<3535B9F82DC5ACB6F3BFECB5E5C4C4C7BBC6C35FB9FDC1A6BFACB1B82E687770>

Size: px

Start display at page:

Download "<3535B9F82DC5ACB6F3BFECB5E5C4C4C7BBC6C35FB9FDC1A6BFACB1B82E687770>"

아령 윤
9 years ago
Views:

1 클라우드컴퓨팅 활성화를 위한 법제도 개선방안 연구

2 최종연구보고서 KISA-RP 클라우드컴퓨팅 활성화를 위한 법제도 개선방안 연구

3 연 구 진 연구책임자 : 이창범 팀장(KISA 법제분석팀) 참여연구원 : 이대희 교수(고려대 법대) 이민영 교수(가톨릭대 법대) 이병준 교수(한국외대 법대) 정준현 교수(단국대 법대) 김현정 박사(성균관대 법대) 고영하 주임연구원(KISA 법제분석팀) (참여연구원 가나다순) * 본 연구보고서의 작성에 있어서 제2장~제5장은 정준현 교수, 제6장은 이병준 교수, 제7장은 이대희 이민영 교수, 제8장~제9장은 이대희 교수가 각각 수고 해주셨습니다

주임연구원(KISA 법제분석팀) (참여연구원 가나다순) * 본 연구보고서의 작성에 있어서 제2장~제5장은 정준현

4 요 약 문 1. 제목 클라우드컴퓨팅 활성화를 위한 법제도 개선 방안 연구 2. 연구목적 클라우드컴퓨팅이란 인터넷을 통한 IT자원의 온디맨드 아웃소싱 서비스 라 정의할 수 있다. 클라우드컴퓨팅 시장은 시시각각 매우 빠른 속도로 변화하고 성장해 나가고 있다. 비용과 시간의 절감, 효용성, 유연성 등에 힘입어 많은 기업들에 의해 주목을 받고, 참여를 촉구하고 있다. 그러나 클라우드컴퓨팅은 단어에서 의미하듯 뜬 구름 과 같아서 이와 같은 서비 스를 어떻게 규제하고, 촉진하여야 하는지에 대해 논란의 소지가 많을 수 밖에 없다. 그러므로 클라우드컴퓨팅 서비스에 따라 발생 가능한 문제점 에 대한 해결 방안이 제시되어야 할 뿐만 아니라 초기산업으로서의 국제 경쟁력과 경제의 발전을 위해 진흥정책이 발굴되어야 한다. 따라서 현재 우리나라의 현행법에서는 클라우드컴퓨팅에 대한 규제 또는 지원이 어떻 게 이루어지고 있으며, 이들 법이 과연 클라우드컴퓨팅 서비스를 위한 법 제로서의 역할을 수행하기에 무리가 없는 지 등에 관한 논의가 필요할 것 이다. 3. 연구내용 및 범위 제2장에서는 클라우드컴퓨팅의 개념 및 유형을 분석하고 제3장에서는 국내외의 클라우드컴퓨팅 사업현황을 조사하였고, 제4장에서는 클라우드 컴퓨팅 관련 국내 외 법제 현황을 검토하였다. 제5장에서는 클라우드컴 - 4 -

그러므로 클라우드컴퓨팅 서비스에 따라 발생 가능한 문제점 에 대한 해결 방안이 제시되어야 할 뿐만 아니라 초기산업으로서의 국제 경쟁력과 경제의 발전을 위해 진흥정책이 발굴되어야 한다.

5 퓨팅 서비스의 법적 이슈는 어떤 것이 있는지 검토하였다. 제6장에서는 클라우드컴퓨팅 서비스 계약의 법적성질, 서비스 제공자는 서비스 수준을 어느 범위에서 보장해야 하는지에 관한 서비스레벨협정 (SLA), 서비스제공자와 이용자 사이의 이용계약은 일반적으로 이용약관에 의해 규율되므로 약관상 이용자보호에 소홀 할 수 있으므로 약관의 불공 정성 판단에 관해 검토하였으며, 표준약관을 제시하였다. 또한 서비스계약 상의 손해배상문제, 담보책임의 문제도 검토하였다. 제7장에서는 클라우드컴퓨팅에서의 정보보호와 관련하여, 정보의 물리 적 위치에 따른 관할권, 국외 정보 이전의 제한, 정보의 보존 복구 및 폐 기, 물리적 관리적 기술적 보안, 기업의 영업비밀보호에 관한 법적 이슈 및 보완점을 검토하였다. 제8장에서는 저작권과 관련하여 클라우드컴퓨팅 서비스 제공자가 저작 권법상의 OSP해당하는지의 문제와 책임 범위, 클라우드컴퓨팅 서비스 환 경에서 제작되는 창작물의 저작권 귀속문제에 관해 검토하였다. 4. 연구 결과 (1) 클라우드컴퓨팅 서비스의 법제현황 클라우드컴퓨팅은 초기투자비용 및 운영비용 절감의 경제적 이점이 있 고, IT전문가들의 시스템 관리로 일관된 서비스를 사용할 수 있으므로 이 용자의 업무효율성이 증대될 수 있다. 또한 자원을 공동 이용함으로써 에 너지 효율성을 증대시킬 수 있는 장점이 있다. 반면 보안 관련 문제, 사이 버테러 등의 문제, 호환성 문제로 인한 서비스의 자유로운 선택권 제약, 갑자기 장애가 발생하는 경우 이에 따른 사용자의 이용제약 및 손해가 발 생할 수 있다는 단점이 있다. 클라우드컴퓨팅 서비스의 법제정비 및 진흥정책을 수립하기 위해서는 우선 IT 선진국들의 법제현황을 살펴볼 필요성이 있다

또한 서비스계약 상의 손해배상문제, 담보책임의 문제도 검토하였다. 제7장에서는 클라우드컴퓨팅에서의 정보보호와 관련하여, 정보의 물리 적 위치에 따른 관할권, 국외 정보 이전의 제한, 정보의 보존 복구 및 폐 기, 물리적 관리적 기술적 보안, 기업의 영업비밀보호에 관한 법적 이슈 및 보완점을 검토하였다.

6 먼저 미국의 경우를 살펴보면 미국 보호법 (Protect Americana Act, 2007)에서는 제105조에서 미국 영토 내와 달리 미국 영토 외의 사람이나 단체에 대한 통신제한조치는 법원의 명령이나 허가 없이도 이루어질 수 있도록 하고 있고, 데이터 침해 통지법 (Data Breach Notification Act)은 개인정보의 공개시의 고지의무를 규정하고 있고, 개인정보보호와 보안법 (Personal Data Privacy and Security Act)은 개인정보 침해 위험평가와 취약성 테스트 등에 관한 가이드라인을 제시하고 있고, 전기통신비밀보호 법 (ECPA)은 유 무선, 전기통신의 비승인된 접근 및 정보공개를 원칙적 으로 금지하고 있으며, 애국법 (USA PATRIOT Act, 2001)은 컴퓨터의 불법침입자들에 대한 법집행 절차로서 감시와 조사권을 폭넓게 인정하고 있다. 영국의 데이터보호법 (data protection Act 1998)은 유럽연합의 데이터 보 호 지침에 따라 개정된 것으로 이 법률이 클라우드컴퓨팅에 적용되면 저장 데이터의 해외이전이 불가능 할 것으로 보인다. 또한 유럽연합의 전자통신분 야 프라이버시지침을 반영한 프라이버시 및 전자통신규칙 2003 (Privacy and Electronic Communications(EC Directive) Regulations 2003)과 공권력의 조사를 규제하기 위한 조사권한규제법 (Regulation of Investigatory Powers Act) 이 있다. 독일의 정보통신법 은 정부기관의 기밀 누설 방지, 데이터의 안전성 확보, 침해사고예방을 위한 ISP의 의무 등을 규정하고 있으며, 연방 데이 터보호법(BDSG) 은 개인정보 정의에서부터 정보주체의 권리와 정보처리 자의 각종 의무, 제3국으로의 정보이전, 비디오감시, 익명성, 스마트카드, 민감한 정보의 수집 등에 대한 내용을 포함하고 있고, 정보통신서비스 정보보호법(TDDSG) 개인정보수집 처리를 규율하고 있다. 일본의 정보보호 법체계는 고도정보통신 네트워크 사회형성 기본법, 특정 전기 통신 서비스 제공자의 손해배상 책임의 제한 및 발신자 정보의 개시에 관한 법률 및 개인정보보호 관련 법률 등이 있다. 최근 미국 등을 중심으로 "클라우드컴퓨팅 촉진법(Cloud Computing - 6 -

컴퓨터의 불법침입자들에 대한 법집행 절차로서 감시와 조사권을 폭넓게 인정하고 있다. 영국의 데이터보호법 (data protection Act 1998)은 유럽연합의 데이터 보 호 지침에 따라 개정된 것으로 이 법률이 클라우드컴퓨팅에 적용되면 저장 데이터의 해외이전이 불가능 할 것으로 보인다.

7 Advancement ACT)"에 관한 논의가 이루어지고 있고, 일본의 경우에는 2008년의 ASP, SaaS의 정보보안 대책 가이드 라인 이 공표되어 전체 클 라우드 서비스 제공자는 아니지만 ASP, SaaS사업자의 서비스에 대한 정 보보안대책에 대한 지침을 제시하고 있다. 클라우드컴퓨팅 서비스는 정보통신망이용촉진 및 정보보호 등에 관한 법률 의 개인정보보호와 이용자보호, 진흥과 관련된 규정, 공공기관의 개 인정보보호에 관한 법률 에 따른 개인정보보호 규정, 전기통신사업법 과 전자상거래 등에서의 소비자 보호법 상의 이용자보호 규정, 정보통신산 업진흥법 과 국가정보화 기본법 상의 서비스 및 산업 진흥에 관한 규정 이 적용된다. 따라서 기존 법제로서 클라우드컴퓨팅을 적용하여 규제 또 는 진흥 할 수 있는 경우에는 그러한 법 규정을 따름에 문제가 없을 것이 나 기존의 법 규정이 클라우드컴퓨팅 서비스의 특성을 고려하여 과도한 경우에는 이에 대한 완화가 이루어져야 할 것이다. (2) 클라우드컴퓨팅 서비스의 계약 이슈 클라우드컴퓨팅 계약은 여러 개의 계약요소가 하나의 통합된 계약으로 융합된 혼합계약의 특징을 원칙으로 갖고 있다는 것을 기본 전제로 삼아 야 한다. 대가를 받고 클라우드컴퓨팅 서비스를 제공하는 경우 주된 계약 요소는 임대차로 볼 수 있고, 클라우드컴퓨팅 서비스 제공자가 하드웨어 와 소프트웨어를 대가를 받지 않고 무상으로 제공하는 경우에는 이를 사 용대차로 볼 수 있다. SLA란 기대되는 서비스 수준에 대하여 계약당사자들 사이에 사전에 협 약을 체결하는 경우를 말하므로 이러한 점에서는 약관에 해당할 수 있는 여지가 있으나 SLA는 보다 세부적이고 품질에 한정된 것으로써 주로 B2B 관계에서 적용되고, 약관은 포괄적인 권리의무 관계(계약조건)의 설정에 관 한 것이므로 SLA와 약관은 구별된다. 서비스제공자의 서비스 품질에 대한 보증범위나 책임은 SLA를 통해 보다 명확히 하는 것이 필요하다

따라서 기존 법제로서 클라우드컴퓨팅을 적용하여 규제 또 는 진흥 할 수 있는 경우에는 그러한 법 규정을 따름에 문제가 없을 것이 나 기존의 법 규정이 클라우드컴퓨팅 서비스의 특성을 고려하여 과도한 경우에는 이에 대한 완화가 이루어져야 할 것이다.

8 클라우드컴퓨팅 서비스 약관은 전자약관으로서의 형태적 특이성으로 인 하여 서면에 의한 약관이 아니라는 점, 새로운 사업유형에 관한 약관으로 서 아직 표준적인 규율내용이 알려져 있거나 마련되어 있지 않다는 점에 서 이용자보호에 소홀할 수 있으므로 클라우드컴퓨팅 서비스 제공자가 서 비스 이용자에게 제공하는 서비스 약관의 공정성 여부는 약관규제법에 따 른 공정성 판단 척도에 따라 결정되어야 한다. 따라서 모든 유형의 담보 책임을 배제 또는 면제하는 약관조항은 약관규제법 제7조 제3호에 의하여 무효이며 특정한 하자에 대한 담보책임을 제한하는 규정도 클라우드컴퓨 팅 서비스가 유상으로 제공되는 한도에서는 무효이다. 또한 해제권을 완 전히 배제하는 조항도 원칙적으로 허용되지 않는다. 클라우드컴퓨팅 서비 스 제공자가 계약상 무과실책임을 부담하는 경우는 담보책임이 성립하는 경우와 특정한 서비스 내용을 보증(SLA)하였으나 해당 내용이 충족되지 않은 경우인데 보증한 특정한 내용에 대한 책임을 배제하거나 제한하여 손해배상청구권을 결국 배제하거나 제한하는 규정은 허용되지 않는다( 약 관규제법 제7조 제2호). 고의 과실에 의한 채무불이행책임과 불법행위책 임의 경우 경과실에 대한 면책은 허용되나 고의 내지 중과실에 대한 면책 은 약관규제법 제7조 제1호에 의하여 허용되지 않는다. 가용성의 문제 에 있어서 서비스 가용성에 대한 보증을 제공하지 않거나 면책조항을 이 용약관에 포함하는 경우가 있으나, 우리나라의 약관규제법 제7조는 면 책조항을 금지하고 있는데, 클라우드컴퓨팅 서비스 제공자가 상당한 이유 없이 사업자의 손해배상범위를 제한하는 조항을 이용약관에 포함하는 것 은 동법 위반이 될 수 있다. 약관규제법 제19조의2에 근거한 표준약관제도는 약관이 거래계에 유통 되기 전에 이를 바로 잡을 수 있는 사전심사의 성격을 갖는 것으로서, 개 별사업자가 약관을 스스로 작성하는데 드는 비용과 수고를 절감하고, 약 관사용에 따르는 위험을 줄이며, 고객도 표준약관을 믿고 안심하고 서비 스를 이용할 수 있는 장점을 갖는다. 그리하여 클라우드 서비스와 관련된 대표적인 4개의 약관을 비교 분석하여 표준약관(안)을 제정하였다

클라우드컴퓨팅 서비 스 제공자가 계약상 무과실책임을 부담하는 경우는 담보책임이 성립하는 경우와 특정한 서비스 내용을 보증(SLA)하였으나 해당 내용이 충족되지 않은 경우인데 보증한 특정한 내용에 대한 책임을 배제하거나 제한하여 손해배상청구권을 결국 배제하거나 제한하는 규정은 허용되지 않는다( 약 관규제법 제7조 제2호).

9 (3) 클라우드컴퓨팅 서비스의 정보보호 이슈 정보보호와 관련하여 클라우드 서비스 사용자가 정보통신서비스 제공자 등에 해당하지 않는다 하더라도 개인정보 취급에 관한 법적 의무와 책임 이 규정되어야 할 것이며, 클라우드 서비스 운영자가 공공기관의 개인정 보보호에 관한 법률 에 따른 공공기관에 해당하는 때는 정보보호 안전진 단이나 정보보호 관리체계 인증 등 정보보안에 미약한 부분이 존재하므로 이를 메울 법규 마련이 요구된다. 정보의 물리적 위치에 따른 관할권의 경우 현실적으로 큰 혼란을 야기 할 수 있는 문제이지만 법리적으로는 재판관할 자체의 문제라기보다는 실 효성 확보를 위한 집행의 문제라 할 것이므로 다른 나라와의 공조를 구할 수 있는 협력체제의 법제적 모색이 요청된다고 여겨진다. 규범적으로는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 에 국 외 개인정보 이전에의 제한 및 개인정보 보호조치 의무가 설정되어 있으 므로 이로써 클라우드 서비스 운영자의 개인정보 국외 이전은 규율될 수 있겠으나, 정보통신서비스 제공자 등에 해당하지 않는 클라우드 서비스 사용자 기업에 대하여는 이를 적용할 수 없는 까닭에 클라우드 서비스 사 용자에 관한 개인정보 보호의무의 설정과 이에 따른 개인정보의 국외이전 에 관한 제한을 규율하는 것이 필요하다고 판단된다. 정보의 보존 복구 및 폐기에 있어 보존기간의 타당성 및 법률간 조화 를 위하여 보존하는 자료의 중요성, 보존해야 하는 이유 등을 검토할 필 요가 있으며, 개별법마다 자료보관의 기간이나 기준이 상이한 부분에 대 한 일관성 제고가 요청된다고 할 것이다. 또한 법률상 클라우드 서비스 이용자의 권리를 명시하고 이로써 저장정보의 보존원칙에 따른 클라우드 서비스 운영자의 의무가 지정되는 한도 내에서 예외적으로 그 폐업 파산 시 최종 이용자가 클라우드 서비스 운영자의 이용권을 대위하여 해당 정 보의 열람 이전 제공 및 삭제 등을 청구할 수 있는 권한을 부여하는 방 - 9 -

규범적으로는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 에 국 외 개인정보 이전에의 제한 및 개인정보 보호조치 의무가 설정되어 있으 므로 이로써 클라우드 서비스 운영자의 개인정보 국외 이전은 규율될 수 있겠으나, 정보통신서비스 제공자 등에 해당하지 않는 클라우드 서비스 사용자 기업에 대하여는 이를 적용할 수 없는 까닭에 클라우드 서비스 사 용자에

10 안을 도출해볼 수 있을 것이다. 현재의 KISA 정보보호 관리체계(ISMS) 인증 제도를 보완하여 활용하는 방안과 별도의 독립적인 보안 인증 제도를 수립하는 방안이 고려될 수 있 겠으나, 각 장 단점이 존재하므로 컴퓨팅 서비스의 품질을 포함한 주요 영역을 다루는 포괄적인 인증체계를 도입하고 보안을 그 중 하나의 요소 로 고려하는 방안이 고려될 수 있다고 본다. 이용자가 자신의 데이터가 어디에 보관되고 어떻게 관리되고 있는지 알 기 어려운 클라우드컴퓨팅 서비스의 특성 상 클라우드 서비스 사용자 기 업의 기업 정보보호를 위한 제도적 보완도 시급하다고 할 것이다. 이를 위해 클라우드 서비스 운영자의 영업비밀 유출방지를 위한 의무조항을 설 정하고 이에 대한 법적 책임기준을 마련할 입법수요가 존재한다는 점을 고려해야 할 것이다. (4) 클라우드컴퓨팅 서비스의 저작권 이슈 클라우드컴퓨팅에서는 서비스 제공자도 현행 저작권법이 정의하고 있는 OSP가 될 수 있고 저작권 침해책임을 부담할 수 있다. 그러므로 클라우 드 컴퓨팅을 진작시키기 위해서는 PaaS나 IaaS 서비스 제공자에 대해서는 OSP의 책임을 상당히 완화시킬 필요가 있다. 클라우드컴퓨팅에서 빈번하게 발생할 것으로 예상되는 저작권 쟁점 중 의 하나는 서비스 제공자의 서버에서 운영되거나 저장되어 있는 저작물에 대하여 누가 저작권을 가지는가의 문제가 될 것이나 저작법상의 법리상 2 차적 저작물로 인정되기 위해서는 창작성과 저작권자의 이용허락이 있다 면 2차적 저작물의 저작권자로 인정될 것이다

이용자가 자신의 데이터가 어디에 보관되고 어떻게 관리되고 있는지 알 기 어려운 클라우드컴퓨팅 서비스의 특성 상 클라우드 서비스 사용자 기 업의 기업 정보보호를 위한 제도적 보완도 시급하다고 할 것이다.

11 <목차> 제1장 연구목적 및 범위 1 제2장 클라우드컴퓨팅의 개념 및 유형 4 제1절 클라우드컴퓨팅의 개념 및 특징 4 1. 클라우드컴퓨팅의 개념 4 2. 클라우드컴퓨팅의 특징 및 장 단점 9 제2절 클라우드컴퓨팅의 유형 내용에 따른 구분 이용자 관계에 따른 구분 20 제3절 클라우드컴퓨팅과 그린IT 25 제3장 클라우드컴퓨팅 서비스의 사업 현황 28 제1절 국내 현황 기술적 기반 정부의 클라우드컴퓨팅 정책 현황 국내 주요 클라우드컴퓨팅 기업 현황 36 제2절 해외 현황 국가별 클라우드컴퓨팅 정책 현황 해외 주요 클라우드컴퓨팅 기업 현황 50 제3절 클라우드컴퓨팅 서비스의 향후 전망 56 제4장 클라우드컴퓨팅 서비스의 법제 현황

이용자 관계에 따른 구분 20 제3절 클라우드컴퓨팅과 그린IT 25 제3장 클라우드컴퓨팅 서비스의 사업 현황 28 제1절 국내 현황 28 1. 기술적 기반 28 2.

12 제1절 국내 법제 현황 국내법의 일반적 개관 국내법상 클라우드컴퓨팅 서비스의 법적 지위 클라우드컴퓨팅 서비스의 진흥 및 활성화 클라우드컴퓨팅 서비스의 보안이슈와 현행 정보보호법제 클라우드컴퓨팅 서비스 이용자 보호 시사점 83 제2절 해외 법제 현황 미국 영국 독일 일본 89 제3절 시사점 91 제5장 클라우드컴퓨팅 서비스의 법적 이슈 93 제1절 클라우드컴퓨팅 서비스의 법적 이슈 국내의 논의 외국의 논의 잊혀질 권리(Right to be forgotten) 98 제2절 클라우드컴퓨팅 서비스의 법제 개선방향 법 제도 개선의 필요성 법 제도 개선의 방향 101 제3절 정리 및 제언 클라우드컴퓨팅 사업자의 지위 정보통신서비스제공자 등 으로서 클라우드컴퓨팅 제공자

일본 89 제3절 시사점 91 제5장 클라우드컴퓨팅 서비스의 법적 이슈 93 제1절 클라우드컴퓨팅 서비스의 법적 이슈 93 1. 국내의 논의 93 2. 외국의 논의 95 3.

