐기등기록물관리과정에서전자기록물을안전하게관리하여야하며국가정보원장은그이행여부를확인할수있다 클라우드보안인증은한국인터넷진흥원에신청하여야하며 소요 시간은대략준비에서인증까지는개월이걸립니다정보보 호관리체계 와달리문서점검및현장점검외에모의침투 테스트 취약적점검등기술점검을실시한다는점에차이가있 고 공공기관요구사항을추가할수있다는점이특징이라고할 수있습니다 - 31 - 총론 31
인증및암호모듈검증 공통평가기준 인증제도 클라우드컴퓨팅서비스제공자가공공기관에클라우드컴퓨팅서비 스를제공하기위해서는특정정보보호제품 인증필수제품 에대해서별도로국가정보원이지정한인증기관 보안인증사무 국을통해 인증을받아야합니다 클라우드컴퓨팅서비스정보보호에관한기준 공공기관용추가 보호조치 에따라클라우드컴퓨팅서비스구축을위해도 입되는서버가상화솔루션및정보보호제품중에인증 이필수적인제품군은국내외 인증을받은제품을사용하여 야합니다 32 클라우드컴퓨팅주요법령해설서 - 32 -
인증을받아야하는정보보호제품에대해서는국가정보원홈 페이지 보안적합성검증를통해서확인할 수있습니다 암호모듈검증제도 클라우드컴퓨팅서비스제공자가공공기관에클라우드컴퓨팅서비 스를제공하기위해서는클라우드보안인증외에도전자정부법 시행령 제 조및암호모듈시험및검증지침에따라자사가 제공하는특정소프트웨어 하드웨어 펌웨어등에대해서암호 모듈검증을받아야합니다 암호모듈검증은국가보안연구소 에신청하여 야하며 검증대상암호알고리즘은국가정보원홈페이지를통해 서확인할수있습니다 전자정부법시행령제 조 제조전자문서의보관유통관련보안조치행정기관의장은정보통신망을이용하여전자문서를보관유통할때에는법제조제항에따라국가정보원장이안전성을확인한다음각호의보안조치를하여야한다국가정보원장이개발하거나안전성을검증한암호장치와정보보호시스템의도입운용전자문서가보관유통되는정보통신망에대한보안대책의시행행정기관의장이제항의보안조치를이행하는경우에는미리국가정보원장에게보안성검토를요청하여야한다제항및제항에서규정한사항외에정보통신망을이용한전자문서의보관유통관련보안조치에관하여필요한사항은국가정보원장이따로지침으로정할수있다 - 33 - 총론 33
클라우드컴퓨팅서비스와개인정보보호 개인정보처리업무위탁 법제조다른법률과의관계이법은클라우드컴퓨팅의발전과이용촉진및이용자보호에관하여다른법률에우선하여적용하여야한다다만개인정보보호에관하여는개인정보보호법정보통신망이용촉진및정보보호등에관한법률등관련법률에서정하는바에따른다개인정보처리업무위탁의의미 개인정보보호법상개인정보의처리란개인정보의수집 생 성연계연동기록저장보유가공편집검색출력정정 복구이용제공공개파기그밖에이와유사한 행위를말하고제조제호 개인정보처리업무의위탁이란제 자에게자신의개인정보처리업무를맡기는것을의미합니다이와같이개인정보처리업무의위탁은자신이해야할개인정보처리업무를자신이직접행하지않고다른사람의손을빌어서행하는것이므로흔히말하는아웃소싱과유사합니다제자에의한개인정보의처리행위가수반되어야하므로단순히물리적인장소만빌어서자신이서버를설치하고데이터에 대한관리통제도직접자신이수행하는것 은 위탁에해당하지않습니다개인정보의수집이용가공편집파기등의업무는물론이고저장관리업무만제자에게맡기는것도개인정보처리업무의위탁에해당합니다 34 클라우드컴퓨팅주요법령해설서 - 34 -
개인정보처리업무위탁해당여부 클라우드컴퓨팅서비스는서비스제공자가제공하는하드웨어 소 프트웨어 플랫폼등을이용해서이용자이용사업자가직접개 인정보를처리하므로단순히전산시설등의사용대차또는소비대차로이해할수도있으나저장된개인정보의보관관리등을클라우드서비스제공자가자신의책임하에수탁받아행하게되므로개인정보처리업무의위탁에해당한다는것이다수의해석입니다클라우드컴퓨팅법제조가개인정보보호에관하여는개인정보보호법정보통신망이용촉진및정보보호등에관한법률등 관련법률에서정하는바에따른다고규정하고있으므로 기업이 나공공기관이클라우드컴퓨팅서비스를이용할때에는개인정 보보호법 정보통신망이용촉진및정보보호등에관한법률 위치정보의보호및이용에관한법률 신용정보의이용 및보호에관한법률 등개인정보보호관련법령의개인정보 처리업무위탁규정에따라개인정보처리업무를위탁하여야합 니다 개인정보의국외이전 개인정보국외이전의의미 개인정보의국외이전이란개인정보가국외에제공조회되거나 국외에처리위탁보관되는것을총칭합니다정보통신망법제 조 제항 방법이나이전매체에대해서는특별한제한이없습니다 - 35 - 총론 35
개인정보를국외의제자에게제공하는경우뿐만아니라국내에 저장되어있는개인정보를국외에서조회만하는것도국외이 전에해당하고 국외의제자에게개인정보처리업무를위탁하는 경우뿐만아니라개인정보를국외에단순히저장해두는것도국외이전에해당한다개인정보국외이전해당여부글로벌클라우드컴퓨팅서비스제공자들의경우데이터센터를세계각지에두고있기때문에글로벌기업이제공하는클라우드컴퓨팅서비스의경우개인정보가국경을넘어서저장되거나국가간에재유통될수있습니다데이터의처리및저장이국내에서만이루어지도록하는것이기술적으로불가능하지않고실제국내에서만저장되도록하는 경우가없지아니하지만 특정국내에서만처리및저장되도록 하는것은비용및경제성측면에서현실적으로어렵습니다 개인정보를개인정보비식별조치가이드라인 에따 라비식별조치한경우에는더이상개인정보가아니므로개인 정보국외이전제한규정의적용을받지아니합니다 36 클라우드컴퓨팅주요법령해설서 - 36 -
II 분야별법령해설 클라우드컴퓨팅주요법령해설서
공공분야 국가기관등의클라우드컴퓨팅도입촉진 법제조국가기관등의클라우드컴퓨팅도입촉진국가기관등은클라우드컴퓨팅을도입하도록노력하여야한다정부는국가정보화기본법에따른국가정보화정책이나사업추진에필요한예산을편성할때에는클라우드컴퓨팅도입을우선적으로고려하여야한다 법제 조의취지 법제조국가등의책무규정에기초하여 제장에서는클라우 드컴퓨팅발전기반의조성에관한규정들을두고있습니다 제 조는공공분야에서의클라우드컴퓨팅발전기반조성을위 하여클라우드컴퓨팅도입을위한국가기관등의노력의무를규 정하고있습니다 법제 조의내용 제항의국가기관등은국가기관 지방자치단체및전자정부 법 제조제호에따른공공기관을의미합니다법제조제항 제항에서의 국가정보화기본법에따른국가정보화정책이나 사업추진에필요한예산을편성할때의의미란 정부가년마 다수립하는국가정보화기본계획국가정보화기본법제조제 항 및그에따른중앙행정기관의장과지방자치단체의장이매 년수립 시행하는국가정보화시행계획및예산편성국가정보화 기본법제조 등을의미합니다 38 클라우드컴퓨팅주요법령해설서 - 38 -
법제조에서국가정보화의추진에관하여다른법률에특별한 규정이있는경우를제외하고는이법에서정하는바에따른다 고되어있으므로 국가정보화기본법의제반규정과충돌되지 않게국가정보화기본법상의기본계획및시행계획의예산편성에 서클라우드컴퓨팅도입을고려하도록한것입니다 관련규정시행령제조는클라우드컴퓨팅도입촉진과관련하여과학기술정보통신부장관이기획재정부장관및관계중앙행정기관의장에게의견을제시할수있도록하였습니다 국가기관등의클라우드컴퓨팅도입촉진제조 과학기술정보통신부장관은법제조제항에따라국가정보화기본법에따라수립되는국가정보화기본계획및시행계획의내용중클라우드컴퓨팅도입과관련된정책이나사업추진에필요한예산에관한사항이있는경우에는해당사항을검토한후그의견을기획재정부장관및관계중앙행정기관의장에게제시할수있다과학기술정보통신부장관은제항에따라의견을제시할때에는전자정부의구현운영및발전과관련된클라우드컴퓨팅도입에관한사항은행정안전부장관과미리협의하여야한다 시행령제조제항은법제조에따른국가기관등의클라우드컴퓨팅도입에관한정책개발및기술지원과관련한업무를한국정보화진흥원또는한국지역정보개발원에위탁할수있도록하였습니다 - 39 - 분야별법령해설 39
위임및위탁제조제항과학기술정보통신부장관및행정안전부장관은법제조제항에따라소관업무중다음각호의업무를한국정보화진흥원또는한국지역정보개발원에위탁할수있다이경우과학기술정보통신부장관및행정안전부장관은수탁기관과위탁업무를고시하여야한다법제조에따른국가기관등의클라우드컴퓨팅도입에관한정책개발및기술지원법제조에따른클라우드컴퓨팅기술기반집적정보통신시설의구축지원이영제조제항에따라행정안전부장관에게요청한사항에한정한다법제조에따른공공기관의클라우드컴퓨팅서비스이용에관한정책개발및기술지원 공공기관의클라우드컴퓨팅서비스이용촉진 법제조공공기관의클라우드컴퓨팅서비스이용촉진정부는 공공기관이업무를위하여클라우드컴퓨팅서비스제공자의클라우 드컴퓨팅서비스를이용할수있도록노력하여야한다 법제 조의취지 제장에서클라우드컴퓨팅서비스의이용촉진에관한규정들을 두고있는데 그첫번째규정이공공기관에서의클라우드컴퓨 팅서비스이용촉진과관련한법제 조입니다 법제 조는공공기관이자체적으로클라우드컴퓨팅을도입하는 것이아니라민간사업자의클라우드컴퓨팅서비스를이용하도록 권장하고있습니다즉데이터를저장처리유통하는시스템 을자체적으로구축하는것이아니라 불특정다수의기업이나개인이서버 공중의인터넷망을통해 스토리지등의컴퓨팅자 40 클라우드컴퓨팅주요법령해설서 - 40 -
원이나개발환경 소프트웨어서비스등을빌려쓰는방식을추 구하고있습니다 자체적으로구축한클라우드컴퓨팅의경우지능형정부구현에 한계가있고정보자산의유지 관리비용의절감효과도크지 않으므로공공기관이클라우드컴퓨팅서비스를도입하려면상용클라우드컴퓨팅서비스를이용하는것이공공부문의클라우드시장확대및활성화를위하여바람직하기때문입니다법제조및제조에따라국가지방자치단체공공기관의클 라우드컴퓨팅도입근거규정이마련되면서 클라우드컴퓨팅시 장이확대되고대국민업무편의가증진될것으로예상됩니다 법제 법제 조의내용 조의공공기관이라함은전자정부법제조제호에따 른공공기관을의미하며 클라우드컴퓨팅서비스제공자라함은 클라우드컴퓨팅서비스를이용하여클라우드컴퓨팅서비스를제공 하는자를말합니다법제조제호 전자정부법에따른공공기관의범위에는 공공기관의운영 에관한법률제조에따른법인단체또는기관지방공기 업법에따른지방공사및지방공단 특별법에따라설립된 특수법인초중등교육법고등교육법및그밖의다른 법률에따라설치된각급학교 립운영및육성에관한법률 정부출연연구기관등의설 제조제항에따른연구기관 과학기술분야정부출연연구기관등의설립운영및육성에관 한법률 제조제항에따른연구기관이포함됩니다 - 41 - 분야별법령해설 41
한편법제조국가기관등의클라우드컴퓨팅도입촉진와제조클라우드컴퓨팅사업의수요예보에서는공공기관뿐만아니라국가기관과지방자치단체도클라우드컴퓨팅을우선적으로도입하도록규정하고있는반면법제조에따른상용클라우드컴퓨팅서비스의이용은공공기관에한정되어있고국가기관과지방자치단체가포함되어있지아니합니다 그러나법제 조는공공기관이상용클라우드컴퓨팅서비스를 이용할수있도록노력하라는의미가강조된것에불과하고국 가기관과지방자치단체는상용클라우드컴퓨팅서비스를이용할 수없다고해석되어서는안될것입니다 공공기관민간클라우드컴퓨팅서비스이용 가이드라인마련 행정안전부는 년월공공기관이민간클라우드컴퓨팅서비 스를안전하고신뢰성있게이용할수있도록이용관련절차와 기준을정한공공기관민간클라우드이용가이드라인 이하 가이드라인이라합니다을마련하였습니다 본가이드라인은법제 조의공공분야클라우드컴퓨팅서비스 이용촉진과직접적인관련이있어본해설서에서상세하게설명 합니다 가이드라인에따른민간클라우드컴퓨팅서비스이용절 차에대해서는 4 에서소개합니다 가이드라인적용대상 42 클라우드컴퓨팅주요법령해설서 - 42 -
