Cloudflare와 IT법 준수

Cloudflare는 미국에 본사를 두고 인도 지사를 포함해 전 세계에서 영업을 하며 보안, 성능, 안정성을 지원하는 회사로, 전 세계 모든 지역에서 모든 규모의 사업체에 광범위한 네트워크 서비스를 제공합니다. Cloudflare는 고객의 웹 사이트와 인터넷 애플리케이션의 보안을 강화하고, 비즈니스 핵심 애플리케이션의 성능을 개선하며, 개별 네트워크 하드웨어 관리와 관련되는 비용과 복잡성을 해소합니다. 이곳에서 설명된 바와 같이 전 세계 200여 개의 에지 서버로 구동되는 Cloudflare의 전역 네트워크는 Cloudflare가 고객을 위해 제품을 신속하게 개발하고 배포하는 기반이 되고 있습니다.

Cloudflare는 고객이 Cloudflare의 전역 네트워크를 통해 전송, 라우팅, 스위치, 캐시하는 데이터에 대한 액세스 권한이 없으며 해당 데이터를 통제하지도 않습니다. 제한된 경우에 한해 Cloudflare 제품이 콘텐츠 저장에 이용되기도 합니다. 하지만 고객이 어떠한 서비스를 이용하더라도 법규를 준수하고 고객이 Cloudflare 전역 네트워크를 이용해 전송, 라우팅, 스위치, 캐시, 저장하기로 결정한 데이터에 대한 독립적 계약 사항을 준수하는 것은 전적으로 고객의 책임입니다.

Cloudflare가 고객을 대신해 프로세싱하는 개인 데이터의 유형은 실행하는 Cloudflare의 서비스에 따라 다릅니다. Cloudflare 네트워크를 통과하는 절대 다수의 데이터는 Cloudflare의 에지 서버에 있지만, 이러한 활동에 대한 메타데이터는 고객을 대신해 미국 및 유럽에 있는 Cloudflare의 주요 데이터 센터에서 프로세싱합니다.

Cloudflare는 Cloudflare 네트워크 상의 이벤트에 대한 로그 데이터를 유지합니다. 이러한 로그 데이터에는 고객의 도메인, 네트워크, 웹 사이트, 응용 프로그램 프로그래밍 인터페이스(API), 애플리케이션(해당하는 경우, Cloudflare 제품인 Cloudflare Zero Trust 포함)의 방문자 및/또는 승인된 사용자에 대한 정보를 포함합니다. 이 메타데이터에는 극도로 제한적인 개인 데이터가 포함되는데, 대부분은 IP 주소의 형태입니다. Cloudflare는 고객을 대신해 미국 및 유럽 내 주요 데이터 센터에서 한정된 시간 동안 이러한 정보를 프로세싱합니다.

Cloudflare는 데이터에 관한 정보 보호에서 보안을 핵심 요소로 생각합니다. Cloudflare는 2010년에 출범한 이래 최신 정보 보호 기술을 다수 출시하였으며 대부분은 업계를 선도하는 것이었습니다. 다른 무엇보다도 이러한 도구들이 있으므로 Cloudflare의 고객은 Universal SSL을 통해 통신 내용을 쉽게 암호화하고 DNS-over-HTTPS, DNS-over-TLS, 암호화 SNI를 이용해 통신 메타데이터를 쉽게 암호화하고 SSL 키의 보관 장소 및 트래픽 검사 장소를 쉽게 제어할 수 있습니다.

Cloudflare는 업계 표준을 뛰어넘는 보안 프로그램을 유지합니다. 보안 프로그램에는 공식적 보안 정책 및 절차 유지, 적절한 논리적/물리적 액세스 제어 확립, 기업 및 프로덕션 환경에 기술적 보호 장치 실행(안전한 구성, 안전한 전송 및 연결 확립, 로깅, 모니터링, 개인 데이터에 대한 적절한 암호화 기술 보유 등 포함)이 포함됩니다.

Cloudflare는 현재 ISO 27001, ISO 27701, ISO 27018, SOC 2 Type II, PCI DSS Level 1 준수의 유효성 검사를 보유하고 있습니다. Cloudflare의 인증 및 보고서에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

인도에서 미국으로 전송되는 개인 데이터를 포함한 개인 데이터 보호를 위해 Cloudflare가 제공하는 보안 대책에 대한 자세한 내용은 Cloudflare 표준 데이터 처리 부록("DPA")의 부록 2를 참조하시기 바랍니다.