13 3. 클라우드컴퓨팅 서비스 제공자의 집적정보통신시설 사업자 여부 클라우드컴퓨팅 서비스 제공자와 정보보호안전진단 클라우드컴퓨팅 서비스 제공자와 정보보호 관리체계의 인증 클라우드컴퓨팅과 이용자의 데이터 보호 기타 108 제6장 클라우드컴퓨팅 서비스의 계약 이슈 109 제1절 일반적 계약법적 고찰 계약유형의 성질결정 109 가. 성질결정의 필요성 109 나. 클라우드컴퓨팅 서비스 계약의 특성 클라우드컴퓨팅 서비스의 각 유형 110 가. 클라우드컴퓨팅 서비스의 특징 110 나. 소프트웨어 서비스(Software as a Service - SaaS) 112 다. 플랫폼 서비스(Platform as a Service - PaaS) 114 라. 인프라 서비스(Infrastructure as a Service - IaaS) 클라우드컴퓨팅의 각 서비스 유형에 따른 계약성질론 117 가. 일정 기간의 하드웨어와 소프트웨어의 제공 117 나. 그 밖의 서비스 제공 클라우드컴퓨팅 서비스 계약에서 당사자의 권리와 의무 122 가. 클라우드컴퓨팅 서비스 제공자의 의무 122 나. 클라우드컴퓨팅 서비스 이용자의 의무 담보책임의 내용과 범위 124 제2절 계약내용의 형성 - 서비스레벨협정(SLA) SLA의 의의

소프트웨어 서비스(Software as a Service - SaaS) 112 다. 플랫폼 서비스(Platform as a Service - PaaS) 114 라. 인프라 서비스(Infrastructure as a Service - IaaS) 116 3.

14 2. SLA의 활용과 그 범위 SLA가 약관에 해당하는지 여부 SLA의 법적 성질 클라우드컴퓨팅 서비스의 SLA의 구조분석 130 가. 서비스 책임(Service Commitment)에 대한 명시 130 나. 용어의 정의(Definitions) 등 131 다. 서비스 가용성(Service Credits) 등 135 라. 고객의 서비스 크레딧 요청의무와 절차 등 138 마. 서비스레벨협정의 적용배제 140 제3절 클라우드컴퓨팅 서비스 약관과 그 통제 클라우드컴퓨팅 서비스 약관의 특징과 문제점 142 가. 전자약관으로서의 클라우드컴퓨팅 서비스 약관 142 나. 클라우드컴퓨팅 서비스 정책의 의미 143 다. 클라우드컴퓨팅 서비스 약관의 규제와 문제점 클라우드컴퓨팅 서비스 약관의 현황 클라우드컴퓨팅 서비스 약관의 내용통제 148 가. 담보책임을 배제 또는 면제하는 조항 148 나. 비용조항 149 다. 손해배상조항(Schadensersatzklauseln) 150 라. 서비스 가용성에 대한 책임 153 마. 수탁자에 대한 관리 감독 책임 사업자의 약관실태 조사와 표준약관(안) 155 가. 실태조사 155 나. 표준약관(안) 157 제7장 클라우드컴퓨팅 서비스의 정보보호 이슈

전자약관으로서의 클라우드컴퓨팅 서비스 약관 142 나. 클라우드컴퓨팅 서비스 정책의 의미 143 다. 클라우드컴퓨팅 서비스 약관의 규제와 문제점 144 2. 클라우드컴퓨팅 서비스 약관의 현황 147 3. 클라우드컴퓨팅 서비스 약관의 내용통제 148 가.

15 제1절 관련법제 현황 정보보호의 의의와 그 하위개념 206 가. 상위개념으로서 정보보호의 의의 206 나. 개인정보보호의 의의 207 다. 정보보안 의의의 개관 클라우드컴퓨팅과 현행 법제도 219 가. 공공기관의 개인정보보호에 관한 법률 219 나. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 226 다. 해외 법제도 동향 클라우드컴퓨팅 사업자의 지위 233 가. 개인정보 취급수탁자인가? 233 나. 집적정보통신시설 사업자인가? 236 다. 전기통신사업자인가? 238 라. 전자금융보조업자인가? 240 마. 통신판매중개자인가? 240 제2절 정보보호에 관한 이슈 정보의 물리적 위치에 따른 관할권 국외 정보 이전의 제한 정보의 보존 복구 및 폐기 254 가. 정보의 복구 및 폐기 254 나. 정보보존(data retention) 준수 물리적 관리적 기술적 보안 274 가. 클라우드컴퓨팅 보안 이슈 274 나. 클라우드컴퓨팅 보안 기술 277 다. 클라우드컴퓨팅 보안 법제 기업의 영업비밀보호

236 다. 전기통신사업자인가? 238 라. 전자금융보조업자인가? 240 마. 통신판매중개자인가? 240 제2절 정보보호에 관한 이슈 242 1. 정보의 물리적 위치에 따른 관할권 242 2. 국외 정보 이전의 제한 248 3.

16 6. 데이터에 대한 침해통지 300 가. 서론 300 나. 미국의 데이터침해 통지제도 301 다. 한국의 데이터침해통지 310 라. 클라우드컴퓨팅 서비스와 데이터침해 313 제3절 법제 개선방안 315 제8장 클라우드컴퓨팅 서비스의 저작권 이슈 321 제1절 서론 321 제2절 SaaS와 저작권 서론 접근통제 클라우드컴퓨팅과 일시적 복제 소프트웨어 스트리밍과 전송권 서비스제공자와 복제권 332 제3절 OSP로서의 책임 클라우드컴퓨팅과 OSP 저작권법상의 OSP 한미 FTA와 OSP IP 추적에 의한 침해자의 신원정보 획득 OSP로서의 서비스제공자 및 서비스이용자 349 제4절 서비스제공자의 책임 미국법상의 OSP의 간접책임 OSP의 감시의무와 판례상의 주의의무

접근통제 323 3. 클라우드컴퓨팅과 일시적 복제 328 4. 소프트웨어 스트리밍과 전송권 331 5. 서비스제공자와 복제권 332 제3절 OSP로서의 책임 335 1. 클라우드컴퓨팅과 OSP 336 2.

17 3. 클라우드컴퓨팅 진작과 OSP 책임 358 제5절 클라우드컴퓨팅 서비스 환경에서 제작되는 창작물 359 제6절 키워드 광고 361 제7절 영업비밀 363 제8절 데이터베이스 365 제9절 클라우드컴퓨팅 서비스와 소프트웨어 라이선싱 클라우드컴퓨팅 서비스 제공과 정품 소프트웨어 클라우드컴퓨팅 서비스에서의 소프트웨어 이용 Per-seat License vs. Concurrent User License 373 제10절 클라우드컴퓨팅 서비스와 오픈소스 클라우드컴퓨팅 서비스에서의 오픈소스 클라우드컴퓨팅 서비스 환경하에서의 오픈소스의 법적 문제점 378 제9장 클라우드컴퓨팅 서비스와 소송 385 제1절 서론 385 제2절 증거보존과 클라우드컴퓨팅 서비스 서론 데이터의 소유 및 통제 정보에 대한 접근 증거인멸 한국에 대한 시사점 390 제10장 법제 개선방안

Concurrent User License 373 제10절 클라우드컴퓨팅 서비스와 오픈소스 377 1. 클라우드컴퓨팅 서비스에서의 오픈소스 377 2.

18 <표목차> [표 2-1] 클라우드컴퓨팅에 대한 다양한 정의 6 [표 2-2] 클라우드컴퓨팅 확산의 10가지 장애요인과 기회요인 14 [표 3-1] 각국의 평균 인터넷접속속도 29 [표 4-1] 데이터 및 망에 대한 현행 보안법제와 클라우드컴퓨팅 65 [표 5-1] 안전진단 대상별 기준 항목 수 105 [표 6-1] 클라우드컴퓨팅 서비스의 주요특성 111 [표 6-2] 플랫폼 서비스의 3가지 유형 및 내용 115 [표 6-3] 2008년도 서비스 불능현황 152 [표 6-4] 대표적인 약관의 구성 156 [표 7-1] 정보자기결정권의 효력에 따른 개인정보의 활용 여부 215 [표 7-2] 클라우드컴퓨팅 서비스 환경 적용 시 주요 이슈 232 [표 7-3] 시장별 서비스 유형과 주요 사업자 276 [표 7-4] ISO27001의 11개 분야 288 [표 7-5] 정보보호관리체계인증통제항목및클라우드컴퓨팅적용시미흡항목 293 [표 7-6] 정리

2008년도 서비스 불능현황 152 [표 6-4] 대표적인 약관의 구성 156 [표 7-1] 정보자기결정권의 효력에 따른 개인정보의 활용 여부 215 [표 7-2] 클라우드컴퓨팅 서비스 환경 적용 시 주요 이슈

19 <그림 목차> (그림 2-1) 클라우드 컴퓨팅 8 (그림 2-2) 클라우드 컴퓨팅과 관련된 위험 15 (그림 2-3) 클라우드컴퓨팅 서비스 보안이슈 16 (그림 2-4) 22 (그림 2-5) 25 [그림 2-6] 그린 IT 를 사용하는 주요 이유 27 (그림 3-1) 국내외 업계현황 29 (그림 3-2) 클라우드 컴퓨팅 활성화 비전 및 목표 34 (그림 3-3) 일본정부 정보시스템 개요 47 (그림 3-4) 마이크로소프트의 윈도 애저 52 (그림 3-5) 출처: 서울경제신문, (그림 3-6) 모바일 클라우드컴퓨팅의 구성도 60 (그림 4-1) 클라우드 서비스의 해결과제 74 (그림 6-1) 클라우드컴퓨팅의 유형 112 (그림 6-2) 틸론의 '엘클라우드' 소프트웨어 서비스(SaaS) 113 (그림 7-1) IT Cloud 서비스의 해결 과제 275 (그림 7-2) Enterprise IAM 구조 279 (그림 7-3) 검색 가능 암호시스템 280 (그림 7-4) PPDM 시스템 구조 282 (그림 7-5) TPM Component 구조 285 (그림 7-6) CryptoCell의 구조 285 (그림 7-7) ISMS의 구성 289 (그림 7-8)

(그림 3-4) 마이크로소프트의 윈도 애저 52 (그림 3-5) 출처: 서울경제신문, 2010.7.

20 제1장 연구의 목적 및 배경 클라우드컴퓨팅은 국내 외를 불문하고 향후 10년간 IT산업의 패러다임 을 바꿀 메가트렌드로 주목받고 있다. 기술적으로는 스마트폰 등 모바일 디바이스의 진화, 광대역 네트워크의 발달, 무선인터넷의 활성화 등 성숙 한 IT환경이 클라우드컴퓨팅의 기반이 되었고, 사회적으로는 글로벌 경제 위기로 인해 IT비용절감, IT자원 활용 극대화 등 기업생존전략을 모색하려 는 기업들의 필요에 의해서 클라우드컴퓨팅 서비스가 더욱 주목받게 되었 다. 클라우드컴퓨팅은 단순히 서버 등 컴퓨팅 자원뿐만 아니라 에너지 절감 과도 관련이 있다. 현재 세계적으로 컴퓨터 서버의 전원 사용률은 매년 20%씩 늘어나는 것으로 알려지고 있는바 이런 에너지를 만들어내기 위해 화석 연료 등을 쓰고 있는 점을 감안하면, 컴퓨터를 효율적으로 사용해 에너지를 절약하는 일은 비용 절감을 넘어 환경 보호 차원에서도 큰 의미 가 있다 할 것이다. 전문가들은 클라우드컴퓨팅의 핵심기술인 가상화로 데이터 센터 공간의 80%를 줄이고, 에너지 소비량도 40%가까이 절감할 수 있다고 한다. 해외에서 클라우드 서비스는 아마존, 구글, MS 등 인터넷 서비스 업체 가 서비스를 시작하였으며 IT산업 전반에 걸쳐 클라우드컴퓨팅 사업이 활 발히 진행되고 있다. 또한 민간에서 뿐만 아니라 미국, 영국, 일본, 중국 등에서 정부차원의 지원책을 내놓고 있는 실정이다. 그러나 국내에서는 삼성, LG, KT, 일부 벤처기업들이 클라우드컴퓨팅 서비스를 시작하고 있 으나 초기화 단계이다. 이처럼 국내의 클라우드컴퓨팅 서비스 사업자들은 후발 주자로서 클라우드컴퓨팅 기술 및 서비스의 국제적 수준으로의 상향 을 위하여 노력하고 있으며, 향후 글로벌기업들과의 경쟁을 통하여 클라 우드컴퓨팅 서비스의 경쟁력을 증진시킬 것으로 예상된다. 이와 더불어 우리 정부도 범정부적인 클라우드컴퓨팅 활성화 종합계획을 발표하였다

클라우드컴퓨팅은 단순히 서버 등 컴퓨팅 자원뿐만 아니라 에너지 절감 과도 관련이 있다.

21 방송통신위원회, 행정안전부, 지식경제부 등 3개 부처는 국내 클라우드컴 퓨팅 시장을 2009년에 6,739억 원에서 2014년까지 2조5천억 원 규모로 육 성하기 위한 종합계획을 발표하였다. 이 계획은 공공부문의 적용가능 분 야부터 클라우드 서비스를 우선적으로 도입하기로 하였으며, 정부통합전 산센터 내 범정부 클라우드 인프라를 구축하며, 범정부 클라우드 플랫폼 도입 및 적용 등을 추진하는 것을 내용으로 한다. 클라우드컴퓨팅 시장은 시시각각 매우 빠른 속도로 변화하고 성장해 나 가고 있다. 비용과 시간의 절감, 효용성, 유연성 등에 힘입어 클라우드컴 퓨팅 시장은 많은 기업들에 의해 주목을 받고, 참여를 촉구하고 있다. 그 러나 클라우드컴퓨팅은 단어에서 의미하듯 뜬 구름 과 같아서 이와 같은 서비스를 어떻게 규제하고, 촉진하여야 하는지에 대해 논란의 소지가 있 을 수밖에 없다. 클라우드컴퓨팅 서비스를 활성화시켜 국민 경제의 발전 과 그린 IT실현을 확보하여 공공복리를 증진하기 위해서는 이와 같은 논 란에 대한 법적인 관점에서의 검토가 필요하다. 현재 우리나라의 현행법 에서는 클라우드컴퓨팅에 대한 규제 또는 지원이 어떻게 이루어지고 있으 며, 이들 법이 과연 클라우드컴퓨팅 서비스를 위한 법제로서의 역할수행 에 무리가 없는지에 관해 살펴볼 필요가 있다. 또한 클라우드컴퓨팅은 IT 자원을 개별소유형태에서 공동 이용관계로의 변화를 가져오며, 정보저장 의 위치의 가변성과 불예측성으로 인한 정보보호 및 정보의 국외 이전, 법률관계의 복잡화와 다단계화에 따른 여러 가지 법적 문제가 발생할 수 있으므로 이에 대한 법적인 검토가 필요할 것이다. 먼저 제2장에서는 클라우드컴퓨팅의 개념, 제3장에서는 국내외 사업현 황에 대해 살펴본다. 제4장에서는 클라우드컴퓨팅의 법제현황, 제5장에서 는 법적이슈가 무엇인가를 개관하여 보며, 제6장에서는 클라우드컴퓨팅 서비스계약의 법적성질, 손해배상 및 책임귀속, 서비스 가용성과 품질보증 문제로서 약관규제 및 서비스수준협약 등을 살펴보며, 제7장에서는 클라 우트컴퓨팅에서의 정보보호문제로서 데이터의 물리적위치에 따른 관할권, 데이터의 해외이전 제한, 기업의 영업비밀 보호 등에 관해 검토한다. 제8-2 -

22 장에서는 클라우드컴퓨팅에서의 서비스제공자의 면책, 지적재산권 문제 등을 검토해보기로 한다

23 제2장 클라우드컴퓨팅 개념 및 유형 제1절 클라우드컴퓨팅의 개념 및 특징 1. 클라우드컴퓨팅의 개념 클라우드컴퓨팅의 개념은 1960년대 미국의 컴퓨터 학자인 존 맥카시가 컴퓨팅 환경은 공공시설을 사용하는 것과도 같은 것 이라는 개념을 제시 한 것으로부터 출발하여 1) 20세기 후반의 시행착오를 거쳐 21세기에 들어 서 클라우드컴퓨팅 서비스가 정착되기 시작하였다. 즉, 2000년에 들어서 Microsoft가 웹 서비스를 개발함에 따라 SaaS의 개 념을 확장하였고, IBM이 이러한 개념들을 2001년에 발표한 자율적 컴퓨 팅 2) 성명서(Autonomic Computing Manifesto)에 규정함으로써 확립을 보 게 되었다. 아마존은 클라우드컴퓨팅의 발전에 중요한 역할을 했다. 닷컴 버블 사태 이후에 갑자기 증가하는 트래픽에 대비하기 위해 남겨두었던 그들의 데이터센터의 유휴자원을 활용하는 수단으로서 아마존의 "two-pizza teams"원칙 3) 덕분에 시장의 수요에 부응하는 새로운 서비스를 제공할 수 있었고, 이러한 기반 속에서 아마존은 2005년에 자사의 웹 서 1) 김영준, 클라우드 컴퓨팅 기술 동향, 주간기술동향, 정보통신산업진흥원, 통권 제1433호, 29면. 2) 자율 컴퓨팅이란 생리학에서 차용한 것으로 인간의 몸이 숨을 쉬어야 할 때를 아는 것처럼, 소프 트웨어도 컴퓨터시스템이 스스로를 치료하고 구성할 시기를 알 수 있도록 하자는 것으로 애플리 케이션, 시스템, 전체 네트워크가 자율관리기능을 수행할 수 있도록 하는 개념, 기술 및 프레임워 크를 총칭한다. 자율관리에는 통상 자율구성(self-configur), 자율치유(self-heal), 자율최적화 (self-optimize) 및 자율보호(self-protect)의 특성을 갖는다. zemyblue/112 및 newto/ 등 참조 3) 커다란 피자라도 먹기 좋을 정도의 조각을 내면 보다 많이 먹을 수 있다는 것으로, 거대한 팀이 문제에 관한 일반이해를 구하고자 노력하는 동안에 작고 알찬 프로젝트 팀은 고객에 보다 가깝 게 접근하여 문제의 핵심을 파악하고 간이 처리절차와 최소 부담으로 현실적인 작업을 끝낼 수 있다는 의미를 갖는 것으로 파악된다

24 비스를 통해 유틸리티 컴퓨팅을 기반으로 하는 클라우드컴퓨팅 서비스를 시작되었다. 그밖에 기존의 그리드 컴퓨팅 4), 유틸리티 컴퓨팅 5), 서버기반 컴퓨팅 6), 네트워킹 컴퓨팅 7) 등도 클라우드컴퓨팅의 한 모습이기도 하다. 또한 클 라우드컴퓨팅을 그리드 컴퓨팅 기반기술과 유틸리티 컴퓨팅 개념을 혼합 한 형태로 보는 시각도 있다. 즉, 그리드 컴퓨팅처럼 컴퓨팅 자원을 한데 모아 놓고 여러 사용자에게 제공함으로써 컴퓨팅 성능을 높이고 자원들의 효용성을 극대화시키고, 유 틸리티 컴퓨팅처럼 원하는 만큼 제공을 하고 사용한 만큼 과금을 하기 때 문이다. 8) 다만, 이들과 클라우드컴퓨팅의 가장 큰 차이점이라면 기업들에 게 있어 비용절감의 효과를 가져다준다는 점에 있다. 이와 같은 클라우드컴퓨팅은 그 정의를 내리는데 있어 클라우드 란 단 어처럼 구름 속 또는 안개 속에 있는 것처럼 명확한 개념 정의가 부재하 고, 관계 기관 및 사업자에 따라 아래의 표 2-1 에서 보는 바와 같이 다르게 정의를 하고 있다. 향후, 클라우드컴퓨팅에 대한 현황이나 법제 현 황 등에 대하여 논의를 함에 있어 정의는 매우 중요한 개념인 바, 이에 대한 명확한 정의는 존재하여야 할 것이다. 따라서 기존의 관계 기관들의 정의를 살펴보고, 이를 바탕으로 클라우드컴퓨팅이 무엇인지에 대한 검토 가 필요할 것으로 여겨진다. 우선 리서치기관 가드너에 의하면 인터넷 기술을 활용하여 다수의 고 객에게 높은 수준의 확장성을 가진 IT자원들을 서비스 로 제공하는 하나 4) 그리드 컴퓨팅이란 모든 컴퓨터 기기를 하나의 초고속 네트워크로 연결하여 컴퓨터의 계산능력 을 극대화한 차세대 디지털 신경망 서비스를 의미한다. 즉, 지구상의 모든 컴퓨터를 네트워크로 연결해 하나의 거대한 가상컴퓨터를 만든다는 개념이다.;두산백과사전 5) 유틸리티 컴퓨팅이란 서버, 스토리지 등 컴퓨팅 지원을 보유하지 않은 채 가스나 전기처럼 사용 량에 따라 과금되는 방식으로서 과금 방식에 있어서는 클라우드 컴퓨팅과 유사하다. 정재호, 클 라우드 컴퓨팅의 현재와 미래, 그리고 시장전략. 6) 서버기반 컴퓨팅이란 서버에 응용 소프트웨어와 데이터를 저장해 두고 필요할 때마다 접속해서 쓰는 방식으로 모든 작업을 서버가 처리하게 된다. 7) 네트워킹 컴퓨팅이란 서버 기반 컴퓨팅처럼 응용 소프트웨어를 서버에 두지만 작동은 이용자 컴 퓨터의 지원을 이용해 수행하는 방식의 컴퓨팅이다. ;두산백과사전. 8) 이상돈, 클라우드 컴퓨팅, TTA Journal 25권, , 25면 참조

