2216227제22대

클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 일부개정법률안

최형두 의원2026-01-221

AI 요약AI

클라우드 보안 강화법, 민간에도 의무 인증 도입

핵심 내용

현재 클라우드 서비스를 이용할 때 보안 책임이 누구에게 있는지 명확하지 않아 사고가 발생해도 제대로 대처하기 어려운 문제가 있습니다. 이를 해결하기 위해 일정 규모 이상의 클라우드 회사들은 반드시 보안 인증을 받도록 하고, 보안 관리자를 두어 체계적으로 관리하도록 하는 법안입니다.

주요 변경사항

지금까지는 국가나 공공기관만 클라우드 보안 인증을 받아야 했지만, 앞으로는 일정 규모 이상의 민간 클라우드 회사들도 반드시 이 인증을 받아야 합니다. 또한, 보안 관리자를 따로 지정하고, 정기적으로 보안 점검을 해야 합니다.

기대 효과

이 법이 통과되면 민간 클라우드 서비스도 공공기관 수준의 보안을 갖추게 되어, 해킹이나 개인정보 유출 같은 사고가 줄어들 것으로 기대됩니다. 이용자들은 더 안전하게 클라우드 서비스를 이용할 수 있게 될 것입니다.

긍정적 효과

민간 클라우드 서비스의 전반적인 보안 수준이 높아져 이용자들이 안심하고 서비스를 이용할 수 있습니다. 또한, 보안 사고 발생 시 원인을 빠르게 파악하고 대응할 수 있는 체계가 마련됩니다.

부정적 효과

보안 인증 의무화 및 관리 강화로 인해 클라우드 회사들의 비용 부담이 늘어날 수 있습니다. 이로 인해 서비스 이용료가 인상될 가능성도 있습니다.

주요내용

제안이유 최근 디지털 전환의 핵심 인프라로 클라우드 이용이 확산되고 있으나, 클라우드컴퓨팅서비스 제공자와 이용 기업 간의 보안 책임이 모호하여 보안 사각지대가 발생하고 있음. 특히 외부 협력사의 보안 취약점이나 클라우드 접근 권한 설정 오류가 대규모 정보 유출 사고의 주원인이 되고 있음에도 불구하고, 이에 대한 규제는 미비한 실정임. 현행법은 클라우드 보안인증(CSAP) 제도를 운영하고 있으나, 이는 주로 국가 및 공공기관 납품을 위한 요건으로 작용할 뿐 민간 대형 클라우드 이용 기업이나 제공자에게는 강제성이 없어 실효적인 보안 관리에 한계가 있다는 지적이 제기됨. 또한, 클라우드 서비스의 복잡성에 비해 내부 보안 감사나 접근 통제는 기업의 자율에 맡겨져 있어 사고 발생 시 원인 규명과 신속한 대응이 어려운 상황임. 이에 일정 규모 이상의 클라우드컴퓨팅서비스 제공자에 대해 보안인증을 의무화하여 민간 영역의 보안 수준을 공공 수준으로 상향 평준화하고, 클라우드 전문 정보보호 최고책임자 지정 및 정기적인 보안 감사를 통해 사고 예방 및 원인 규명 체계를 강화하려는 것임. 주요내용 가. 클라우드 보안인증기준에 원격 접속자 및 수탁 사업자를 포함한 계정별 식별ㆍ인증과 차등적 접근통제, 이용자 정보 유출 방지 및 서비스 안정성 확보를 위한 기술적ㆍ물리적 보호조치 항목을 명시하여 공급망 보안 위협에 대응하도록 함(안 제23조제3항 신설). 나. 매출액 및 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 클라우드컴퓨팅서비스 제공자의 경우 의무적으로 보안인증을 받도록 하여 이용자 보호를 강화함(안 제23조의2제2항 신설). 다. 클라우드컴퓨팅서비스 제공자로 하여금 정보보호 최고책임자를 지정하여 과학기술정보통신부장관에게 신고하도록 하고, 정기적인 감사 및 개선 관련 자료를 의무적으로 보관하도록 함(안 제23조의5 신설).

법안 원문

의안정보시스템

처리 경과

3/8 단계

제안일2026-01-22
소관위 회부2026-01-23(과학기술정보방송통신위원회)
소관위 상정2026-02-25
소관위 처리
법사위 회부
법사위 상정
법사위 처리
본회의 의결

제안일2026-01-22

국회의원이 법안을 처음 제출한 날이에요

표결 결과

아직 본회의 표결이 진행되지 않은 법안입니다.

발의 의원 (14명)

대표발의

최형두

국민의힘

경남 창원시마산합포구

0.0 (0)

공동발의

이헌승

국민의힘

부산 부산진구을

법안 평가하기

한줄평 (0)

아직 한줄평이 없습니다.