Cloudflare와 PIPA 준수
Cloudflare는 개인정보 보호를 우선으로 하는 회사입니다. 개인정보 보호법 (“PIPA”)에서는 이와 같이 Cloudflare에서 이미 취하고 있는 여러 조치가 등장합니다. Cloudflare에서는 처리하는 개인 데이터를 판매하지 않으며 서비스를 제공하기 위한 용도 이외의 용도로 사용하지 않습니다. 또한, Cloudflare를 이용하는 사람들은 자신의 개인정보를 액세스, 수정, 삭제할 수 있으며 Cloudflare 고객은 Cloudflare 네트워크를 통과하는 정보를 통제할 수 있습니다.
자세히 알아보려면 아래에서 PIPA FAQ를 읽어보거나 Cloudflare의 전반적인 개인정보 취급방침을 확인하세요.
FAQ(질문과 대답)
Cloudflare는 미국(US)에 본사를 두었으며 한국 지사를 포함해 전 세계에서 영업을 하는 보안, 성능, 안정성을 지원하는 회사로, 전 세계 모든 지역 내 모든 규모의 사업체에 광범위한 네트워크 서비스를 제공합니다. Cloudflare에서는 고객의 웹 사이트와 인터넷 애플리케이션의 보안을 강화하고, 비즈니스 핵심 애플리케이션의 성능을 개선하며, 개별 네트워크 하드웨어 관리와 관련��된 비용 부담과 복잡성을 해소합니다. 여기에서 설명하는 바와 같이, 전 세계 330여 개의 도시에 소재한 에지 서버로 구동되는 Cloudflare의 전역 네트워크는 Cloudflare에서 고객을 위해 제품을 신속하게 개발하고 배포할 수 있는 기반입니다.
Cloudflare에서 고객을 대신해 처리하는 개인 데이터의 유형은 실행하는 Cloudflare의 서비스에 따라 다릅니다. 당사의 가장 인기 있는 애플리케이션 서비스 및 네트워크 서비스의 경우, Cloudflare에서는 고객 콘텐츠를 저장하지 않으며, 고객이 글로벌 네트워크를 통해 전송, 라우팅, 전환, 캐시하기로 선택한 데이터에 대해 어떠한 제어 능력도 갖지 않습니다. 제한된 경우에 한해 Cloudflare 제품이 콘텐츠 저장에 이용되기도 합니다. 하지만 고객이 어떠한 서비스를 이용하더라도, 법규를 준수하고 고객이 Cloudflare 전역 네트워크를 이용해 전송, 라우팅, 스위치, 캐시, 저장하기로 결정한 데이터에 대한 독립적 계약 사항을 준수하는 것은 전적으로 고객의 책임입니다.
Cloudflare의 애플리케이션 및 네트워크 서비스의 경우 Cloudflare 네트워크를 통과하는 절대 다수의 데이터는 Cloudflare 에지 서버에 유지됩니다. 이러한 활동에 대한 메타데이터는 고객을 대신해 미국 및 유럽에 있는 당사 데이터 센터에서 처리합니다.
Cloudflare에서는 Cloudflare 네트워크상의 이벤트에 대한 로그 데이터를 유지합니다. 이러한 로그 데이터에는 고객의 도메인, 네트워크, 웹 사이트, 애플리케이션 프로그래밍 인터페이스("API"), 애플리케이션(해당하는 경우, Cloudflare 제품인 Cloudflare Zero Trust 포함)의 방문자 및/또는 승인된 사용자에 대한 정보가 포함됩니다. 이 메타데이터에는 극히 제한적인 형태의 개인 데이터가 포함되는데, 대부분 IP 주소의 형태입니다. Cloudflare에서는 고객을 대신해 미국 및 유럽 내 주요 데이터 센터에서 한정된 시간 동안 이러한 정보를 처리합니다.
Cloudflare에서는 데이터에 관한 정보 보호에서 보안을 핵심 요소로 생각합니다. Cloudflare에서는 2010년 출범 이래 최신 정보 보호 기술을 다수 출시하였으며 대부분은 업계를 선도하는 기술이었습니다. 다른 무엇보다도 이러한 도구들이 있으므로 Cloudflare의 고객은 Universal SSL을 통해 통신 내용을 쉽게 암호화하고 DNS-over-HTTPS, DNS-over-TLS, 암호화 SNI를 이용해 통신 메타데이터를 쉽게 암호화하며, SSL 키의 보관 장소 및 트래픽 검사 장소를 쉽게 제어할 수 있습니다.