25 의 컴퓨팅 스타일 9) 로 정의하고 있으며, 포레스터 리서치는 표준화된 IT 기반기능들이 인터넷프로토콜을 통해 제공되며, 언제나 접근이 허용되고, 수요의 변화에 따라 가변적이며, 사용량이나 광고에 기반을 둔 과금모델 을 제공하며 웹 혹은 프로그램 인터페이스를 제공하는 장치 10) 로 정의하 였다. 그리고 위키피디아에서는 인터넷 기반의 개발 및 컴퓨터 기술의 활용 으로서 인터넷을 통해 동적으로 규모화가 가능한 가상적 자원들이 제공되 는 컴퓨팅 11) 으로 정의하고 있으며, IBM은 웹기반 어플리케이션을 이용 하여 대용량 데이터베이스를 인터넷 가상공간에서 분산처리하고, 데이터 를 데스크톱 PC, 휴대전화, 노트북, PDA 등 다양한 단말기에서 불러오거 나 가공할 수 있는 환경 으로 정의하고 있다. 또한 NIST(미국국립표준기술연구소)에서는 클라우드컴퓨팅은 활성화를 위한 모델로서 편리하고, 빠르게 구축될 수 있고, 최소한의 관리노력 또는 서비스 공급자와 상호 작용할 수 있고, 컨피규레이션이 가능한 컴퓨터 자 원의 공유 풀에 편리한 온디맨드 네트워크액세스를 제공하는 모텔(예를 들면, 네트워크, 서버, 스토리지, 애플리케이션, 그리고 서비스) 12) 로 정의 하고 있다. 9) A style of computing in whinch massively scalable IT-enabled capabilities are delivered 'as a service' to multiple customers using internet technologies" 10) 'A form of standardized IT-based capability-such as Internet-based services, software, or IT infrastructure-offered by a service provider that is accessible via Internet protocols from any computer, is always available and scales automatically to adjust to demand, is either pay-per-use or advertising-based, has Web-or programmatic-based control interfaces, and enables full customer self-service' 11) Cloud computing is Internet-based computing, whereby shared resources, software, and information are provided to computers and other devices on demand, like the electricity grid 12) Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. ;

26 표 2-1 클라우드컴퓨팅에 대한 다양한 정의 출처 : 김의중, IT 6 Mega Trend: Green IT & Cloud Computing, 삼성 SDS정보기술연구소, p.25. 기관명 Ian T. Foster Gartner Forrester Research Wikipedia IBM Google 정의 인터넷을 통하여 외부 고객의 요구에 따라 컴퓨팅 파워, 스 토리지, 플랫폼 및 서비스를 제공하기 위해 가상화되고, 동적 확장성 및 관리가 가능하며, 규모의 경제성이 있는 대규모 분산 컴퓨팅 패러다임 인터넷 기술을 활용해 많은 고객들에게 수준 높은 확장성을 가진 자원들을 서비스로 제공하는 컴퓨팅의 한 형태 표준화된 IT 기반 기능들이 IP로 제공되고, 언제나 접근이 허 용되며, 수요 변화에 따라 가변적이며, 사용량이나 광고를 기 반으로 비용을 지불하고, 웹 또는 프로그램적인 인터페이스 를 제공하는 형태 인터넷으로 자원들이 제공되는 형태로 인터넷에 기반을 두고 개발하는 컴퓨터 기술의 활용 웹 기반 응용 소프트웨어를 활용해 대용량 데이터베이스를 인터넷 가상공간에서 분산 처리하고, 이 데이터를 컴퓨터나 휴대전화, PDA 등 다양한 단말기에서 불러오거나 가공할 수 있게 하는 환경 사용자 중심, 업무 중심의 수백 또는 수천 대의 컴퓨터를 연 결하여 단일 컴퓨터로는 불가능한 풍부한 컴퓨팅 자원을 활 용할 수 있도록 하는 기술 이와 같은 정의에 의하면 클라우드컴퓨팅이란 인터넷을 통한 IT자원의 온디맨드 13) 아웃소싱 서비스로 볼 수 있다. 그리고 실제 클라우드컴퓨팅 서비스의 제공 형태를 보면 인터넷 상의 서로 다른 물리적인 위치에 존재 하고 있는 각종 컴퓨팅 자원들을 가상화 기술로 통합하여 사용자에게 언 제, 어디서나 필요한 양만큼 편리하고 저렴하게 사용할 수 있는 IT이용환 경을 제공하는 기술로, 공급자 관점에서는 여러 곳에 분산되어 있는 데이 터센터를 가상화 기술로 통합하여 고객들이 필요로 하는 IT자원 서비스를 13) 온디맨드란 하드웨어, 응용 소프트웨어, 솔루션 등 전산 자원과 서비스를 사용자가 원하는 대로 골라 쓸 수 있게 서비스하는 개념임 - 7 -

27 실시간으로 제공하는 기술을 의미한다. 소비자 관점에서 원하는 SO, 스토리지, 애플리케이션, 보안 등 IT 자원 을 원하는 장소에서 원하는 시점에 원하는 만큼 사용하고 그에 따른 대가 를 지불할 수 있는 환경 14) 으로 정의 가능하다. 즉, 개개인이 사용하려는 컴퓨팅 자원을 자신의 인프라를 이용해 구름을 형성한 듯 마치 자신의 컴 퓨터처럼 자유롭게 사용하고 그에 따른 비용을 지불하는 아래의 (그림 2-1)과 같은 서비스 형태의 분산 컴퓨팅 환경이라 할 수 있다. (그림 2-1 )클라우드컴퓨팅(출처: David Navetta, Legal Implication of cloud computing, ) 뿐만 아니라 클라우드컴퓨팅 서비스는 하나의 기술이라기보다는 새로운 IT Trend를 표현하는 개념이라 할 것이다. 이는 기존의 IT Trends, Buzz Marketing, Technology가 결합되어 클라우드컴퓨팅의 개념 정의됨을 의 미한다. IT Trends란 소유하지 않고 빌려 쓰는 IT의 총칭으로서 유비쿼터 스의 다른 표현이며, Buzz Marketing 이란 On-Demand 의 연장선이며, IT vender의 변화 표현, H/W, S/W, service의 경계 해체를 의미한다. 이와 같은 클라우드컴퓨팅은 인터넷기반 클라우드컴퓨팅 환경, 인터페 이스, 사용자로의 3단계의 단계성을 지니고 있다. 1단계 인터넷기반 클라 우드컴퓨팅 환경에서는 무선망, 콘텐츠, 소프트웨어, 컴퓨팅 파워, 스토리 14) 주용완, 클라우드 컴퓨팅 서비스 동향 및 활성화 방안, 지역정보화지 제56호, 한국지역정보개발 원, 2009, 58면

28 지, 라우팅, 유선망 등을 통하여 즉, 컴퓨팅 자원의 연계 활동체계 구축을 통해 효율적 자원 활용체계를 구축하여 인프라 투자의 절감효과를 가져온 다. 1단계에서 기업 내 목적을 위한 사설 클라우드, 커뮤니티 클라우드, 미니 클라우드 시스템의 등장이 예상된다. 2단계에서는 인터페이스간 호환적 콘텐츠 서비스 등이 활성화 되어 서 비스 간 연계체계를 구축하여 콘텐츠 공유 서비스(개인정보보호, 보안, 인 증체계), 모바일 중심으로 I/F 전환이 등장한다. 공공 클라우드, 모바일 클라우드, 인터 클라우드 등이 등장되는 단계이다. 3단계는 사용자 활동 등의 인지를 통한 사용자 중심의 IT 환경 연동체 계를 통하여 안정적인 인터클라우드 형성으로 업무와 개인생활이 연계된 자유로운 클라우드 환경이 설정된다. 홈 네트워크, 스마트 그리드, 소셜 네트워킹 등과 연계 발달, 의료, 교육, 환경 등의 분야와 연계된다. 2. 클라우드컴퓨팅의 특징 및 장 단점 가. 클라우드컴퓨팅의 특징 15) 클라우드컴퓨팅은 기존의 컴퓨팅 접근방식과의 관계 및 차이점에 있어 인프라의 추상화, 자원 민주화, 서비스 중심 아키텍처, 탄력성 및 역동성, 소비 및 할당의 활용 모델로서의 특징을 지니고 있다. 우선 인프라의 추상화란 컴퓨팅, 네트워크 및 스토리지 인프라 자원들 은 서비스 제공의 기능으로 애플리케이션 및 정보 자원에서 추상화된다. 데이터가 처리, 전송 및 저장되는 곳 및 그렇게 하는데 사용되는 물리적 인 자원은 그것을 전달할 수 있는 애플리케이션이나 서비스의 능력 관점 에서 보면 대체로 불투명해진다. 인프라 자원은 사용된 애플리케이션 모델(공유형 또는 전용)에 관계없 15) Cloud Security Alliance, Security Guidance for Critical Areas of Focus in Cloud Computing, , pp

29 이 서비스를 전달할 수 있도록 일반적으로 모아서 처리된다. 이 추상화는 일반적으로 칩셋 수준과 운영 체제 수준에서 이루어지는 높은 수준의 가 상화에 의해 제공되거나 맞춤형 파일 시스템, 운영체계 또는 통신 프로토 콜에 의해 더 높은 수준에서 활성화된다. 둘째 인프라 추상화로 인해 자원(인프라, 애플리케이션 또는 정보) 민주 화라는 개념이 생기며, 함께 모아진 자원을 활용할 권한이 있는 사람이나 시스템이 그렇게 하는 표준화된 방법을 사용하고 접근할 수 있게 할 수 있다. 셋째 애플리케이션 및 정보에서 인프라를 추상화하면 잘 정의되고 느슨 하게 묶어진 자원 민주화가 이루어지므로, 이런 구성요소의 전체나 일부 를 단독으로 통합 하여 활용한다는 개념은 자원을 표준 방식으로 접근하 여 활용할 수 있는 서비스 중심 아키텍처를 제공한다. 이 모델에서는 인 프라 관리가 아닌 서비스 전달에 초점을 맞춘다. 넷째 탄력성 및 역동성을 가진다. 높은 수준의 자동화, 가상화 및 신뢰 할 수 있는 고속 유비쿼터스 연결성과 연계된 클라우드 프로비저닝의 온 디맨드 모델은 필요에 따른 용량에 맞추어 확장이 되는 셀프 서비스 모델 을 사용하여 서비스 정의 및 요구사항에 맞추어 자원 할당을 신속하게 확 대 또는 축소할 수 있는 기능을 제공한다. 자원은 공동으로 처리되므로, 더 좋은 활용 및 서비스 수준을 달성할 수 있다. 다섯째 철저한 자동화, 편성, 프로비저닝 및 셀프 서비스와 결합된 클라 우드의 추상성, 민주성, 서비스 중심성 및 탄력성은 임의의 수의 주요 입 력매개 변수를 근거로 자원을 능동적으로 할당할 수 있다. 원자 수준의 가시성을 감안하면 자원 소모량을 사용하여 원하는 만큼 사용할 수 있지 만 사용하는 만큼 지불 하는 방식의 유틸리티 비용 및 사용 모델을 제 공할 수 있다. 따라서 비용 효율성과 확장성이 더 커지며 비용이 관리가 가능하며 예측할 수 있다. 나. 클라우드컴퓨팅의 장 단점

30 (1) 클라우드컴퓨팅의 장점 16) 클라우드컴퓨팅이 IT사업을 이끄는 주요 서비스로서 역할을 하고 있는 데에는 몇 가지의 장점이 적용하고 있다. 첫째 경제적 이점이 있다. 클라우드컴퓨팅은 IT에 접속하는 만큼 비용 을 지불하게 되고, 이는 낮은 초기 투자할 수 있으며, 추가적인 투자는 만 약 사용이 줄어든다면 비용을 줄일 수 있다. 이러한 방법으로 현금은 전 체 시스템 가격과 더 일치하게 유통된다. 예컨대, 2007년 미국 뉴욕타임즈 는 아마존의 클라우드 서비스인 웹서비스와 S3를 이용해 1851년부터 1922 년까지 1100만 건에 이르는 신문기사를 PDF로 전환하는 작업을 수일 만 에 수백 달러의 비용으로 해결한 사례가 대표적이라 할 수 있다. 17) 둘째 유연성이 있다. 사용자 변동을 예측할 수 있는 IT부서는 추가로 하드웨어와 소프트웨어를 확보할 필요가 없으며, 사실상 구축 및 실행하 는데 획기적으로 적은 자본이 소요된다. 또한 클라우드컴퓨팅에서는 그들 이 사용한 것에 대해서만 비용을 지불하면 된다. 셋째 클라우드컴퓨팅의 장점으로서 신속한 구현을 들 수 있다. 필요 조 달 및 인증프로세스의 통과 없이, 그리고 서비스, 도구, 특징의 거의 무한 한 선택과 함께 클라우드컴퓨팅은 지정된 시간에 프로젝트를 할 수 있다. 넷째 클라우드컴퓨팅은 일관된 서비스를 실현할 수 있다. 네트워크 중 단은 IT부서에게 대답을 위한 스크램블링(scrambling)을 보낼 수 있다. 클 라우드 컴퓨팅은 높은 수준의 서비스를 제공할 수 있고, 긴급 상황에 대 해 즉각적인 대답을 제공할 수 있다. 다섯째 효율성을 증가 시킬 수 있다. 클라우드컴퓨팅은 임무수행에 필 수적인 작업에 더 많은 시간을 보내고, IT 작동과 유지에는 적은 시간을 보낼 수 있도록 함으로서 시스템 구성 및 유지의 IT시스템의 미세한 세부 16) Viverk Kundra, State of Public Sector Cloud Computing, CIO council, , p4참조. 17) 전자신문,

31 사항으로부터 사용자들을 자유롭게 한다. 여섯째 클라우드컴퓨팅은 에너지 효율성을 실현시키는 이점을 지니고 있다. 자원이 공동화됨으로서, 각각의 사용자 커뮤니티는 자체 IT 안프라 를 가지는 것이 필요하지 않다. 여러 그룹들은 컴퓨팅 자원을 공유할 수 있고, 더 높은 이용요금, 적은 서버 및 더 적은 에너지 소비를 이끌 수 있 다. 일곱째 이용자는 클라우드컴퓨팅을 이용할 때 어플리케이션 등을 자신 의 컴퓨터(단말기)에 저장해 두어야 할 필요가 없기 때문에 컴퓨터 관리 가 쉽고 항상 최신의 어플리케이션을 이용할 수 있다. 또한 이용자는 컴 퓨터 관리에 필요한 복잡한 기술이나 인프라에 대한 전문 지식이 필요 없 게 되어 누구든지 보다 쉽게 컴퓨터를 이용할 수 있게 된다. 18) 이처럼 클라우드컴퓨팅은 접속한 만큼 비용을 지불하게 함으로서 쓸모 없는 비용이 지불되지 않도록 하는 경제적 효과와 유연한 서비스 제공, 신속한 구현, 부가적인 작업보다는 중요 작업에 더 많은 시간을 투자할 수 있도록 하는 효율성 증가, 공동 이용에 따른 서버의 감소와 에너지 절 약에 따른 에너지 효율성의 실현 등의 장점을 보유하고 있다. (2) 클라우드컴퓨팅의 단점 클라우드컴퓨팅 서비스가 새로운 IT 메가트렌드로서 집중 조명을 받고 있으며, 국내외에서 현황 및 법제에 관한 논의가 전개되고 있는 만큼 그 이점이 우수한데 비하여 동전의 양면과 같이 단점 또한 존재하는 것은 부 인할 수 없는 문제라고 할 수 있다. 가장 우선, 클라우드컴퓨팅을 제공 또는 이용하는데 있어 주요 단점으 로 제공되는 점은 서버 공격에 따른 정보 유출 등의 보안 관련 문제이다. 클라우드컴퓨팅의 경우 여러 대의 컴퓨터에 정보가 분산되어 있는 것이 18) 이창범, 클라우드 컴퓨팅의 안전한 이용과 활성화를 위한 법적 과제, 정보보호학회지 제20집제2 호, 정보보호학회, , 34면

32 아니라 하나의 컴퓨터에 정보가 밀집되어 있기 때문에 데이터센터가 공격 을 받은 경우 그 피해는 막대하다 할 것이다. 대부분의 클라우드컴퓨팅 서비스의 이용을 고려하는 이용자들의 서비스 이용을 망설이게 하는 첫 번째 원인 역시 정보보호이다. 더구나 이용자는 자신의 정보가 어디에 어 떻게 저장이 되는지를 알기 어려워 이러한 우려는 클 수밖에 없다. 둘째, 재해나 사이버테러 등의 문제에 따라 서버 데이터가 손상되는 경 우 미리 백업을 해 두지 않는다면 정보를 재 복구하기가 어렵다는 점을 단점으로 제시할 수 있다. 셋째, 현실적으로 클라우드컴퓨팅을 제공하는 사업자의 경우, 하나의 사 업자가 여러 가지 클라우드컴퓨팅을 함께 제공하기 때문에 이용자의 입장 에서 다양한 제공 사업자의 각각의 클라우드컴퓨팅을 이용하기 원한다고 할지라도 서로 호환이 되지 않는 문제 등에 의해 서비스를 자유롭게 선택 할 수 없다는 점이 단점으로 지적되고 있다. 이처럼 서비스의 호환성이 보장되지 않을 경우, 서비스 이용자는 하나 의 서비스에 종속될 수밖에 없으며 서비스 제공자의 불합리한 요구에도 불구하고 동일한 서비스를 계속 이용해야만 하는 문제가 발생하게 된다. 이는 클라우드컴퓨팅 서비스의 기술 개발 및 제공자 간의 경쟁을 감소하 게 함으로써 이용자들에게 보다 나은 서비스를 제공받을 수 있는 기회를 축소하는 결과를 가져오게 된다. 따라서 클라우드컴퓨팅 호환성의 문제는 클라우드컴퓨팅 기술 및 서비스의 표준화 제정 등의 방안을 고려하여야 한다. 넷째, 클라우드 컴퓨팅 서비스 제공자가 서비스를 제공하던 중 갑자기 서비스가 중단되는 등의 장애가 발생하는 경우, 이에 따른 사용자의 이용 제약 및 손해가 발생할 수 있다는 단점이 있다. 예컨대 2008년 아마존의 서버 및 스토리지 컴퓨팅 서비스인 'S3 서비스 가 약 2시간가량 중단됨에 따라 수 천 개의 기업과 개발자들, 30여만 명의 사용자들이 피해를 입은 사례가 있었다. 이와 같은 클라우드컴퓨팅 서비스의 갑작스런 중단에 따 른 이용자의 손해 발생을 사전에 예방하기 위하여 지속적인 클라우드컴퓨

33 팅 서비스의 안전성을 점검할 필요성이 있으며, 발생된 손해에 대비하여 서비스 제공자로 하여금 보험에 가입하도록 하는 방안을 강구할 필요성이 있다. 기타 클라우드컴퓨팅의 확산의 10가지 장애요인 내지 기회요인은 아래 의 표 2-2 와 같다. 표 2-2 클라우드컴퓨팅 확산의 10가지 장애요인과 기회요인 출처 : 한국소프트웨어진흥원, SW Insight, 쪽 장애요인 서비스 가용성 데이터 잠금 데이터 기밀과 감시 테이터 전송지연 성능 예측의 불확실성 확장 가능한 스토리지 대규모 분산 시스템에서의 에러 빠른 확장성 평판 공유의 문제 소프트웨어 라이센싱 문제 기회요인 비즈니스 연속성을 위해 다수의 클라우드 공급자 활용 / 디도스 공격에 대항하기 위해 클라우드 컴퓨팅의 탄력적 구조이용 API표준화 / 호환성 있는 소프트웨어 사용 암호화, VLAN, 방화벽 사용 / 물리적 데이터 저 장장치에 법규제 적용 데이터 운손, 데이터 백업 저장 /WAN 라우터 비용감소 ; LAN스위치 대역폭 확장 VM 지원 강화, 플래쉬 메모리 / HPC 애플리케 이션을 위한 집단 스케즐링 적용 확장성 있는 저장소 개발 분산 VM에 의존한 디버거 개발 인공지능에 의존한 Auto-Scaler 개발 클라우드 컴퓨팅 보존 평판 보호서비스 가동 사용시 라이센싱 방법; 薄利多賣 판매 등 (3) 클라우드컴퓨팅의 위험요소 IBM이 전 세계의 기업 IT담당자를 대상으로 조사한 결과 19) 에 의하면,

34 아래의 (그림 2-2)에서 보는 바와 같이 클라우드컴퓨팅과 관련한 위험으로 는 데이터의 전송>데이터의 손상 또는 손실의 위험>기업네트워크 보안 의 악화 등의 순으로 그 위험이 제시되고 있다. 즉, 응답자의 61%는 중요 데이터 전송에 대한 위험을, 50%는 데이터 손상 또는 손실 위협에 대한 위험성을 각각 지목하고 있으며, 기업 네트 워크 보안이 약화될 것을 걱정하는 응답자도 23%에 달하는 것으로 보고 되고 있다. 이와는 별도로 응답자의 77%는 클라우드컴퓨팅 서비스와 관 련한 위험으로 개인정보보호 문제를 언급했다고 IBM 보고서는 밝히고 있 다. 한편, 어려운 경제 상황에서도 기업의 IT 위험관리 및 규정 준수 예산 은 크게 영향을 받지 않고 있다는 점은 긍정적으로 평가되고 있다. (그림 2-2) 클라우드 컴퓨팅과 관련된 위험 (출처 : 디지털데일리) 그밖에, 클라우드컴퓨팅은 아래의 (그림 2-3)에서 보는 바와 같이 공공 네트워크를 매개로 하여 다수의 서비스를 동시에 제공하는 동시에 클라우 드의 체인적인 특성상 많은 보안의 문제를 안고 있어 DDos 공격에 매우 취약한 특성을 갖기 때문에 클라우드컴퓨팅 이용자는 자신의 민감한 데이 19) 이와 관련한 상세한 내용은 SNS 모바일 클라우드 컴퓨팅 위험성 크다, 디지털데일리, 참조

35 터의 저장에 부담을 안게 된다. 공공네트워크가 사설네트워크에 비하여 보다 많은 위험에 노출될 수밖에 없는 것이다. 이러한 문제의 시정을 위 해서는 데이터보안과 기밀유지를 위한 법적 제도 20) 가 마련되어야 하고 마 련된 법적 규제가 준수되고 있는지를 감시하는 시스템 또한 마련되어야 할 것이다. 물론, 기술적으로는 저장의 암호화, 가상랜, 네트워크 미들박 스(방화벽이나 패킷필터 21) ) 등의 잘 알려진 기술을 이용함으로써 사설네 트워크 수준의 보안을 클라우드컴퓨팅 환경에서 구비할 수는 있다고 할 것이다. 22) (그림 2-3) 클라우드컴퓨팅 서비스 보안이슈 (출처 : 김희정, Green 시대에서의 인터넷 및 정보보호추진 방향, 2009 산업전망 컨퍼런스 발표집 ) 제2절 클라우드컴퓨팅의 유형 20) 현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제28조제4호는 개인정보에 대한 암 호화 조치를 규정하고 있는 점에 주목할 필요가 있다. 21) 암호화되지 아니한 패킷에 대한 필터링은 그 필터링 자체가 또 다른 비밀감청의 문제를 야기할 수도 있다. 22) 한국소프트진흥원, 클라우드 컴퓨팅 확산의 10대 장애요소, 쪽 참조