가이드라인의적용대상은전자정부법제조제호에따른공공기 관을의미하는것으로앞서설명한법제 조의공공기관이이 에해당됩니다 공공기관민간클라우드컴퓨팅서비스이용절차 가이드라인에따른이용절차를간략히설명하면다음과같습니다. 공공기관 정책협의체 ( 주무부처협의 ) 이용가능여부검토 공공기관 민간클라우드 이용자체검토 (Ⅲ등급) 통보, (Ⅱ등급) 검토요청 정보공유국정원보안성검토 (Ⅱ 등급 ) 결과통보 민간클라우드 이용 공공기관 ( 자체판단 ) 정책협의체 단계 ( 사전검토 ) 단계 ( 본검토 ) 검토 ( 주무부처협의 ) 통보 -1 시스템 사전 검토검토 -2 구현성요청통과 -1 정보자원등급공공기관통보 -3 경제성 공공기관의장은사업계획수립시 민간클라우드컴퓨팅서비스 이용가능여부를기관자체적으로검토사전검토본검토 공공기관의장은검토결과파악된정보자원의등급에따라정책 협의체에게자체검토의결과를통보하거나등급자체판단이 어려울경우검토요청 등급 - 43 - 분야별법령해설 43
정책협의체는필요시해당공공기관의소속행정기관의의견을 참고하여주내결과통보 공공클라우드지원센터에서접수및 통보창구역할수행정보보호에관한사항은국가정보원이별도검토하여결과통보공공기관의장은정책협의체의견을참고하여민간클라우드컴퓨팅서비스이용 공공기관민간클라우드컴퓨팅서비스이용자체검토 공공기관의장은사업계획수립시 민간클라우드컴퓨팅서비스 이용가능여부를기관자체적으로검토하는데 이용가능검토는 사전검토와본검토로구성됩니다 사전검토 와본검토 를나누어상술합니다 단계 ( 사전검토 ) 항목 기준 -1 시스템 비밀 * 로관리될필요가있는정보를저장 처리 유통하는시스템 -2 구현성 민간클라우드이용시관계법령 ** 및성능 기능요구사항등충족여부 자체구축 운영대비민간클라우드비용 *** -3 경제성 통상적인시스템교체기간을감안하여경제성비교 * 세부내용은관련법령참조 : 비밀관리규정, 정보공개법 및 공공데이터법 상비공개정보등 ** 세부내용은관련법령참조 : 정보보안, 개인정보보호등분야별시스템관리 운영지침참고 *** 민간클라우드이용시비용이저렴하거나특별한사유 ( 예 : 단기간사용할수있는긴급한정보자원필요, 비용 증가대비효과가좋음등 ) 가있을경우민간클라우드이용 사전검토시문제가 없으면본검토수행 (1) 시스템항목비밀로관리될필요가있는정보를저장처리유통하는시스템과관련하여구축필요성내지업무위탁이가능한지여부에관한검토입니다정보의성격과관련하여서는정보공개법및공공데 44 클라우드컴퓨팅주요법령해설서 - 44 -
이터법상비공개정보등의규정을참고하되정보공개법상 비공개정보중개인정보는개인정보보호법 정보통신망이용 촉진및정보보호등에관한법률상의업무위탁에관한규정에 따라민간클라우드컴퓨팅서비스이용이가능합니다 정보공개법상비공개정보 1. 다른법률또는법률에서위임한명령 ( 국회규칙 대법원규칙 헌법재판소규칙 중앙선거관리위원회규칙 대통령령및조례로한정한다 ) 에따라비밀이나비공개사항으로규정된정보 2. 국가안전보장 국방 통일 외교관계등에관한사항으로서공개될경우국가의중대한이익을현저히해칠우려가있다고인정되는정보 3. 공개될경우국민의생명 신체및재산의보호에현저한지장을초래할우려가있다고인정되는정보 4. 진행중인재판에관련된정보와범죄의예방, 수사, 공소의제기및유지, 형의집행, 교정 ( 矯正 ), 보안처분에관한사항으로서공개될경우그직무수행을현저히곤란하게하거나형사피고인의공정한재판을받을권리를침해한다고인정할만한상당한이유가있는정보 5. 감사 감독 검사 시험 규제 입찰계약 기술개발 인사관리에관한사항이나의사결정과정또는내부검토과정에있는사항등으로서공개될경우업무의공정한수행이나연구 개발에현저한지장을초래한다고인정할만한상당한이유가있는정보. 6. 해당정보에포함되어있는성명 주민등록번호등개인에관한사항으로서공개될경우사생활의비밀또는자유를침해할우려가있다고인정되는정보. 다만, 다음각목에열거한개인에관한정보는제외한다. 7. 법인 단체또는개인 ( 이하 " 법인등 " 이라한다 ) 의경영상 영업상비밀에관한사항으로서공개될경우법인등의정당한이익을현저히해칠우려가있다고인정되는정보. 다만, 다음각목에열거한정보는제외한다. 가. 사업활동에의하여발생하는위해 ( 危害 ) 로부터사람의생명 신체또는건강을보호하기위하여공개할필요가있는정보 나. 위법 부당한사업활동으로부터국민의재산또는생활을보호하기위하여공개할필요가있는정보 8. 공개될경우부동산투기, 매점매석등으로특정인에게이익또는불이익을줄우려가있다고인정되는정보 6 호의개인정보와관련하여서는 개인정보보호법, 정보통신망법 상의업무위탁에관한규정에따라민간클라우드이용가능 법원판례등에서국민의알권리차원에서비공개정보는엄격하게해석되고있음을감안하여민간클라우드이용여부를판단하고, 판단이어려울경우에는행자부로문의할것 공공데이터법상비공개정보 - 45 - 분야별법령해설 45
1. 공공기관의정보공개에관한법률 제 9 조에따른비공개대상정보 2. 저작권법 및그밖의다른법령에서보호하고있는제 3 자의권리가포함된것으로해당법령에따른정당한이용허락을받지아니한정보 저작권관련정보가포함된경우유출사고발생시조치사항및손해배상등을계약서에명시하여민간클라우드를이용할것 보안업무규정국가정보원법제조제항 보안업무규정제 2 조 ( 정의 ) 1. " 비밀 " 이란그내용이누설될경우국가안전보장에해를끼칠우려가있는국가기밀로서이영에따라비밀로분류된것을말한다. 보안업무규정제 4 조 ( 비밀의구분 ) 1. Ⅰ 급비밀 : 누설될경우대한민국과외교관계가단절되고전쟁을일으키며, 국가의방위계획 정보활동및국가방위에반드시필요한과학과기술의개발을위태롭게하는등의우려가있는비밀 2. Ⅱ 급비밀 : 누설될경우국가안전보장에막대한지장을끼칠우려가있는비밀 3. Ⅲ 급비밀 : 누설될경우국가안전보장에해를끼칠우려가있는비밀 취급정보가보안업무규정와관련되어민간클라우드를이용할수있는지의문이있을경우, 정책협의체, 국정원의검토를받아야할것임. (2) 구현성항목 민간클라우드컴퓨팅서비스이용시관계법령및성능기능면에 서요구사항등을구현할수있는지에대한검토입니다 이와관련하여 과학기술정보통신부고시클라우드컴퓨팅서비스 정보보호에관한기준을참고할필요가있습니다 클라우드컴퓨팅서비스정보보호에관한기준은법제 조제 항과학기술정보통신부장관은클라우드컴퓨팅서비스의품질성 능에관한기준및정보보호에관한기준관리적물리적기술적 보호조치를포함한다을정하여고시하고 클라우드컴퓨팅서비스 제공자에게그기준을지킬것을권고할수있다는규정에따 라마련된고시입니다 46 클라우드컴퓨팅주요법령해설서 - 46 -
본기준은제조부터제조에서관리적물리적기술적보호조 치에대하여규정하고있으며 공공기관에대해서는별도로제 조에서공공기관용추가보호조치에관한규정을두고있습니다 이하클라우드컴퓨팅서비스정보보호에관한기준상의보호조 치의내용은다음과같습니다 제 3 조 ( 관리적보호조치 ) 1 클라우드컴퓨팅서비스제공자는클라우드컴퓨팅서비스의안전성및신뢰성확보를위하여다음각호의사항을포함한관리적보호조치를취하여야한다. 1. 정보보호정책수립 이행및정보보호조직구성 운영에관한사항 2. 내 외부인력관리및정보보호교육에관한사항 3. 자산식별, 변경관리및위험관리에관한사항 4. 공급망계약, 모니터링, 변경등공급망관리에관한사항 5. 침해사고대응절차, 체계, 처리및복구, 사후관리에관한사항 6. 서비스장애대응, 성능및용량관리, 백업등서비스가용성에관한사항 7. 법 정책적요구사항준수및보안감사활동에관한사항 2 제 1 항각호의세부적인조치사항은별표 1 과같다. 제 4 조 ( 물리적보호조치 ) 1 클라우드컴퓨팅서비스제공자는중요정보와정보처리시설및설비보안을위하여다음각호의사항을포함한물리적보호조치를취하여야한다. 1. 물리적보호구역지정, 출입통제등물리적보호구역보안에관한사항 2. 정보처리시설의배치, 보호설비구비, 장비반출 입등시설및장비보호에관한사항 2 제 1 항각호의세부적인조치사항은별표 2 와같다. 제 5 조 ( 기술적보호조치 ) 1 클라우드컴퓨팅서비스제공자는클라우드컴퓨팅서비스의안전성및신뢰성확보를위하여다음각호의사항을포함한기술적보호조치를취하여야한다. 1. 가상화인프라, 가상환경보호에관한사항 2. 접근통제및사용자식별 인증에관한사항 3. 네트워크통제, 정보보호시스템운영, 암호화등네트워크보안에관한사항 4. 데이터보호및암호화등중요정보보호에대한사항 5. 시스템분석 설계 구현, 외주개발보안, 시스템도입보안등개발및도입에관한사 - 47 - 분야별법령해설 47
항 2 제 1 항각호의세부적인조치사항은별표 3 과같다. 제 6 조 ( 공공기관용추가보호조치 ) 1 클라우드컴퓨팅서비스제공자가 전자정부법 제 2 조제 3 호에따른공공기관에게클라우드컴퓨팅서비스를제공하는경우에는그서비스의안전성및신뢰성확보를위하여다음각호의사항을포함한보호조치를추가로취하여야한다. 1. 보안수준협약에관한사항 2. 도입전산장비안전성확보에관한사항 3. 클라우드컴퓨팅서비스운영및네트워크환경보안관리수준에관한사항 4. 사고및장애시대응절차및협조체계구성에대한사항 5. 클라우드컴퓨팅서비스의물리적위치및분리에관한사항 6. 중요장비이중화및백업체계구축에관한사항 7. 검증필암호화기술제공에관한사항 8. 보안관제를위한제반환경지원에관한사항 9. 그밖에공공기관이클라우드컴퓨팅서비스를활용하기위해필요한보호조치등관계기관의장이정하는사항 2 제 1 항각호의세부적인조치사항은별표 4 와같다. 공공기관용추가보호조치와관련한세부조치사항은다음과같습니다. 구분세부조치사항 공공기관의보안요구사항이반영된보안서비스수준협약 보안서비스 수준협약 을체결하고클라우드컴퓨팅서비스관련정보보호정보를공공기관에제공하여야한다 공공기관보안요구사항 관리적 보호조치 도입전산장비안전성보안관리수준사고및장애대응 클라우드컴퓨팅서비스구축을위해도입되는서버 화솔루션및정보보호제품중에 은국내외 가상 인증이필수적인제품군 인증을받은제품을사용하여야한다 클라우드컴퓨팅서비스운영장소및망은공공기관내부정 보시스템운영보안수준에준하여보안관리하여야한다 클라우드컴퓨팅서비스를제공하는민간사업자는사고또는 장애발생시공공기관의사고장애대응절차에따라해당 공공기관 대내외관련기관및전문가와협조체계를구성 하여대응하여야하며 협조하여야한다 공공기관의사고장애대응에적극 클라우드시스템및데이터의물리적위치는국내로한정하고 물리적 물리적위치 공공기관용클라우드컴퓨팅서비스의물리자원서버 네트워 48 클라우드컴퓨팅주요법령해설서 - 48 -