Cloudflare에서는 업계의 선도적인 표준에 따르는 보안 프로그램을 유지합니다. 보안 프로그램에는 공식적 보안 정책 및 절차 유지, 적절한 논리적/물리적 액세스 제어 확립, 기업 및 프로덕션 환경에 기술적 보호 장치 실행(안전한 구성, 안전한 전송 및 연결 확립, 로깅, 모니터링, 개인 데이터에 대한 적절한 암호화 기술 보유 등 포함)이 포함됩니다.
모든 Cloudflare 직원은 개인정보 및 정보 보안 온보딩 교육을 받으며, 이후 매년 재교육을 받습니다.
Cloudflare에서는 현재 ISO 27001, ISO 27701, SOC 2 Type II, PCI DSS 레벨 1 준수의 유효성 검사를 유지하고 있습니다. 또한 유럽 클라우드 행동 강령 및 독일의 C5 2020 표준 인증을 받았습니다. Cloudflare의 인증에 대한 자세한 내용은 여기에서 확인하세요.
대한민국에서 미국으로 전송되는 개인 데이터를 포함한 개인 데이터 보호를 위해 Cloudflare에서 제공하는 보안 대책에 대한 자세한 내용은 Cloudflare 표준 DPA의 부록 2를 참조하세요.
제공하는 서비스에 필요한 개인 데이터만을 수집하고 개인정보를 판매하지 않으며 개인정보를 액세스, 수정, 삭제할 수 있는 권한을 제공하며 데이터 프로세서로서의 Cloudflare 역할과 일관되게 예를 들어 Cloudflare의 콘텐츠 전송 네트워크(CDN)에 캐시되거나 Workers Key Value Store에 저장되거나 Cloudflare의 웹 애플리케이션 방화벽(WAF)에 캡처된 정보에 대한 통제력을 부여하는 등, Cloudflare에서는 PIPA에 부합하는 제품 및 서비스 데이터 처리 원칙을 구축하고 있습니다. 이와 더불어, 데이터 처리 부록(DPA)(Cloudflare에서 고객을 대신해 개인 데이터를 처리할 의무를 다루고 Enterprise 서비스 계약 및 셀프 서비스 구독 계약을 참조하여 통합되어 있음)에서는 고객을 대신하여 PIPA 보호 조치에 부합하도록 처리하는 데이터에 추가적인 여러 안전장치를 제공합니다. 그 결과, 미국으로 전송되는 한국의 개인 데이터에는 PIPA에서 제시한 것과 유사한 보호 조치가 적용됩니다.
미국에서는 총체적인 개인정보 보호법을 국가적인 수준으로 도입하고 있지는 않습니다. 그 대신, 미국에서는 개인정보 및 데이터 보호에 산업별 접근 방식을 취합니다. 예를 들어, 미국에는 연방 정부 수준에서 개인의 건강 정보를 다루는 법(건강 보험 양도 및 책임에 관한 법, "HIPAA"), 금융기관에서 처리하는 정보(Gramm-Leach-Bliley법, "GLBA"), 교육 기관에서 처리하는 정보(가족 교육 권리 및 개인정보 보호법, "FERPA")에 대한 법이 있습니다. 여기에 더해 미국 연방거래위원회("FTC")에는 수사를 할 수 있고, 불공정하고 기만적인 상업적 관행으로부터 소비자를 보호하기 위한 조치를 취할 수 있는 집행권이 주어집니다. FTC의 집행권은 합리적인 수준의 데이터 보안 조치를 도입하지 않거나, 개인정보 취급방침 등에서 실질적으로 정확하지 않거나 오해의 소지가 있는 개인정보 보호 및 보안 선언을 마련한 기업에 조치를 취하는 데 사용되고 있습니다.
