디지털융합 환경의 기반 기술인 클라우드 컴퓨팅이 확산되면서 개인정보보호가 중요한 이슈로 대두되고 있다. 국내 개인정보보호법에서도 개인정보처리자가 클라우드 컴퓨팅을 통해 개인정보를 처리하는 경우, 계약서 또는 서비스 수준 협약(SLA, Service Level Agreement) 작성을 명시하고 있으나 일반적인 클라우드 SLA에서는 주로 가용성 측면의 지표가 포함되어있으며 개인정보보호에 대한 지표는 찾아보기 어렵다. 본 논문에서는 클라우드 환경에서의 개인정보보호 대책 분석 및 SMART 모델 활용을 통해 SLA에 포함할 수 있는 총 7개의 개인정보보호 지표와 13개의 척도를 개발하였다. 도출 된 지표는 전문가 그룹을 대상으로 포커스 그룹 인터뷰를 실시하여 중요도 및 실현 가능성을 평가하였다. 본 논문은 클라우드 환경에서의 개인정보보호 대책 확립과 향후, 개인정보보호 수준 측정을 위한 자료로 활용될 것으로 기대된다.
디지털융합 환경의 기반 기술인 클라우드 컴퓨팅이 확산되면서 개인정보보호가 중요한 이슈로 대두되고 있다. 국내 개인정보보호법에서도 개인정보처리자가 클라우드 컴퓨팅을 통해 개인정보를 처리하는 경우, 계약서 또는 서비스 수준 협약(SLA, Service Level Agreement) 작성을 명시하고 있으나 일반적인 클라우드 SLA에서는 주로 가용성 측면의 지표가 포함되어있으며 개인정보보호에 대한 지표는 찾아보기 어렵다. 본 논문에서는 클라우드 환경에서의 개인정보보호 대책 분석 및 SMART 모델 활용을 통해 SLA에 포함할 수 있는 총 7개의 개인정보보호 지표와 13개의 척도를 개발하였다. 도출 된 지표는 전문가 그룹을 대상으로 포커스 그룹 인터뷰를 실시하여 중요도 및 실현 가능성을 평가하였다. 본 논문은 클라우드 환경에서의 개인정보보호 대책 확립과 향후, 개인정보보호 수준 측정을 위한 자료로 활용될 것으로 기대된다.
As the cloud services, the underlying technology of the digital convergence environment, have been widely adopted in the business, personal information protection has been recognized as one of the major issues to resolve. When cloud services are used to process the personal information, the personal...
As the cloud services, the underlying technology of the digital convergence environment, have been widely adopted in the business, personal information protection has been recognized as one of the major issues to resolve. When cloud services are used to process the personal information, the personal information protection law speculates the establishment of a contract or service level agreement(SLA). This research presents 7 privacy indicators and 13 metrics which can be included in cloud SLA, based on the analysis of related regulation and standards and the SMART(Specific, Measurable, Action-oriented, Relevant and Timely) model. The proposed indicators are examined using the Focus Group Interview method in terms of materiality and feasibility. The results show that all the proposed indicators are meaningful and useful.
As the cloud services, the underlying technology of the digital convergence environment, have been widely adopted in the business, personal information protection has been recognized as one of the major issues to resolve. When cloud services are used to process the personal information, the personal information protection law speculates the establishment of a contract or service level agreement(SLA). This research presents 7 privacy indicators and 13 metrics which can be included in cloud SLA, based on the analysis of related regulation and standards and the SMART(Specific, Measurable, Action-oriented, Relevant and Timely) model. The proposed indicators are examined using the Focus Group Interview method in terms of materiality and feasibility. The results show that all the proposed indicators are meaningful and useful.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문은 클라우드 SLA 체결 시 계약 당사자 간 협의가 가능한 클라우드 개인정보보호 SLA 지표를 도출하였다. 클라우드 개인정보보호 SLA 지표는 암호화, 네트워크 보호대책, 모니터링, 물리적 보호대책, 접근통제, 접속 기록 보관 및 위변조 방지 순서로 중요하다고 분석되었다.
제안 방법
3.1절에서 도출된 총 7개의 지표를 측정하기 위한 실질적인 척도를 도출하기 위해 Harbour의 SMART 모델을 활용하였으며 [Table 1]과 같이 SLA 척도를 개발하였다. SMART 모델은 구체성(Specific), 측정가능성 (Measurable), 실행가능성(Action-oriented), 연관성 (Relevant), 적시성(Timely) 등 척도 개발에 적용될 수 있는 대표적 모델이다[7,14,17]
개인정보보호법에서 요구하는 법적 준수사항과 2장에서 분석한 클라우드 개인정보보호 대책을 비교·분석하여[Fig. 1]과 같이 총 7개의 클라우드 개인정보보호 SLA 지표를 도출하였다.
국내 현실에 적용가능하고 실질적인 지표를 개발하기 위해 개인정보보호법을 기반으로 한 “개인정보의 안전성 확보조치”[20]에서 요구하는 필수 개인정보보호 항목을 기반으로 개인정보보호 관련 국제 표준(ISO 27018)과 CSA의 PLA(Privacy Level Agreement)[10]에서 제시하는 개인정보보호 대책을 중심으로 구성하였다.