구분세부조치사항 및분리 크보안장비등출입통제운영인력등은일반이용자용클 라우드컴퓨팅서비스영역과분리하여운영하여야한다 보호조치 기술적 보호조치 중요장비이중화및백업체계구축검증필암호화기술제공보안관제제반환경지원 클라우드컴퓨팅서비스를제공하는사업자는네트워크스위치스토리지등중요장비를이중화하고서비스의가용성을보장하기위해백업체계를구축하여야한다클라우드컴퓨팅서비스를통해생성된중요자료를암호화하는수단을제공하는경우에는검증필국가표준암호화기술을제공하여야한다공공기관에클라우드컴퓨팅서비스보안관제수행에필요한제반환경을지원하여야한다 (3) 경제성항목 경제성항목은 자체구축운영대비민간클라우드컴퓨팅서비스 비용을비교하는것으로 통상적인시스템교체기간을감안하여 검토합니다 검토결과민간클라우드컴퓨팅서비스이용시비용이저렴하거나 특별한사유예 단기간사용할수있는긴급한정보자원필요 비용증가대비효과가좋음등가있을경우민간클라우드컴퓨팅서비스를이용할수있습니다가이드라인에서예시로들고있는자체구축운영과민간클라우드컴퓨팅서비스비용비교의방법은다음과같습니다 - 49 - 분야별법령해설 49
비용예시를기관 정보자원특성에맞게수정하여판단 - 기관 정보자원특성상예시외비용이발생될경우추가 - 비용예시항목별비용이소액일경우제외가능 < 자체구축운영비용예시 > 항목개발비구축비 SW 구입비 HW 구입비유지보수비부대비용 내용 초기개발, 기능개선등에따른비용 현재운영중이며고도화등의계획이없는시스템은 0 개발 SW, HW 장비, 상용 SW의유지보수비 요율제유지보수비방식적용 인건비, 전기세, 통신료, 시설유지비등 < 민간클라우드비용예시 > 항목개발비구축비 SW 구입비 HW 구입비이용요금부대비용 내용 초기개발, 기능개선등에따른비용 ( 민간클라우드에서제공하지않는기능 ) 민간클라우드에서제공하지않은별도의 SW HW 비용 기본이용료와추가이용료등 민간클라우드에서제공하는기본적인보안, 서비스등이 기관요구수준과상이할경우, 추가로소요되는요금을반영 민간클라우드전환 * 비용, 민간클라우드이용종료비용 **, 기존시스템관리 운영비용 *** 등 * 프로그램 데이터이관, 시스템연계등 ( 신규시스템은 0 ) ** 클라우드이용종료시소요되는비용 ( 예 : 프로그램 데이터이관등 ) 으로써계약방법 ( 예 : 장기 단기 ) 을감안하여반영 *** 기존시스템이존재할경우잔존가치반영 ( 내구연한이도래한시스템및신규시스템은 0 ) 50 클라우드컴퓨팅주요법령해설서 - 50 -
단계 ( 본검토 ) 사전검토통과시본검토실시합니다 본검토에있어서는우선적으로 클라우드컴퓨팅서비스로처리하 고자하는정보자원을등급을분류한후민간클라우드컴퓨팅서비스이용여부를결정합니다 (1) 정보자원의등급가이드라인은정보자원을항목별로다음과같이분류합니다 업무대체수준 * 구분 ( 항목 ) 서비스 데이터 연계 업무대체율 업무대체비용 사고시파급효과 ** 상중하상중하상중하상중하상중하상중하 평가기준 중 + 이용자가매우많거나, 이용자에게매우중요한서비스를제공 기관외부이용자에게민원등기관업무에해당되는서비스제공 기관외부이용자에게단순정보를제공 다수 ( 예 : 백만건 ) 의개인정보또는민감개인정보 고유식별번호저장 장기적인보관 ( 예 : 5년이상 ) 이필요한자료저장 공개가능한정보이나위 변조시상당한피해발생가능 중 소규모의개인정보저장 공개가능한정보이며위 변조되더라도피해가크지않음 업무시스템과연계 인터넷상의특수시스템과연계 ( 암호화등추가조치필요 ) 인터넷상의타시스템과복잡하게연계 인터넷상의타시스템과간단하게연계 사고발생시타수단으로대체할수없음 사고발생시타수단으로일부업무대체가능 사고발생시타수단으로대부분의업무대체가능 사고발생시타수단으로대체하는비용이높음 사고발생시타수단으로대체하는비용이보통 사고발생시타수단으로대체하는비용이거의없음 국가 사회적으로큰피해 혼란이발생될수있으며, 정부 공공기관의신뢰도에큰영향을줄수있으며, 즉시복구필요 국가 사회적피해 혼란이크지않으며, 정부 공공기관의신뢰도에상당한영향을미치며, 빠른복구필요 국가 사회적피해가발생되지않으며, 정부 공공기관의신뢰도에경미한영향을미치며, 복구가시급하지않음 * 업무대체수준 = ( 업무대체율 + 업무대체비용 ) / 2 ** 다음에해당되는기관은특별히유의 - 안보 치안 외교 재난및전기 통신 도로등국가기반기능을수행하는기관 - 수출입 통상 금융등사고발생시국가적차원의경제적피해가우려되는기관 - 보건 복지등국민의생명 기본권을지원 보장하거나행정지원중단시국민일상의심각한불편을초래하는기관등 - 51 - 분야별법령해설 51
(2) 정보자원등급분류에따른클라우드컴퓨팅서비스이용여부판단 위에서평가항목별점수의평균값을산출하여 정보자원중요도 를 등급으로분류하고그에따라다음과같이민간클 라우드컴퓨팅서비스이용여부를결정합니다등급은민간클라우드컴퓨팅서비스이용불가등급은정책협의체의견을감안하여민간클라우드컴퓨팅서비스이용여부판단등급은민간클라우드컴퓨팅서비스우선이용정책협의체에통보 * ( ) 3, 2, 1, ** ( ) : > 2.4, : 2.4 1.6, : < 1.6 이상의내용을도표로정리하면다음과같습니다 < 정보자원의등급평균값에따른민간클라우드이용가부 > -2 정보자원 등급 ( 별첨 1-4) 항목기준결과 서비스 데이터 연계 업무대 체수준 시스템용도및이용자에미치는영향도 시스템에저장된데이터의중요도 해당시스템이타시스템과연계된정도 ( 업무대체율 ) 사고발생시타수단으로대체할수있는정도 ( 업무대체비용 ) 사고발생시타수단으로대체하는비용 상 (3점) 상 (3점) 상 (3점) 상 (3 점 ) 사고시파급효과 사고발생시피해정도및복구의시급성상 (3점) 중 (2점) 중 (2점) 중 (2점) 중 (2 점 ) 중 (2 점 ) 하 (1점) 하 (1점) 하 (1점) 하 (1 점 ) 하 (1 점 ) 평균값 평균값 < 1.6 1.6 평균값 2.4 2.4 < 평균값 Ⅲ 등급은민간클라우드우선이용, 정책협의체에통보 Ⅱ 등급은정책협의체의견을감안, 민간클라우드이용여부판단 Ⅰ 등급은민간클라우드이용불가 52 클라우드컴퓨팅주요법령해설서 - 52 -
정책협의체검토공공부문에서민간클라우드컴퓨팅서비스이용기반을마련하고이에필요한지원을위해행정안전부과학기술정보통신부기획재정부조달청국가정보원클라우드컴퓨팅전담기관등관계부처합동의정책협의체를구성하여운영중에있습니다정책협의체는클라우드컴퓨팅서비스정보보호에관한기준클라우드컴퓨팅서비스품질성능에관한기준고시시 행와공공기관민간클라우드이용가이드라인 등제도적구 축과함께공공클라우드지원센터를통한공공분야의클라우드 도입을위한원스톱지원체계를마련하고있습니다 부처간조정 이필요한사항역시정책협의체에서결정하게됩니다 앞서언급한바와같이 공공기관이민간클라우드컴퓨팅서비스 이용에대한자체판단이어려울경우정책협의체에검토요청시 의견을제시하며 공공기관이자체판단결과정보자원등급평균 값에따라등급인경우에민간클라우드컴퓨팅서비스이용가능여부에대한의견을제시하게됩니다가이드라인은정책협의체가필요시해당공공기관의소속행정기관의의견을참고하여주내결과통보하도록되어있습니다 공공기관 정책협의체 ( 주무부처협의 ) 이용가능여부검토 공공기관 민간클라우드 이용자체검토 (Ⅲ) 통보, (Ⅱ) 검토요청 정보공유국정원보안성검토 (Ⅱ) 결과통보 민간클라우드 이용 - 53 - 분야별법령해설 53
보안성검토 공공기관은정보보호와관련하여중앙행정기관 광역지방자치단 체등상급기관에보안성검토를의뢰하여야하며국가정보보안기본지침제조에따라국가정보원에보안성검토를요청하여야합니다보안성검토요청을받은국가정보원은정보보호에관한사항을별도로검토하여의뢰한공공기관에통보합니다통보를받은공공기관은보안성검토결과에따라민간클라우드컴퓨팅서비스이용여부를결정합니다 국가정보보안기본지침제 조 제조클라우드시스템보안관리각급기관의장은클라우드컴퓨팅시스템을구축할경우국가공공기관클라우드컴퓨팅보안가이드라인을준용한보안대책을강구하여야한다각급기관의장은상용클라우드컴퓨팅시스템을활용하고자하는경우에는국가정보원장에게보안성검토를요청하여야한다 54 클라우드컴퓨팅주요법령해설서 - 54 -
과학기술정보통신부정보보안기본지침제조클라우드시스템보안관리각급기관의장은클라우드컴퓨팅시스템을구축할경우국가공공기관클라우드컴퓨팅보안가이드라인국가정보원을준용한보안대책을강구하여야한다각급기관의장은상용클라우드컴퓨팅시스템을활용하고자하는경우에는보안대책을마련하여과학기술정보통신부장관에게보안성검토를요청하고필요시과학기술정보통신부장관은국가정보원장에게보안성검토를의뢰하여야한다 제조보안성검토신청각급기관의장은다음각호의정보화사업을추진할경우에대하여자체보안대책을강구하고안전성을확인하기위하여사업계획단계사업공고전에서과학기술정보통신부장관에게보안성검토를요청하고필요시과학기술정보통신부장관은국가정보원장에게보안성검토를의뢰하여야한다비밀등중요자료의생산등록보관사용유통및재분류이관파기등비밀업무와관련된정보시스템및네트워크구축국가용보안시스템과상용암호모듈정보보호시스템을도입운용하고자할경우대규모정보시스템억이상또는다량의개인정보만명이상를처리하는정보시스템구축전력교통등국민생활과밀접한정보통신기반시설의중요제어시스템구축내부정보통신망을인터넷이나타기관전산망등외부망과연동하는경우업무망과연결되는무선네트워크시스템구축스마트폰클라우드등등첨단기술을업무에활용하는시스템구축업무망과인터넷망분리사업홈페이지등주요대국민서비스정보시스템구축정보보안관련법규제정또는개정하고자할경우그밖에과학기술정보통신부장관또는국가정보원장이보안성검토가필요하다고판단하는정보화사업보안성검토대상정보화사업에관한구체적인사항은정보화사업보안성검토대상처리구분부록을참조한다생략 - 55 - 분야별법령해설 55
과학기술정보통신부정보보안기본지침에따른보안성검토대상정보화사업은다음과같습니다국가정보원보안성검토대상정보화사업비밀국가안보정부정책과관련되는사업비밀등국가기밀의유통관리와관련된정보시스템구축외교국방등국가안보상중요한정보통신망구축재난대비등국가위기관리와관련된정보통신망구축에너지교통수자원등국가기반시설의전자제어시스템구축외국정부기관간정보통신망구축정상회의등국제행사를위한정보통신망구축정부정책을지원하는정보통신망구축 대규모예산투입과다량의자료를처리하는사업대규모정보시스템구축억이상정보화사업다량의개인정보만명이상를처리하는정보시스템구축지리환경정보등국가차원의통합구축 외부기관간망연동등보안상취약사업 다수기관이공동활용하기위한정보시스템구축및망연동 내부전산망또는폐쇄망을인터넷이나타기관의전산망등다른정보통신망과연동하는경우 원격근무지원시스템구축 보안정책과제및최신 기술적용 업무망 인터넷분리정보화사업 업무망 인터넷간자료교환시스템구축 보안관제센터보안관제시스템구축 업무망과연결되는무선네트워크시스템구축 스마트폰등첨단 기술을업무에활용하는시스템구축 그밖에국가정보원장및과학기술정보통신부장관이보안성검토가필요하다고판단하는정보화사업 56 클라우드컴퓨팅주요법령해설서 - 56 -
