참여하는 길

클라우드 서비스를 빌려주는 회사에 대한 보안 규칙을 강화하는 법이에요. 매출과 이용자 수가 일정 기준을 넘는 큰 회사는 보안인증을 의무로 받아야 하고, 정보보호 책임자를 두고 정기 감사 기록을 보관해야 해요. 이용자 정보 보호 절차가 늘어나는 대신, 해당 회사는 인증과 감사에 드는 비용과 절차 부담이 함께 늘어요.

최근 디지털 전환의 핵심 인프라로 클라우드 이용이 확산되고 있으나, 클라우드컴퓨팅서비스 제공자와 이용 기업 간의 보안 책임이 모호하여 보안 사각지대가 발생하고 있음. 특히 외부 협력사의 보안 취약점이나 클라우드 접근 권한 설정 오류가 대규모 정보 유출 사고의 주원인이 되고 있음에도 불구하고, 이에 대한 규제는 미비한 실정임. 현행법은 클라우드 보안인증(CSAP) 제도를 운영하고 있으나, 이는 주로 국가 및 공공기관 납품을 위한 요건으로 작용할 뿐 민간 대형 클라우드 이용 기업이나 제공자에게는 강제성이 없어 실효적인 보안 관리에 한계가 있다는 지적이 제기됨. 또한, 클라우드 서비스의 복잡성에 비해 내부 보안 감사나 접근 통제는 기업의 자율에 맡겨져 있어 사고 발생 시 원인 규명과 신속한 대응이 어려운 상황임. 이에 일정 규모 이상의 클라우드컴퓨팅서비스 제공자에 대해 보안인증을 의무화하여 민간 영역의 보안 수준을 공공 수준으로 상향 평준화하고, 클라우드 전문 정보보호 최고책임자 지정 및 정기적인 보안 감사를 통해 사고 예방 및 원인 규명 체계를 강화하려는 것임.

발의자가 직접 쓴 글이에요. 발의자의 관점·표현이지 객관적 사실은 아니에요. 위 ‘쉽게 말하면’은 이 글을 푼 거예요. 대조해 보세요.

• 클라우드 보안인증 기준에 원격 접속자와 위탁 사업자까지 포함한 계정별 식별·인증, 차등 접근통제, 정보 유출 방지를 위한 기술적·물리적 보호조치 항목을 새로 넣어요(제23조제3항 신설).
• 매출액과 이용자 수가 대통령령 기준에 해당하는 클라우드 회사는 보안인증을 의무로 받아야 해요(제23조의2제2항 신설).
• 클라우드 회사는 정보보호 최고책임자를 지정해 과학기술정보통신부장관에게 신고하고, 정기 감사·개선 자료를 의무로 보관해야 해요(제23조의5 신설).

누구에게 · 클라우드컴퓨팅서비스 제공자 · 클라우드를 이용하는 기업 · 원격 접속자와 위탁 사업자 · 클라우드 서비스 이용자

곁들이는 사실

종류

정보보호안전사업자 의무인증제도

규모

적용 대상은 매출액과 이용자 수가 대통령령으로 정하는 기준에 해당하는 클라우드 회사예요. 구체적 기준 수치는 대통령령으로 정해요.

발의시점

2026년 1월 22일

검토보고서

심사 전 단계라 검토보고서가 아직 없어요. 작성되면 쟁점을 그대로 보여줄게요.

처리·표결

아직 표결 전이에요.