36 클라우드컴퓨팅 서비스의 유형은 내용과 대상 범위에 따른 구별이 가 능하다. 내용에 따라 인프라 스트럭쳐 서비스, 플랫폼 서비스, 소프트웨어 서비스로 구분이 가능하며, 대상 범위에 따라 개방형 클라우드컴퓨팅과 회원형 클라우드컴퓨팅, 하이브리드 클라우드컴퓨팅으로 분류할 수 있다. 1. 내용에 따른 구분 내용에 따른 분류로서 IaaS, PaaS, SaaS 간의 관계는 의존성을 이해하는 것이 매우 중요하다. IaaS는 모든 클라우드 서비스의 기초이며, PaaS는 IaaS를 기초로 구축되고, SaaS는 PaaS를 기초로 구축된다. 즉, 이들 세 가 지 클라우드컴퓨팅 서비스는 서로 일정부분 공통 요소들을 포함하고 있기 때문에 완전히 분류하여 구분하는 것은 쉽지 않다. 뿐만 아니라 세 가지 서비스가 상호 연계하여 클라우드컴퓨팅 서비스의 질과 완성도를 높일 수 있다. 다만, 클라우드컴퓨팅 서비스의 구조를 이해 하기 위해 세 가지를 구분하여 살펴볼 필요가 있다. 가. 인프라 스트럭쳐 서비스(Infrastructure as a Service; IaaS) IaaS란 서버, 스토리지, 네트워크 등 인프라 스트럭쳐를 가상화 환경으 로 만들어 필요에 따라 인프라 자원을 사용할 수 있도록 하는 서비스를 의미한다. 즉, 클라우드컴퓨팅을 이용하여 IT 인프라 자원을 제공하는 서 비스를 말한다. 소비자에게 제공된 기능은 프로세싱, 스토리지, 네트워크 및 기타 기초 적인 컴퓨팅 자원을 임대하는 것이다. 이 경우, 소비자는 임의의 소프트웨 어를 배치 및 실행할 수 있으며, 그 중에는 운영체계와 애플리케이션이 포함된다. 소비자는 기반 클라우드 인프라를 관리하거나 통제하지 않지만 운영체계, 스토리지, 배치된 애플리케이션에 대한 통제권이 있으며, 가능 한 경우, 네트워킹 컴포넌트들(예 : 방화벽, 로드 밸런스)을 선택할 수 있

37 다. 23) IaaS는 시설에서부터 그 시설이 존재하는 하드웨어 플랫폼에 이르기까 지 전체 인프라 자원이 포함된다. 더 나아가 IaaS는 자원을 추상화하(거나 하지 않을) 수 있는 기능과 그런 자원에 물리적/논리적 연결기능을 제공 하는 기능을 포함하고 있다. 궁극적으로 IaaS는 서비스 소비자가 관리를 하고 인프라 기타 형태의 상호 작용을 할 수 있는 일련의 API를 제공한 다. 아마존 Elastic Computer Cloud(EC2) Service, 스토리지 서비스 S3(Simple Storage Service), 구글 앱 등이 IaaS에 해당되며, 향후 개인과 중소기업 중 심의 퍼블릭클라우드와 회원형 클라우드컴퓨팅을 결합한 하이브리드 클라우 드컴퓨팅 형태로 발전할 가능성이 높은 것으로 평가되고 있다. 나. 플랫폼 서비스(Platform as a Service; PaaS) PaaS란 이용자가 애플리케이션을 개발, 테스트 또는 구축할 수 있는 통 합된 플랫폼을 제공하는 서비스로서 이용자가 PaaS를 통해 새로운 애플 리케이션을 받기도 하고, 다른 SaaS를 제공하기도 하는 서비스를 의미한 다. 소비자에게 제공되는 기능은 서비스 제공자가 지원하는 프로그래밍 언 어와 툴(예 :java, python, Net)을 사용하여 소비자가 만든 애플리케이션을 클라우드 인프라에 배치하는 것이다. 소비자는 기반 클라우드 인프라, 네트워크, 서버, 운영체계, 스토리지 또 는 심지어는 개별적인 애플리케이션 기능까지도 관리하거나 통제하지 않 지만, 소비자는 배치된 애플리케이션에 대한 통제권이 있으며, 가능한 경 우, 애플리케이션 호스팅 환경 구성도 통제한다. 24) 아마존 Simple DB, Simple Storage Service, MS SQL Server Data 23) Cloud Security Alliance, Security Guidance for Critical Areas of Focus in Cloud Computing, , p17. 24) Peter mell & Time Grance, The NIST Definition of Cloud Computing,

38 Service, 구글 앱 엔진, 세일즈포스닷컴의 포스닷컴 등이 플랫폼 서비스의 대표적인 사례이다. 다. 소프트웨어 서비스(Software as a Service; SaaS) Saa란 일정관리, 주소록, CRM용 프로그램, 오피스 프로그램 등 다양한 소프트웨어를 웹을 통해 임대하여 사용할 수 있도록 제공하는 서비스로서 정보통신 용어사전에 의하면 공급업체가 하나의 플랫폼을 이용해 다수의 고객에게 소프트웨어 서비스를 제공하고 사용자는 이용하는 만큼 요금을 지불하는 것을 의미한다. 즉, 소프트웨어가 서비스 제공자의 서버에 설치 돼 인터넷을 통해 접근돼 서비스되는 것이다. 소비자에게 제공된 기능은 클라우드 인프라에서 실행되는 서비스 제공 자의 애플리케이션, 그리고 웹브라우저(예: 웹기반 이메일)와 같은 씬 클 라이언트 인터페이스를 통해 다양한 클라이언트 장치에 접근할 수 있는 애플리케이션을 사용하는 것이다. 소비자는 기반 클라우드 인프라, 네트워 크, 서버, 운영 체계, 스토리지 또는 심지어는 개별적인 애플리케이션 기 능까지도 관리하거나 통제하지 않는다. 예외가 있다면 사용자전용 애플리 케이션 구성설정에서 제한하는 것이다. 25) 그리고 SaaS는 ASP와 차이를 지니고 있다. ASP와 SaaS는 인터넷을 통 해 어플리케이션을 서비스로 제공하는 방식으로 기존 전통적인 소프트웨 어 비즈니스 모델과 달리 정액제 및 정률제 방식으로 빌려 쓰는 모델이라 는 점에서는 공통점을 지니고 있다. 그러나 초기 ASP는 단순히 일부 어 플리케이션 방식을 온라인으로 대체한 것인데 반해 SaaS는 소프트웨어 선택 및 공급, 운영을 지원하는 단일 플랫폼을 통해 모든 소프트웨어의 영역을 서비스로 제공하고 있다. 뿐만 아니라 ASP는 사용자의 요구에 따 라 커스터마이징(최적화)를 해줘야해 비용이 더 들고, 사용자별 버전 관리 등으로 일대다 서비스가 불가능한데 반해 SaaS는 단일한 플랫폼에서 공 25) Peter mell & Time Grance, The NIST Definition of Cloud Computing,

39 급된 소프트웨어를 온디맨드(OnDemand) 형태로 제공해 사용자가 직접 다양한 소프트웨어를 연계하고 직접 설정함으로서 일대다 서비스가 가능 하다. 26) 구글 Apps for your domain, MS Office Live, IBM Bluehouse 등이 소 프트웨어 서비스에 해당된다. 라. 기타 서비스 대표적인 내용에 따른 클라우드컴퓨팅의 유형인 IaaS, PaaS, SaaS 이외에 DaaS 와 CaaS 등이 존재한다. 간략이 DaaS 와 CaaS 를 설명하면 우선 DaaS 란 기업의 사업 모델에 따라 필요한 컴퓨팅 파워와 서비스를 유연하게 제공할 수 있는 새로운 개 념의 데이터 센터를 의미하며, CaaS 란 Comunication - as - Service 의 의미로서 인터넷서비스 제공업체(ISP)들이 중소기업들을 상대로 서비스로 서의 소프트웨어(SaaS)사업을 할 수 있는 기반플랫폼을 제공하는 핵심이 다. 가드너는 CaaS 에 대하여 인터넷 프로토콜망을 기반으로 한 음성전 화 서비스 로 정의하고 있다. 그러나 이들 서비스는 많은 글로벌 IT 기업이 자사의 클라우드컴퓨팅 서비스를 차별화하기 위해 새로운 비즈니스 모델을 제시한 것으로서 모두 기본적으로는 기본적인 세 가지 서비스 유형 가운데 하나에 속하거나 여 러 범주의 서비스를 통합한 서비스로 간주될 수 있다. 27) 2. 이용자 관계에 따른 구분 클라우드컴퓨팅 도입 시 비용외적으로 데이터보안의 중요도 및 네트워 크 성능요구사항을 충분히 검토하여야 한다. 이를 통해 도입하고자 하는 26) 스마트 쇼핑저널 버즈, ) 민옥기 외 3인, 훤히 보이는 클라우드 컴퓨팅, 전자신문, , 61면 참조

40 클라우드 형태가 정해질 수 있다. Cloud Computing Use case Discussion Group이 2009년 발간한 클라우드컴퓨팅 백서 28) 에 따르면, 사용자별로 이 용 가능한 클라우드컴퓨팅 기술 예상 시나리오를 확인할 수 있다. 예컨 대, 이용자의 유형에 따라서는 1최종이용자 對 클라우드, 2기업 對 클라 우드, 3기업 對 클라우드 對 최종이용자, 4기업 對 클라우드 對 기업 5 이용자의 자유로운 이용에 제공되는 개방형 클라우드(Public Cloud), 6일 정한 구성원에 한정하여 이용이 제공되는 회원형 클라우드(Private Cloud) 및 7이들 양자가 결합된 형태인 혼합형 클라우드(Hybrid Cloud) 및 8가변클라우드 등 7가지의 유형이 있는바, 데이터 보안이 극히 중요 한 경우와 고성능 네트워크 기능이 필요한 경우, 폐쇄형 클라우드컴퓨팅 도입을 먼저 고려해야 한다. 반면에 그렇지 않은 경우에는 개방형 클라우드컴퓨팅을 도입함으로서 클라우드컴퓨팅 최고의 효과를 가질 수 있다. 29) 대용량의 데이터를 클라 우드에 저장하고, 사용하는 경우 많은 네트워크의 대역폭이 필요하고 네 트워크 지연으로 성능이 저하될 수 있다. 30) 가. 최종이용자 對 클라우드 일반 사용자를 대상으로 공적으로 운영되는 클라우드 서비스로써 인터 넷을 통해서 컴퓨터 서비스, 데이터베이스, 저장 공간 등을 제공한다. 나. 기업 對 클라우드 28) < 접속> 29) IDC의 조사자료에 의하면, 많은 기업이 퍼블릭 클라우드와 프라이빗 클라우드를 함께 사용할 것 으로 예상된다. 특히 협업 애플리케이션과 이메일을 프라이빗 클라우드에서 구동하겠다는 응 답이 각각 75%와 53%에 달하여 보안에 대한 중요성을 드러내고 있다. < 접속> 30) 성병용, 국내 기업의 클라우드컴퓨팅 동향 및 전략, SW insight 정책리포트, 정보통신산업진흥 원, 월호,

41 기업을 위한 클라우드 서비스로 공적 클라우드 서비스와 기업 내 클라 우드 서비스를 인터넷으로 연결하여 사용한다. 공적 클라우드와 기업 클 라우드 내부에서 별도의 컴퓨팅 서비스와 데이터베이스, 저장 등의 서비 스가 운영되며 이를 효과적으로 이용하는데 있어 인터넷이 이용된다. 다. 기업 對 클라우드 對 최종이용자 기업용 클라우드 서비스에서 최종 사용자까지 인터넷을 통해 연결되는 구조다. 공적 클라우드와 기업내 클라우드는 그대로 유지하면서 고객이 원하는 서비스를 인터넷을 통해 제공한다. 라. 기업 對 클라우드 對 기업 기업과 기업 간의 클라우드 서비스로 최종 사용자는 제외되고 대신 각 각의 클라우드 서비스를 이용하는 기업들이 공적 클라우드를 인터넷을 통 해 아래의 (그림 2-4)와 같이 연결되어 있는 구조다. (그림 2-4) 출처 : Computing-Use -Cases-Whitepaper 마. 개방형 클라우드(Public Cloud)

42 개방형 클라우드는 전문 IT업체가 운영하며, 불특정 다수의 기업 또는 개인 고객을 대상으로 클라우드 서비스를 제공한다. 이 경우, 클라우드컴 퓨팅 서비스를 제공하기 위한 모든 자원은 기업 또는 개인 고객이 공유하 지만 실제 고객의 입장에서는 자사 또는 자신만을 위한 IT인프라에 접속 하는 것으로 여겨지는 공중망 의 개념에 속한다고 할 수 있다. 이와 같은 개방형 클라우드컴퓨팅의 장점으로는 하드웨어, 애플리케이 션 등의 비용이 공급자에 의해 보호되기 때문에 쉽고 저렴하게 설정할 수 있다는 점, 확정성 요구사항을 충족한다는 점, 사용한 만큼 비용을 지불하 기 때문에 자원 낭비를 막을 수 있다는 점을 들 수 있다. 31) 대표적인 개 방형 클라우드컴퓨팅 서비스로서 아마존의 EC2, IBM의 블루클라우드, 썬 클라우드, 구글 Appengine, windows Azure Service platform이 있다. 바. 회원형 클라우드(Private Cloud) 회원형 클라우드컴퓨팅은 기업에서 내부적으로 독자적으로 클라우드컴 퓨팅 환경을 갖춰 운영하는 방식을 말한다. IDC에서는 회원형 클라우드 에 대하여 기업 내부의 클라우드 지원으로 IT부서가 업체가 되어 사용량 기준의 요금 옵션, 단순한 액세스 등을 제공하는 것으로 정의하고 있다. 32) 그리고 회원형 클라우드컴퓨팅은 기능별 아키텍처로 4가지 계층으로 구 성되고 있다. 접근관리, 서비스 관리, 자원 관리, 그리고 기반 관리(인프 라)이다. 이론적으로 이들 각각의 계층은 상호 독립적으로 운영되어야 한 다. 각 계층에서 기술이나 솔루션을 바꿔도 전체 클라우드컴퓨팅 서비스 에 영향을 주지 않아야 하기 때문이다. 즉, 클라우드컴퓨팅 환경에서 공급 업체를 자유롭게 바꿀 수 있고, 유연한 구현을 위해 독립성은 반드시 보 장되어야 한다. 33) 31) search cloudcomputing.com ; 32) < 접속> 33) 전자신문, 기업 회원형 클라우드 컴퓨팅구축 어떻게,

43 이와 같이 개방형 클라우드처럼 원하는 사람이 언제나 이용 가능한 것 이 아닌 이용이 허용된 사람에 의해 한정적으로 이용이 가능하기 때문에 보안성과 통제력이 높다는 장점을 지니고 있다. 34) 사. 혼합형 클라우드(Hybrid Cloud) 혼합형 클라우드는 개방형 클라우드컴퓨팅과 회원형 클라우드컴퓨팅 서 비스를 결합한 형태이다. 과도적 정보교환이 가능하며, 소유권이나 위치에 관계없이 표준방식이나 전용방식을 활용하는 이질적인 클라우드 서비스 상품 및 서비스 제공자들 사이의 애플리케이션 호환성 및 이식성도 가능 할 수 있다. 이 모델은 관리 및 보안 통제 영역을 확장할 수 있다. 35) 혼 합형 클라우드의 소비자는 신뢰할 수 있는 소비자 일 수도 있고, 신뢰할 수 없는 소비자 일 수도 있다. 전문가들은 향후 회원형 클라우드의 강력한 보안기능과 통제력, 개방형 클라우드의 비용 효율성이 결합된 방식의 하이브리드 클라우드컴퓨팅이 각광받을 것으로 전망하고 있다. 하이브리드 컴퓨팅 환경에서 직원들은 프라이빗 클라우드를 통해 퍼블릭 클라우드 서비스에 접근할 수 있다. 또 비즈니스 업무로 서비스 접속이 집중되는 피크 시간대에는 퍼블릭 클라우 드를 적절하게 할당하고 기업 관련 보안 데이터를 다루는 업무에는 기존 사내 인프라를 활용할 수 있어 합리적인 대안이 될 것이다. 36) 34) 이러한 이유로 Harris Interactive가 미국기업 210개 IT경영진을 상대로 한 조사에 의하면, 회원 형 클라우드 컴퓨팅만을 현재 1/3이 사용하고 있으며 또 다른 1/3은 혼합형을 사용하고 있는 것으로 드러났다. 그밖에 보안이슈에 관해 질문받은 IT 경영진중에 열 중 아홉은 그들이 신뢰할 만한 데이터를 위해서는 퍼블릭 클라우드 시스템이 아닌 프라이빗 클라우드에서 더욱 안전할 것이라고 답했다. IDG Korea, Cloud Security Basics, 쪽 참조. 35) Cloud Security Alliance, Security Guidance for Critical Areas of Focus in Cloud Computing, , p19. 36) 디지털 타임스, 하이브리드 클라우드 뜬다 ; 마이크로소프트는 윈도 에저 등 클라우 드를 사내에 직접 구축할 수 있는 제품과 기술을 선보이면서도 대표적인 가상화 관리 소프트웨어 인 `시스템 센터'를 통해 내외부 클라우드를 단일 창에서 통합 관리할 수 있는 기능을 강화하고 있다. 오라클은 자사 소프트웨어 설계 방향을 데이터센터와 퍼블릭 클라우드, 프라이빗 클라우드 가리지 않고 동일한 품질과 성능, 가용성, 확장성을 가질 수 있도록 하는데 집중하고 있다 고도 한다. 하이브리드 클라우드 모델 부상, 디지털 타임스,

44 아. 가변클라우드 기업 클라우드 對 최종이용자 의 클라우드 서비스를 이용하고 있는 기 업이 부가적인 외부 클라우드 제공 업체를 추가하거나 목적에 따라 여러 클라우드 서비스를 이용할 수 있게 하는 방식이다. 기업과 사용자는 인터 넷을 통해 이를 접근할 수 있으며 기업은 사용자의 요구 및 기업 자체의 용도에 따라 아래의 (그림 2-5)와 같이 개방형 클라우드 서비스를 변경할 수 있다. (그림 2-5) 출처 : Computing-Use-Cases-Whitepaper 제3절 클라우드컴퓨팅과 그린IT 클라우드컴퓨팅을 국가 정책적으로 활성화 시키는 내면에는 클라우드컴 퓨팅을 통한 그린IT의 실현이라는 목적이 내포되어 있다. 지구환경 오염 의 심각화에 따라 급속히 성장하는 그린IT의 개념은 정보통신기술을 녹색

45 성장산업과 연계한 미래 성장사업이라고 할 것이다. 그린 IT는 원래 '그린 컴퓨팅(Green Computing)'이라는 용어에서 유래 된 것으로서 자연환경을 파괴하지 않고 IT기술을 활용해 자연 환경 보존 에 보탬이 되게 하는 것을 의미한다. 즉 정보화를 통한 CO2 감축량 이 정보화에 따른 탄소 배출량 에 비해 더 크게 되도록 함으로써 지구 온난 화로 인한 기후 변화 문제의 해결에 기여하자는 것이다. 이에 우리나라는 2020년까지 세계 7대 녹색강국으로 진입한다는 목표를 갖고 그린 IT를 위 한 국가전략으로 2대 분야 9대 정책 방향 37) 의 핵심과제를 수립하고 있 다. 38) 이와 같은 녹색성장 및 미래성장 사업을 위하여 중요한 이슈로서 나타 나고 있는 것이 바로 클라우드 컴퓨팅이다. 클라우드컴퓨팅은 하드웨어 및 소프트웨어 등의 설치비용 절감, IT인프라 및 자원 유지 관리 비용절 감과 관련 자본투자를 운영비용으로 전환할 수 있다. 또한 클라우드컴퓨 팅의 경우, 사용한 만큼 비용을 지불하기 때문에 서비스 제공자의 입장에 서 유휴자원 임대로 인한 효율적인 비용 지출이 가능하기 때문에 발전가 능성이 높은 성장산업에 투자할 수 있는 기회가 생길 수 있다는 점에서 그린IT를 위한 서비스로서 각광받고 있다. 다시 말하자면, 클라우드컴퓨팅이 활성화되면서 이제 집과 사무실마다 비치되어 있던 컴퓨터와 서버들이 클라우드컴퓨팅 환경에 접속할 수 있는 단말기로 바뀌게 될 것이다. 이런 환경에서 클라우드 서버들의 효율적인 운용이 바탕이 된다면 전체 시스템 전력을 크게 줄일 수 있을 것이다. 39) 특히, 데이터 센터의 전력은 지구 온난화 현상을 야기하는 원인이 될 수 있는 바, 그린 IT를 저해하는 요소 중에 하나이다. 그에 반해 그 수는 지 37) 2대 분야는 Green of IT(IT 부분의 녹색화) 와 Green by IT(IT 융합에 의한 녹색화) 이며, 9대 정책방향은 월드 베스트 그린 IT제품개발 및 수출 전략화, IT서비스 그린화 촉진, 10배 빠른 안 전한 네트워크 구축과 IT를 통한 저탄소 업무환경으로 전환, IT기반 그린 생활혁명 구현, IT융합 제조업 그린화, 스마트 녹색 교통체계로의 전환, 지능형 전력망 인프라 구축, 지능형 실시간 환 경감시 및 재난조기 대응체계 구축임 38) 보안뉴스, 그린 IT성공의 선결 조건은? ) 민옥기 외3인, 휜히 보이는 클라우드 컴퓨팅, 전자신문, 2009, 264면

