스타트업과 중소기업 대부분이 AWS, GCP, Azure 같은 해외 클라우드를 사용합니다. 편리하고 비용도 효율적이지만, 개인정보를 이 클라우드에 저장하는 순간 개인정보보호법상 추가 의무가 발생합니다.
"클라우드 벤더가 알아서 해주겠지"라는 생각은 틀렸습니다. 개인정보 처리의 법적 책임은 데이터를 올린 기업(개인정보처리자)에게 있습니다.
클라우드 이용이 만드는 2가지 법적 의무
1. 처리 위탁 (국내 서버 또는 국내 법인)
클라우드 벤더에게 개인정보 처리를 맡기는 행위는 개인정보 처리 위탁에 해당합니다.
적용 예시:
- AWS Seoul 리전(ap-northeast-2)에 회원 DB 저장
- GCP Korea 리전에서 로그 데이터 분석
이 경우 개인정보보호법 제26조에 따라 위탁 계약서를 체결해야 하고, 처리방침에 수탁사를 공개해야 합니다.
2. 국외 이전 (해외 서버 또는 해외 법인)
개인정보를 국내 이외 지역에 저장하거나 처리하는 경우 추가 요건이 적용됩니다.
적용 예시:
- AWS us-east-1(미국)에 한국 사용자 데이터 저장
- Cloudflare 엣지 캐시에 개인정보 포함 응답이 해외 서버에 캐싱
- GitHub Actions 해외 서버에서 개인정보 포함 로그 생성
처리 위탁 의무: 해야 할 것
위탁 계약서 필수 항목
AWS, GCP, Azure 모두 **Data Processing Agreement(DPA)**를 제공합니다. 이 DPA를 체결하면 PIPA 위탁 계약서 요건을 충족합니다.
| 클라우드 | DPA 위치 | |---------|---------| | AWS | aws.amazon.com/ko/compliance/gdpr-center → Data Processing Addendum | | GCP | cloud.google.com/terms/data-processing-addendum | | Azure | Microsoft Products and Services DPA (MSDPA) |
DPA 체결 방법 (AWS 예시):
- AWS Management Console 로그인
- Account → Agreements → AWS GDPR DPA 동의
- 동의 날짜와 계약 번호 저장 (증빙용)
처리방침 공개
DPA 체결 후 처리방침에 아래 내용을 추가해야 합니다:
## 개인정보 처리 위탁
당사는 서비스 제공을 위해 아래 업체에 개인정보 처리를 위탁합니다.
| 수탁사 | 위탁 업무 | 보유·이용 기간 |
|--------|---------|--------------|
| Amazon Web Services, Inc. | 서버 인프라 운영 (데이터 저장) | 서비스 종료 또는 계약 해지 시 |
| Google LLC | 데이터 분석 인프라 운영 | 서비스 종료 또는 계약 해지 시 |
국외 이전 의무: 해외 리전 사용 시
개인정보를 해외 리전에 저장하면 국외 이전 규정(개인정보보호법 제28조의8~12)이 적용됩니다.
국외 이전 허용 방법 (택 1)
방법 1: 정보주체 동의
회원가입 동의서에 국외 이전 항목을 별도로 추가합니다.
[선택] 개인정보 국외 이전 동의
이전 국가: 미국
이전 받는 자: Amazon Web Services, Inc.
이전 목적: 서비스 제공을 위한 서버 인프라 운영
이전 항목: 이메일, 서비스 이용 기록
보유 기간: 계약 종료 시까지
방법 2: 표준 계약 조항(SCC)
EU GDPR의 표준 계약 조항과 유사한 개인정보 국외 이전 표준 계약을 체결합니다. PIPC가 고시한 표준 계약서 양식을 사용하면 됩니다.
방법 3: 인증된 국가 또는 기업
PIPC가 인정하는 개인정보 보호 수준 인증을 받은 국가·기관에 이전하는 경우 별도 동의 불필요. (현재 인정 국가 목록은 PIPC 홈페이지 확인)
가장 현실적인 방법
소규모 스타트업에는 방법 1(동의) 이 가장 간단합니다. 회원가입 동의서에 항목 1개 추가로 해결됩니다.
리전 선택이 중요한 이유
서울 리전(ap-northeast-2) 사용 시:
- 국외 이전 불필요
- 처리 위탁 DPA만 체결하면 됨
- 레이턴시도 낮음
해외 리전 사용 시:
- 국외 이전 동의 또는 SCC 필요
- 처리방침 국외 이전 항목 추가 필요
- 위반 시 과태료 최대 5,000만 원
결론: 한국 사용자 대상 서비스라면 서울 리전 사용이 가장 간단하고 안전합니다.
클라우드별 PIPA 준수 체크리스트
AWS
- [ ] AWS Seoul 리전(ap-northeast-2) 사용 여부 확인
- [ ] AWS DPA 동의 완료 (Account → Agreements)
- [ ] 처리방침에 AWS 위탁 내용 추가
- [ ] 해외 리전 사용 시: 회원가입 동의서에 국외 이전 항목 추가
- [ ] S3 버킷 퍼블릭 접근 비활성화 확인
- [ ] RDS/DynamoDB 암호화 설정 확인
GCP
- [ ] Google Cloud Korea 리전(asia-northeast3) 사용 여부 확인
- [ ] Google Cloud DPA 동의 완료
- [ ] 처리방침에 GCP 위탁 내용 추가
- [ ] Cloud Storage 버킷 IAM 설정 확인
Azure
- [ ] Korea Central 리전 사용 여부 확인
- [ ] Microsoft DPA(MSDPA) 체결 완료
- [ ] 처리방침에 Azure 위탁 내용 추가
기타 SaaS 도구도 위탁에 해당
클라우드 인프라뿐 아니라 SaaS 도구에 개인정보가 들어가면 모두 위탁 계약이 필요합니다.
| 도구 | 개인정보 포함 여부 | 위탁 처리 필요 | |------|-----------------|--------------| | Slack | 직원·고객 이름, 이메일 언급 | 필요 | | Notion | 고객 정보 DB 사용 시 | 필요 | | Mailchimp/Stibee | 이메일 마케팅 | 필요 | | Mixpanel/Amplitude | 사용자 행동 분석 | 필요 | | Intercom/Zendesk | 고객 CS 기록 | 필요 |
이 도구들도 처리방침 위탁 항목에 기재해야 합니다.
흔한 실수 TOP 3
실수 1: "글로벌 서비스니까 국외 이전은 당연히 OK" → 아닙니다. 정보주체 동의 없이 해외 서버에 데이터를 올리면 위반입니다.
실수 2: "DPA는 GDPR용이니까 한국과 무관" → AWS, GCP, Azure의 DPA는 PIPA 위탁 계약 요건도 충족하도록 설계되어 있습니다. 체결하면 됩니다.
실수 3: "서비스 시작하고 나중에 처리방침 업데이트하면 됨" → 처리 위탁 공개는 위탁 시작 전 또는 동시에 이루어져야 합니다.
PipaGuard 무료 진단에서 클라우드 이용 현황과 국외 이전 의무 충족 여부를 점검할 수 있습니다.