Cloudflare의 표준 DPA는 Cloudflare의 Enterprise 서비스 계약과 셀프 서비스 구독 계약에 참조 사항으로 포함되어 있습니다. DPA를 통해 Cloudflare가 하는 데이터 보호를 위한 노력은 정보기술법에 의해 구축되는 것과 동일한 수준의 보호를 제공하며, 처리하는 개인 데이터와 그 목적을 명시하고, 적절한 보안 조치를 포함하고 있습니다. Cloudflare의 "개인 데이터"에 대한 정의에는 SPDI 규칙에서 정의된 "중요한 데이터"가 포함되어 있습니다.

Cloudflare는 2013년에 있었던 법적 절차를 위해 2014년에 최초의 투명성 보고서를 발간하면서 긴급 상황이 아닌 한 정부 기관에 어떠한 고객 데이터라도 제공할 때는 법적 절차를 요구할 것이며 법적으로 금지되지 않는 한 고객의 고객 또는 결제 정보를 요구하는 법적 절차에 대해 고객에게 공지하겠다고 서약했습니다. Cloudflare는 어떠한 정부에도 암호화 키를 제공하지 않았으며 어떠한 정부에도 Cloudflare 네트워크를 통하는 콘텐츠의 피드를 제공하지 않았으며 Cloudflare 네트워크에 법 집행 장비를 배포하지 않았음을 공개적으로 천명했습니다. 또한, Cloudflare는 이러한 일을 요청받았을 때 "Cloudflare가 불법 또는 헌법에 위배되는 요청이라고 생각하는 것으로부터 Cloudflare 고객을 보호하기 위한 모든 법적 구체책을 이용하겠다"고 약속했습니다. 이렇게, 창업 초기 이래로 Cloudflare는 매년 2회에 걸쳐 투명성 보고서에서 이러한 약속을 재천명하였고 이를 확대하였습니다.

또한, Cloudflare는 필요 시 소송을 제기함으로써 투명성에 대한 Cloudflare의 믿음과 고객 정보 보호에 대한 약속을 입증해 왔습니다. 2013년에는 전자 프론티어 재단의 도움을 받아 고객의 권리를 보호하기 위해 행정적으로 발표된 미국 국가 안보 문서("NSL")에 법적인 이의를 제기했습니다. 해당 문서의 조항에서, NSL에 대한 정보를 해당 고객에게 공개하는 것을 제약할 수 있는 권한이 정부에게 부여됐기 때문입니다. Cloudflare는 이 요청에 대응하여 아무런 고객 정보도 제공하지 않았으며 법원이 2016년에 해당 공개 금지 조항을 폐지할 때까지 해당 공개 금지 조항은 유효했습니다.

Cloudflare는 개인이 거주하는 국가의 개인정보 보호법을 위반하는 정부의 개인 데이터 요청에 대해서도 법적으로 이의를 제기하겠다는 입장을 빈번히 표명해 왔습니다. (Cloudflare의 투명성 보고서와 백서, 정부의 데이터 요청에 대한 데이터 개인정보 보호와 법 집행 기관의 요청에 대한 Cloudflare의 정책을 예시로 확인하실 수 있습니다.) Cloudflare는 기존의 미국 판례법 및 성문법 틀 안에서 이러한 법적 위배에 기초해 개인 데이터에 대한 미국 정부 기관의 요청을 각하할 것을 미국 법원에 요청할 수 있습니다.

Cloudflare의 표준 고객 DPA는 추가로 위에서 설명한 방안을 계약 사항으로 포함하고 있습니다. 이러한 계약 사항은 DPA의 제7조에서 확인할 수 있습니다.

제702조. 해외 첩보 감시법(FISA)의 제702조는 해외 첩보의 목적을 위해 미국 정부에게 미국 외의 지역에 위치한 미국인이 아닌 개인의 통신을 요청할 수 있도록 허락한 권한입니다. 미국 정부는 제702조를 이용해 이메일 주소 등의 특정한 "선택 장치"를 통해 구체적인 해외 첩보 대상에 관련된 통신 내용을 수집했습니다. 이 권한이 전형적으로 통신 내용을 수집하는 데 이용되므로 제702조를 준수하도록 요청받는 "전자적 통신 서비스 공급자"는 주로 이메일 공급자 또는 통신 내용에 액세스할 수 있는 기타 공급자입니다.