46 속적으로 증가하고 있다. 그러나 클라우드컴퓨팅 서비스의 데이터 센터를 이용하게 되면 사업자 가 개별적으로 데이터 센터를 설치할 필요가 없기 때문에 데이터 센터의 수를 감소시키는 효과를 가져올 수 있으며, 이는 곧 지구 환경을 보호하 고, 그린 IT를 실현하는 방안이라 할 수 있다. 이와 같이 클라우드컴퓨팅 은 경제적인 문제 뿐 만 아니라 아래의 (그림 2-6)에서 보듯이 환경적인 측면에서 그린 IT의 실현을 위한 미래 지향적인 서비스라 할 것이다. [그림 2-6] 그린 IT 를 사용하는 주요 이유(출처:호주 썬마이크로시스템사) 이하에서는 정부차원에서는 이와 같은 그린 IT 실현을 위한 방안으로 서 클라우드컴퓨팅을 활성화하기 위한 어떠한 정책을 제시하고 있으며, 이에 따라 해당 기업들 및 사업의 현황은 어떠한지를 구체적으로 살펴볼 필요성이 있다. 국내외 국가의 클라우드컴퓨팅 활성화를 위한 정책과 사 업현황은 향후 클라우드컴퓨팅을 위한 법제를 개선함에 있어서도 필요한 자료로서의 역할을 할 것으로 예상된다. 40) 40) 이와 관련한 상세한 내용은 한국정보화진흥원, CIO REPERT, 제13권 참조

47 제3장 클라우드컴퓨팅 서비스의 사업 현황 클라우드는컴퓨팅은 가장 주목받는 IT 트렌드로 IT기업 뿐 만 아니라 일반기업으로부터 많은 관심을 받고 있다. 가드너, IDC 등이 IT리서치 기 관에서 클라우드컴퓨팅 마켓의 빠른 성장가능성을 예고하는 보고서들이 발간되었고, 해외 주요 기업들과 국내 IT기업들도 클라우드컴퓨팅 사업을 위해 기술 개발 및 사업 모델을 발굴하고 있다. 41) 뿐만 아니라 클라우드컴퓨팅 사업은 IDC에 의하면 2012년에는 420억 달러에 달하고, 2013년에는 1500억 달러에 달할 것으로 전망하고 있는 만 큼 향후 클라우드 컴퓨팅 사업을 예측하기 위해서는 현재의 국내외의 사 업 및 국가적 차원에서의 정책들에 관하여 살펴볼 필요가 있다. 제1절 국내 현황 1. 기술적 기반 지디넷코리아는 아래 표 3-1 의 각국의 평균 인터넷접속 속도를 바탕으로 우리나라가 평균속도의 면에서 세계 1위임을 이유로 웹 3.0, 클라우드컴퓨팅에 가장 가까운 환경을 누리는 대한민국 이라고 표현 하는 한편, 디지털타임스는 주요 IT산업 선진국과 기술격차 라는 제목 하에서 휴먼컴퓨팅과 클라우드컴퓨팅, 그린컴퓨팅 등 차세대 컴퓨팅 기술 역시 미국이 가장 앞선 가운데, 최근 주목받고 있는 클라우 드와 그린컴퓨팅에서 큰 격차를 보였다. 41) 성병용, 국내 기업의 클라우드 컴퓨팅 동향 및 전략, SW insight 정책리포트, 정보통신산업진흥 원, 월호, 참조

48 표 3-1 각국의 평균 인터넷접속속도 [출처] 한국 인터넷 속도로 본 웹 3.0과 클라우드 컴퓨팅의 단점 순위 국가명 2분기 평균속도 분기대기 변동 연간대비 변동 (Mbps) (%) (%) 1 대한민국 일본 홍콩 루마니아 스웨덴 네덜란드 라트비아 스위스 체코 덴마크 세계 평균 클라우드컴퓨팅의 경우 기술 수준이 미국의 77.1%로 기술격차가 2.1년 에 달했고, 그린컴퓨팅은 73.9%의 기술 수준에 2.7년의 격차를 보였다 고 보도하고 있다. 이러한 점은 한국 클라우드컴퓨팅 연구조합이 작성한 아 래의 (그림 3-1)에 의해서도 재확인된다. (그림 3-1) 국내외 업계현황 (출처 : 한국클라우드컴퓨팅 연구조합)

49 2. 정부의 클라우드컴퓨팅 정책 현황 가. 정부 정책 현황 정부는 클라우드컴퓨팅의 가능성과 파급효과를 예상하여 클라우드컴퓨 터를 활성화할 방침을 가지고 있다. 2009년 5월 그린 IT 국가전략 을 발표하여 클라우드컴퓨팅 기반 구축, 장비 저전력화를 통한 방송통신 인프라의 그린화를 진행하기로 하였다. 그리고 그 후, 방송통신위원회, 행정안전부, 지식경제부는 2009년 말 공동 으로 마련한 클라우드컴퓨팅 활성화 종합계획 을 발표하였다. 여기서는 2014년 까지 국내 클라우드컴퓨팅 시장을 지금(6739억)의 4배인 2조 5000 억 원 규모로 키우고, 세계 점유율을 10%까지 확대하는 등 세계 최고 수 준의 클라우드컴퓨팅 강대국으로 도약한다는 정책목표를 설정하고 있다. 이와 같은 활성화계획의 추진을 위하여 소요되는 비용으로서 2010~2014 년 5년 간 총 6,142억 원, 구체적으로 IaaS에 4,158억원, PaaS에 490억 원, SaaS에 858억 원, R&D에 582억 원, 여건조성을 위해 58억 원이 소요될 것으로 예상하고 있다. 종합계획을 통하여 정부는 공공부문에 클라우드컴퓨팅을 우선 적용하여 공공에서의 선도적인 수요를 창출하고, 민 관 협력의 테스트베드 구축 및 서비스 모델 발굴을 통해 국내 클라우드컴퓨팅 시장을 활성화할 방침 이다. 클라우드컴퓨팅 기반 시스템 구축을 위한 원천기술 연구 개발을 본 격추진하고, 법제도 개선, 표준화, 인증체계 도입 등 기반 여건 조성을 추 진할 방침이다. 42) 이와 더불어 그 동안 범정부 차원의 마스터플랜 수립을 요구해 온 업계 의 의견과 대학, 연구소 등 관련 전문가의 자문을 거친 종합계획은 국내 클라우드컴퓨팅 시장 활성화에 대한 정부의 강력한 의지를 담고 있으며, 3개 부처가 협력하기로 함에 따라 그 동안 제기되어 온 범정부 차원의 컨 42) 디지털 타임즈, 클라우드 컴퓨팅 서비스란, , 참조

50 트롤 타워 필요성 문제성도 상당부분 해소될 것으로 보여지고 있다. 43) 예컨대 정부 산하 연구소인 전자통신연구소(ETRI)에서도 인텔, 야후 등 세계적인 IT 기업들과 함께 클라우드컴퓨팅 프로젝트에 참여하고 있다. 미국에서 열린 제1차 오픈사이러스 정상회의 에서 클라우드컴퓨팅 시험 대를 제공하는 국제프로젝트의 협력기관에 가입하는 조인식을 가졌으며, 이 프로젝트는 HP, 인텔, 야후 주관으로 산 학 연 협력을 지원하고 글 로벌 클라우드컴퓨팅 기술을 개발하기 위해 2008년부터 연구프로젝트와 성능 테스트를 진행하고 있다. 44) 최근 국민연금공단과 교육과학기술부 등에서 공공기관으로서 클라우드 관련 사업계획을 수립하고 있으며, 국방 분야에서도 국방예산 절감과 환 경 친화적인 IT인프라 구현을 위해 클라우드컴퓨팅과 그린 IT 대응에 적 극 나서야 한다는 주장이 제기되고 있다. 이와 같은 기반여건 조성 사업을 통하여 클라우드 서비스 생태계 조성 을 통해 9,323억( 13년 전망치) 규모의 국내 클라우드 서비스 신규 시장 창출 및 주도권을 확보할 수 있을 것으로 기대되고 있다. 클라우드 서비 스의 국내 조기 표준화를 통하여 국제 표준화 선도 및 비즈니스 성공 노 하우 축적 등으로 세계 시장을 선도할 것으로 예상된다. 그리고 테스트베 드 활용을 통한 국내 중소기업의 시험 검증 환경 마련을 통한 글로벌 경 쟁력을 강화할 것으로 보여 진다. 즉 국내 중소기업의 획기적인 인프라 투자비용의 절감을 통해 지식 기 반 서비스 산업의 경쟁력을 강화하고, 클라우드 서비스 시장 확산에 따른 저변 확대를 통해 국내 클라우드 서비스의 경쟁력이 강화될 것이다. 45) 부처별 세부사항으로서 우선 방송통신위원회는 클라우드 서비스의 활성 화를 위해 민간 클라우드 서비스 기반 및 활성화 여건 조성을 추진 중에 있다. 방송통신위원회는 민간부문 시범사업으로서 플랫폼 통합IPTV 서비 43) 방영환 외2인, 클라우드 컴퓨팅 서비스를 적용한 안전한 디지털 케이블 방송 서비스 기술 개발, 보안공학연구논문지 제7권 제1호, , 67면. 44) 성병용, 국내 기업의 클라우드 컴퓨팅 동향 및 전략, SW Insight 정책리포트, , KIPA, 12 면 참조. 45) KISA 미래 인터넷팀, 클라우드 서비스 활성화 추진 계획, 참고

51 스 제공 클라우드, 무선인터넷 활성화를 위한 모바일 클라우드, 글로벌 온라인 게임 지원 클라우드, 온라인 고도화를 위한 클라우드, 정부지원 렌더팜 센터 통합 클라우드, 클라우드컴퓨팅 테스트베드 구축 및 운영 을 추진계획을 세우고 실행 중에 있다. 2010년 11월 12일 예산 20억 원을 투입하여 대전 한국과학기술정보연구 소(KISTI)에서 클라우드 서비스 테스트베드 센터 를 개소하고 서비스를 시작했다. 또한 활성화를 위한 여건 조성을 위하여 클라우드컴퓨팅 서비 스 신뢰성 제고를 위한 보안 및 인증체계 구축, 행정안정부와 함께 클라 우드컴퓨팅 도입 촉진을 위한 법 제도 개선 을 위한 정책을 추진 중에 있다. 다음으로 지식경제부는 2010년 6월 23일 소프트웨어(SW)를 구매 설치 하지 않고 빌려 쓰는 SW온라인 임대사용(SaaS) 시장 활성화를 위해 SaaS 온라인 마켓플레이스 구축 등에 10억을 지원한다고 밝혔다. 대부분의 국 내 SW기업이 중소규모로 경쟁력 강화와 SasS시장 활성화를 위한 대규모 투자가 어렵고, 마케팅 인지도가 낮아 SaaS 초기 활성화를 위한 지원이 필요하다는 취지를 근거로 든다. 이와 같은 지원을 위한 주요 사항으로는 온라인 마켓플레이스 구축 및 서비스 제공에 필요한 시스템 개발비와 구축된 마켓플레이스의 운영활성 화를 위한 전문가 그룹의 컨설팅 등을 함께 지원하는 것이다. 이를 통하 여 소프트웨어 기업의 사업화 비용 부담이 경감되고, SaaS서비스 이용자 는 다양한 SaaS를 한곳에서 편하게 이용할 수 있을 것으로 예상되며, 경 영효율화 및 생산성 증대에 필요한 소프트웨어 마켓플레이스를 통해 SaaS 방식으로 저렴하게 제공함으로서 재무구조가 취약한 중소기업도 보 다 용이하게 정보화를 구현할 수 있을 것으로 전망되고 있다. 또한 2013년에는 공공부문의 클라우드컴퓨팅 서비스의 적용 확대될 방 침이다. 서비스 대상기관이 점진적으로 확대되어 기존 39개의 중앙부처에 서 소속기관 지청이 포함된다. 2015년에는 클라우드컴퓨팅 서비스 산업 생태계활성화가 조성된다

52 행정안전부에 의하면 2015년까지 공무원 30%, 전체 노동인구의 30%까 지 스마트 워크를 도입하겠다고 한다. 스마트 워크란 영상회의, 클라우드 컴퓨팅 등 정보통신기술을 이용하여 시간, 장소의 제약 없이 언제 어디서 나 업무를 수행하는 유연한 근무형태로서 업무 생산성 향상 외에 사회간 접비용의 절감효과가 예상되는 서비스이다. 구체적으로 육아부담에 따른 우수 여성 인력의 사장 문제를 해결하고, 출 퇴근시간 감소, 1인당 사무 공간 41% 감소, 사무직 860만 명 참여 시 연간 111만 톤의 탄소배출량과 1조 6,000억 원의 교통비용 절감효과를 기 대하고 있다. 46) 뿐만 아니라 국가 차원에서의 정책 뿐 아니라 법제 정비에 관심을 기울 이고 있다. 즉, 클라우드컴퓨팅의 장점에 따라 클라우드컴퓨팅 서비스의 개발 제공 이용을 활성화하고, 관련 산업을 체계적으로 발전시키기 위 한 (가칭)클라우드컴퓨팅 서비스 이용촉진법 제정을 추진 중에 있다. 이 는 기존의 컴퓨팅과 다른 특성을 보이고 있는 클라우드컴퓨팅으로부터 야 기 될 수 있는 문제점에 대한 개선방향을 제시하고, 장점을 활성화 시켜 법을 제정하거나 또는 관련 법체계 정비 등의 방법을 통하여 클라우드컴 퓨팅 서비스에 대한 안정성 및 신뢰성 향상을 도모하고 있는 것으로 보여 진다. 나. 행정안전부 정부통합전산센터 47) 행정안전부에서는 공공기관으로서 정부통합전산센터를 운영하고 있다. 이는 민간 사업자가 아닌 공공기관으로서 클라우드컴퓨팅 서비스의 초기 모텔을 나타내고 있다는 점에 의의가 있다. 48) 2002년 범정부적 효율적인 운영을 위한 혁신방안(BPR) 수립에 따라 2005년 11월 통합전산센터가 설 립되었다. 통합센터 설립에 따라 각 부처에서 분산관리 되어 오던 정부기 46) 행정안전부, 똑똑하게 일하는 스마트워크 시대가 다가온다., 보도자료, ) 정부통합전산센터 홈페이지 48) 민옥기 외3인, 훤히 보이는 클라우드 컴퓨팅, 전자신문사, 2009, 168~169면 참조

53 관의 정보자원을 통합운영 및 공동 활용함으로서 정보관리의 혁신 도모 및 이를 위한 세계 수준의 전자정부 인프라를 구축하는 것을 목표로 하고 있다(아래의 (그림 3-2 참조)). (그림 3-2) 클라우드컴퓨팅 활성화 비전 및 목표 이와 같은 목표를 수행하기 위하여 서버, 스토리지 등 정부의 IT 자원 을 대전과 광주의 두 데이터센터로 옮겨 왔다. 다만, 행정안전부의 정부통 합전산센터는 부처별 서버를 관리하나 부처단위로 칸막이가 있어 서로 자 원을 활용할 수 없는 구조라는 지적이 있기 때문에 2009년 이후로는 기존 의 위치 통합을 초월하여 모든 정부 부처의 IT자원을 하나로 묶는 작업을 진행하고 있다. 앞으로의 중점 추진 과제로는 첨단 그린 정부데이터센터를 구현할 계획 을 가지고 있다. 공공정보시스템의 개발 및 테스트에 필요한 환경을 클라 우드컴퓨팅 서비스기반으로 제공하는 범정부 클라우드 플랫폼 서비스를 제공하는 한편, 정보보호 체계의 고도화를 제시하고 있다. 즉 주요 정보의

54 중앙 집중관리, 암호화 기술사용 등을 통해 정보 유출을 방지하고자 한다. 그리고 참고로 전자정부 정보관리체계 인증서(GISMS)를 획득해 정보보호 체계의 신뢰성을 대내외로 입증한 바 있다. 49) 다. 정보공유 분석센터 정보공유 분석센터(ISAC)는 금융 통신 등 분야별 정보통신기반시설을 보호하기 위하여 전문적인 정보분석능력을 가지고 정보통신상의 보안과 관련한 정보를 소관사무영역별로 수집 분석하여 소속기관 등에 대해 예 보와 경보를 제공하는 과제를 수행하는 기관으로서 현행 정보통신기반 보호법 제16조에 의해 설치된다. 그러나 이러한 정보공유 분석센터의 설치는 같은 법 같은 조 제4항에 의거하여 그 구축이 장려되고 기술적 지 원의 대상이 되는 것으로 규정될 뿐 법상의 의무화나 재정적 지원에 대하 여는 침묵하고 있다. 이러한 입법상의 문제로 인하여 현재 국내에는 방송통신 ISAC을 비롯 하여, 금융 ISAC 등의 정보공유 분석센터가 운영 중이고, 유사조직으로 서 국가사이버안전센터, 인터넷침해사고대응지원센터 등의 조직이 형성되 어 있으며, 최근에는 ISAC과 사이버안전센터가 통합된 개념으로 부처별 로 구축운영 중에 있는 있지만( 현재, 12개 부처 13개 ISAC 또는 사이버안전센터 운영 중), 이를 통합하여 관제할 수 있는 기관이 없는 결 과 DDos 공격에 대한 전국가적인 대응체계의 미비는 물론이거니와 정 보통신기반보호법 이 적용되지 아니한다는 발전소나 제철소와 같은 국가 기간산업시설의 폐쇄적인 정보통신망운영체계에 대하여는 전 세계적으로 논란이 되고 있는 지멘스에 개발한 SCADA 소프트웨어를 타겟으로 하는 스턱스넷(Stuxnet) 악성 코드 50) 의 공격대상이 되는 우리의 주요산업시설이 49) 디지털타임즈, 공공정보화사령탑에게 듣는다., ) "그라운브레이킹"(신종)이라고 설명되고 있는 스턱스넷은 2010년 6월에 처음 발견되었으며, 8월 에 MS에서 내 놓은 비정기 패치에 대한 단축 키 파일의 취약점을 악용하는 것으로 밝혀졌다. 연구원은 스턱스넷은 예를 들어 프린트 스풀러 서비스에 있는 취약점과, 2개의 권한 상승 (EoP) 약점을 목표로 윈도에 있는 4개의 제로데이 취약점을 악용하는 것으로 최근 연구원들에 의해

55 보유하고 있는 각종 제어프로그램에 대한 현황 및 감염여부조차 확인되고 있지 아니한 문제점을 드러내고 있다. 향후 클라우드컴퓨팅과 관련하여 개방형에 의하든 회원형에 의하든 정 보통신기기를 매개로 하는 각종 악성프로그램의 공격으로부터 우리사회와 기간시설의 안전을 담보하기 위해서는 각 중앙행정기관에 대해 소관사무 영역 전반을 대상으로 하는 정보공유 분석센터를 설치하게 하고 정보통 신기기를 매개로 하는 모든 사이버공격에 대응할 수 있도록 법제개선이 이루어져야 할 것으로 보인다. 3. 국내 주요 클라우드컴퓨팅 사업자 현황 해외의 대표적인 기업으로서 구글, 마이크로소프트사, 세일즈포스닷컴 등은 수년 동안 클라우드컴퓨팅 서비스 전략을 수립하고, 대규모의 투자 와 기술 개발을 통하여 서비스를 제공하고 있다. 이에 비해 우리나라의 기업들은 클라우드컴퓨팅 기술 및 서비스에서 경험이 적고, 수준이 떨어 지는 것으로 평가되고 있다. 따라서 클라우드컴퓨팅이 IT사업에 있어 중점적인 분야로서 각광을 받 고 있는 시점에서 국내의 주요 기업들의 전략과 서비스 제공에 관해 살펴 봄으로서 국내 클라우드컴퓨팅 서비스의 국내 외적 경쟁력을 예측해보고 자 한다. 가. 삼성 2009년 삼성은 미국 클라우드데라와 MOU 체결하면서 확보한 대용량 분산데이터 처리 기술을 이용, 독자적인 클라우드 서비스 플랫폼 개발의 밝혀졌다. < /2010/09/stuxnet-w orm -farm ore-sophisticated-than-previously-thought/?utm _source=feedb urner&utm_medium=feed&utm_campaign=feed%3a+krebsons ecurity+% 28K rebs+on+security% 29.>

56 추진을 시작하였다. 2009년 10월 스마트폰 모바일 서비스와 인프라 클라 우드 서비스 등 가상화 및 자동화 기술이 유기적으로 결합된 클라우드 서 비스의 허브 역할을 수행할 수원 삼성소프트웨어연구소내 클라우드컴퓨 팅 센터 설립하였다. 그리고 북미 기업을 대상으로 미국 뉴저지에 삼성 모바일 클라우드 센 터 설립하고, 모바일 클라우드 시범 서비스을 시작하였다. 뿐만 아니라 클 라우드컴퓨팅의 활발한 이용을 위하여 기업들에게 필요한 만큼 IT자원을 빌려주고 돈을 받는 종량제 인프라클라우드 서비스(서비스명 : 유즈플렉 스)도 삼성관계사들을 시작으로 진행 중에 있다. 모바일/디지털 미디어/ 바이오인포매틱스 분야에 적합한 기술 개발을 통해 SaaS 및 PaaS 서비스 제공 등 클라우드 플랫폼을 구축하고 있다. 즉 삼성 SDS는 제조 금융 의료 등 다양한 업종을 겨냥해 고성능 컴퓨팅 기반으로 제공하는 클라우드 컴퓨팅 서비스 사업을 진행하고 있다. 나. KT KT는 2006년 2월 국내 1위 인터넷데이터 센터(IDC) 사업자로서 쌓은 역량을 바탕으로 통신사 최초로 유틸리티 컴퓨팅 서비스인 ICS(인터넷 컴 퓨팅 서비스)사업에 뛰어들었다. KT는 초기 모델로서 스토리지를 서비스 형태로 클라우드컴퓨팅 서비스를 제공하였고, 이후 이와 같은 인프라 위 에 콘텐츠 딜리버리네트워크(CDM) 서비스도 추가되었다. 이는 순간 몰리 는 사용자 접속으로 인하여 시스템 접속에 애를 먹고 있는 인터넷 사업자 와 게임 사업자, 인터넷 상거래 사이트들을 대상으로 트래픽을 분산, 안정 적으로 서비스가 가능토록 한 것이다. 51) 분산컴퓨팅 환경과 논리적 업무환경 분리를 결합한 클라우드 PC 기반 의 다양한 클라우드 서비스를 추진 중에 있으며, 09년 4분기 x86 서버 가 상화 사업 착수 및 시범사업 등을 통해 2012년까지 9,000여 대의 서비스 51) -