과학기술정보통신부보안성검토대상정보화사업 기존정형화된정보화사업홈페이지구축개선등웹시스템구축민원기자실등외부인용무선랜구축및무선랜공유기설치민원기자실내외부인용인터넷및교육장내설치인사관리복지관리시스템구축등인터넷등다른정보통신망과연결되지않은단순내부직원전용정보시스템구축주요기반시설취약점분석평가정보보안컨설팅등용역사업 단일기능의정보시스템구축회의용영상통화시스템등원격화상회의시스템구축주정차단속및하천감시용등시스템구축백업시스템구축대민콜센터시스템구축인터넷전화시스템구축 정보보호제품도입및전산 통신장비도입 교체 방화벽 관리시스템등정보보호제품도입 교체 스위치 라우터등네트워크장비및서버등전산장비도입 교체 전화 무전기및교환기등통신장비도입 교체 기타국정원에서 작성 배포한보안지침으로자체보안대책강구가가 능한정보화사업 - 57 - 분야별법령해설 57
클라우드컴퓨팅서비스제공자에대한검토 클라우드컴퓨팅서비스보안인증확인공공기관은클라우드컴퓨팅서비스이용에대한검토하는과정에서클라우드컴퓨팅서비스제공자가보안인증을받았는지를확인할필요가있습니다행정안전부과학기술정보통신부국가정보원은공공기관에안전성신뢰성이검증된민간클라우드컴퓨팅서비스를공급하기위하여클라우드컴퓨팅서비스정보보호에관한기준제조에근거 하여 년월부터클라우드컴퓨팅보안인증제도를마련하여 시행하고있습니다 클라우드컴퓨팅서비스정보보호에관한기준제조 제조정보보호기준의준수여부확인과학기술정보통신부장관은클라우드컴퓨팅발전및이용자보호에관한법률제조에따른기본계획년월일확정정보통신전략위원회상의보안인증제시행을위해클라우드컴퓨팅서비스제공자가그서비스가이기준을준수하는지확인을요청한경우에는정보통신망이용촉진및정보보호등에관한법률제조에따른한국인터넷진흥원의장이그서비스를조사또는시험평가하여인증할수있다 현재마련된보안인증제는정보기술 장비를빌려주는기본클 라우드컴퓨팅서비스만을대상으로하고있습니다향후운 영체제나애플리케이션응용프로그램등의클라우드컴퓨팅 서비스 까지영역을확대할예정입니다 58 클라우드컴퓨팅주요법령해설서 - 58 -
클라우드컴퓨팅서비스품질 성능확인 다음으로공공기관은클라우드이용에대한검토하는과정에서클라우드컴퓨팅서비스제공자가품질성능확인을받았는지를확인할필요가있습니다클라우드컴퓨팅서비스품질성능확인은클라우드컴퓨팅서비스품질성능에관한기준고시에따라클라우드컴퓨팅서비스제공자가갖추고있는서비스운영정책및관리체계가 품질 성능기준을만족하고있는지적절히운영되고있는지 여부를점검하고품질성능시험을통해클라우드컴퓨팅서 비스의기능제공및정상동작여부를확인하고 성능을측 정하여결과를검증합니다클라우드컴퓨팅서비스의품질 성능기준은가용성 응답성 확장성 신뢰성 서비스지속성 서비스지원 고객대응등총 개의항목으로구성되어있습니다 조달청나라장터등록여부확인 조달청은 년월 일부터클라우드컴퓨팅서비스구매를 위한입찰공고를나라장터 에게시하였습니다 와를구분하여는클라우드컴퓨팅서비스품질성능확인을받은상품는보안인증을받은상품을나라장터종합쇼핑몰에등록할예정입니다한편초기시장임을고려하여등록요건인납품실적건을건이상으로완화하고납품실적이없더라도동일한상품이나라장터에등록이되어있으면진입을허용할계획입니다 - 59 - 분야별법령해설 59
민간클라우드컴퓨팅서비스이용계약의체결 민간클라우드컴퓨팅서비스를이용하기로결정된경우에공공기관과클라우드컴퓨팅서비스제공자는세부이용조건을계약서와서비스수준협약서 (SLA) 등에따라정합니다. 클라우드컴퓨팅법등법령에명시된사항외에는계약서와서비스수준협약서가우선적용될수있습니다. 가이드라인은공공기관용표준계약서와서비스수준협약서를첨부하고있습니다. 해당정보자원및정보시스템의특성에맞게이용관계에서발생할수있는상황을대비하여, 서비스제공자의필수제공사항또는합의가필요한사항은계약서또는서비스수준협약서에포함하여체결할필요가있습니다. 공공기관이서비스제공자에게지나치게과도한의무를부담시키는계약은당사자가사이에분쟁이발생한경우에계약의효력에도영향이미칠수있어서주의가필요합니다. 60 클라우드컴퓨팅주요법령해설서 - 60 -
표준계약서 법제조표준계약서과학기술정보통신부장관은이용자를보호하고공정한거래질서를확립하기위하여공정거래위원회와협의를거쳐클라우드컴퓨팅서비스관련표준계약서를제정개정하고클라우드컴퓨팅서비스제공자에게그사용을권고할수있다이경우클라우드컴퓨팅서비스제공자이용자등의의견을들을수있다과학기술정보통신부장관이제항에따라표준계약서를제정개정하려는경우에는미리방송통신위원회의의견을들어야한다 클라우드컴퓨팅서비스에서는서비스의전문성으로인하여 이용 자가서비스제공자에종속되기쉽고서비스제공자가불공정한 계약조건을일방적으로제시할가능성이있습니다 이에서비스 제공자와이용자의이익을공정하게반영한표준계약서를마련 하여 클라우드컴퓨팅서비스제공자들에게표준계약서를권고함 으로써이용자를보호하는것이법제 조의취지입니다 과학기술정보통신부는클라우드컴퓨팅서비스공급사업자와이용 사업자간표준계약서 용자간표준계약서 와클라우드컴퓨팅서비스제공자와이 를마련하여과학기술정보통신부홈페 이지에게시하고있습니다 공공기관의클라우드컴퓨팅서비스이용과관련하여서는가이드라 인에서별도의표준계약서및서비스수준협약서를마련하고있 으나향후법제 조에따른표준계약서로통합될예정입니다 - 61 - 분야별법령해설 61
공공기관클라우드컴퓨팅서비스도입사례 1. 공공기관컨설팅사례과학기술정보통신부와한국정보화진흥원은 년 개공공기관 을대상으로정보시스템현황조사및민간클라우드컴퓨팅서비 스도입검토에대하여컨설팅을수행하였습니다 개기관총 개시스템을대상으로클라우드컴퓨팅서비스도 입검토를진행하였으며개기관의개시스템을대상으로 민간클라우드컴퓨팅서비스도입을권고하였습니다 62 클라우드컴퓨팅주요법령해설서 - 62 -
클라우드컴퓨팅서비스도입제안유형 개을소개합니다 서버가상화 가상화기반의서버자원활용극대화를통한운영효율성확보노후장비교체및자원통합관리를통한서버안정성유연성확보각시스템별로운영중인물리서버및정보자원을클라우드컴퓨팅환경으로전환하여운영효율성및경제성향상교통안전공단한국산업인력공단한국농어촌공사등 가변및단발성수요대응 정보자원가변적이용수용에대응이벤트성홈페이지에대한클라우드컴퓨팅서비스이용자원의필요만큼만할당받아자원운영및비용효율성극대화특정시기에수요가몰리는시스템과단발성수요시스템을클라우드컴퓨팅환경내에서탄력적확장축소하도록구현중앙선거관리위원회등 홈페이지통합 도메인별로분리된기관홈페이지들을통합하여자원공동이용자원공동이용을통한리소스활용효율성극대화서비스수요발생과정책결정에따라개별적으로구축된홈페이지를대표홈페이지중심으로통합하여클라우드컴퓨팅자원통합효과극대화노사발전재단수원시한국농어촌공사등 - 63 - 분야별법령해설 63
백업및재해복구체계구축 시스템재해복구의취약점극복을위한클라우드컴퓨팅기반의재해복구체계구축시스템안정성및연속성확보재해재난및보안등에대한위협에대응하기위한클라우드컴퓨팅기반의재해복구체계구축으로시스템연속성보장근로복지공단한국서부발전주등 기반의업무환경 기관내소통협업환경구현을위해클라우드컴퓨팅기반의스마트업무환경구현업무효율증대와업무공간의제약해소업무환경개선과단기적인클라우드컴퓨팅서비스도입효과달성을위해기반의공유협업솔루션도입추진한국가스공사한국사회적기업진흥원한국철도시설공단등 클라우드컴퓨팅플랫폼도입 하드웨어및소프트웨어자원의공동활용과설치구동자동화환경구현비용절감및개발생산성극대화시스템규모가큰단일시스템유연한스케일링확보등을위해클라우드컴퓨팅플랫폼도입및환경고도화추진서울특별시안전보건공단등 64 클라우드컴퓨팅주요법령해설서 - 64 -
2. 공공기관클라우드컴퓨팅서비스도입선도프로젝트사례 중앙선거관리위원회 선거관리클라우드컴퓨팅서비스 한국연구재단 클라우드컴퓨팅서비스기반온라인과제접수 한국정보화진흥원클라우드컴퓨팅서비스기반초중고교육 - 65 - 분야별법령해설 65
평창동계올림픽조직위원회 국가대형이벤트 대구광역시 지자체대민서비스 헌법재판소 클라우드컴퓨팅서비스기반백업시스템 한국어촌어항협회하이브리드클라우드컴퓨팅서비스기반통합업무시스템 66 클라우드컴퓨팅주요법령해설서 - 66 -
국립공원관리공단 노후장비클라우드컴퓨팅서비스전환 한국정보화진흥원 공공기관스마트협업클라우드컴퓨팅서비스 국회도서관 국가학술정보클라우드컴퓨팅서비스 정보통신기술진흥센터 국가연구개발클라우드컴퓨팅서비스 - 67 - 분야별법령해설 67
금융분야 정보처리의업무위탁 금융업무위탁가능에따른클라우드컴퓨팅서비스이용금융분야는년월부터국외회사등제자에대한정보처리업무위탁이가능해짐에따라금융분야에서도클라우드컴퓨팅서비스를이용하는것이원칙적으로가능해졌습니다이전에는전산설비및정보처리의국외위탁과재위탁은사전승 인을받아야하고 위탁대상을제한하는등위탁을원칙적으로 금지하는규정때문에위탁을본질로하는클라우드컴퓨팅서비스이용이불가능하였습니다기존금융회사의정보처리및전산설비위탁에관한규정이금융회사의정보처리업무위탁에관한규정으로개정되면서클라우드컴퓨팅서비스이용이가능하게되었습니다 금융회사의정보처리업무위탁에관한규정 주요내용 68 클라우드컴퓨팅주요법령해설서 - 68 -
개정전자금융감독규정주요내용 전자금융감독규정 개정 금융위원회는클라우드컴퓨팅등새로운 기술및핀테크산업 발전등변화된현실에맞게관련규제를개선하였습니다 금융회사는고객정보처리시스템을제외한일부전산시스템에대 하여클라우드컴퓨팅을이용할수있도록지정하고 지정된시스 템에대해서는물리적망분리등클라우드컴퓨팅관련전자금융 감독규정을적용하지않도록하였습니다 개정전자금융감독규정의구체적내용 비중요정보처리시스템의지정기준과절차를정하고 비중요정 보처리시스템으로지정될경우에물리적망분리등의적용을배 제하여클라우드컴퓨팅서비스를이용할수있도록하였습니다 - 69 - 분야별법령해설 69
중요한것은비중요정보처리시스템지정기준입니다전자금융감독규정은전자금융거래의안정성및신뢰성에미치는영향이낮은시스템으로서고유식별정보또는개인신용정보를처리하지않는정보시스템으로만규정하고있습니다제조의제항또한정보보호시스템의원격관리제한을완화하였습니다 70 클라우드컴퓨팅주요법령해설서 - 70 -
금융회사는비중요정보처리시스템을지정하기위해서정보보호 위원회의심의의결을거쳐야합니다제조의제항 금융회사는비중요정보처리시스템을지정한날로부터일이내에금융감독원장이정하는양식에따라정보자산중요도평가기준지정결과관리방안등을포함한보고서를금융감독원에제출하여야합니다제조의제항 금융감독원장은금융회사가제출한보고서를검토한결과 평가 기준 지정결과 관리방안등이적합하지않다고판단되는경우 에는금융회사에게개선 보완을요구할수있습니다제 조의 제항 비중요정보처리시스템지정절차 비중요정보처리시스템만위치한전산실에대하여는다음요건이적용되지않습니다제조의제항국내에본점을둔금융회사의전산실및재해복구센터는국내에설치할것제조제호무선통신망을설치하지아니할것제조제호전산실내에위치한정보처리시스템과해당정보처리시스템의운영개발보안목적으로직접접속하는단말기에대해서는인터넷등외부통신망으로부터물리적으로분리할것제조제항제호 - 71 - 분야별법령해설 71