따라서 클라우드 개인정보보호에 대한 대표적 참고자료인 국제표준 ISO/IEC 27018[11]과 국내 방송통신표준인 KCS.KO-10.2001[21]을 비교·분석하였다.
본 논문은 클라우드 개인정보보호 대책의 비교·분석을 통해 총 7개의 지표와 13개의 세부적인 척도를 도출하였고 이에 대한 타당성을 검증하기 위해 포커스 그룹 인터뷰(FGI) 방법으로 지표의 중요성과 실현가능성을 검토하였다.
본 장에서는 클라우드 SLA에서의 개인정보보호 현황 파악과 클라우드 개인정보보호 대책의 비교·분석을 통해 클라우드 SLA에 포함될 수 있는 개인정보보호 대책을 조사하였다.
본 장에서는 클라우드 개인정보보호 대책을 비교·분석하여 계약 당사자 간 요구사항과 이해관계를 반영할수 있는 클라우드 개인정보보호 SLA 지표를 도출하였으며 Harbour의 SMART 모델을 적용하여 세부적인 SLA 척도를 개발하였다.
포커스 그룹은 총 10명의 학계 및 기업의 개인정보보호 분야의 전문가로 구성하였으며 전문가들을 대상으로 심층 인터뷰를 수행하였다. 심층 인터뷰는 개인정보보호 SLA 지표의 중요성과 실현가능성을 측정하기 위해 리커드 5점 척도를 이용하여 진행하였으며 인터뷰 종료 후 약 1시간에 걸쳐 참여자간의 의견 교류 및 토론을 진행하여 지표의 타당성을 분석하였다.
따라서 본 논문에서는 개인정보보호 위험 및 대책에 대한 조사·분석을 통해 개인정보보호 주요 지표를 도출하고, Harbour[6]가 제시한 SMART 모델을 적용하여 실질적으로 SLA에 포함할 수 있는 척도(metric)를 선정하였다. 제시된 SLA 지표는 전문가 그룹을 대상으로 포커스 그룹 인터뷰를 실시하여 지표의 중요성과 현실 적용 가능성을 검토하였다.
대상 데이터
본 논문은 클라우드 개인정보보호 대책의 비교·분석을 통해 총 7개의 지표와 13개의 세부적인 척도를 도출하였고 이에 대한 타당성을 검증하기 위해 포커스 그룹 인터뷰(FGI) 방법으로 지표의 중요성과 실현가능성을 검토하였다. 포커스 그룹은 총 10명의 학계 및 기업의 개인정보보호 분야의 전문가로 구성하였으며 전문가들을 대상으로 심층 인터뷰를 수행하였다. 심층 인터뷰는 개인정보보호 SLA 지표의 중요성과 실현가능성을 측정하기 위해 리커드 5점 척도를 이용하여 진행하였으며 인터뷰 종료 후 약 1시간에 걸쳐 참여자간의 의견 교류 및 토론을 진행하여 지표의 타당성을 분석하였다.
이론/모형
따라서 본 논문에서는 개인정보보호 위험 및 대책에 대한 조사·분석을 통해 개인정보보호 주요 지표를 도출하고, Harbour[6]가 제시한 SMART 모델을 적용하여 실질적으로 SLA에 포함할 수 있는 척도(metric)를 선정하였다.
성능/효과
포커스 그룹 인터뷰 결과, 클라우드 개인정보보호 척도의 중요성은 ‘물리적 접근통제시스템 운영’ 척도를 제외하고 모두 3.5점 이상으로 높게 분석되었으며, 실현가능성은 3.5점 이하의 척도가 2개로, 일부 척도의 실현가능성에 대한 재검토가 필요하다는 의견이 제시되었다.
후속연구
향후 더 많은 표본 집단을 통한 연구 진행이 필요하다. 둘째, 본 연구 결과는 전문가 인터뷰 방법을 사용하여 전문가 경험에 의존한 가상 검토라는 한계가 있다. 제시된 지표와 척도의 유효성을 확보하기 위해서는 실제 SLA에 적용해 볼 필요가 있다.
본 연구의 한계점은 다음과 같다. 첫째, 본 연구는 학계 및 관련 기관의 전문가를 대상으로 조사하였으나 인원이 10명으로 한정되어 있어 연구결과를 일반화하는데 어려움이 있다. 향후 더 많은 표본 집단을 통한 연구 진행이 필요하다.
클라우드 환경이 확산됨에 따라 빅데이터 수집·분석이 가능해졌고, 사물인터넷과 모바일 환경 역시 클라우드 기술을 이용한 데이터 저장 및 처리가 기반이 될 것이다.
첫째, 본 연구는 학계 및 관련 기관의 전문가를 대상으로 조사하였으나 인원이 10명으로 한정되어 있어 연구결과를 일반화하는데 어려움이 있다. 향후 더 많은 표본 집단을 통한 연구 진행이 필요하다. 둘째, 본 연구 결과는 전문가 인터뷰 방법을 사용하여 전문가 경험에 의존한 가상 검토라는 한계가 있다.