57 를 가상화/통합화하는 프로젝트를 추진하는 한편, 대규모 데이터 처리를 위한 클라우드컴퓨팅 전환도 추진 중에 있으며, 이는 실시간 데이터 스트 리밍이 지속적으로 증가함에 따른 높은 비용, 낮은 확장성, 성능 저하 등 의 한계를 해결하기 위한 방안이라 할 수 있다. 그리고 2010년 6월 클라 우드컴퓨팅 기반의 개인용 스토리지 서비스인 유클라우드 52) 를 출시했으 며, 2010년 8월에는 기업용 서비스를 출시할 예정으로 있다. 기업용 클라 우드컴퓨팅 관련 단말기를 지속적으로 확대하고, 본격적인 클라우드 서비 스를 2010년 내로 선보일 계획에 있다. 구체적으로 2011년까지 총 1200억 원을 투자해 개인용 및 기업용 클라우드 서비스를 집중 지원할 계획이다. 최근 일본 대형 통신사와 클라우드컴퓨팅 이용계약을 2010년 11월 중으 로 추진할 예정에 있다. 국내 통신업체가 해외 대기업에 클라우드컴퓨팅 을 수출하는 첫 사례로서 유럽의 한 통신사도 KT의 클라우드컴퓨팅 서비 스 도입을 적극 검토 중이다. 다. LG CNS MS의 클라우드 핵심 아키텍처 + LG CNS의 가상화/자동화 솔루션 = 웹 기반 클라우드 플랫폼을 구축하고, LG 계열사 및 기존 고객 대상 IT 자 원(CPU, 메모리, 스토리지 등)을 클라우드 기반의 실시간 기업 환경 지원 을 위해 시범서비스를 시행하고 있다. 2010년 이기종 시스템 간 가상화와 자기 환경 관리를 할 수 있는 클라우드 서비스를 추진하고 있다. 뿐만 아 니라 최근에는 모바일 클라우드 센터를 오픈하여 모바일 융합 서비스 시 장으로의 진입을 추진 중에 있다. 53) 라. SK 텔레콤/C&C 52) 유클라우드는 기존 기업용 서비스와 달리 기본적으로 무료서비스이며, 개인 사용자가 손쉽게 가 입, 활용할 수 있음 53) 디지털 타임즈, , 클라우드 임치제 로 안전망 높이자. < contents.html?article_no= >

58 SK 텔레콤은 한국IBM과 공동으로 PaaS형 클라우드컴퓨팅 환경을 구축 하여 서비스 중에 있으며, 기존 SKT 통신망을 활용해 인프라스트럭쳐를 서비스 하는 IaaS를 제공하고 있다. 10여 곳의 자회사를 대상으로 클라우 드 기반 성능 테스트(부하테스트) S/W를 SaaS 방식으로 제공하는 T-퍼포 먼스 서비스를 제공 중에 있다. SK C&C는 시스템의 가상화와 통합을 비 롯한 IT 장비의 에너지 효율화, IT를 활용한 에너지 효율화, 그린 IT기술 지원 등 클라우드 사업추진을 위한 전담부서를 신설하여 운영하고 있다. 뿐만 아니라 구글과 함께 중소기업용 솔루션을 위한 사업을 공동 추진 하고 있다. 중소기업의 애로사항을 해결할 수 있도록 다양한 경영지원 서 비스를 유무선을 통해 제공하는 SK텔레콤의 플랫폼으로 이용된다. 여기서 는 기업 구성원들이 언제 어디서나 실시간으로 업무를 처리할 수 있도록 메일, 메신저, 일정관리, 주소록, 작업관리, 홈페이지 관리, 전자결제, 공동 문서 작업 등 다양한 기업서비스를 담고 있다. 최근에는 2010년 9월경부터 IT클라우드(가칭)이라는 개인용 클라우드 서 비스를 시작한다고 발표한 바 있다. 마. 기타 클라우드컴퓨팅 사업자 현황 한글과 컴퓨터는 SaaS 형태의 서비스형 오피스 및 한컴 씽크프리 온라인 서비스를 제공 중에 있다. Ahn은 신종/악성코드 생성으로 인한 엔진사이즈 증가 등 진단 강화를 위해 클라우드 기반 신규 보안서비스 ACCESS(Ahnlab C/C E-Security Servicr) 를 제공하고 있다. Clunet는 클라우드 기반 차세대 스토리지 서비스 CSS(Cloud Storage Service 를 제공하고 있다. 그리고 차세대 CDN 전송기술인 CCN(Cloud Computing Network) 서비스를 대만 온라인 게임 시장에 서비스하게 되 었다. 클로벌 게임 서비스는 CCN의 확장된 서비스 개념으로 온라인 게임 서비스에 필요한 각종 서버, 스토리지, 네트워크 자원들을 게임업체가 개

59 별적으로 구축하지 않고, 클라우드 형태로 자원을 제공한다. 이를 통해 개 별 구축비용과 관리비 등을 최소화시킬 수 있다. 54) 퀘스트소프트웨어 코 리아는 액티브 디렉토리 복구 및 윈도 로그관리 솔루션인 퀘스트 온디맨 드 를 윈도우 관리용 서비스로서의 SaaS제품으로 출시하여 인력과 자원이 한정된 중소규모조직의 요구를 해결하고자 하고 있다. 한국 EMC는 기업 내부의 프라이빗 클라우드 공략을 위해 관련 솔루션 을 실시하고 있다. 가상화 스토리지 솔루션 V플렉스를 통해 기업들은 에 너지 비용이 가장 저렴한 데이터센터에서 일일배치업무를 수행하도록 계 획할 수 있으며, 전 세계 곳곳에 위치한 데이터 센터에서 업무부하를 골 고루 분산처리 할 수 있다는 것이 한국 EMC의 설명이다. 그리고 프라이 빗 컴퓨터와 별도로 개인을 대상으로 하는 온라인 개인용 백업 서비스인 모지(Mozy)를 통해 개방형 클라우드로 영역을 확대하고 있다. LG U+는 마이크로소프트와 협력하여 중소기업을 대상으로 스마트워크 를 구현할 수 있는 클라우드 기반의 SaaS 플랫폼과 이를 이용한 통합지 원사이트 U+스마트 SME'를 선보이고 있다. 이를 위해 MS와 7월 중소기 업 특성에 맞는 토탈 솔루션을 제공, 중소기업 IT 경쟁력 강화를 위해 클 라우드 기반의 SaaS을 공동 추진하는 전략적 제휴를 체결하는 등 시장진 출을 선언한 바 있다. 55) 국내 클라우드컴퓨팅 사업자들은 해외 개인용 클라우드 시장에 본격적 으로 진출할 계획을 가지고 있다. 예컨대 기존 국내 클라우드컴퓨팅 기술 을 토대로 해외에서 여러 가지 시범 서비스를 실시한다는 계획을 세우고 있다. 그리고 해외 진출의 중심 키워드는 개인용 과 모바일 로서 전자는 휴대폰을 제외한 나머지 디바이스, 즉 데스크톱, 아이패드, 노트북 등의 웹 기반의 모든 컴퓨팅 기기에 클라우드컴퓨팅 서비스를 접목시킨다는 것을 의미한다. 후자는 앱 을 기반으로 한 클라우드컴퓨팅을 의미한다. 56) 이처럼 국내의 클라우드컴퓨팅 서비스 사업자들은 후발 주자로서 클라 54) 클루넷, 클라우드 기술로 대만 온라인게임 시장 진출, 55) 이데일리 종합 뉴스, [네트워크서비스 경쟁]6LGU+, 중소용 클라우드로 탈통신, 참조. 56) 뉴스토마토, 국내기업들, 해외 개인용 클라우드 시장 정 조준, 참조

60 우드컴퓨팅 기술 및 서비스의 국제적 수준으로의 상향을 위하여 노력하고 있으며, 향후 글로벌기업들과의 경쟁을 통하여 클라우드컴퓨팅 서비스의 경쟁력을 증진시킬 것으로 예상된다. 제2절 해외 현황 57) 1. 국가별 클라우드컴퓨팅 정책 현황 차세대 IT 메가트랜드로 각광받고 있는 클라우드컴퓨팅 사업의 육성과 주도권 확보를 위하여 세계 각국이 치열한 경쟁을 벌이고 있다. 이하에서 는 세계 각국의 클라우드컴퓨팅 기술 및 서비스 개발 및 이용활성화를 위 하여 실시하고 있는 정책 및 현황에 대해서 살펴보도록 한다. 가. 미국 2008년 Pew Internet & American life projet report에 따르면 69%의 미국인들이 인터넷을 통한 온라인 서비스에 있는 그들의 데이터를 허용하 는 클라우드컴퓨팅을 사용하고 있었다. 58) 2009년 8월 연구에서 Penn, Schoen & Berland Associate 응답자의 87%는 아직까지 클라우드컴퓨팅이 어떻게 작업하는지 친숙하지 않다고 대답했다. 59) 미국의 국방부 정보시스템 계획국(DISA)은 2008년 서버, 웹 어플리케이 션 플랫폼 등 필요한 개발환경을 인터넷을 통해 제공하는 클라우드 서비 57) 한국클라우드서비스협회, 국내외 클라우드 서비스현황과 전망, 인터넷진흥원 발표자료, 참조. 58) John Horrigan, Pew Internet & American Life Projet, Use of Cloud Computing Application and Services(september2008), aviailble at 59) Penn & Schoen & Berland Associate, Online Exposure, Office Uncertainty : Privacy and Security in a Virtual World,

61 스 개발 인프라 및 테스트 환경인 RAC(Rapid Access Computing Environment) 구축하였다. 2009년 5월 연방정부(USA. gov)는 비용절감과 성능향상을 위해 Rweewmak 사의 상용 클라우드 서비스 시스템 을 도 입하였다. 60) 또한 2009년 9월 미국 정부는 클라우드 컴퓨팅 쇼핑 포털 앱 스(Apps.gov) 61) 를 열고, 정부부처에 서비스 이용을 독려하고 있다. 연방총무청(GSA)은 2010년까지 전 공공기관을 대상으로 "Stone Front" 라는 단계별 클라우드컴퓨팅 도입계획을 발표하고, 민간의 클라우드 서비 스를 연계 활용하는 Hybrid Cloud"를 도입할 예정으로 있다. 그리고 2009년 8월 공공기관에서 클라우드컴퓨팅 응용프로그램을 구매할 수 있는 포털을 개설하였다. 그리고 2010년 2월 클라우드컴퓨팅 기반의 친환경 ICT운영을 통한 총 체적인 친환경 경제활동을 발표하였다. 이에 따르면 데이터 센터를 통합 하고, 클라우드컴퓨팅 기반으로 IT자원을 공유하여 이를 기반으로 원격근 무를 확산한다면 정부기관들이 환경보호책임을 좀 더 잘 실천하게 될 것 으로 전망하고 있다. 또한 미국 내 데이터 센터는 98년 432개에서 09년 1100개로 증가함에 따라 통합 방안을 마련하여 12년도 예산에 반영할 예 정에 있으며, 미국 환경보호국(EPA)은 에너지 감시를 강화하고, 데이터 센터의 에너지 스타(Energy Star) 인증계획을 수립을 추진하고 있다. 62) 이와 같은 클라우드컴퓨팅을 사용하고 있는 대표적인 사례로서 2009년 LA시가 구글 웹스를 도입하기로 결정한 것을 들 수 있다. 이에 따라 클 라우드컴퓨팅은 미국 공공기관들로부터 강력한 지지를 받게 되었으며, 미 국 각 주와 지방정부들이 자체적인 클라우드 전략에 따라 클라우드컴퓨팅 도입에 나서고 있다. LA는 구글과 협약을 통해 내부 이메일 시스템을 구글 앱스로 대체하였 다. 그리고 주 정부로서 유타주와 미시간주는 다른 지방정부가 이용할 수 60) Viverk Kundra, State of Public Sector Cloud Computing, CIO council, , p16. 61) 앱스는 정부부처 및 기관이 클라우드 컴퓨팅 애플리케이션(응용프로그램)을 구매할 수 있는 인 터넷 쇼핑몰이다. 페이스북 트위터 같은 무료 쇼셜네트워킹 서비스(SNS)애플리케이션은 물론, 시장분석 통계처리 등 고급업무용 프로그램을 유료로 구매할 수 있다.; Etnews.co.kr 62) 녹색정보화지원부, 미국 영국 정부 클라우드 컴퓨팅 추진 가속화, NIA, 참조

62 있는 서비스를 개발하고 있다. 2009년 10월 유타주의 기술 서비스부는 주 정부의 하이브리드 클라우드컴퓨팅 전략 63) 을 발표하여 내부적으로 보안이 강화된 호스팅 서비스와 공중서비스를 함께 사용하도록 하고 있다. 또한 알링턴 경제개발부는 Salesforce.com의 엔터프라이즈 에디션을 이 용하여 고객관계관리 작업에 소요되는 시간과 자원을 절약하고, 정보 접 근 향상을 통해 서비스 질을 향상시켰으며, 인터넷접속을 통한 고객정보 를 이용 가능하도록 하였을 뿐만 아니라 다양한 전문용어를 통일해 조직 내 의사소통을 원활하게 하였다. 콜로라도 세무부서는 RightNow on Demand CRM을 도입하여 웹사이 트 방문자의 90%가 부서와의 직접 연결 없이 원하는 정보를 온라인에서 얻을 수 있게 되었고, 콜 센터 및 이메일 상담 횟수가 45%까지 감소했으 며, 5백만 달러 이상의 비용절감 효과를 보였다. 샌프란시스코 가족복지서 비스 기관에서도 클라우드컴퓨팅을 이용하는 바, 고객과 대면하는 시간이 50%까지 절감하고, 대시보드(Dash board)는 운영자 및 고객 데이터로의 용이한 접근을 제공하고 있다. 64) 반면에 FTC(미국연방거래위원회)에서는 클라우드컴퓨팅 확산에 따른 프라이버시 보호 및 정보보안에 관하여 주의를 기울이고 있으며, FTC에 다르면 클라우드컴퓨팅이 비용을 절감시키는 효과에 있어서는 이의를 제 기할 바 없으나 정보를 원격지에 저장하는 방식에 따라 데이터를 기록하 는 방식이 소비자 생활과 정보보안 문제를 일으킬 수 있다는 우려를 나타 내고 있으며, 그에 따라 클라우드컴퓨팅 기업에 대한 조사를 시작하였다. 뿐만 아니라 2010년 7월 미국 오바마 행정부에서는 클라우드컴퓨팅 체계 의 도입과 확산을 늦추기로 결정했다. 즉, 미 행정부는 정보기술을 현대화 하고, 정보시스템 관리 비용을 감소하기 위해 클라우드컴퓨팅을 선택했으 나 사생활 침해와 보안 문제로 10년 간 더 고려할 필요가 있다고 결정하 63) 유타주는 이 전략의 목표에 대하여 호스팅이나 네트워크 스토리지 등을 사람의 조작 없이 제 공하는 온디맨드 셀프서비스와 프로비저닝 컴푸팅 역량을 제공하는 것 이라 강조하고 있다.; IDG 뉴스 참조. 64) 정보통신산업진흥원, SW Insight 2009년 4월호 참조

63 였다. 나. 영국 영국 정부는 새로운 ICT 전략의 일환으로서 클라우드컴퓨팅을 채택하고 다양한 지원과 노력을 해 나가기 위해 정부용 IT 서비스들의 공유시스템인 앱 스토어 등을 구축하고, 디지털 통합국(Director of Digital Engagement) 을 신설 지원할 예정이다. 또한 영국의 국무조정실(Cabinet Office)의 리포 트 Government ICT Strategy 65) : New World, New Challenge)"를 발표 하였다. 보고서의 내용은 향후 5년 간 영국 정부에 대한 ICT 투자를 클라 우드로 전환하는 경우, 공공부문에 대한 안전하고 유연한 ICT 인프라를 제공함으로서 연간 3.2 billion(약 5조 9천억원) 절감을 예측하고 전략을 수립하고 있다. 구체적으로 2015년까지 어떻게 컴퓨터 기술을 활용해 비용을 절약하고, 공공서비스를 향상시킬 수 있는지를 중점적으로 다루었다. 정부는 2010년 컴퓨터 프로그램(애플리케이션)을 서로 나누고 다시 활용할 수 있도록 애 플리케이션 장터를 구축하기로 하였다. 또한 G클라우드 라고 불리는 초 기 서비스 모델을 시범 구축하고, 2010년 말까지 표준모델 구축을 완료하 고자 한다. 또한 높은 수준의 보안기술과 효율적인 설비를 갖춘 10~12개의 데이터 센터 개발 계획도 밝히고 있으며 2012년까지 정부에 사용하는 전산지원을 클라우드컴퓨팅기반으로 제공할 것을 추진하고 있다. 66) G-Cloud를 추진 하기 위한 10대 추진전략으로서 데스크톱의 단순화와 표준화, 중복되거나 과도하게 밀집된 네트워크 표준화, 합리화, 데이터 센터 합리화, 오픈소스, 오픈 표준, 그린 ICT, 정보보안과 인증, 공유 서비스, 신뢰성 있는 프로젝 트 제공, 공급관리, 비즈니스 변화에 따른 ICT 전문가 육성을 제안하고 65) www. digitalbrltalnforum.org.uk/report/ 66) Make IT Better, Government Report, 4.2 The Government Cloud or "G-Cloud"

64 있다. 67) 그리고 G-Cloud를 적용하는 모델로는 가상화를 시작으로 하이브리드까 지 5가지 레벨에 따른 적용모델을 개발하여 2012년까지 순차적으로 도입 할 계획에 있다. 즉, 첫 단계는 가상화로서 인프라스트럭처 및 애플리케이 션을 가상화 하는 단계이고, 두 번째 단계는 클라우드를 실험하는 단계로 서 참조 아키텍처로서 아마존 E2C를 시험 사용하는 단계이다. 세 번째 단계는 클라우드 기반 구축을 위하여 확장 가능한 애플리케이션 아키텍처 의 기반을 구축하며, 다음 단계로 클라우드 환경을 선택하고, 개발을 시작 하고, 수작업에 의한 프로저닝과 로드밸런싱을 하는 단계이다. 마지막 단 계로서 하이브리드 클라우드를 구현하여 역동적인 애플리케이션을 공유하 고, 용량배분과 셀프 서비스 애플리케이션 프로저닝 단계에 이르는 것이 다. 68) 이러한 영국 정부의 노력에 따라 영국의 클라우드컴퓨팅은 2010년을 기 점으로 3년 안에 현재의 2배 수준으로 성장할 것으로 전망되고 있으며, 2012년 클라우드컴퓨팅 시장 규모는 연간 12억 파운드(약 2조 474억 원) 로 전망된다. 또한 2012년 영국의 클라우드컴퓨팅 기반서비스는 현재 자 국 내 소프트웨어 시장(약 80억 파운드)의 7.5% 수준에서 15%로 늘어날 것으로 예측되고 있다. 69) 다. 일본 일본 클라우드컴퓨팅 서비스 시장은 2014년까지 1432억 엔(약 1조 4320 억 원)에 이르게 될 것으로 전망되고 있다. 일본 IDC는 일본 개방형 클 라우드(Public Cloud)서비스 시장 에 관한 보고서를 발표하였다. 이에 따 르면 일본 많은 기업들이 IT 비용 절감을 위해 클라우드 서비스를 이용하 67) CIO Council/Cloud Computing Interoperability Forum(CCIF), UK Government to CreateCpuntry Wide Cloud Infrastructure, 참조. 68) 박현선, 셰어드 서비스도 클라우드로 해결 정부 공공서비스부터 도입해야 민간으로 확대 인식, ) 테크마켓 뷰 보고서,

65 고 있으며 점차 증가추세를 보이고 있다. 2009년 일본 클라우드컴퓨팅 시장의 규모는 312억 엔이지만 2014년 까 지 매년 35.6%의 성장률을 보일 것으로 예측되며, 약 1432억 엔에 달할 것으로 전망하고 있을 뿐만 아니라 클라우드컴퓨팅 서비스 사업자 간 경 쟁이 심화될 것으로 예상하고 있다. 특히, 클라우드 서비스 사업자에 있어서 신속한 서비스 제공이 중요한 시기는 빨리 지나가 버리고, 차별화가 거대한 과제가 될 것으로 보고 있 다. 사용자는 풍부한 기능보다는 유연한 선택 이용이 가능한 서비스 모델 이 더 중요하다고 인식하고 있다는 것이다. 2009년 6월 스마트 유비쿼터스 네트워크 실현전략 에서 2015년까지 정 부의 전산지원 활성화를 높이기 위한 클라우드컴퓨팅 도입을 발표하였다. 그 구성요소를 클라우드 데이터, 클라우드 플랫폼, 클라우드 인재 로 분류하고 있다. 그리고 이와 같은 각각의 구성요소를 뛰어 넘어 클라우드 컴퓨팅의 안심 안전한 보급을 통해 편리하고 풍족한 미래를 실현하기 위 하여 이노베이션의 창출, 제도정비, 기반정비 를 3가지 축으로 하여 정 책을 추진하고 있다. 70) 중앙부처 클라우드컴퓨팅 도입을 위하여 총무성은 2009년 가스미가세 키 프로젝트 를 발표하였다. 여기에 따르면 1,000여 개 지자체에 클라우드 도입 추진을 위해 2,000억 원의 예산을 확보하여 추진 중에 있으며, 부처 전용 클라우드컴퓨팅을 구축하고 국가 디지털 이카이브(가칭) 라는 행정 문서와 도서, 논문, 문화재 정보 등 디지털화된 데이터베이스를 구축하고 이를 민간에 개방할 계획을 추진하고 있다. 71) 또한 총무성은 2009년 3월 ICT(정보통신기술)관련 투자를 늘려 30~40 만 명의 고용창출과 100조엔 시장 창출 등을 목표로 디지털 일본 창출 프로젝트(ICT 하토야마 플랜) 를 발표하고, 2009년부터 3년간 실행할 중 점 항목을 정리하였다. 구체적인 내용으로는 아날로그 방송 종료 후에 남 70) 일본총무성, 스마트 클라우드 연구회 보고서, 2009 참조 71) 総務省が霞ヶ関クラウドの概要を発表, 日本情報通信新聞