비중요정보처리시스템지정제 조의 금융회사또는전자금융업자는자체적으로수립한정보자산중요도평가기준에따라전자금융거래의안전성및신뢰성에미치는영향이현저히낮은정보처리시스템을비중요정보처리시스템으로지정할수있다다만개인의고유식별정보또는신용정보의이용및보호에관한법률에따른개인신용정보를처리하는정보처리시스템은비중요정보처리시스템으로지정할수없다금융회사또는전자금융업자는제항에따라비중요정보처리시스템지정시제조의에따른정보보호위원회의심의의결을거쳐야한다금융회사또는전자금융업자는제항에따라비중요정보처리시스템을지정한날로부터일이내에금융감독원장이정하는양식에따라정보자산중요도평가기준지정결과관리방안등을포함한보고서를금융감독원에제출하여야한다금융감독원장은제항에따라제출한보고서를검토한결과평가기준지정결과관리방안등이적합하지않다고판단되는경우에는금융회사또는전자금융업자에대하여개선보완을요구할수있다제항의비중요정보처리시스템만위치한전산실에대해서는제조제호및제호제조제항제호를적용하지아니한다 금융권클라우드컴퓨팅서비스이용 금융보안원은금융권클라우드서비스이용가이드 을 통해비중요정보처리시스템의지정기준 클라우드컴퓨팅서비스 제공자선정클라우드컴퓨팅서비스이용시보호대책재해복구 및침해사고대응관리등을안내하고있습니다 또한금융회사가클라우드컴퓨팅서비스제공자와계약체결을할 때에고려사항도함께규정하고있습니다 72 클라우드컴퓨팅주요법령해설서 - 72 -
- 73 - 분야별법령해설 73
비중요정보처리시스템의개요 비중요정보처리시스템 지정 금융회사의정보처리시스템이물리적망분리의무등의예외에 해당하여클라우드컴퓨팅서비스를이용하려면비중요정보처리 시스템으로지정되어야합니다 핵심은어떤경우에비중요정 보처리시스템으로지정될수있는지에대한기준입니다전자금융감독규정은금융회사가자체적으로수립한정보자산중요도평가기준에따라전자금융거래의안전성및신뢰성에미치는영향이현저히낮은정보처리시스템을비중요정보처리시스템으로지정할수있도록하였습니다 개인의고유식별정보 전자금융감독규정은별도정의를두고있 지않으나개인정보보호법에서규정한주민등록번호여권번호운전면허번호외국인등록번호를의미또는신용정보의이용및보호에관한법률에따른개인신용정보를처리하는정보처리시스템은비중요정보처리시스템으로지정할수없습니다처리되는정보중에개인의고유식별정보또는개인신용정보예 를들어 개인고객의금융거래정보가포함되어있다면비중요정 보처리시스템으로지정할수없습니다 다만전자금융감독규정 의요건을모두준수할수있다면비중요정보시스템으로지정하 지않아도클라우드컴퓨팅서비스이용이가능합니다 금융회사는자체수립한평가기준에따라비중요정보처리시스템 지정결과 관리방안등을포함한보고서를금융감독원에제출하 74 클라우드컴퓨팅주요법령해설서 - 74 -
며금융감독원에서는금융회사의평가기준지정결과관리방안 등을종합적으로검토하여적합하지않은경우해당금융회사에 게개선보완을요구할수있습니다 비중요정보처리시스템의적용 각금융회사는소유하고있는정보의종류와범위 관리방안등이 서로상이합니다 어떤정보처리시스템을비중요정보처리시스템 으로지정할수있는지즉 어떤시스템이전자금융거래의안전성 및신뢰성에미치는영향이현저히낮은시스템인지에대해서는 개별금융회사가자체적으로정한평가기준에따라비중요정보 처리시스템을지정할수있습니다 전자금융감독규정개정이후 국내금융회사는전자파일배포시 스템보험계리분석시스템계열사공동시스템등을비중요정보 처리시스템으로지정하여클라우드컴퓨팅서비스를이용하고있습 니다 국내금융권클라우드컴퓨팅서비스도입현황예시 금융회사 서비스적용대상 서비스목적 은행 전자서식파일배포시스템 은행에서사전등록한고객용서식파일을단말에배포 증권 장외파생상품평가분산처리시스파생상품정보와시장데이터를분템석하여시뮬레이션 생명 보험계리분석시스템 변액보험리스크관리 화재 계열사공동이메일시스템 이메일커뮤니케이션일정 작업관리등 카드 회사소개및이벤트소개시스템 회사소개이벤트안내등 - 75 - 분야별법령해설 75
금융보안원은금융회사가자율적으로참고할수있도록금융권 클라우드서비스이용가이드를통해서클라우드컴퓨팅서비스를 이용할수있는비중요정보처리시스템을예시하여제안하고있 습니다 주로고객들의고유식별정보또는개인신용정보를처리 하고있는지여부를기준으로예시하고있습니다 클라우드컴퓨팅서비스이용가능불가능사례 클라우드컴퓨팅서비스 가능 정보처리시스템예시 고유식별정보또는개인신용정보를처리하지않는시스템 홍보용홈페이지실시간주식시세데이터제공시스템인터넷메일시스템서비스데스크리스크관리파일배포서버내부직원교육용시스템비업무용인터넷전용계리시스템국제회계기준관련시스템 전자금융거래와관련없는회사내직원정보처리하는시스템 인사관리시스템그룹웨어회계시스템 회계정보를 개인정보비식별조치가이드라인을준수하여비식별화된고유식별정보또는개인신용정보를처리하는시스템 장외파생상품가격평가시스템빅데이터기반통계시스템 분석 불가 고유식별정보또는개인신용정보를처리하는시스템 인터넷뱅킹증권거래시스템자금세탁방지 시스템 고유식별정보또는개인신용정보를송신 수신 전달하는 시스템 금융서비스를위한웹서버또는채널시스템 76 클라우드컴퓨팅주요법령해설서 - 76 -
해외도입현황 해외에서는계열사간협업리스크관리데이터분석등에클라 우드컴퓨팅서비스를이용하고있습니다 출처금융권의클라우드컴퓨팅서비스도입사례와전망금융지주경영연구소일부수정 - 77 - 분야별법령해설 77
의료분야 의료법개정 의료법시행규칙개정및전자의무기록의관리보존 에필요한시설및장비에관한기준의시행 으로의료 분야에서클라우드컴퓨팅서비스가가능하게되었습니다 전자의무기록의관리보존에필요한시설과장비등 의료법시행규칙제 조 의료인이나의료기관의개설자는법제조제항에따라전자의무기록을안전하게관리보존하기위하여다음각호의시설과장비를갖추어야한다전자의무기록의생성저장과전자서명을검증할수있는장비생략전자의무기록의백업저장장비생략의료기관법제조에따라부대사업을하는장소를포함한다외의장소에제호에따른전자의무기록의저장장비또는제호에따른백업저장장비를설치하는경우에는다음각목의시설과장비가전자의무기록시스템의동작여부와상태를실시간으로점검할수있는시설과장비나전자의무기록시스템에장애가발생한경우제호및제호에따른장비를대체할수있는예비장비다폐쇄회로텔레비전등의감시장비라재해예방시설제항각호에따라갖추어야하는시설과장비에관한구체적인사항은보건복지부장관이정하여고시한다 78 클라우드컴퓨팅주요법령해설서 - 78 -
종래의료법령에서는환자의의료정보를클라우드에저장하기어 려웠었습니다개인정보유출등을방지하기위한제도적기술적 장치부족과 환자의생명과직결되는만큼안전성에대한신뢰 부족이클라우드도입에부정적영향을미쳤습니다클라우드컴퓨팅은의료및헬스케어산업에서비용절감과서비스품질향상을위해그리고의료기관을효율적으로운영할수있는중요한방안으로떠오르고있습니다 의료및헬스케어산업에서는병원의료정보시스템 전자의 무기록영상정보관리시스템처방전달시스템등과같은솔루션을도입해과거보다간소화되고정확해진워크플로우를구축할수있습니다분초를다투는응급상황시의료기관내타부서간혹은타의료기관간보유하고있는환자의진료및처방정보를교류할수있게된다면신속하고정확한처치를할수있습니다 전자의무기록의보관의무 의무기록의작성및보관의무 의료법은의료인과의료기관에게진료기록의작성및보관의 무를규정하고있습니다 진료기록의작성은의료인이하도록하 고있는데비해 진료기록의관리는의료기사등에관한법률 상의의무기록사가하도록하고있습니다 - 79 - 분야별법령해설 79
그러나동네병원과같은소규모의료기관에는의무기록사의고용의무가없어서의무기록관리에일부취약한실정입니다전자의무기록의작성및보관건강보험심사평가원에따르면우리나라의료기관전자의무기록 보급률은 로매우높지만시스템관리전담부서를 두고있는기관은전체기관중전담인력은명수준이 었으며대부분차병원입니다 전자의무기록의활성화를통하여의사는환자의진료기록을일 일이수작업으로하던것에서벗어나환자기록 나엑스레이 필름이미지 각종데이터를종합적으로관리하고검색하여신속 하고정확한의료서비스를제공할수있게되었습니다 그러나의료정보의침해위험에더욱노출될수있는문제점도 증가합니다 의료정보의보관은더욱더안전성과신뢰성을담보 할수있는시설과장비를구비해야합니다 현재동네병원등차의료기관의의료정보보관및관리수준 은일반직원의 에서이루어져일부관리가어려운부분이있 습니다 특히랜섬웨어등보안위협에따라데이터손실의위험 도상존함에따라클라우드컴퓨팅서비스는전자의무기록의보관 방법의좋은대안이됩니다 80 클라우드컴퓨팅주요법령해설서 - 80 -
클라우드컴퓨팅서비스활용 새로운대안으로서클라우드컴퓨팅서비스종래전자의무기록을병원내부에만저장하도록통제하였던것은환자의진료정보가유출될우려때문이지만보안관리인력이부족한소규모의료기관에서는정보유출의위험성이더욱증가한다는지적에따라전자의무기록을의료기관외부에보관 할수있도록법령이정비되었고 그방법의하나로서클라우드 컴퓨팅서비스가제안되고있습니다의료정보를클라우드같은외부저장소에저장할경우통합관리가가능하며정보관리와보안이취약한중소병원동네의원은보관관리전문기술을활용해보안수준을높일수있습니 다 집으로비유하면개인장롱속에보관하던귀중품을은행금 고에저장하는격입니다 최신기업용클라우드컴퓨팅서비스는 전문인력이일시간모니터링하며데이터저장수집분석등활용측면에서도용이하게설계되어있습니다클라우드컴퓨팅서비스가이용가능하도록제도개선전자의무기록의관리보존에필요한시설및장비에관한기준보건복지부고시제호시행을통하여정보보호를위한필수시설과장비기준을충족하는외부업체또는원격지에전자의무기록을관리보관할수있게되었습니다전자의무기록의외부보관방법으로의료기관자체외부설비의료기관공동이용설비전문기관보유설비등이가능하여 - 81 - 분야별법령해설 81
기업이운영하는데이터센터나클라우드컴퓨팅서비스를이용할수있습니다전자의무기록보관시스템을종래자체구축에서클라우드방식으로전환할경우병원은별도의서버없이웹으로접속해시스템을이용할수있고시스템운영관리보안등별도인력을내 부에둘필요가없으며 서비스를이용한만큼비용을지출함으 로써비용절감이가능합니다 종래는전자의무기록을병원내부에서만저장하도록통제 개정전의료법시행규칙제조는전자의무기록의생성과전 자서명을검증할수있는장비 전자서명후전자의무기록의변 경여부를확인할수있는장비그리고복제 저장에필요한백 업장비를갖추도록하되이백업저장시스템이네트워크에연결 되지않아야된다고함으로써 전자의무기록의보관은사실상의 료기관내부로제한되었습니다전자의무기록의보관을의료기관내부로제한하였던이유는환자의정보가외부로유출되지않도록하여정보유출사고의위험성을최소화하기위한것이었습니다 클라우드방식의의료서비스진화 클라우드기반에의한의료서비스의발전 클라우드와빅데이터등의신기술이의료및헬스케어산업에 도입되면의료서비스수준이보다향상될것으로기대됩니다 82 클라우드컴퓨팅주요법령해설서 - 82 -