질의응답
핵심어
질문
논문에서 추출한 답변
개인정보보호가 중요한 이슈로 대두된 배경은 무엇인가?
디지털융합 환경의 기반 기술인 클라우드 컴퓨팅이 확산되면서 개인정보보호가 중요한 이슈로 대두되고 있다. 국내 개인정보보호법에서도 개인정보처리자가 클라우드 컴퓨팅을 통해 개인정보를 처리하는 경우, 계약서 또는 서비스 수준 협약(SLA, Service Level Agreement) 작성을 명시하고 있으나 일반적인 클라우드 SLA에서는 주로 가용성 측면의 지표가 포함되어있으며 개인정보보호에 대한 지표는 찾아보기 어렵다.
‘암호화’ 및 ‘네트워크 보호대책’ 지표에서 법에서 요구하는 수준 이상의 암호화 정책 및 방법을 수립하는 것이 중요하다고 평가된 이유는 무엇인가?
‘암호화’ 및 ‘네트워크 보호대책’ 지표는 클라우드 환경에서 가장 중요하게 인식되는 클라우드 개인정보보호 대책으로 평가되었다. 클라우드 환경은 인터넷에서 접속할수 있고, 특히 무선을 이용한 접속의 경우 보안에 취약하기 때문에 법에서 요구하는 수준 이상의 암호화 정책 및 방법을 수립하는 것이 중요하다고 평가되었다. 또한 ‘네트워크 보호대책’ 지표는 클라우드 환경임을 고려하여 분산 환경 및 접근 통제 우회에 따른 해결책이 필요하며 이를 계약 시 명시하는 것이 중요하다고 평가되었다.
SLA란 무엇인가?
국내 “개인정보의 안전성 확보조치 기준”[20]에서는 개인정보처리자가 클라우드 컴퓨팅을 통해 개인정보를 처리하는 경우, 계약서 또는 SLA(Service Level Agreement)를 작성할 것을 명시하고 있다. SLA는 서비스 제공자와 이용자 간 법적 효력이 존재하는 계약서로, SLA 작성을 통해 대상 서비스의 책임소재를 명시하고 제공하는 서비스에 대한 신뢰감을 형성할 수 있다[4]. 그러나 현재 일반적인 클라우드 SLA에서는 주로 가용성 측면에서 주요 지표를 포함하고 있으며, 개인정보보호에 대한 지표는 찾아보기 어렵다[19].
참고문헌 (21)
Deyan Chen and Hong Zhao, "Data Security and Privacy Protection Issues in Cloud Computing", Vol.1, No.1, pp.647-651, 2012
Zhifeng Xiao and Yang Xiao, "Security and Privacy in Cloud Computing", Vol. 15, No. 2, pp.843-860, 2013
Ian Goldberg, David Wagner and Eric Brewer, "Privacy-enhancing technologies for the Internet", Vol., No., pp., IEEE, 1997
Andrew Hiles, "The Complete Guide to IT Service Level Agreements: Aligning IT Service to Business Needs", Rothstein Associates Inc, 2008
I. S. Hayes, "Metrics for IT Outsourcing Service Level Agreement,", Vol., No., pp., Clarity Consulting INC, White Paper, 2004
Harbour, Jerry L., "The Basis of Performance Measurement", Quality Resource, 1997
Kaseye, "SMART SLA", 2012
ITU-T, "Privacy in Cloud Computing", 2012
KPMG, "The cloud takes shape", 2013
CSA "Privacy Level Agreement Outline" 2013
ISO/IEC 27018, "Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors" 2014
D H Park and T S Baek, "Recent Trends and Issues on personal information protection", KIISC REVIE, Vol. 21, No.5 pp.37-44, aug 2011
J D Kim and S H Hwang, "A Study on Critical Success Factors for Implementing Governance of Personal Information Protection", KIISC REVIE, Vol.21, No.5, pp.197-203, aug 2011
H J Suh, M G Choi and S Y Son, "Establishing IT Outsorcing Performance Measurement Framework through the IT BSC", The Korea Society of Information Technology Services, Vol., No.27, pp.301-308, 2003
K C Nam and J H KIm, "A Study of SLA's Maturity Level on Performance", Journal of Information Technology Applications & Management, Vol.14, No.1, pp.1-20, mar 2007
C H Park, "Selection Methodology for SLA Evaluation Factors with End-user Perspective", Korea Information Processing Society, 2007
H J Suh and M L Choi, "Establishing SLA Metrics Selection Framework for Maximizing Operation Efficiency and Satisfaction of IT Outsourcing, Establishing SLA Metrics Selection Framework, Vol.3, No.2, pp.101-115, 2004
KISA, "The study on Providing Personal Information Security",2014
Korea Communication Commission, "SLA guide in Cloud computing", 2011
Ministry of Government Administration and Home Affairs, "Providing Personal Information Security", 2014
TTA KCS.KO-10.2001, "Personal Information Protection Guidelines of Cloud Service Providers", 2014
AI-Helper
※ AI-Helper는 부적절한 답변을 할 수 있습니다.