클라우드 이용자 정보유출 신고
안전한 클라우드 컴퓨팅 서비스 정보보호 관리체계를 만들어갑니다.
개요
o 클라우드 이용자의 정보유출에 따른 대규모 피해 확산 및 최소화 및 재발 방지를 위해 이용자 정보가 유출된 경우 클라우드서비스 제공자는 즉시 그 사실을 해당 이용자에게 통보 및 한국인터넷진흥원에 신고 필요
※ 관련근거 : 「클라우드컴퓨팅법」제25조 제1항 및 제2항, 동법 시행령 제20조제3항제5호
클라우드 이용자 정보유출 정의
o 클라우드 서비스를 이용‧제공하는 과정에서 관리되는 이용자 관련 정보가 제3자의 악의적인 침입 또는 클라우드 서비스 제공자‧이용자의 보안 관리 이슈 등으로 외부에 유출된 경우
※ 이용자 정보 : 개인정보(휴대폰 번호, 메일주소 등)를 포함하여 클라우드에서 생산‧저장‧관리되는 이용자의 정보(이용자가 생산한 비즈니스 문서 등)를 의미함
- 침해사고 (침해사고에는 이용자 정보유출, 개인정보 유출도 일부 포함됩니다.)
- 악의적인 의도에 의한 해킹, 악성 코드 감염 등으로 인한 사고, 유출
- 이용자 정보 유출, 개인정보 유출
- 관리자, 이용자의 단순 실수등으로 인한 정보 유출
주요내용
주체 | 주요 역할 | 관련 법 조항 |
---|---|---|
클라우드서비스 제공자 | o 침해사고, 이용자 정보유출, 서비스 중단이 발생 시 그 사실을 이용자에게 통보 | 법 제25조제1항 |
o 이용자 정보유출 시 그 사실을 과기정통부(KISA)에 통보
※ 법 시행령 제20조제3항제5호에 따라 KISA에 위탁 ※ 통보내용(시행령 제17조제5항) : ①유출된 이용자 정보의 개요, ②유출된 시점/그 경위, ③제공자의 피해 확산방지 조치 현황 |
법 제25조제2항 | |
한국인터넷진흥원 | o 클라우드서비스 제공자의 이용자 정보유출 통보 접수 |
시행령
제20조제3항제5호 |
o 이용자 정보유출 피해확산/재발 방지·복구 등 수행 |
시행령
제20조제3항제6호 |
|
중앙전파관리소 | o 클라우드컴퓨팅법 위반행위가 있다고 인정된 경우에 이를 확인하기 위한 사실조사 수행 |
시행령
제20조제1항 |
과학기술정보통신부 |
o 침해사고, 이용자 정보유출, 서비스 중단이 발생 시 이용자 통보(법 제25조제1항),
이용자정보 보호(법 제27조)에 대한 위반행위 중지 및 시정 조치, 과태료 부과 |
법 제30조제5항
법 제37조제2항 |
신고대상
o 「클라우드컴퓨팅법 시행령」 제3조에서 정의한 클라우드서비스를 제공하는 자
- 서버, 저장장치, 네트워크 등을 제공하는 서비스
- 응용프로그램 등 소프트웨어를 제공하는 서비스
- 응용프로그램 등 소프트웨어의 개발·배포·운영·관리 등을 위한 환경을 제공하는 서비스
- 그 밖에 위 서비스를 둘 이상 복합하는 서비스
신고범위
o 클라우드서비스를 제공하는 중에 개인정보를 포함하여 서비스 상에서 이용자가 생성, 저장한 모든 정보가 해킹 등 침해사고, 서비스 장애 등에 의해 외부로 유출된 경우
신고방법
o 클라우드서비스 제공자는 이용자 정보유출 시 이용자에게 유출된 사실을 알려주고, 아래 사항을 포함하여 그 사실을 한국인터넷진흥원에 이메일(클라우드보안팀, cloud@kisa.or.kr)로 신고해 주시기 바랍니다.
※ 클라우드서비스 이용자 정보유출 사실 신고서
(양식 다운로드)
- 유출된 이용자 정보의 개요
- 유출이 발생된 시점 및 경위
- 이용자가 취할 수 있는 조치
- 제공자가 조치한(할) 대응 및 피해방지 조치
- 유출사실 이용자 통보 여부 및 방법
- 유출사실 관련 확인 가능한 담당부서명, 담당자 성함/연락처/이메일 주소
o 클라우드 침해사고 및 개인정보 유출 신고는 별도로 신고
※ 침해사고 : KISA인터넷보호나라&KrCERT (https://boho.or.kr)
※ 개인정보 유출(기업) : 개인정보 포털 (https://www.privacy.go.kr)
※ 개인정보 유출(개인, 공공) : KISA 개인정보침해 신고센터 (https://privacy.kisa.or.kr)
연락처
o 클라우드 이용자 정보유출 신고와 관련된 상담 및 문의는 ☎118(신고센터)로 연락주시기 바랍니다.