Cloudflare에서는 Cloudflare에서 받은 데이터 공개 요청과 대응 방식을 설명하는 투명성 보고서를 게시합니다. 일반적으로 Cloudflare에서 법 집행 기관이나 정부 기관으로부터 고객 데이터를 제공하라는 요청을 받을 경우, 법적으로 금지되지 않는 한 해당 요청을 고객에게 알린다고 DPA에 명시하고 있습니다. 개인 데이터에 대해 법적 요청이 진행 중임을 통보받은 고객은 개인 데이터 공개를 방지하기 위해 개입할 수 있습니다. Cloudflare에서 법적인 충돌을 야기하는 요청으로 판단하는 경우(예: 요청 대상이 미국법의 관할을 받지 않는 국가의 주민인 경우)에는 해당 요청을 거부하며 법적인 조치를 취할 것이라고 DPA에 명시하고 있습니다.
행정 명령 14086(“EO14086”). 2022년 10월 바이든 미국 대통령은 EO14086에 서명했습니다. 이 명령에 따라 아래에 설명된 FISA 702조에 따라 수행되는 활동을 포함한 미국 데이터 정보 활동에 새로운 안전장치가 도입됩니다. 한국에서 미국으로 향하는 전송 시 적용되는 EO14086 보호 조치에는 (i) 신호 정보 활동은 검증된 정보 우선순위를 진전시키는 데 "필요한" 경우에만 수행되어야 하며, (ii) 검증된 정보 우선순위에 "비례하는" 범위와 방식으로만 수행될 수 있도록 개인정보 보호와 시민의 자유가 필수적인 고려 사항임을 보장하기 위한 안전장치가 포함되어 있습니다.
제702조. 해외 첩보 감시법("FISA")의 제702조는 해외 첩보의 목적을 위해 미국 정부에 미국 외의 지역에 위치한 미국인이 아닌 개인의 통신을 요청할 수 있도록 허락한 권한입니다. 미국 정부는 제702조를 근거로 이메일 주소 등의 특정 "선택 장치(selector)"를 통해 구체적인 해외 첩보 대상에 관련된 통신 내용을 수집합니다. 이 권한이 통상적으로 통신 내용의 수집 목적으로 이용되므로, 제702조를 준수하도록 요청받게 되는 "전자적 통신 서비스 공급자"는 주로 이메일 서비스 공급자 또는 해당 통신 내용에 액세스할 수 있는 기타 공급자입니다.
Cloudflare의 투명성 보고서에서 밝힌 바와 같이 Cloudflare의 핵심 서비스에는 이러한 전통적인 고객 콘텐츠에 대한 액세스 권한이 없습니다. 또한, Cloudflare에서는 Cloudflare 네트워크를 통하는 고객의 콘텐츠를 어떠한 정부에도 제공하지 않았다는 점과 이러한 일을 요청받았을 때 Cloudflare가 불법 또는 헌법에 위배되는 요청이라고 생각하는 것으로부터 Cloudflare 고객을 보호하기 위한 모든 법적 구체책을 이용하겠다는 점을 오랜 기간 공개적으로 약속했습니다.
행정 명령 12333. 행정 명령 12333호는 미국 외의 국가에 거주하는 미국인이 아닌 사람을 대상으로 하는 미국 정보 기관의 해외 첩보 수집을 관장합니다. 행정명령 제12333호에는 미국 회사에 협조를 강제하는 조항이 없습니다.
Cloudflare에서는 긴급 상황이 아닌 한 어떠한 정부 기관에도 고객 데이터에 대한 액세스 권한을 제공하기 전에 법적 절차를 요구하는 약속을 오랫동안 지켜왔습니다. 따라서 Cloudflare에서는 행정 명령 12333에 따른 자발적 요청에 따르지 않을 것입니다. 또한, 정보를 캐내려고 하는 모든 시도로부터 개인정보를 보호하기 위해 Cloudflare를 통하는 모든 데이터(콘텐츠와 메타데이터)에 대한 추가 보안 기능을 권장하는 데 앞서왔습니다. 예를 들어, Cloudflare에서는 2014년에 Universal SSL을 출시했는데, 이는 비싸고 ��어려웠던 암호화를 모든 Cloudflare 고객에게 무료로 제공하는 것입니다. 이를 출시한 주에 Cloudflare는 암호화된 웹의 크기를 두 배로 늘렸습니다. 암호화를 대상으로 하는 법이 증가하고 있으므로 Cloudflare에서는 정부 또는 기타 제삼자의 요청에 따라 암호화를 약화하거나 손상하거나 푼 적이 없다는 다짐까지 했습니다.