66 은 전파 대역을 이용한 신산업 창출, 중앙 부처의 정보시스템을 통합하는 클라우드 구축, ICT 기술에 의한 지역 활성화 등 9개 항목이다(아래의 (그림 3-3) 참조). (그림 3-3) 일본정부 정보시스템 개요(출처:총무성, 정부정보시스템의 정비방침에 관한 연구회 중간보고서 ) 그리고 2009년 10월 앞으로의 정보통신 정책 심포지움에서 총무성 정 보통신 국제 전략국 정보통신 과장은 클라우드 서비스 보급 관점에서 정 보통신 정책의 방향을 언급하고, 세계적 통신 인프라에 대한 이익 활용의 중심은 클라우드컴퓨팅이 될 것이라고 예측, 클라우드컴퓨팅 보급을 위해 검토해야 할 과제로써 오픈성, 네트워크 부분을 포함한 시큐리티 환경의 실현, 국제적 틀 제정, 네트워크 중립성 원칙과의 관계 등을 언급하였다. 우정국은 사용자 불만처리 및 고객관리 업무 효율화를 위해 클라우드컴 퓨팅 업체인 Salesforce.com의 CRM 솔루션 도입을 통해 서비스를 제공 중에 있다. 그 외에도 2010년 6월 클라우드컴퓨팅 산업을 조기에 활성화 시키기 위하여 정부 주도에 의해 대규모 데이터 센터를 건립키로 하였다. 일본경제무역산업성(METI)에 따르면 클라우드컴퓨팅 확산을 위해 대규모 데이터 센터를 구축하기로 하고, 여기에 국내외 자국 기업들을 대거 참여

67 시킬 계획을 가지고 있다. 이를 위해 향후 5년간 클라우드컴퓨팅 관련 투 자 규모를 30% 늘려 1조 7000억 엔(약 22조 3130억 원) 수준으로 예상하 고 있다. METI는 데이터 센터의 원활한 전력 공급을 위해 핵 발전 업체도 참여 시킬 예정이며, 핵 발전 업체를 유치하는 지방정부에는 중앙정부 차원에 서 인센티브와 보조금을 지급하기로 하였다. 또한 참여하는 기업에는 전 기요금 할인과 설비 투자 시 재정 지원도 제공키로 했다. 이와 함께 컴퓨 터 서버를 갖춘 시설의 경우, 정부는 특별 구역으로 지정, 건물표준법 적용도 간소화할 계획이다. 72) 라. 대만 대만 경제부는 2010년 4월 산업기술연구소(ITRI), 정보산업기구(III), 대 만전기전자제조협회(TEEMA), 대만정보서비스산업협회(TISIA), 청화 텔레 콤 등과 함께 대만 클라우드컴퓨팅 컨소시엄(TCCC) 73) 을 발족하였다. 대만 정부는 자국 내 클라우드컴퓨팅 관련 기술개발과 산업 활성화를 위하여 대규모 지원 자금을 투입할 계획을 세우고 있다. 2010년을 기점으 로 향후 5년간 클라우드컴퓨팅 산업에 240억 대만달러(약 8568억 원)를 책정하는 계획을 승인하였다. 이번 계획은 대만 내 클라우드컴퓨팅 산업 의 공급 망을 구축하고, 정부 공공부문에서 활용할 수 있는 광범위한 애 플리케이션을 개발하는 것을 목적으로 한다. 또한 정부의 적극적인 지원책 은 민간 기업들의 투자에도 촉매제가 될 예상이다. 업계는 클라우드컴퓨팅과 관련한 연구개발(R&D)에 127억 대만달러를 투자하는 한편, 1000억 대만달러 규모의 하드웨어 소프트웨어 서비스 등을 생산하는 효과도 기대하고 있다. 이와 함께 향후 5년 간 신규 종사 72) Etnews.co.kr '클라우드컴퓨팅 공들이는 일본 참조. 73) TCC에서는 클라우드와 관련하여 소프트웨어와 서비스 기반 인프라스투록쳐, 서비스 기반 플랫 폼, 서비스 기반 소프트웨어 등 3가지 주요 애플리케이션을 조기 개발하는데 박차를 가할 계획 이다. 이를 통해 대만이 클라우드 컴퓨팅 관련 종합 솔루션을 제공할 수 있는 역량을 확보한다 는 목표를 취하고 있다.;디지털 타임즈

68 자만 5만개, 전체 생산 유발 효과는 1조 대만달러 규모에 달할 것으로 예 상된다. 그리고 초기 산업 활성화의 일환으로 대만정부는 국가개발금 가 운데 10억 대만달러를 클라우드컴퓨팅 관련 벤처 캐피탈 자금으로 책정할 계획이다. 74) 마. 중국 소프트웨어 산업 경쟁력 강화를 위해 클라우드컴퓨팅 기술을 활용, 컴 퓨팅 자원을 제공하는 우시(Wuxi) SW 개발단지 추진 등 11개 SW 개발 단지 건립 예정에 있다. 중국 정부의 SW 아웃소싱 가속화 시책인 시책에 부응하고, Green & Scalable Platform 구현을 목적으로 하고 있으며, 클라우드컴퓨 팅 환경을 구현함으로서 인터넷 서비스 제공업체가 운영비를 대폭 절감하 고, 기업 애플리케이션 개발 시간 단축 및 신규시장으로의 모색을 추진하 고 있다. 75) 이와 같은 SW개발 단지를 건립함으로서 효과적인 컴퓨팅 리 소스 및 라이선스 공유, 손쉬운 IT 리소스 관리, 거대 규모의 서버들을 쉽 고 빠르게 탐색 및 검사, 입주사의 SW 개발 품질 제어 효율성제고, 신흥 Workload에 효과적으로 대응할 것을 기대하고 있다. 동잉(Dongying) 지방정부는 IBM과 파트너십 제휴를 통해 3단계에 걸친 황화 프로젝트를 추진 중에 있다. 황화프로젝트는 1단계에서 황화 델타 클라우드컴퓨팅 센터를 구축하고, 2단계에서 클라우드 기반 소프트웨어를 개발하며, 3단계에서 클라우드 기술을 활용한 헬스케어 서비스 보급을 목 표로 하고 있다. 뿐만 아니라 상하이시가 클라우드컴퓨팅을 전략사업으로 육성할 계획을 가지고 있다. 향후 5년 동안 클라우드컴퓨팅 부문에 2억 위안(약338억 74) 이티뉴스, 대만, 클라우드 컴퓨팅에 8568억 뭉칫돈, , 75) NIA, 범정부 차원의 ICT 신기술 패러다임 : 클라우드 컴퓨팅 활성화 전략, CIO 리포트 제17호, , 22면 참조

69 4000만원)을 투자해 양푸 지구에 대규모 클라우드컴퓨팅 산업단지를 조성 할 방침이다. 상하이시는 산업단지에 300개 기업을 유치하고, 2015년까지 지역 클라우드컴퓨팅 부문의 성과는 150억 달러(약 16조9500억 원)에 달 할 것으로 내다보고 있다. 76) 2. 해외 주요 클라우드컴퓨팅 사업자 현황 해외 주요 글로벌 기업들은 초기단계의 클라우드 서비스 시장 선점을 위해 다양한 서비스를 추진하고 있을 뿐만 아니라 IT 분야별 협업을 통하 여 글로벌 경쟁력을 확보하고 있다. 가. IBM IBM은 블루클라우드(Blue Cloud) 라는 일련의 하드웨어, 소프트웨어, 서버들로 구성된 통한 인프라를 통해 개인 및 기업의 클라우드 서비스를 어느 곳의 어느 기기에도 제공할 수 있게 해 주는 것을 목표로 하고 있 다. 77) 2009년 6월 클라우드버스트(CloudBurst) 발표를 통해 소프트웨어 개발 과 테스팅용 시장을 타깃으로 하여 어플라이언스 제공을 계획하고 있다. 그리고 2009년 7월 기업의 클라우드 환경 구축을 지원하는 IBM 스마트 비즈니스 클라우드 포트폴리오 를 국내에서 발표하였다. 이는 소프트웨어 개발과 테스트, 데스크톱 및 장치 관리, 협업 등에 이르는 다양한 디지털 업무와 관련된 IT인프라스트럭처 운용 자동화, 실제 사용자가 필요한 컴 퓨팅 리소스를 셀프 서비스로 요청할 수 있는 기술 등이 적용된 포트폴리 오다. 또한 이 서비스는 크게 IBM클라우드 전략 컨설팅 서비스, IBM 스 마트 비즈니스 테스트 클라우드, IBM 스마트 비즈니스 데스크톱, IBM 클 76) 전자신문, 중국 상하이, 클라우드컴퓨팅에 대규모 투자, 참조. 77) 디지털데일리, [창간 5주년 기획/클라우드 컴퓨팅5] IBM 컨설팅부터 서비스까지 클라우드 역량 총동원,

70 라우드 버스트의 네 가지로 구성되어 있다. 로터스라이브 아이노즈(LotusLive inotes)서비스 78) 를 통해 클라우드 기 반의 안전한 이메일 서비스를 제공하고 있다. 공공 및 사설 클라우드 상에 애플리케이션 개발자들을 타깃으로 한 새 로운 베타버전인 SBD & T(Smart Business Development and Test)를 발 표하여 클라우드 프로그래머에게 서비스를 추진하고 있다. 그리고 IBM은 IDG 뉴스에 따르면 2010년 7월 유럽 연합(EU) 및 이탈 리아 영국 네덜란드 등의 대학 6곳과 함께 호스팅 비용과 서비스 관 리 비용을 줄일 수 있는 새로운 클라우드컴퓨팅 모델을 연구하기 위한 컨 소시움 79) 을 설립하였다. 최근에는 클라우드컴퓨팅 서비스를 의료서비스에도 제공할 계획을 가지 고 있다. 즉, 의료 데이터 관리 서비스업체인 액티브헬스와 함께 협업 케 어 솔루션이라는 이름으로 클라우드컴퓨팅을 시작한다. 이는 환자의 전자 차트와 처방전, 검사 데이터 등의 정보를 액티브헬스의 진료툴인 케어-엔 진에서 통합해 IBM클라우드 컴퓨팅 플랫폼으로 제공하는 것이다. 의사는 이 서비스를 통해 이전보다 정확하고 세밀한 진료를 할 수 있어 의료사고 와 불필요한 고액 처방을 피할 수 있으며, 클라우드 환경에서 환자의 의 료정보를 일원화 해 관리하기 때문에 의사들이나 간호사, 도우미, 약제사 등이 정보를 공유할 수 있으며, 투약 계획 등에서 중복처방을 필 할 수 있는 이점을 가질 것으로 예상하고 있다. 80) 나. Microsoft 마이크로소프트사는 인프라 부분인 윈도우 애저(Window Azure) 81) 와 78) 79) 컨소시업에서는 다양한 하드웨어와 소프트웨어 환경에서 인터넷 기반 서비스들을 함께 관리할 수 있도록 하는 기술 연구에 착수할 예정이며, 간단하고 시간을 단축시키며, 유지비용도 적게 드는 새로운 모델을 개발할 예정에 있다. 80) 아이뉴스24, IBM, 의료용 클라우드 서비스 시장 출사표, 참조. 81) 윈도우 애저는 IaaS(Infrastructure as a Service)로서 컴퓨팅과 스토리지, 관리와 모니터링 기능을

71 플랫폼 소프트웨어 서비스인 애저 서비스 플랫폼(Azure Service Platform) 개발을 통해 서비스 중에 있다. 이는 조직들이 자체적으로 클라우드 기반 애플리케이션을 구축해서 구동할 수 있게 해준다. 윈도우 애저는 수시로 업데이트되며, 사용량에 따라서 혹은 대량 구매 할인 방식으로 요금을 지 불한다. (그림 3-4)마이크로소프트의 윈도 애저(출처: windowsazure/products/) 마이크로소프트사는 자사의 소프트웨어 대부분을 클라우드 서비스 형태 로 제공하는 계획 뿐 아니라 클라우드 서비스를 가능케 하기 위해 마이크 로소프트가 사용하고 있는 기술들까지도 독립형 제품으로 제공할 계획을 가지고 있다. 마이크로소프트의 윈도 라이브 서비스 중 하나인 오피스 웹 앱스 (Office Web Apps)'는 PC에 오피스 프로그램이 설치돼 있지 않아도 인터 넷이 연결되는 곳이면 워드나 엑셀, 파워포인트, 윈노트 등 마이크로 소프 트 오피스 프로그램을 무료로 이용할 수 있는 서비스이다. 82) 대만 경제부와 함께 2010년까지 타이베이에 클라우드컴퓨팅 연구센터 공동 설립을 추진하고 있다. 뿐만 아니라 윈도우 애저를 통하여 HP, 델, 후지쯔, 이베이의 데이터 센터를 인프라를 설치하도록 협력하고 있다. 이 제공한다. 82) 아이뉴스24, 구름 속의 컴퓨팅 이 생활속으로...개인용 클라우드 열풍, 참조

72 는 마이크로소프트 자신이 개방형 클라우드 서비스를 제공할 뿐만 아니라 인프라를 협력관계에 파트너들의 데이터센터에도 설치, 파트너들이 외부 고객을 대상으로 개방형 클라우드 서비스를 제공하도록 하는 것이다. 어쨌든, MS는 클라우드컴퓨팅 서비스를 위해 자사의 기본적인 사업 방 침을 변화하려는 움직임을 보이고 있다. MS의 주 수입원은 Windows와 office 등의 프로그램 패키지의 판매였으나 최근 Office 2010 을 출시하면 서 오피스 웹 어플리케이션 을 함께 선보였다. 인터넷을 통해 오피스 웹 어플리케이션(Office Web Apps)을 실행하여 사용자는 웹에서 문서 작업 을 하고 웹에 저장을 할 수 있다. 저장된 문서는 PC, 스마트폰, 서로 다 른 웹 브라우저 등 접근이 가능한 단말기에서 쉽게 수정 및 보안이 가능 하며 원본 문서 포맷과 시각 효과 등이 그대로 유지되기에 언제나 동일한 문서의 열람 및 수정이 가능해진다. 웹 어플리케이션은 기업형과 일반 소 비자로 나뉘며 일반 소비자는 무료로 이용이 가능하다. 다. Google 2006년 8월 Apps for your Domain 을 통해 클라우드컴퓨팅의 큰 가 능성을 보인바 있는 구글은 웹호스팅 서비스와 협업용 애플리케이션을 제 공하고, 구글의 핵심서비스들에 대한 API를 공개하기 시작했다. 특히 App Engine은 제3의 개발자들이 구글의 플랫폼 상에서 웹 애플리케이션 을 자유롭게 개발하여 이용할 수 있도록 하는 PaaS(Platform as a Service)전략으로서 개발자들은 구글이 가진 서버 사이드의 광대한 자원을 활용하여 서비스를 개발하고 활용할 수 있다. 83) 최근에는 교육기관을 대상으로 클라우드컴퓨팅 기반 오피스웨어 구글 Docs 서비스를 개시하였고, 2010년 미국 정부 전용 Google Apps 같은 서비스를 구입하는 방식의 클라우드 서비스 제공을 추진하고 있다. 특히, 미 행정부에 온라인오피스SW인 구글앱스를 도입하게 되었다. 이는 정부 83) 정제호, 클라우드컴퓨팅의 현재와 미래, 그리고 전략, 한국소프트웨어진흥원, 동향, , 70면

73 고객을 대상으로 설계된 앱스 스위트이며, 연방정보보안운영법(FISMA) 에 따라 보안성이 강화되었다. 84) 이 서비스는 구글의 데이터 센터에 호스팅 되지만 데이터가 미국 안에 남아 있어야 하고, 알맞은 정부 보안 절차에 의해 운영되어야 하는 등 정 부 규정에 적합한 시스템으로 평가되고 있다. 이에 따라 해외 주요 정부 기관 등 포춘 500대 기업의 60%이상이 사용하고 있는 것으로 파악되고 있다. 최근 중소 중견 기업을 상대로 펼쳐온 엔터프라이즈 SW 공급 망을 대 기업으로 확대하고 있다. 국내 기업인 LG전자, 현대기아자동차, SK 텔레 콤 등이 구글 엔터프라이즈 클라우드 솔루션을 도입했을 뿐만 아니라 슈 퍼컴퓨터에서만 구현할 수 있는 초정밀 음성검색 기능을 클라우드컴퓨팅 기술을 이용해 간단히 스마트폰과 PC 등 모바일 기기에 제공하고 있다. 라. 아마존 아마존은 2002년부터 AWS(Amazon Web Service)를 제공하면서 클라우 드컴퓨팅 서비스를 제공하기 시작했다. 초기 AWS를 제공하기 시작했을 당시 아마존의 주요한 비즈니스 전략은 제3의 개발자들이 AWS API를 통 해 자사의 상품 DB를 활용하도록 함으로서 상품판매를 위한 비즈니스 네 트워크를 확장하는 것이 중심이었다. 85) 그 후 2006년부터 아마존은 Amazon S3 Service'를 이용함으로서 개방 형 클라우드의 대표적인 기업으로 인식되고 있다. 이는 자체 서버와 스토 리지를 보유하기 어려운 소규모 기업이나 개발자들을 대상으로 아마존의 컴퓨팅 인프라를 이용해 그 기능을 구현토록 하는 클라우드 서비스로서 대표적인 스토리지 클라우드컴퓨팅 서비스이다. 그리고 클러스터 형태로 PC를 연결해 슈퍼컴퓨터의 기능 수준의 서비 84) 지디넷 코리아, 美 정부 클라우드 컴퓨팅 도입...구글앱스 쓴다., 참조. 85) 정제호, 클라우드컴퓨팅의 현재와 미래, 그리고 전략, 한국소프트웨어진흥원, 동향, , 68면

74 스를 제공하고 있다. 최근에는 이용자 확산을 위하여 자사의 EC2와 몇몇 다른 아마존 웹 서비스에 대하여 신규 사용자에게 무료로 마이크로 인스 턴트 에 대해 1년 액세스를 제공하기로 결정하였다. 그 외 아마존은 싱가 포르에 데이터센터를 보유하고 있으며, 아시아에 새로운 데이터센터 구축 계획 등을 통해 클라우드컴퓨팅 서비스 시장에서의 경쟁력을 강화하고 있 다. 마. salesforce.com 클라우드컴퓨팅 서비스 안전성과 향상성, 가용성 등 역할 증대를 위해 싱가포르에 데이터 센터를 오픈하였다. 클라우드 서비스 플랫폼인 포스 닷컴 에 어도비 플래시 개발 틀인 플래시 빌더 제공을 위해 어도비시스템 즈와 협력하고 있다. 그리고 VM웨어와 VM포스 를 공동개발하고 있다. 이는 자바 애플리 케이션을 호스팅하기 위한 클라우드컴퓨팅 서비스로서 기업들이 클라우드 상에서 자바 애플리케이션을 좀 더 쉽게 도입하고 관리할 수 있도록 하는 데 중점을 두고 있다. VM 포스 서비스는 스프링 개발 프레임워크와 포 스닷컴의 데이터베이스 등의 서비스, 세일즈포스의 소셜 모바일 서비스인 채터 등을 결합해 잘 갖추어진 자바 플랫폼을 제공한다. 86) 바. HP HP는 고객이 원하는 솔루션을 웹 기반 하에 온디맨드 방식의 서비스로 제공하는 Everything as a Service(EaaS) 클라우드컴퓨팅 전략을 발표하 고, 다양한 디바이스를 총망라한 End-to-End 클라우드 서비스를 제공하고 있다. 이는 하드웨어에서 소프트웨어, 관리서비스까지 이어지는 토털 클라 우드컴퓨팅 솔루션을 제공하는 것이다. 86) VM웨어-세일즈포스, 자바 클라우드 플랫폼 공동 구축, [email protected]

75 어플라이언스 구매를 통해 고객들이 손쉽게 클라우드 환경을 구현할 수 있도록 설계된 클라우드 매트릭스 제품을 출시하였다. 그리고 델과의 치열한 경쟁 끝에 데이터 전문업체 스리파 를 인수하고, 클라우드컴퓨팅 애플리케이션 자동화 기업인 스트라비아를 이수하면서 기존 HP BSA 제 품 포트폴리오에 클라우드컴퓨팅 환경 엔터프라이즈 데이터베이스, 미들 웨어, 애플리케이션 패키지를 위한 배포, 구성 및 관리 기능을 추가하였 다. 즉, HP의 클라우드컴퓨팅 관련 기술 서비스는 컨설팅과 구축서비스 형 태로 제공돼 고객 관점의 클라우드 도입을 위한 토털 서비스를 제공한다. 컨설팅 서비스로서는 고객사의 클라우드에 대한 이해도를 증진하고 관련 조직 간에 동일한 방향성을 수립하도록 지원하는 클라우드 디스커버리 워 크숍, 클라우드 도입을 위해 현재 고객사의 성숙도를 측정하고 단계적인 접근 전략 수립을 위한 클라우드 로드맵 서비스, 고객 환경에 최적화된 관리체계를 구현하기 위한 기술 아키텍처와 운영 방안을 설계하기 위한 클라우드 디자인 서비스 등이 있다. 87) 제3절 클라우드컴퓨팅 서비스의 향후 전망 클라우드컴퓨팅은 녹색성장이라는 국가정책과 맞물려 그린 IT를 구현하 기 위한 중요 IT서비스로서 빠른 속도로 성장하고 있다. 클라우드는 웹브 라우저만 있으면 인터넷을 통해 언제라도 접근할 수 있고, 필요한 만큼 빌려 쓸 수 있기 때문에 IT자원의 활용률을 높여 비용 절감뿐만 아니라 에너지 절약에도 영향을 준다. IT자원을 소유하는 방식에서 임대로 전환해 관련비용을 절감할 수 있게 해주는 것이다. 또 업무의 시간적 공간적 제약을 없앰으로서 일하는 방 87) 전자신문, [클라우드 빅뱅] HP의 클라우드 솔루션은?, 참조