Cloudflare의 투명성 보고서에 밝힌 바와 같이 Cloudflare의 핵심 서비스에는 이러한 전통적인 고객 콘텐츠에 대한 액세스 권한이 없습니다. 또한, Cloudflare는 Cloudflare 네트워크를 통하는 고객의 콘텐츠를 어떠한 정부에도 제공하지 않았다는 점과 이러한 일을 요청받았을 때 Cloudflare가 불법 또는 헌법에 위배되는 요청이라고 생각하는 것으로부터 Cloudflare 고객을 보호하기 위한 모든 법적 구체책을 이용하겠다는 점을 장기간 동안 공개적으로 약속했습니다.

행정 명령 12333. 행정 명령 12333은 미국이 아닌 국가에 거주하는 미국인이 아닌 사람을 대상으로 하는 미국 정보 기관의 해외 첩보 수집을 관장합니다. 행정 명령 12333에는 미국 회사에 협조를 강제하는 조항이 없습니다.

Cloudflare는 긴급 상황이 아닌 한 어떠한 정부 기관에도 고객 데이터에 대한 액세스 권한을 제공하기 전에 법적 절차를 요구하는 약속을 오랫동안 지켜왔습니다. 따라서 Cloudflare는 행정 명령 12333에 따른 자발적 요청에 따르지 않을 것입니다. 또한, 정보를 캐내려고 하는 모든 시도로부터 개인정보를 보호하기 위해 Cloudflare를 통하는 모든 데이터(콘텐츠와 메타데이터)에 대한 추가 보안 기능을 권장하는 데 앞서왔습니다. 예를 들어, Cloudflare는 2014년에 Universal SSL을 출시했는데, 이는 비싸고 어려웠던 암호화를 모든 Cloudflare 고객에게 무료로 제공하는 것입니다. 이를 출시한 주에 Cloudflare는 암호화된 웹의 크기를 두 배로 늘렸습니다. 암호화를 대상으로 하는 법이 증가하고 있으므로 Cloudflare는 정부 또는 기타 제삼자의 요청에 따라 암호화를 약화하거나 손상하거나 풀지 않았다는 다짐까지 했습니다.

CLOUD 법. 데이터 활용의 명확화를 위한 법률(CLOUD)은 미국의 수사 권한을 확장하지 않습니다. 법 집행 기관에 유효한 영장이 주어지는 데 필요한 요건은 여전히 까다롭습니다. CLOUD 법은 위에서 언급했듯 Cloudflare가 일반적으로는 보관하지 않는 콘텐츠에 대한 액세스에도 적용됩니다. 일반적으로 법 집행 기관이 클라우드 공급자보다는 데이터를 실질적으로 제어하는 주체(즉, Cloudflare의 고객)로부터 데이터를 확보하려 한다는 점을 알아두세요.

CLOUD 법은 공급자가 이러한 법적 충돌을 야기하는 법적 요청을 기각하거나 수정하도록 법원에 청원할 수 있는 방법을 제공합니다. 또한, 해당 절차에 따라 정부가 미국과의 CLOUD 법 협정에 서명한 국가의 국민이 영향을 받는 경우 공급자가 이러한 요청의 존재를 해당 정부에 알릴 수 있습니다. Cloudflare는 이러한 법적 충돌을 야기하는 모든 명령에 대해 법적으로 문제를 제기하겠다고 약속했습니다. 현재까지 Cloudflare는 이러한 충돌을 야기한다고 확인한 명령을 받은 적이 없습니다.

마지막으로 이 점을 유의해주세요. Cloudflare는 DPA에 따라, 제3자가 개인 데이터를 요청하고 Cloudflare가 고객 대신 처리하는 법적 절차가 법률 충돌을 야기한다는 점을 확인할 수 있는 경우, 법적으로 금지되지 않는 한, 이를 고객에게 통지할 것입니다. 개인 데이터에 대해 법적 요청이 진행 중임을 통지받은 고객은 개인 데이터 공개를 방지하기 위해 개입하려고 시도할 수 있습니다.