CLOUD 법. 데이터 활용의 명확화를 위한 법률(CLOUD)은 미국의 수사 권한을 확대하지 않습니다. 법 집행 기관에 유효한 영장이 주어지는 데 필요한 요건은 여전히 까다롭습니다. CLOUD 법은 위에서 언급했듯 Cloudflare에서 일반적으로는 보관하지 않는 콘텐츠에 대한 액세스에도 적용됩니다. 일반적으로 법 집행 기관에서는 클라우드 공급자보다는 데이터를 실질적으로 제어하는 주체(즉, Cloudflare의 고객)로부터 데이터를 확보하려 한다는 점을 알아두세요.
CLOUD 법은 공급자가 이러한 법적 충돌을 야기하는 법적 요청을 기각하거나 수정하도록 법원에 청원할 수 있는 방법을 제공합니다. 또한, 미국과 CLOUD 법 협정에 서명한 타 국가의 국민이 영향을 받게 되는 경우라면 공급자가 해당 절차에 따라 그러한 법적 요청의 존재를 당사국에 알리는 것도 가능합니다. Cloudflare에서는 이러한 법률 충돌을 야기하는모든 명령에 대해 법적으로 문제를 제기하겠다고 약속했습니다. 현재까지 Cloudflare에서는 이러한 충돌을 야기한다고 확인한 명령을 받은 적이 없습니다.
마지막으로 이 점을 유념하세요. Cloudflare에서는 DPA에 따라, 제3자가 개인 데이터를 요청하고 Cloudflare에서 고객 대신 처리하는 법적 절차가 법률 충돌을 야기한다는 점을 확인할 수 있는 경우, 법적으로 금지되지 않는 한 이를 고객에게 통보할 것입니다. 개인 데이터에 대해 법적 요청이 진행 중임을 통보받은 고객은 개인 데이터 공개를 방지하기 위해 개입할 수 있습니다.
Cloudflare에서는 개인 데이터 처리와 관련된 투명성과 책임에 대해 강력히 노력하고 있으며, 당사의 DPA를 통해 이러한 약속의 대부분이 계약상 구속력을 갖습니다. Cloudflare에서는 2013년에 있었던 법적 절차를 위해 2014년에 최초의 투명성 보고서를 발간하면서 긴급 상황이 아닌 한 정부 기관에 어떠한 고객 데이터라도 제공할 때는 법적 절차를 요구할 것이며 법적으로 금지되지 않는 한 고객의 고객 또는 결제 정보를 요구하는 법적 절차에 대해 고객에게 공지하겠다고 서약했습니다. Cloudflare에서��는 어떠한 정부에도 암호화 키를 제공하지 않았으며 어떠한 정부에도 Cloudflare 네트워크를 통하는 콘텐츠의 피드를 제공하지 않았으며 Cloudflare 네트워크에 법 집행 장비를 배포하지 않았음을 공개적으로 천명했습니다. 또한, Cloudflare에서는 이러한 일을 요청받았을 때 "Cloudflare가 불법 또는 헌법에 위배되는 요청이라고 생각하는 것으로부터 Cloudflare 고객을 보호하기 위한 모든 법적 구체책을 이용하겠다"고 약속했습니다. 이렇게, Cloudflare에서는 창업 초기 이래로 매년 2회에 걸쳐 투명성 보고서에서 이러한 약속을 또 다시 표현하며 확대해 오고 있습니다.
또한, Cloudflare에서는 필요 시 소송을 제기함으로써 투명성에 대한 Cloudflare의 믿음과 고객 정보 보호에 대한 약속을 입증해 왔습니다. 2013년에는 전자 프론티어 재단의 도움을 받아 고객의 권리를 보호하기 위해 행정적으로 발표된 미국 국가 안보 문서(NSL)에 법적인 이의를 제기했습니다. 해당 문서의 조항에서, NSL에 대한 정보를 해당 고객에게 공개하는 것을 제약할 수 있는 권한이 정부에게 부여됐기 때문입니다. Cloudflare에서는 이 요청에 대응하여 아무런 고객 정보도 제공하지 않았으며 법원이 2016년에 해당 공개 금지 조항을 폐지할 때까지 해당 공개 금지 조항은 유효했습니다.
