54.

국가핵심기술 클라우드 컴퓨팅 서비스 이용을 위한 보안관리 안내서 (2025. 4. 요약)

• 새 탭 열기
• 작성 이력 보기

국가핵심기술 클라우드에 저장할 수 있으나, 외국기업의 접근은 불허된다

2025년 4월 산업통상자원부와 한국산업기술보호협회가 발행한 '국가핵심기술 클라우드 컴퓨팅 서비스 이용을 위한 보안관리 안내서'는 디지털 전환 시대에 국가핵심기술을 보유한 기관(이용자)이 클라우드 서비스(제공자)를 안전하게 활용하기 위한 구체적인 지침을 담고 있습니다. 이 안내서는 「산업기술보호법」 등 관련 법규를 기반으로 하며, 법규와 내용이 다를 경우 법규가 우선 적용됩니다.

안내서의 핵심은 이용자와 제공자 간의 명확한 역할과 책임 분담을 통한 강력한 보안 체계 구축입니다. 우선, 클라우드 시스템, 백업 데이터 및 관련 운영 인력은 모두 물리적으로 국내에 위치해야 합니다. 데이터 보호를 위해 이용자가 자신의 고유한 키로 1차 암호화를 하고, 제공자가 이를 다시 암호화하는 '이중 암호화'가 의무화됩니다. 제공자는 원칙적으로 이용자의 정보에 접근할 수 없으며, 장애 대응 등 예외적인 경우에만 이용자의 사전 승인을 받아 접근하고 모든 기록을 남겨야 합니다. 서비스 계약이 끝나면 제공자는 이용자의 모든 정보를 복구 불가능하게 삭제하고 이를 증명해야 합니다.

세부 보안관리 방안으로, 이용자와 제공자는 공동으로 보안 규정을 만들고 임직원의 역할과 책임을 명확히 하며 정기적인 보안 교육을 실시해야 합니다. 물리적 보안은 주로 제공자의 책임으로, 데이터 저장 시설을 '보호구역'으로 지정하여 인가된 인원만 출입시키고 재해 대비 설비를 갖춰야 합니다. 기술적으로는 다중요소 인증(MFA), 최소 권한 부여 원칙, 네트워크 분리 등 강력한 접근 통제 정책을 적용해야 합니다. 보안사고 발생에 대비해서는 양측이 공동 대응 절차를 수립하고, 사고 발생 시 신속하게 정보를 공유하며 조사에 적극 협조해야 합니다.

특히, 클라우드에 저장된 국가핵심기술에 외국 기업의 접근을 허용하는 경우는 '수출'로 간주되어, 「산업기술보호법」에 따라 수출승인 신청 또는 신고 절차를 반드시 거쳐야 합니다. 이때는 더욱 강화된 보안이 요구됩니다. 접근 대상에게는 필요한 최소한의 정보와 권한만 부여하고 , 대상자 전원에게 보안서약서를 받아야 합니다. 또한, 모든 접근 행위를 실시간으로 모니터링하고, 격리된 환경에서 사전 지정된 단말기를 통해서만 접속하도록 통제해야 합니다.