인도 준비은행("RBI")의 가이드라인에서는 결제 시스템 공급자와 그 서비스 공급자, 중재인, 서드파티 벤더, 결제 생태계의 다른 객체에게 이들이 다루는 모든 데이터를 인도 내에 보관할 것을 요구합니다. 결제 시스템 데이터에는 엔드 투 엔드 거래 정보와 거래 메시지/지시사항의 일부로 수집/전송/처리되는 결제 또는 정산 거래에 대한 정보가 포함됩니다. 여기에는 고객 데이터(적용 가능한 경우 이름, 휴대전화 번호, 이메일, Aadhaar 번호, PAN 번호 등), 결제 관련 중요한 데이터(고객 및 수혜자 계좌 정보), 결제 자격 증명(OTP, PIN, 비밀번호 등), 거래 데이터(출발 및 도착 시스템 정보, 거래 참조, 시간, 금액 등)이 포함될 수 있습니다.

콘텐츠 전송 네트워크(CDN)를 포함하여 Cloudflare의 가장 유명한 애플리케이션 계층 서비스를 이용하는 고객에 대해서는 Cloudflare는 고객 콘텐츠를 저장하지 않습니다. Cloudflare는 최종 사용자, Cloudflare, 출발지 간의 상호작용과 관련된 메타데이터 등 로그 데이터만을 저장합니다. 일반적으로 이러한 데이터에는 요청 시간, 브라우저 유형, 응답 시간, 및 클라이언트 및 서버 IP 주소 등이 포함됩니다. 따라서 Cloudflare는 고객이 RBI 가이드라인을 준수하면서도 Cloudflare의 서비스를 이용할 수 있을 것으로 믿습니다. 하지만 Cloudflare는 또한 일부 고객이 RBI 가이드라인을 위해서는 데이터 현지화가 필요할 것으로 믿는다는 사실을 알고 있습니다. 여기에는 아래에서 설명하듯 Cloudflare의 Data Localisation Suite가 도움이 됩니다.

Cloudflare는 인도 고객 중에 규제를 받는 특정 유형의 데이터가 인도 내에 머물며 처리를 위해 미국으로 전송되지 않는 것을 원하는 고객이 있다는 점을 인식하고 있습니다. 이러한 목적을 위해 Cloudflare는 기업이 Cloudflare 전역 네트워크의 성능 및 보안상 혜택을 누릴 수 있도록 도와주는 Data Localization Suite를 추가하여 데이터가 저장되고 보호되는 장소에 대한 규칙 설정과 제어를 에지에서 손쉽게 수행할 수 있도록 하였습니다.

Data Localisation Suite는 기존의 일부 제품에 새로운 주요 기능들을 통합하여 제공합니다.

• 지역적 서비스. Cloudflare는 100여 개의 국가에 위치한 270여 개의 도시에서 데이터 센터를 운영합니다. Cloudflare Geo Key Manager 솔루션과 함께 지역적 서비스를 이용하는 고객은 TLS가 저장되며 TLS 종료가 일어나는 데이터 센터를 지정할 수 있습니다. 트래픽은 L3/L4 DDoS 완화를 적용하여 전 세계에서 도착하지만, 보안, 성능, 안정성 기능(WAF, CDN, DDoS 완화 등)은 지정된 Cloudflare 데이터 센터에서만 제공됩니다.

• Keyless SSL. Keyless SSL을 사용하면 고객이 Cloudflare에서 사용할 SSL 개인 키를 자체적으로 저장하고 관리할 수 있습니다. 고객은 하드웨어 보안 모듈("HSM"), 가상 서버, Unix/Linux, Windows를 실행하는 하드웨어를 포함하여 고객 자신이 제어할 수 있는 환경에서 구동되는 다양한 시스템을 키 저장소로 활용할 수 있습니다.

• Geo Key Manager. Cloudflare는 진정한 세계적 고객 기반을 유지하고 있으며 이러한 고객이 개인 키의 위치에 관해 다양한 규제 및 법적 요건을 지켜야 하고 위험 프로필도 다양하다는 사실을 파악하였습니다. Cloudflare는 이러한 개념에 기초해 키를 유지하는 장소에 대해 매우 유연한 시스템을 설계하였습니다. Geo Key Manager를 이용하는 고객은 특정 지역에 개인 키가 노출되지 않게 할 수 있습니다. 이는 Keyless SSL과 유사하지만, 고객의 인프라 내에서 키 서버를 운영할 필요가 없으며 고객이 선택한 위치에서 Cloudflare가 키 서버를 호스트합니다.