Cloudflare에서는 개인의 거주 국가의 개인정보 보호법에 위배되는 정부의 개인 데이터에 대한 요청에 대해서는 법적으로 이의를 제기하겠다는 입장을 빈번히 표명해 왔습니다. (Cloudflare의 투명성 보고서와 백서, 정부의 데이터 요청에 대한 데이터 개인정보 보호와 법 집행 기관의 요청에 대한 Cloudflare의 정책을 예시로 확인하실 수 있습니다.) Cloudflare에서는 기존의 미국 판례법 및 성문법 틀 안에서 이러한 법률 충돌에 기초해 개인 데이터에 대한 미국 정부 기관의 요청을 각하할 것을 미국 법원에 요청할 수 있습니다.
Cloudflare에서는 상기 묘사된 보충 방안과 안전 조치를 계약 사항으로 포함하는 내용을 추가하도록 고객에 대한 표준 DPA를 개정했습니다. 이러한 계약 사항은 DPA의 제7조에서 확인할 수 있습니다.
PIPA에서는 특정 조건이 충족될 경우 국가 간 데이터 전송을 허용합니다. 시행 중인 보안 조치로 인해 Cloudflare의 시스템이 PIPA에 부합하고, 모든 고객과의 계약에 참조로 통합되어 있는 데이터 처리 부록(DPA)에 제시한 데이터 처리 공약이 있으므로, 우리는 Cloudflare의 네트워크에서 데이터를 현지화하지 않고도 PIPA를 준수하고 있다고 믿습니다.
이런 점을 고려하면서, 우리는 규제를 받는 특정 유형의 데이터가 대한민국 내에 머물며 처리 목적으로 미국으로 전송되지 않기를 원하는 일부 대한민국 고객이 있다는 점을 인식하고 있습니다. 그러한 목적을 위해 우리는 곧 대한민국에서 이용할 수 있게 될 Data Localization Suite를 개발했습니다. 이를 통해 기업에서는 Cloudflare 전역 네트워크의 성능 및 보안상 혜택을 누리면서도 데이터가 저장되고 보호되는 장소에 대한 규칙 설정과 제어를 에지에서 손쉽게 수행할 수 있습니다.
Data Localisation Suite는 기존의 일부 제품에 새로운 주요 기능들을 통합하여 제공합니다.
지역적 서비스. Cloudflare에서는 100여 개 국가에 위치한 285개의 도시에서 데이터 센터를 운영합니다. Cloudflare Geo Key Manager 솔루션과 지역의 서비스를 함께 이용하는 고객은 SSL 키가 저장되며 SSL 종료가 일어나는 데이터 센터를 지정할 수 있습니다. 트래픽은 L3/L4 DDoS 완화를 적용하여 전 세계에서 도착하지만, 보안, 성능, 안정성 기능(WAF, CDN, DDoS 완화 등)은 지정된 Cloudflare 데이터 센터에서만 제공됩니다.
Keyless SSL. Keyless SSL을 사용하면 고객이 Cloudflare에서 사용할 SSL 개인 키를 자체적으로 저장하고 관리할 수 있습니다. 고객은 하드웨어 보안 모듈("HSM"), 가상 서버, Unix/Linux, Windows를 실행하는 하드웨어를 포함하여 고객이 스스로 제어할 수 있는 환경에서 구동되는 다양한 시스템을 키 저장소로 활용할 수 있습니다.
Geo Key Manager. Cloudflare에서는 진정한 세계적 고객 기반을 유지하고 있으며 이러한 고객이 개인 키의 위치에 관해 다양한 규제 및 법적 요건을 지켜야 하고 위험 프로필도 다양하다는 사실을 파악하였습니다. Cloudflare에서는 이러한 개념에 기초해 키를 유지하는 장소에 대해 매우 유연한 시스템을 설계하였습니다. Geo Key Manager를 이용하는 고객은 특정 지역에 개인 키가 노출되지 않게 할 수 있습니다. 이는 Keyless SSL과 유사하지만, 고객의 인프라 내에서 키 서버를 운영할 필요가 없으며 고객이 선택한 위치에서 Cloudflare가 키 서버를 호스트합니다.