실시간
뉴스

클라우드 정책통계

클라우드 법에 ‘국정원’ 조항 빠졌다…법안소위서 관련 내용 삭제

[디지털데일리 백지영기자] 최근  법안심사소위원회(법안소위)를 통과한 클라우드 법에서 ‘국가정보원’ 관련 조항이 모두 빠진 것으로 나타났다.

지난 6일 개최된 국회 미래창조과학방송통신위원회(미방위) 법안소위에서 ‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률안(이하 클라우드 법)’은 국정원 내용이 포함된 조항이 삭제 혹은 수정된 채 통과했다.

국정원 관련 조항은 그동안 클라우드 법 통과를 가로막는 장애물로 지적돼 왔다. 특히 법안 가운데 ‘이용자 보호를 위한 조치’ 조항에 “클라우드컴퓨팅서비스 제공자는 침해사고나 이용자 정보 유출사고 등이 발생하면 그 사실을 이용자에게 알리도록 하고, 공공기관에 클라우드 컴퓨팅 서비스를 제공하는 자는 국가정보원장에게도 알리도록 한다”는 내용이 포함되면서 야당과 시민단체의 거센 비난을 받았다.

법안소위 개최 전인 지난 4일에도 새정치민주연합 측은 “정보유출이 일어나면 국정원에 통지해야 하는 의무가 있다는 ‘클라우드 법’은 그렇지 않아도 공안정국에 불안해하고 있는 국민들을 국정원 손아귀에 넣고자 하는 것 아니냐는 우려가 많다”고 지적한 바 있다.

공공기관의 침해사고 시 국정원이 개입하는 것은 당연한 일이다. 현재 국정원은 ‘전자정부법’과 ‘정보통신기반 보호법’, ‘국가사이버안전관리규정’ 등 관련 법령에 따라 전자정부와 공공부문 정보통신망 등의 보안대책 및 조치를 담당하고 있고 있기 때문이다. 애시당초 국가 및 공공기관에 민간(상용) 클라우드 서비스 사용 제한 지침을 내린 것도 국정원이다.

그러나 야당 측에서는 퍼블릭과 프라이빗 클라우드 등이 혼재돼 있는 현재의 하이브리드 클라우드 환경에서 자칫 공공 뿐만 아니라 민간 부문까지 국정원이 개입할 우려가 있다고 지적해 왔다.

걸국 국정원 관련 조항을 빼는 조건으로 클라우드 법이 통과된 것으로 전해졌다. 이와 관련, 미래부 관계자는 “지난 법안소위 때 국정원 관련 조항이 모두 빠지면서 통과됐다”며 “공공기관이 이용하는 클라우드서비스 침해사고 발생시 즉각 사실을 국정원장에게 알려야 한다는 내용(19조)은 삭제됐으며, 14조 공공기관이 이용하는 클라우드 서비스는 안정성 및 신뢰성을 위해 국정원장이 정하는 기준에 적합한 서비스로 한정한다는 내용도 수정됐다”고 설명했다.

즉, 14조의 경우 공공기관은 국정원장이 승인한 클라우드 서비스를 이용한다는 당장 실행 가능한 조항이었다면 수정된 법안에서는 “공공기관이 민간 클라우드 서비스를 이용하는 것을 촉진하기 위해 정부는 노력해야 한다”는 선언적인 조항으로 변경됐다.

그는 “본회의 통과 이후, 이와 관련한 후속적인 조치가 이뤄질 것”이라고 덧붙였다.

한편 클라우드 법은 지난 6일 법안소위는 통과했지만, 합산규제 법안과 맞물려 이후 일정은 모두 2월로 연기된 상태다.

<참고> 국정원 관련 조항
◆제3장 클라우드컴퓨팅서비스의 이용 촉진
제14조(공공기관의 클라우드컴퓨팅서비스 이용) ① 국가기관등 중 대통령령으로 정하는 공공기관은 업무를 위하여 클라우드컴퓨팅서비스 제공자의 클라우드컴퓨팅서비스를 이용할 수 있다.
  ② 제1항에 따라 공공기관이 이용할 수 있는 클라우드컴퓨팅서비스는 서비스 안전성 및 신뢰성을 확인하기 위하여 대통령령으로 정하는 바에 따라 국가정보원장이 정하는 기준에 적합한 서비스로 한정한다.
  ③ 제2항에 따른 서비스의 적합성 여부 확인에 대한 기준ㆍ절차ㆍ방법 및 제1항에 따라 공공기관이 이용하는 클라우드컴퓨팅서비스를 제공하는 자에게 제19조제1항 각 호의 사고 발생 시의 조치 등에 필요한 구체적인 사항은 대통령령으로 정하는 바에 따라 국가정보원장이 정한다.
◆제4장 클라우드컴퓨팅서비스의 신뢰성 향상 및 이용자 보호
제19조(침해사고 등의 통지 등) ① 클라우드컴퓨팅서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 지체 없이 그 사실을 그 이용자에게 알려야 한다.
  1. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제7호에 따른 침해사고(이하 “침해사고”라 한다)가 발생한 때
  2. 이용자 정보가 유출된 때
  3. 사전예고 없이 대통령령으로 정하는 기간 이상 서비스 중단이 발생한 때
  ② 클라우드컴퓨팅서비스 제공자는 제1항제2호(제1호에 따른 침해사고로 인한 경우는 제외한다)에 해당하는 경우에는 즉시 그 사실을 미래창조과학부장관에게 알려야 한다.
  ③ 제14조에 따라 공공기관이 이용하는 클라우드컴퓨팅서비스를 제공하는 자는 제1항 각 호의 어느 하나에 해당하는 경우에는 즉시 그 사실을 국가정보원장에게 알려야 한다.
  ④ 미래창조과학부장관은 제2항에 따른 통지를 받거나 해당 사실을 알게 되면 피해 확산 및 재발의 방지와 복구 등을 위하여 필요한 조치를 할 수 있다.
  ⑤ 제1항부터 제4항까지의 규정에 따른 통지 및 조치에 필요한 사항은 대통령령으로 정한다.

<백지영 기자>jyp@ddaily.co.kr

디지털데일리 네이버 메인추가
x