의무기록등의데이터를클라우드를통해저장하면의사 환자가 필요로하는정보를손쉽게활용해의료서비스수준이개선될 수있으며축적된데이터를분석해새로운의료서비스를제공해 줄수있을뿐아니라다양한예측활동도가능해집니다 의료기관은보안거버넌스컴플라이언스요건을따르면서클라 우드컴퓨팅서비스를이용할수있습니다 사례가천대길병원, 왓슨도입 가천대길병원은년월왓슨포온콜로지를국내도입하였습니다클라우드컴퓨팅서비스기반의플랫폼왓슨은방대한분량의정형및비정형데이터를분석하여의사들이암환자들에게데이터에근거한개별화된치료옵션을제공할수있도록지원합니다왓슨은개이상의의학학술지개이상의의학교과서를포함해거의만페이지에달하는의료정보를학습했고의사들은왓슨을활용해전문가검토가이루어진연구결과와임상가이드라인및전문가소견을확인할수있습니다왓슨포온콜로지는클라우드컴퓨팅서비스기반의서비스형소프트웨어를통해가천대길병원에제공되며의사들이국내에서필요에따라왓슨의역량에접근할수있습니다설비는미국본사에있으며모든절차는인터넷을통한클라우드컴퓨팅서비스방식으로진행됩니다환자의개인정보보호를위해데이터는가천대길병원에서보관하며특정개인을직접식별할수있는정보는왓슨에제공되지않는다고합니다출처뉴스 환자관리솔루션고객관계관리솔루션을중심으로한클라우드컴퓨팅서비스를제공하는기업인미국의세일즈포스닷컴은최근클라우드기반의환자관리솔루션인세일즈포스헬스클라우드를도입한바있습니다세일즈포스헬스클라우드는진료기록웨어러블에서측정되는건강기록등각종의료기록을통합저장관리해주는 - 83 - 분야별법령해설 83
솔루션으로고객인의료기관은언제어디서나클라우드에접속 해필요한정보를내려받거나올릴수있습니다 사례고대안암병원, 헬스클라우드구축 고대안암병원은국내병원중처음으로헬스케어분야전용클라우드플랫폼인고대안암헬스클라우드를구축하였습니다이번플랫폼은과학기술정보통신부와한국정보화진흥원이주도해고대안암병원과크로센트가함께개발한파스타라는개방형클라우드플랫폼을적용하였습니다안암병원은이번사례가국내병원중인프라플랫폼서비스를모두구현한첫사례이며국내모든병원에헬스케어클라우드구현기술과노하우를제공해빅데이터사물인터넷을접목한디지털헬스케어플랫폼으로발전시킬것이라고합니다출처한국경제 정밀의료 정밀의료는유전체정보진료임상정보생활습관정보등을통 합분석해환자특성에맞는맞춤형의료서비스를제공하는것 을말하며 진료의정확도와치료효과를동시에높일수있는 새로운의료패러다임으로최근각광받고있습니다 84 클라우드컴퓨팅주요법령해설서 - 84 -
정밀의료를위해서는국민의진료정보생활습관정보유전정보 를수집축적하고 병의원및제약기업등이공동활용할수있 도록연구자원연계활용시스템을구축해야하는데여기에는병 원과병원간클라우드컴퓨팅서비스기반의진료정보교류가중 요한방법이될수있습니다 사례국립암센터, 클라우드컴퓨팅서비스이용개시 국립암센터는년월와클라우드빅데이터기반정밀의료분야업무협약을체결하고환자유전체정보및임상유전정보등을통합관리하는데클라우드컴퓨팅서비스를이용하기로하였습니다경기도고양시에위치한국립암센터는진행성주요암환자에대한유전체검사분석을통해암환자진단법과치료제개발에집중하고있습니다년월생명윤리및안전에관한법률시행령개정유전자종금지목록에서삭제에따라민간유전자검사기관의소비자직접의뢰유전자검사가허용되었으며개인정보가포함되지않은유전자검사를퍼블릭클라우드컴퓨팅서비스로이용하고있습니다 클라우드컴퓨팅서비스가갖추어야할세부조치 전자의무기록보관관리를위해클라우드컴퓨팅서비스를제공하 고자할경우에는백업저장장비나네트워크전자의무기록시스템 보안장비등의료기관이갖춰야하는시설과장비 보관시조 치사항등을준수해야합니다 무중단백업및복구가가능해야하고 침입탐지시스템등보안솔 루션은인증을받은제품을사용해야하며출입통제구역과 설치운영도필수적입니다 전자의무기록시스템및백업장비의물리적위치는국내로한정하 - 85 - 분야별법령해설 85
고있으며물리적혹은그에준하는논리적포함둘이상의회 선을분리해이중화네트워크를구성해야합니다 구체적인내용 은아래표와같습니다 전자의무기록의관리보존에필요한시설장비의세부기준 목적별시설과장비 전자의무기록생성및전자서명 백업저장장비 네트워크및전자의무기록시스템보안 물리적접근방지시설과장비 외부보관시필요시설과장비 기본사항 전자의무기록생성 저장및전자서명검증 전자의무기록이력관리 주기적백업 잠금장치가구비된보관장소 접근통제및권한제한 개인정보의암호화 접속기록의보관 보안프로그램설치등 보관시설의마련 잠금장치의설치등 클라우드컴퓨팅서비스이용시추가조치 무중단백업및긴급복구 백업데이터위변조방지 백업설비분리운영 네트워크이중화 인증된보호제품사용 데이터무결성보장 접근통제시스템구성 데이터관리방안마련등 출입통제구역설치 출입통제및모니터링 장비소재지국내로한정 실시간모니터링 장애대비예비장비운영 CCTV설치 운영 침입감지장비운영 재해예방시설설치등 클라우드컴퓨팅서비스와같이의료기관외부에전자의무기록을보관할때에필요한추가조치의세부내용은다음과같습니다 구분세부조치내용 - 전자의무기록등의정보를백업할경우, 전자의무기전자의무기시스템록시스템을중단하지않고백업업무를할수있도록의백업무중단백업록장비를마련하여야한다. 저장장비백업데이터 - 백업된데이터는필요시신속하게복구될수있도 86 클라우드컴퓨팅주요법령해설서 - 86 -
구분세부조치내용 긴급복구록관련된시스템및관리절차를갖추어야한다. 네트워크보안에관한시설과장비전자의무기록시스템보안에관한시설과장비 백업데이터위 변조방지백업설비의물리적분리이중화된네트워크의구성네트워크보호시스템운영인증된정보보호 보안제품의사용데이터및소프트웨어의무결성보장및암호화접근통제강화를위한시스템의구성등 - 백업된데이터의위 변조및비정상적으로삭제되지않도록백업데이터의보호조치를하여야한다. - 백업을위한장비및시스템은전자의무기록시스템을위한장비및설비와분리하여운영되어야한다. - 의료데이터전송을위한이중화된네트워크를구성하여야하며아래조건을충족하여야한다. 물리적또는그에준하는 ( 논리적포함 ) 둘이상의회선분리 둘이상의경로를제공하는내부망구성 라우터의이중화구성 장애발생시에도지속적인서비스제공대책수립 - 침입차단시스템, 침입탐지시스템등인증된정보보호시스템을운영하여내 외부네트워크를보호하여야한다. - 정보보호제품중 CC 인증이필수적인제품군은 CC인증을받은제품을사용하여야한다. - 전자의무기록및소프트웨어의무결성을확인하여야하며, 데이터처리에대한위변조방지등보호기능을제공하여야한다. - 전자의무기록시스템운영을통해관리되고있는중요정보에대해암호화하여야한다. - 안전성및신뢰성향상을위해필요한외주개발보안, 시스템주기적모니터링, 시각동기화등기술적보호조치를위한시스템 ( 장비 ) 을구성하여야한다. - 비인가자의접근을통제할수있도록접근통제영역및범위, 접근통제규칙, 방법등을포함하여접 - 87 - 분야별법령해설 87
구분세부조치내용 근통제정책을별도수립하여야한다. 데이터관리방안 수립및모니터링 - 데이터무결성을보장하기위한보호조치및데이터변경에대한관리방안을마련하고, 모니터링하여야한다. - 데이터훼손 유출이발생한경우, 이를즉시의료기관에통보하여야한다. 전자의무기록보존장소에대한물리적접근방지시설과장비 출입통제구역의설치출입통제및현황정보모니터링 - 전자의무기록시스템이위치한공간의출입통제가가능해야한다. - 전자의무기록시스템이위치한보호구역내에서의작업절차를수립하고작업에대한기록을주기적으로검토하여야한다. - 출입통제및이력관리시스템을갖추어출입자 ( 권한 ) 별감사기록을생성, 저장하여야하며, 출입통제시스템에대한접근통제및암호화기능을갖추어야한다. 물리적위치의 한정 - 전자의무기록시스템및그백업장비의물리적위 치는국내로한정한다. 전자의무기록시스템을실시간으로점검할수있는시설과장비예비장비 전자의무기록시스템실시간점검네트워크시스템모니터링보조시스템운영 - 전자의무기록시스템의전산자원 (H/W) 및소프트웨어 ( 프로그램 ) 의동작여부와상태를점검할수있는장비를갖추어, 이상이발생한경우이를기록하여관리자에게알려주어야한다. - 스위치 라우터등네트워크장비에서발생하는트래픽을기록하고실시간으로네트워크상태를점검할수있어야한다. - 전자의무기록시스템장애시안정적인서비스제공을보장할수있도록보조서버가작동 운영될수있어야한다. 88 클라우드컴퓨팅주요법령해설서 - 88 -
구분세부조치내용 폐쇄회로텔레비전등의감시장비재해예방시설 CCTV 설치운영외부침임감지장치설비운영출입현황정보의확인화재경보장치소화장치수재예방설비전원공급시설온도및습도유지 - 전자의무기록관리시설은사각지대없이 24 시간 CCTV 실시간촬영 ( 월단위백업 ) 이되어야한다. - CCTV 시스템에대한접근통제정책을마련하여야 한다. - 아래조건을충족하는침입감지장치를설치운영하 여야한다. 침입감지시관리자에게신속히알리는기능 침입감지, 경보장치와연결된침입발생위치확인 기능 - 출입통제장치로부터출입현황정보를확인할수있 는장비를갖추어야한다. - 정당한관리자만이감사기록을조회하고, 감사기록 을백업한다. - 화재발생에대비하여연기감지장치, 온도감지장치 등의설비를갖추어야한다. - 소규모및대규모화재에대비한소화장치를구비 하되, 시스템에악영향을미치지않는소화약제를 사용하여, 시스템의오작동에대처하여야한다. - 시스템및네트워크설비등이물에노출되지않도 록바닥으로부터이격하여설치하고콘센트등전 원접속장치는바닥으로부터이격하여설치하여야 한다. - 정전발생시지속적인업무의수행이가능하도록추 가연료보충없이 2 시간이상발전할수있는자가 발전설비, 30 분이상전원을공급해줄수있는무 정전전원공급장치 (UPS) 설비를갖추어야한다. - 온도및습도를일정하게유지하기위한항온 항습 장비를갖추어시스템의오작동에대비할수있어 야한다. - 89 - 분야별법령해설 89
논리적망분리와클라우드컴퓨팅서비스 망분리는주요정보가유통되는업무망과외부연결된인터넷망 을분리해사이버공격이나자료유출을막는개념입니다 물리 적망분리는클라우드컴퓨팅서비스이용의전제조건인인터넷이용이가능한인터넷컴퓨팅기능을제한하기때문에퍼블릭클라우드컴퓨팅서비스의이용이어려워질수있습니다그러나논리적망분리는컴퓨터한대에데스크톱가상화기술 을이용하여내 외부네트워크를분리시키는방법이기때문에 클라우드기반서비스이용이가능해집니다 개정된의료법시 행규칙과전자의무기록의관리 보존에필요한시설과장비에 관한기준에서전자의무기록의관리 보존에클라우드컴퓨팅서 비스라는표현이규정되어있지않음에도불구하고클라우스서비스이용이가능하다고해석되는것은바로이러한이유입니다물리적위치는국내로한정하는것의의미전자의무기록시스템및그백업장비의물리적위치는국내로한정하도록하고있는것은국내환자의의료정보를보호하기위한조치입니다 물리적보안사고발생시사고의즉시대응 조사및복구를신속 히하고의료정보유출을최소화하기위한대책입니다 90 클라우드컴퓨팅주요법령해설서 - 90 -
