지난 2025년 4월 산업통상자원부와 한국산업기술보호협회에서 발간한 「국가핵심기술 클라우드 컴퓨팅 서비스 이용을 위한 보안관리 안내서(배포용)」를 공유드립니다.

디지털 전환이 가속화되면서 국가핵심기술을 보유한 기관들도 클라우드 컴퓨팅 서비스 활용을 적극 추진하고 있습니다. 이에 따라 산업통상자원부와 국가정보원 등은 관련 협의체를 구성하여 클라우드 환경에서의 보안관리 기준을 마련하였고, 그 결과물인 본 자료는 「산업기술보호법」 및 관련 지침들을 법적근거 및 기반으로 하며, 클라우드 서비스를 통한 국가핵심기술의 저장·처리·수출에 있어 보안조치를 제시하고 있습니다.

주요 내용을 요약하자면 다음과 같습니다.

■ 클라우드 환경 내 국가핵심기술 정보를 저장·처리하는 경우

클라우드 컴퓨팅 서비스를 이용해 국가핵심기술 관련 정보를 저장·처리할 경우, 기관은 산업기술보호법에 따른 보호조치를 클라우드 환경에서도 동일하게 유지해야 하는데, 본 자료에서는 이에 따라 관리적, 물리적, 기술적 보안 및 보안사고 대응을 위한 항목을 상세히 제시하고 있습니다. 또한, 이용자(국가기관)와 제공자(클라우드 사업자)의 역할이 명확히 구분하여, 이용자는 정보 암호화, 접근통제, 보안 규정 마련, 외부 인력 관리 등을 담당하며, 제공자는 국내 저장소 운용, 접근 권한 통제, 물리적 시설 보호, 시스템 보안 유지 등의 조치를 수행해야 할 뿐 아니라,  클라우드 종료 시 데이터 완전 삭제와 그에 대한 확인도 필수라고 설명하고 있습니다. 나아가 양 당사자는 정기적인 보안 점검, 교육, 위험관리, 보안 감사 등을 통해 협력해야 하며, 실시간 보안관제 및 로그 기록 유지 등도 포함되어야 한다고 제시하고 있습니다.

■ 외국기업 등의 접근권한을 허용하는 경우

클라우드에 저장된 국가핵심기술 관련 정보에 대해 외국기업 등에 접근을 허용할 경우, 더욱 엄격한 보안관리가 요구되는데, 우선 해당 정보가 국가연구개발비 지원을 받은 경우에는 수출승인 신청 또는 수출신고가 필요하며, 접근권한 부여는 최소한으로 제한해야 한다고 설명합니다. 또한 접근 대상자는 보안서약서를 제출하고 정기적으로 교육을 받아야 하며, 단말기 저장 제한, 다중 인증, 제한적 네트워크 접속 등도 적용되는데, 접근기록은 최소 1년 이상 보관되어야 하고, 침해사고 발생 시에는 신속한 대응과 재발방지 대책 마련이 필수임을 제시하고 있습니다. 또한, 이 과정에서도 이용자와 제공자는 공동의 보안협업체계를 유지해야 하며, 외국기업의 접근권한이 종료된 후에는 모든 관련 정보를 즉시 폐기하고 이력을 관리해야 한다고 설명합니다.

자세한 내용은 아래 [첨부파일]을 통해 확인하실 수 있습니다.