사례해외의료클라우드컴퓨팅이용 미국 당뇨병환자를위한서비스웰덱은미국식품의약국 의승인을받 아수가체계를인정받은의료헬스케어서비스로의료기관에서환자본인의동의하 에민간보험회사와연계환자의혈당등정보를클라우드에저장하면이를민간 보험사가분석해병원에전송합니다 전송된데이터를받은의료기관은데이터에 따라환자에게처방을내려건강을관리할수있습니다또환자들은자신과유사 한증상의환자들이모인커뮤니티를활용해 와같이활용할수도있습니다 이와같은사례는환자가클라우드를데이터의저장공간으로활용하고민간보험 사의입장에서는 로활용하며의료기관에서는 로활용하는대표적인사례 입니다 일본클라우드를이용한의료서비스가늘어나고있습니다국내와의료환경이유사한일본은국내와는달리일찌감치법개정에나서면서클라우드를의료헬스케어산업에접목했습니다후지쯔는지난년의료기관대상으로재택의료및개호지원서비스왕진선생의서비스를시작했습니다이서비스는클라우드를통해진료소와의사간호사개호직원의정보공유등협력을강화해업무효율화를지원합니다가정방문으로환자집으로이동하는의사의왕진경로일정관리에서방문장소와시간등을설정하면지도에집의위치와환자당왕진시간을토대로최적의경로를제공합니다로왕진중인의사의소재를파악할수있는만큼응급상황발생시가장가까운곳에위치한의사를파견하는등신속한대응이가능합니다 중국대형병원과지역건강정보시스템을통해개인의건강관리프로그램등을중심으로클라우드기술의시범도입이이뤄지고있습니다지역건강정보시스템은다양한헬스케어관련조직들사이에데이터교환과협업이필요하다는점에서클라우드기술을통해가장많은혜택을얻을것으로기대하고있고지역건강정보시스템구축과관련해다양한기관들의협업을위한클라우드기술도입이널리확대될전망입니다구체적으로중국의료정보화시장의대기업인진디에의료는지난해억만위안의자금을동원해의료위생정보화경험을가진광저우후이통을인수합병하고모바일기업화웨이와합작하면서의료클라우드전략을발표하며중국내의료기관에클라우드컴퓨팅을비롯한스마트파이프이동단말을기반으로하는정보화솔루션을제공하고있습니다출처컴퓨터월드 - 91 - 분야별법령해설 91
교육분야 정부의교육분야클라우드컴퓨팅도입책무 클라우드컴퓨팅법제 조에서규정하고있는국가기관등의클라 우드컴퓨팅도입촉진의국가기관등에는교육부및그산하기 관시도교육청및그산하기관초중등교육법고등교육법 및그밖의다른법률에따라설치된각급학교등이포함됩니다 이러한교육기관도클라우드컴퓨팅법에따라클라우드컴퓨팅을도입하도록노력할의무가부여됩니다또한학교교육의소관부처인교육부나국가정보화정책의소관부처인과학기술정보통신부를포함한정부는국가정보화기본법에따른국가정보화정책이나사업추진에필요한예산을편성할때에는클라우드컴퓨팅도입을우선적으로고려하여야합니다 국가기관등의클라우드컴퓨팅도입촉진제 조 국가기관등은클라우드컴퓨팅을도입하도록노력하여야한다정부는국가정보화기본법에따른국가정보화정책이나사업추진에필요한예산을편성할때에는클라우드컴퓨팅도입을우선적으로고려하여야한다 92 클라우드컴퓨팅주요법령해설서 - 92 -
교육기관의민간클라우드컴퓨팅서비스이용촉진 정부는교육기관이업무를위하여클라우드컴퓨팅서비스제공자 의민간클라우드컴퓨팅서비스를이용할수있도록노력하여야 합니다 교육기관이민간클라우드컴퓨팅서비스를이용할수있도록정부 에노력의무를부과하는법적근거는클라우드컴퓨팅법제 조 외에도국가정보화기본법에규정되어있습니다제조의제 항및제항 국가정보화기본법은민간데이터센터의구축 및활성화시책및민간데이터센터에대한지원에관한사항도 규정하고있습니다 공공기관의클라우드컴퓨팅서비스이용촉진제 조 정부는공공기관이업무를위하여클라우드컴퓨팅서비스제공자의클라우드컴 퓨팅서비스를이용할수있도록노력하여야한다 사례정부, 9 개대학 125 개초중고에클라우드지원 과학기술정보통신부는공공부문대학민간클라우드선도활용사업지원대상으로건국대경희대등개대학을선정해클라우드서비스도입을지원합니다이사업은민간클라우드이용을통해교육의효율성과질적수준을높이기위해올해처음마련되었습니다년월부터신청을받은결과모두개대학이신청했으며이중건국대경희대공주대동국대동서대서울대부산대세종대한동대등개학교가올해지원대상으로선정되었습니다정부는이대학들에소프트웨어교육수강신청온라인강의평가등을할수있는서비스형소프트웨어와클라우드기반웹서비스를위한인프라제공서비스이용료등으로대학당천만원정도를지원할예정입니다이와함께과기정통부는소프트웨어교육콘텐츠제공및과제관리클라우드서비스인디지털스쿨백팩보급을개초중고등학교를대상으로확대합니다디지털스쿨백팩은년개교지난해개교가이용했습니다출처한겨레신문 - 93 - 분야별법령해설 93
클라우드컴퓨팅서비스제공자가교육기관에그업무를위하여민 간클라우드컴퓨팅서비스를제공하는경우에는클라우드컴퓨팅 법제 조제항에따라제정된클라우드컴퓨팅서비스정보보 호에관한기준에따른정보보호조치를취하여야하며 특히제 조에따른공공기관용추가보호조치를취하여야합니다교육기관이민간의클라우드컴퓨팅서비스를이용할수있도록노력하는경우에도공공부문의사이버안전을확보하기위하여전자정부법제조국가정보화기본법제조의국가사이버 안전관리규정 및국가공공기관클라우드컴퓨팅보안가이드라 인을준수하여야합니다 또한교육부의정보보안기본지침도 준수해야합니다교육기관이민간클라우드컴퓨팅서비스를이용하고자하는경우에는행정안전부의공공기관민간클라우드이용가이드라인에의한절차에따라이용이가능합니다각급학교학생들의교육을지원하기위한상용클라우드컴퓨팅 서비스는해당기관장책임하에이용가능합니다 그리고상용 클라우드컴퓨팅서비스를활용하고자할경우에는보안성검토를 거쳐야합니다 94 클라우드컴퓨팅주요법령해설서 - 94 -
교육부정보보안기본지침 제조인터넷보안관리메신저웹하드등업무에무관하거나불필요한등보안에취약한프로그램과비인가프로그램장치의설치금지단각급학교학생들의교육을지원하기위한상용클라우드서비스는해당기관장책임하에이용가능 제조클라우드시스템보안관리각급기관의장은상용클라우드컴퓨팅시스템을활용하고자할경우에는제조보안성검토신청에따라보안성검토를실시하여야한다 제 조보안성검토신청 각급기관의장은다음각호의정보화사업을추진 할경우에대하여 교육부장관을경유하여국가정보원장에게보안성검토 를의뢰하여야한다 스마트폰클라우드등첨단 기술등을업무에활용하는시스템구축 원격교육설비기준개정 고등교육법제조제호사이버대학설립운영규정제조제항원격교육설비기준교육부고시제호시행은사이버대학이원격교육및학사관리를위해갖추어야할최소한의원격교육설비기준을정하고있습니다원격교육설비기준은가상화기술의이용이나서버설비및네트워크설비의클라우드컴퓨팅서비스등전문외주업체를이용한관리를할수있도록규정함으로써클라우드컴퓨팅서비스를이용하여원격교육설비를구성할수있도록허용하였습니다 서버및네트워크설비의클라우드이용허용표 기준및표 네트워크설비기준 서버설비 원격교육설비기준 개정을통하여기존에규정되어있던서버 및네트워크설비에대한소유및물리적별도구성의무를삭제하 고클라우드컴퓨팅서비스이용을선택할수있도록하였습니다 - 95 - 분야별법령해설 95
클라우드컴퓨팅서비스관련원격교육설비기준 규정 표 1 서버설비기준 표 3 네트워크설비기준 특이사항 o 원격교육설비기준은최소기준으로서설립및전환심사또는운영관련평가의경우학생수나정보시스템발전기술등에따라가감된기준에따라심사함. o 새로운기술의발전에따라각기준의설비를대체할수있다고판단된장비로도입하는경우대체설비로인정할수있음. o 본기준은 2018년개교예정사이버대학설립인가및원격대학형태의평생교육시설에대한전환인가시부터적용함. o 교육부장관은 훈령 예규등의발령및관리에관한규정 제7조에따라이고시에대하여 2016년 7월 11일기준으로매 3년이되는시점 ( 매 3년째의 7월 10일까지를말한다 ) 마다그타당성을검토하여개선등의조치를하여야함. 96 클라우드컴퓨팅주요법령해설서 - 96 -
교육분야에서법령에따라인가허가등록지정등의요건으로전산시설장비설비등을요구하는경우가아니라고하더라도해당법령에서명시적으로클라우드컴퓨팅서비스의이용을금지하거나해당법령에서회선또는설비의물리적분리구축등을규정하지않는한클라우드컴퓨팅서비스를이용할수있는것으로적극적으로해석하는것이바람직합니다 - 97 - 분야별법령해설 97
신산업등기타분야 서비스 융합기술을활용하여오프라인상의상품자산용역의거래 등경제활동전반을온라인플랫폼상에서구현하는서비스 온오프라인기업의경계는사라지고 개인간의직접거래가 활성화되는등다양한신 비즈모델이부상할전망 서비스유형 구분 O2O 서비스 자산 용역 상품 중고차매매 헤이딜러 부동산중개 트러스트, 직방, 다방 주차장 파킹박 숙박 데일리호텔, 야놀자, 여기어때, Airbnb 렌트카 쏘카, 렌고, 렌카 택시, 버스 우버택시, 카카오택시, 콜버스 카풀 풀러스 음식배달 배달의민족, 요기요, 배달통, 배민프레쉬 심부름 ( 퀵 ) 딩동, 원더스 가사도우미 홈클, 대리주부 인터넷쇼핑 쿠팡 동물판매 포펫 서비스의클라우드컴퓨팅서비스이용가능성 서비스규제는숙박 배달등별도의전산설비를갖추도록 98 클라우드컴퓨팅주요법령해설서 - 98 -
요구하지않는인허가사항이대부분입니다별도의전산설비를 갖추도록규정하거나명시적또는사실상클라우드이용을금지 하지아니므로클라우드컴퓨팅서비스이용이가능합니다 서비스중배달앱 를제공하고있습니다 숙박앱등은위치정보를활용해서비스 이들서비스는위치정보관련규제를받 을수있지만위치정보사업자의경우클라우드컴퓨팅서비스에 대한특별한이용제약이없습니다 사례 O2O 업계 클라우드 ' 도입속도전숙박 O2O 여기어때는모든서비스의클라우드화를 100% 완료한상태이며, 음식주문 배달 O2O 배달의민족, 부동산 O2O 직방등에서아마존웹서비스 (AWS) 의클라우드도입을진행중에있습니다. 배달의민족은지난 2016 년 4 월부터회사시스템을순차적으로 AWS 클라우드환경으로바꾸는작업을진행해전체서비스의약 90% 가클라우드에서움직이고있다. 오는 2018 년상반기까지는 100% 클라우드화를완료한다는방침입니다. 전면클라우드화를완료한기업은여기어때와직방입니다. 여기어때는 2017 년 5 월부터 AWS 클라우드도입을시작해모든서비스와사내업무환경을클라우드화했습니다. 이에따라여기어때는여름성수기등으로급증하는사용자트래픽에대응하기위한서버증설작업시간이기존보다 70% 이상향상됐고, 개발자업무환경도크게개선됐습니다. 소프트웨어관리등단편적업무는줄고앱개발에만집중할수있는환경이만들어졌기때문입니다. 직방은 2014 년 1 월 AWS 클라우드를실험해본이후내부자원을본격적으로 AWS 에배포하면서현재 AWS 인프라에서 99.999% 가운영되고있습니다. 인프라에투자하지않고유지함으로써비용을최적화할수있으며, 이로인해개발초기단계에서리스크를최소화할수있다는장점에서클라우드도입을결정했다고직방측은설명했습니다. 이외에도부동산 O2O 스타트업 ' 호갱노노 ' 는양대글로벌클라우드서비스인 AWS 와 ' 마이크로소프트 (MS) 애저 ' 를모두이용하고있습니다. 호갱노노는서비스는 AWS 를, 연구및개발은애저를활용하며기능 솔루션에따라클라우드를활용하는사례로거론되고있습니다. ( 출처 : 아주경제 ) - 99 - 분야별법령해설 99
관세전자문서중계사업자 관세법의전자문서중계사업자는수출입물류통관업무에서발생하는 각종표준화된신고서식을전자화하여중계기타부가서비스제공 전자문서중계사업자지정기준전자문서중계사업자로지정받기위해서는설비와기술인력을보유하여야하며관세법시행령제조의제항제호전자문서중계사업에필요한설비에대한정당한사용권및기술인력을보 유하여야합니다관세법시행규칙제 정당한사용권이필요한설비는 조제항 전자문서중계사업을안정적으 로수행할수있는충분한속도및용량의전산설비 를변환처리전송및보관할수있는소프트웨어 전자문서 전자문서를 전달하고자하는자의전산처리설비로부터관세청의전산처리설비 까지전자문서를안전하게전송할수있는통신설비및통신망 전자문서의변환처리전송보관 데이터베이스의안전한운영과 보안을위한전산설비및소프트웨어를말합니다 100 클라우드컴퓨팅주요법령해설서 - 100 -
전자문서중계사업자의클라우드컴퓨팅서비스이용가능 전자문서중계사업자가클라우드컴퓨팅서비스를이용할수있는 지문제되는규정은관세법시행규칙제 조제항제호의내 용으로서개정전시행규칙은설비를자기사업장에설치하고당해설비에대한정당한사용권을갖도록규정하고있어서설비또는업무의위탁에해당하는클라우드컴퓨팅서비스를실질적으로이용할수없도록규정하고있었습니다 개정시행규칙 은설비를자기사업장에설치하고 부분을삭제하여전산설비를자기사업장에설치하지않아도무 방하게됨으로써클라우드컴퓨팅서비스를이용할수있는근거 를마련하였습니다 관세법시행규칙제 조제항제호 제 조전자문서중계사업자지정기준 영제 조의제항에따른지정기준은 다음과같다 전자문서중계사업에필요한다음각목의설비에대한정당한사용권을가 질것 가 라 생략 - 101 - 분야별법령해설 101
공인전자문서센터 전자문서의이용을활성화하기위하여전자문서를안전하게보관 하고증명하는신뢰할수있는제의기관 전자부동산계약서 각종페이등전자결제정보등보관 공인전자문서센터과학기술정보통신부장관은전자문서보관등의안전성과정확성을확보하기위하여전자문서보관등에관하여전문성이있는자를공인전자문서센터로지정하여전자문서보관등을하게할수있습 니다전자문서및전자거래기본법제 조의 공인전자문서센터지정기준타인을위하여전자문서보관등의업무를수행하는공인전자문서센터를운영하기위해서는과학기술정보통신부의지정을받아야합니다공인전자문서센터로지정을받으려는자는전자문서보관등에필요한인력기술능력재정능력과인적물적측면에서독립성및그밖의시설장비등을갖추어과학기술정보통신부장관에게지 정을신청하여야합니다전자문서및전자거래기본법제 조의 제항 시설및장비에관한상세한내용은고시에위임하고있습니다 공인전자문서센터의클라우드컴퓨팅서비스이용가능 공인전자문서센터의시설및장비등에관한규정 구미래창 102 클라우드컴퓨팅주요법령해설서 - 102 -
조과학부고시제 호 현과학기술정보통신부고시제 호은 년 월부터클라우드컴퓨팅서비스이용이가 능함을명시하고있습니다공인전자문서센터의시설및장비등에관한규정 제 조의 클라우드컴퓨팅서비스이용에따르면공인전자문서센터는시 설및장비를갖추기위하여클라우드컴퓨팅서비스정보보호에 관한기준을준수하는경우에클라우드컴퓨팅서비스이용을허 용하고있습니다 - 103 - 분야별법령해설 103
아파트단지의초고속정보통신건물 인증 아파트단지의서버설치의클라우드컴퓨팅서비스이용가능 공동주택의지능형홈네트워크는각종의설비및기술기준을충족 하여야합니다네트워크설비는설치공간을필요하며설치공간 으로서단지서버실을별도로갖추어야합니다 지능형홈네트워 크설비설치및기술기준제조제항최근고시개정으로국가균형발전특별법제조에따른지역발전위원회에서선정한단지서버설치규제특례지역의경우에는클라우드컴퓨팅서비스를이용할경우별도의단지서버실을설치하지않아도되도록하였습니다다만이경우단지에대한정보의암호화등을통하여보안문제가발생하지않도록하여야합니다 지능형홈네트워크설비설치및기술기준 제조홈네트워크설비설치생략제조제항에따른클라우드컴퓨팅서비스를이용하는경우제항제호라목의단지서버실을설치하지않을수있다 제조단지서버생략제항부터제항까지의규정에도불구하고국토교통부장관과사전에협의하고국가균형발전특별법제조에따른지역발전위원회에서선정한단지서버설치규제특례지역의경우에는클라우드컴퓨팅발전및이용자보호에관한법률제조제호에따른클라우드컴퓨팅서비스를이용하는것으로할수있다이경우단지에대한정보의암호화등을통하여보안문제가발생하지않도록하여야한다 104 클라우드컴퓨팅주요법령해설서 - 104 -
아파트단지의클라우드컴퓨팅서비스도입후변화 관리체계변화 아파트단지내구축과클라우드컴퓨팅서비스방식모두소유관리주체동일 아파트단지내구축방식은장애가발생한경우서버관리외주업체의지원을받아야하므로대응이지연될수있음클라우드컴퓨팅서비스방식은클라우드컴퓨팅서비스제공자사업자의실시간원격대응가능 아파트준공전 아파트준공후 아파트단지내구축 클라우드 컴퓨팅서비스 - 105 - 분야별법령해설 105
III Q&A 클라우드컴퓨팅주요법령해설서
< 총론분야클라우드컴퓨팅서비스이용관련 > Q1. 법령에서인가 허가 등록 지정등의요건으로전산시설 장비 설비등을규정한경우에클라우드컴퓨팅서비스를이용할수있나요? 클라우드컴퓨팅법제조는다른법령에서인가허가등록지정등의요건으로전산시설장비설비등을규정한경우해당전산시설등에클라우드컴퓨팅서비스가포함되는것으로본다라고하여인허가등의신청자는해당전산시설등을구입설치하는대신클라우드컴퓨팅서비스제공자와클라우드컴퓨팅서비스이용계약을체결하는것으로전산시설등의구비의무를대체할수있습니다특히클라우드컴퓨팅서비스의이용은원칙허용예외금지라는이른바네거티브규제원칙을적용하고있습니다 Q2. 법령에서전산시설 장비 설비등의요건으로회선또는설비의망분리또는회선분리구축등을요구하면클라우드컴퓨팅서비스이용이금지되나요? 해당법령에서망분리또는설비이중화를요구한다고해서무조건클라우드컴퓨팅서비스이용이금지되는것은아닙니다물리적망분리또는회선분리등을요구하여사실상클라우드컴퓨팅서비스의이용이불가능한경우에만해당합니다해당법령이망분리또는회선분리를요구하고있더라도논리적분리방식을명시적으로배제하고있지않다면논리적망분리로도망분리또는회선분리의효과를기대할수있으므로클라우드컴퓨팅서비스의이용을배제하는것으로해석해서는안됩니다 Q3. 클라우드컴퓨팅서비스의이용이개인정보의처리업무위탁인가요? 개인정보처리업무의위탁이란제자에게자신의개인정보처리업무를맡기는것을의미합니다클라우드컴퓨팅서비스는서비스제공자가제공하는하드웨어소프트웨어플랫폼등을이용해서이용자가직접개인정보를처리하므로단순히전산시설등의사용대차또는소비대차로이해할수도있으나저장된개인정보의보관관리등은서비스제공자가자신의책임하에행하게되므로개인정보처리업무의위탁에해당된다는것이일반적인해석입니다 108 클라우드컴퓨팅주요법령해설서 - 107 -
< 공공분야클라우드컴퓨팅서비스이용관련 > Q1. 공공분야클라우드컴퓨팅우선도입대상과클라우드컴퓨팅서비스이용대상은다른가요? 클라우드컴퓨팅법제조에따라국가기관지방자치단체전자정부법제조제호에따른공공기관은클라우드를도입하도록노력하여야하고정부는국가정보화정책이나예산을편성을할때에클라우드도입을우선적으로고려하여야합니다공공기관뿐만아니라국가기관과지방자치단체도클라우드를우선적으로도입하도록규정하고있습니다반면에같은법제조에따른상용클라우드컴퓨팅서비스의이용은공공기관에한정되어있고국가기관과지방자치단체가포함되어있지아니합니다그러나공공기관이상용클라우드컴퓨팅서비스를이용할수있도록노력하라는의미가강조된것에불과하고국가기관과지방자치단체도상용클라우드컴퓨팅서비스를이용하기위해노력해야할의무가없는것은아닙니다 Q2. 공공기관은 공공기관민간클라우드이용가이드 에따라자체적으로민간클라우드컴퓨팅서비스이용가능여부를결정할수있는가요? 공공기관의장은사업계획을수립할때에민간클라우드컴퓨팅서비스 이용가능여부를기관자체적으로검토합니다 공공기관의장은검토 결과파악된정보자원의등급에따라정책협의체에자체검토의결과를 통보하거나 등급 자체판단이어려울경우검토요청 등급을하면 됩니다 그리고정보보호와관련하여해당공공기관이상급기관중앙행 정기관 광역지방자치단체에보안성검토를의뢰하여야하며국가정보 보안기본지침제 조에따라국가정보원에보안성검토를요청하여야 합니다 Q3. 공공기관민간클라우드이용가이드 가적용되는공공기관은무엇인가요? 예를들어 KDB 산업은행, 각종국립대와사립대, KBS 나 EBS 의경우적용여부를구체적으로설명해주세요. 공공기관민간클라우드이용가이드의적용대상이되는공공기관이라함은전자정부법제조제호에따른공공기관을의미합니다즉공공기관의운영에관한법률제조에따른법인단체또는기관지방공기업법에따른지방공사및지방공단특별법에따라설립된특수법인초중등교육법고등교육법및그밖의다른법률에따라설치된각급학교정부출연연구기관등의설립운영및 - 108 - Q&A 109
육성에관한법률제조제항에따른연구기관과학기술분야정부출연연구기관등의설립운영및육성에관한법률제조제항에따른연구기관을말합니다산업은행은공공기관의운영에관한법률제조제항제호에따라년부터기타공공기관으로지정되어있으므로클라우드컴퓨팅서비스를도입하기위해서는공공기관민간클라우드이용가이드가적용됩니다동시에산업은행은금융회사에해당하므로전자금융감독규정의비중요정보처리시스템지정등금융권클라우드서비스이용가이드의적용도받게됩니다각종국립대와사립대는고등교육법제조의학교에해당하므로클라우드컴퓨팅서비스를도입하기위해서는공공기관민간클라우드이용가이드를적용받게됩니다공공기관의운영에관한법률제조제항제호는방송법에따른한국방송공사와한국교육방송공사법에따른한국교육방송공사를공공기관에서제외하고있습니다방송의독립성과특수성을고려하여정부의관리감독을받는공공기관에서제외한것입니다와는공공기관에서제외되기때문에공공기관민간클라우드이용가이드가적용되지않으며자유롭게클라우드컴퓨팅서비스이용이가능합니다최근는다양한서비스를제공하기위하여클라우드컴퓨팅서비스를도입하고있습니다걸어서세계속으로생로병사의비밀등일부콘텐츠에적용하고있습니다 Q4. 공공기관에납품하는클라우드컴퓨팅서비스는클라우드스토어 씨앗 을통해서관련정보를얻을수있다고들었습니다. 씨앗은무엇인가요? 한국정보화진흥원은민간클라우드컴퓨팅서비스를이용하고자하는공공기관등이활용할수있는클라우드컴퓨팅서비스전문스토어씨앗을운영하고있습니다클라우드스토어씨앗은다양한클라우드컴퓨팅서비스를한곳에서검색선정체험구매할수있고서비스제공자와수요자를편리하게연결하도록지원하고있습니다 110 클라우드컴퓨팅주요법령해설서 - 109 -