76 식도 변화시킨다. 최근 관심사로 떠오른 스마트워크 도 클라우드컴퓨팅 활성화가 그 배경이 되었다. 88) 2009년 IDC시장 보고서에 따르면, 클라우드컴퓨팅 시장은 대기업 위주 로 빠른 성장을 하고 있으며 클라우드컴퓨팅이 초기 시장 형성 수준을 넘 어 활성화 단계로 돌입했다고 보고 있으며, 가트너가 2010년 1월19일 전 세계의 CIO를 대상으로 IT예산계획과 관련된 설문조사결과(약 1,600명 정 도가 답변)에 의하면 IT 기술의 우선순위에 있어 클라우드컴퓨팅은 2위에 랭크되었다. 1위는 클라우드컴퓨팅 서비스에 있어 주요하게 작용하는 Virtualization(가상화) 기술과 관련된 것이었다. 결국 클라우드컴퓨팅과 관련된 분야가 2010년을 좌우할 IT 기술이라고 볼 수 있다. 89) 이에 앞서 가트너는 클라우드컴퓨팅 시장의 성장에 있어 2008년 4,700만 달러에서 매년 28% 성장을 통해 2012년 12,600만 달러 규모의 시장으로 발전할 것 이라는 예측을 내놓은 바 있다. 즉, 향후 IT사업에 있어 주요사업으로서의 지위를 지속해 나갈 것으로 예상되고 있는 것이다. 그리고 2010년 10대 전략 기술의 1위 기술로서 클라우드컴퓨팅 기술을 지정된 바처럼 클라우드컴퓨팅은 최근 IT서비스 중 가장 유망되는 서비스 라 할 것이다. 2013년에는 2009년과 대비하여 2.5배 수준인 442억 달러 시 장을 형성할 것으로 전망하고 있다. 그에 따라 IT기업 및 일반기업에 있 어서도 클라우드컴퓨팅 관련 시장으로의 진입을 위해 노력할 것이며, 경 쟁 또한 치열해 질 것으로 예상된다. 국내 클라우드컴퓨팅 시장의 경우, 아래의 (그림 3-5)에서 보듯이 지난 해 대비 43% 성장해 2010년 약 1조원 시장을 형성할 것으로 전망되고 있 다. 즉 지난 2009년 6739억 원 규모에서 올해 9610억 원 규모가 예상되며, 88) 내일신문, [클라우드 일하는 방식을 바꾼다]1인터넷세상에 클라우드 빅뱅 이 온다 참조. 89) 클라우드 컴퓨팅의 전망과 과제, 미국의 시장조사기관 ABI리서치(abiresearch.com)는 2014년에 는 모바일 클라우드 컴퓨팅 이 주류가 될 것이라고 전망하며 모바일 시장의 지각변동을 예견하 고 있다. 보고서에 따르면 모바일 클라우드 컴퓨팅 서비스 이용자는 향후 5년간 급증해 2009년 현재 4,280만 명(전체 이용자의 1.1%)에서 2014년에는 9억 9,800만 명(19%)까지 증가할 것으로 전망된다 asp?num =16844&NSLT=Y < 접속>

77 정부의 활성화 정책과 대기업 관련 서비스 도입으로 고성장이 기대되고 있다. 90) (그림 3-5) 출처: 서울경제신문, 세계적인 시장조사 업체 Ovum에 따르면 2011년 공공부문과 기업 IT시 장 동향을 조사한 결과 내년 우선순위 목록에서 클라우드컴퓨팅이 1위를 차지한 것으로 나타났다. 이 조사에 따르면 클라우드컴퓨팅 공급자의 제 공과 구매자의 기대가 모두 성숙됨에 따라 추진력을 갖게 되겠지만 정부 구매자는 데이터를 법적 및 규제 관할권 안에 둔다는 결정을 고수할 것으 로 전망됐다. 91) 이와 같은 클라우드컴퓨팅 서비스는 전 세계적으로는 시장 규모는 응용 서비스와 인프라를 중심으로 2009년 796억 달러에서 2014년 3,434억 달러 로 연평균 34% 고성장 할 것으로 예상 92) 되고 있는 가운데 가트너에 의하 면 클라우드 서비스 시장은 2001년 708억 달러에서 2013년 1,501달러로 90) 디지털 타임즈, 클라우드 컴퓨팅 급성장세...한국IT기업 시장선점해야, ) 보안뉴스, 내년 IT시장에서 최우선은 단연 클라우드컴퓨팅, 참조. 92) 이상동, Vision on the Clouds 2010, 한국과학기술정보연구원, 2010 참조

78 크게 증가할 것으로 전망되고 있다. 93) 그리고, 가드너에 따르면 아시아, 태평양 지역 기업에 SaaS를 적용하는 데 어려움이 있으며, 2010년 말까지 기업의 75%가 서비스로서의 소프트 웨어(SaaS)에 대한 투자를 늘릴 것이라는 연구조사를 발표하였다. 연구조 사 결과에 따르면 조사 기업 중 80%가 이미 ERP, CRM 등의 기업 애플 리케이션을 위해 SaaS를 이용하고 있으며, 나머지 20%도 향후 12개월 내 에 SaaS를 도입할 예정으로 나타났다. 또한 기존 클라우드컴퓨팅 서비스에 대한 수요와 투자가 구글, 아마존, 삼성SDS 등의 대기업에서 중 소기업들로 확산돼 오는 2014년에 중 소 기업이 약 1000억 달러(약 120조원)를 클라우드컴퓨팅에 투자할 것이라는 전망이 나오고 있다. 시장조사업체인 AMI파트너스의 연구 결과에 따르면 지난해 전 세계 중 소기업의 클라우드 관련 정보통신 투자가 520억 달러 였으며 2014년까지 투자가 매년 13%이상 증가할 것으로 예견하고 있다. 최근에는 클라우드컴퓨팅 서비스 도입에 관하여 국내 중 소기업에서도 지대한 관심을 가지고 있다. 중 소기업 중앙회의 조사에 따르면 58%의 협동조합이 정보화 사업 방식으로 클라우드컴퓨팅을 고려하고 있는 것으 로 조사되었다. 특히 65%는 비용을 분담해서라도 정보화 사업을 추진하 겠다고 밝혔으며 2011년 정보화 사업을 추진하겠다는 조합도 61%에 달했 다. 그리고 현재에도 진행이 되고 있지만 앞으로는 국가 간의 협력과 기업 간의 협력 관계가 더욱 증가할 것으로 예상된다. 즉, 국가와 국가 간의 연 구 협력 및 데이터센터의 해외 이전 등에 따르는 서비스 표준화의 국제화 등 국가 간의 지속적인 교류와 협력이 이루어 질 것이며, 기업 간에도 보 다 유용한 클라우드컴퓨팅 서비스 제공을 위하여 상대 기업의 이점과 이 점을 결합하여 비용 및 기술적으로 성장하고 발전될 서비스를 제공하게 될 것으로 보여 진다. 이와 같은 클라우드컴퓨팅 서비스 시장 성장의 견인차로서의 역할을 수 93) 디지털 타임스, 클라우드 컴퓨팅, 서비스 안정성 정보보호 불안감 해소해야,

79 행할 것으로 예상되는 클라우드 서비스로서는 모바일화 94), 개인화, 개방화 등의 신규서비스가 활성화 될 것으로 전망되고 있다. 예컨대, 아래의 (그림 3-6)에서 보듯이 3G 이동통신, 무선랜 등 무선 통신 인프라의 보급과 스마트폰, 태블릿 PC 등의 확산으로 사용자의 인 터넷 환경이 모바일로 급속히 확대되고, 개인의 콘텐츠 생성이 활발해지 고, 언제 어디서나 자신이 원하는 방식으로 자유롭게 콘텐츠를 즐기고 싶 어 하는 사용자가 증가하는 것이다. 또한 사업자의 독자 플랫폼으로 발생 하는 상호 호환성 문제를 해결하기 위한 개방형 기술 적용과 표준화에 대 한 요구가 증가되는 것을 의미한다. 95) (그림 3-6)모바일 클라우드컴퓨팅의 구성도(출처:정보통신산업진흥원) 특히 최근 열풍으로까지 표현되는 스마트폰 사용자의 증가는 클라우드 컴퓨팅 서비스의 성장을 가속화 시킬 것으로 예상된다. 모바일폰과 마찬가 지로 언제 어디서나 인터넷 접속을 가능하게 해 주는 스마트폰의 속성상 손쉽게 클라우드컴퓨팅을 이용하여 서비스를 활용할 수 있기 때문이다. 클라우드컴퓨팅 시장은 시시각각 매우 빠른 속도로 변화하고 성장해 나 가고 있다. 비용과 시간의 절감, 효용성, 유연성 등에 힘입어 클라우드컴 94) 모바일화란 클라우드 컴퓨팅과 모바일 서비스를 결합한 것으로서 스마트폰, 이동성을 갖는 기기 (노트북, 넷북, PDA, UMPC)등을 모두 포괄하여 다양한 모바일 단말기를 통해 클라우드로부터 서비스를 지원받는 것이라 할 수 있음. 95) 최우석, 클라우드 컴퓨팅 서비스 전개와 시사점, SERI 경영노트 제67호, 삼성 경제연구소, , 4면 참조

80 퓨팅 시장은 많은 기업들에 의해 주목을 받고, 참여를 촉구하고 있다. 그 러나 클라우드컴퓨팅은 단어에서 의미하듯 뜬 구름 과 같아서 이와 같은 서비스를 어떻게 규제하고, 촉진하여야 하는지에 대해 논란의 소지가 있 을 수밖에 없다. 클라우드컴퓨팅 서비스에 따라 발생 가능한 문제점에 대 한 해결 방안이 제시되어야 할 뿐만 아니라 초기산업으로서의 국제 경쟁 력과 경제의 발전을 위해 진흥이 되어야 할 사업임에는 틀림없기 때문이 다. 따라서 클라우드컴퓨팅을 활성화 시켜 경제의 발전, 그린 IT의 실현 등 을 확보하기 위해서는 이와 같은 문제에 대한 법적인 관점에서의 검토가 이루어져야 한다. 현재 우리나라의 현행법에서는 클라우드컴퓨팅에 대한 규제 또는 지원이 어떻게 이루어지고 있으며, 이들 법이 과연 클라우드컴 퓨팅 서비스를 위한 법제로서의 역할을 수행하기에 무리가 없는 지 등에 관한 논의가 필요할 것이다. 또한 비단 이와 같은 현상은 우리나라 뿐 만 아니라 해외에서도 이루어지고 있는 바, 해외 법제의 현황을 살펴봄으로 서 클라우드컴퓨팅 법제 정비를 위한 시사점을 도출하고, 이를 참고하여 클라우드컴퓨팅의 법제 정비 방안을 모색하여야 한다

81 제4장 클라우드컴퓨팅 서비스의 법제 현황 제1절 국내 법제 현황 1. 국내법의 일반적 개관 가. 조직법 앞에서 살펴 본바와 같이 클라우드컴퓨팅은 인터넷 기술을 이용하여 공공기관 기업 또는 개인 등의 수요자에 대해 가상화된 IT자원을 서비스 로 제공하는 것 으로 요약하여 그 개념을 정리할 수 있다. 이러한 개념 에 의할 때, 행정기관을 포함하는 공공기관을 수요자로 하여 가상화된 IT 자원을 서비스로 제공하는 것은 정부조직법 제29조제1항의 정부혁신, 행정능률, 전자정부 및 정보보호 지방자치단체의 사무지원 에 속하는 것으로 행정안전부의 사무에 속한다고 할 것이다. 따라서 행정안전부는 이러한 정부조직법 상의 권한에 근거하여 공공기관을 수요자로 하여 제 공되는 클라우드컴퓨팅에 있어서 요구되는 보안과 각종 정보보호 등에 대 하여는 행정안정부가 주무기관으로 기능하게 된다. 그리고, 기업 또는 개인을 수요자로 하여 가상화된 IT자원을 서비스로 제공하는 사업은 방송통신위원회의 설치 및 운영에 관한 법률 제11조제1 항제2호의 통신에 관한 사항에 속하는 사업으로서 방송통신위원회의 관장 사무에 속한다고 할 것이고, 이러한 사업을 행함에 있어서 부수적으로 발 생되는 해킹이나 개인정보침해 등의 예방작용과 같은 정보통신경찰사무 96) 는 그 성격상 방송통신위원회의 사무에 속한다고 할 것이다. 96) 방송통신위원회와 그 소속기관 직제 제13조의2 제4항 제1호의 방송통신망에서 개인정보보 호와 불법유해정보 유통방지에 관한 기본정책의 수립 및 관련 법령의 제 개정 및 제25호의 사이버 권리침해의 예방 등이 그 예이다

82 나. 작용법의 개관 (1) 공공기관을 수요자로 하는 클라우드컴퓨팅 현행 법제도상으로 비공공분야에서도 그러하듯이 공공분야에 있어서도 클라우드컴퓨팅을 직접적인 대상으로 하거나 대비한 법령은 없지만 그 개 념을 포섭하고 있는 법령을 들라고 한다면, 클라우드컴퓨팅 사업 자체에 대한 것은 행정업무의 전자적 처리를 위한 기본원칙, 절차 및 추진방법 등을 규정함으로써 전자정부를 효율적으로 구현하고, 행정의 생산성, 투명 성 및 민주성을 높여 국민의 삶의 질을 향상시키는 것을 목적으로 입법된 전자정부법 을 제시할 수 있고, 해당 사업과 관련한 보안의 문제에 대하 여는 공공기관의 컴퓨터 폐쇄회로 텔레비전 등 정보의 처리 또는 송 수 신기능을 가진 장치에 의하여 처리되는 개인정보의 보호와 공공업무의 적 정한 수행을 도모함을 목적으로 하는 공공기관의 개인정보보호에 관한 법률 과 전자적 침해행위로부터 주요 정보통신기반시설의 보호를 목적으 로 하는 정보통신기반 보호법, 국가정보화기본법 등을 각각 제시할 수 있을 것이다. 먼저 전자에 관하여는 전자정부법 제2조 제1항 제5호의 전자정부 원칙 의 하나로서 행정정보의 공개 및 공동이용의 확대 규정, 제19조의 전자 정부서비스의 보편적 활용을 위한 대책 규정, 제21조의 전자정부서비스의 민간 참여 및 활용(행정기관 등의 장은 전자정부서비스 이용을 활성화하 기 위하여 업무협약 등을 통하여 개인 및 기업, 단체 등이 제공하는 서비 스와 결합하여 새로운 서비스를 개발 제공할 수 있고 이를 위해 필요한 지원을 할 수 있다) 규정 및 제37조의 행정정보 공동이용센터에 관한 규 정 등은 개방형 IaaS형의 클라우드컴퓨팅을 전제로 한 것으로 볼 수 있 다. 다음으로, 클라우드컴퓨팅이 공공분야에 도입된 경우의 보안과 관련하 여서는 공공기관의 개인정보보호에 관한 법률 제5조의 개인정보파일의

83 보유범위에 관한 규정 부터 제12조의 처리정보의 열람에 관한 규정 까지 의 규정, 정보통신기반 보호법 제9조의 취약점 분석 평가에 관한 규정 과 제4장 주요정보통신기반시설의 보호 및 침해사고의 대응(제11조부터 제16조까지의 규정) 및 국가정보화기본법 제37조(정보보호 시책의 마련) 부터 제42조(지적 재산권의 보호)까지의 규정이 클라우드컴퓨팅에 대한 보안규정을 이룰 것으로 보인다. (2) 개인과 기업을 수요자로 하는 클라우드컴퓨팅 개인과 기업을 수요자로 하는 클라우드컴퓨팅을 직접 규율하고는 있지 아니하나 이러한 컴퓨팅사업을 포섭하고 있는 것으로는 전기통신사업의 운영을 적정하게 하여 전기통신사업의 건전한 발전을 기하고 이용자의 편 의를 도모함으로써 공공복리의 증진에 이바지함을 목적으로 하는 전기통 신사업법 을 들 수 있고, 이러한 사업상 요구되는 보안과 관련하여서는 개 인정보의 보호와 정보통신망의 안전한 이용환경조성을 목적으로 하는 정 보통신망이용촉진 및 정보보호 등에 관한 법률 과 정보통신기반 보호법 등이 제시될 수 있다. 먼저, 전자와 관련하여 전기통신사업법 제4조는 전기통신사업을 기간 통신사업, 별정통신사업 및 부가통신사업으로 구분(제4조제1항)한 다음, 기간통신사업은 전기통신회선설비를 설치하고, 이를 이용하여 공공의 이 익과 국가산업에 미치는 영향, 역무의 안정적 제공의 필요성 등을 참작하 여 전신 전화역무 등 대통령령이 정하는 종류와 내용의 전기통신역무(이 하 "기간통신역무") 97) 를 제공하는 사업으로(같은 조 제2항), 별정통신사업 은 기간통신사업자의 전기통신회선설비 등을 이용하여 기간통신역무를 제 97) 현행 전기통신사업법시행령 제7조는 기간통신역무를 전송역무(전신ㆍ전화ㆍ인터넷접속 등 음 성ㆍ데이터ㆍ영상 등의 전자기신호를 그 내용이나 형태의 변경 없이 송신하거나 수신하는 전기 통신역무)와 주파수를 할당받아 제공하는 역무( 전파법 제11조 또는 제12조에 따라 할당받 은 주파수를 사용하는 무선국을 개설하고 이를 이용하여 음성ㆍ데이터ㆍ영상 등의 전자기신호 를 그 내용이나 형태의 변경 없이 송신하거나 수신하는 전기통신역무) 및 전기통신회선설비 임 대역무( 전기통신회선설비를 임대하는 전기통신역무) 등 3가지의 역무로 단순화하고 있다

84 공하는 사업이나 대통령령이 정하는 구내에 전기통신설비를 설치하거나 이를 이용하여 그 구내에서 전기통신역무를 제공하는 사업으로(같은 조 제3항), 그리고 부가통신사업은 기간통신사업자로부터 전기통신회선설비 를 임차하여 기간통신역무외의 전기통신역무를 제공하는 사업으로 각각 규정하는(같은 조 제4항) 한편, 법 제10조는 기간통신사업자에 대해 허가 받은 기간통신역무외의 다른 기간통신역무의 추가제공과 관련한 규제를 규정하여 현재 논하여지고 있는 다양한 서비스를 제공을 꿈꾸는 클라우드 컴퓨팅 서비스의 사업에 포섭됨을 발견할 수 있다. 다음으로 현행 법제 하에서 클라우드컴퓨팅과 관련한 개인정보보호 및 각 종 보안에 대하여는 아래의 표 4-1 에서 보는 바와 같이 정보통신망이 용촉진 및 정보보호 등에 관한 법률 제4장 제22조부터 제29조까지의 규정과 제6장의 규정(제45조부터 제51조까지의 규정) 및 정보통신기반 보호법 제3 장의 주요정보통신기반시설의 지정과 취약점 분석에 관한 규정(제8조부터 제44조의10까지의 규정)이 있고 그밖에는 전자상거래 등에서의 소비자보호 에 관한 법률, 신용정보의 이용 및 보호에 관한 법률, 위치정보의 이용 및 보호에 관한 법률 등이 있다. 표 4-1 데이터 및 망에 대한 현행 보안법제와 클라우드컴퓨팅 구 분 법률 대 상 관련규정 내용과 클라우드 컴퓨팅 관련 문제 데 이 터 의 보 호 정보통신망이용촉 진 및 정보보호 등에 관한 법률 공공기관의 개인정보보호 등에 관한 법률 민 간 공 공 개인정보의 보호조치(제28조) / 개인정보의 누설금지(제28 조의2) / 개인정보의 파기(제29조) / 손해배상(제32조) / 주요 정보의 국외유출 제한 등(제51조) / 국외 이전 개인정보의 보 호(제63조) 서버의 소재지 파악곤란에 따른 정보자기결정권 행사의 어려움 예상 공공기관이 보유한 개인정보의 보호를 규정 공공기관의 경우에는 국가안전보장의 요청으로 국외에 서버를 둔 클라우드 컴퓨팅서비스는 원칙적으로 허용되지 아니할 것으로 보임 신용정보의 이용 및 보호 등에 관한 법률 금 융 신용정보의 오남용으로부터 개인의 사생활보호를 목적 신용정보의 국외이전과 관련하여 클라우드 컴퓨팅서비스 의 문제점 내포

85 통신비밀보호법 전 체 통신비밀의 보장 클라우드 컴퓨팅서비스제공에 따른 패킷감청의 문제와 직접 연관 서 비 스 망 의 안 전 성 정보통신 기반보호법 정보통신망이용촉 진 및 정보보호 등에 관한 법률 전 체 민 간 전자적 침해의 법적 정의(제2조제2호) / 주요 정보통신 기 반시설 보호대책의 수립과 이행여부의 확인(제5조, 제5조의2) / 주요정보통신기반시설의 지정(제8조) / 취약점의 분석 평 가(제9조) / 주요정보통신기반시설의 보호 및 침해사고의 대 응(제10조~제16조) 클라우드 컴퓨팅서비스 제공자에 대한 주요정보통신기 반시설지정 및 정보공유 분석센터의 활용가능성에 대한 검토 보완 필요 침해사고의 법적 정의(제2조제7호) / 표준에 적합한 제품의 표준화 및 인증(제8조) / 정보통신망의 안정성확보(제45조) / 집적정보통신시설 사업자의 긴급대응(제45조의2) / 정보보 호 안전진단(제46조의3) / 정보보호관리체계의 인증(제47 조) / 정보통신망 침해행위 등의 금지(제48조) / 침해사고의 대응 등(제48조의2)/침해사고의 원인 분석 등(제48조의4) 클라우드 국외 컴퓨팅서비스제공자에 대한 법적용의 범 위가 문제될 수 있음 2. 국내법상 클라우드컴퓨팅 서비스의 법적 지위 가. 공공부문 공공부문의 경우에 클라우드컴퓨터 서비스를 제공할 자는 전자정부법 제16조의 국민의 복지향상 및 편익증진, 국민생활의 안전보장, 창업 및 공장설립 등 기업 활동의 촉진 등을 위한 전자정부서비스를 개발하여 제 공하고 이를 지속적으로 보완 발전시키기 위한 대책 내지 제18조의 첨 단 정보통신기술을 활용하여 국민 기업 등이 언제 어디서나 활용할 수 있 는 행정 교통 복지 환경 재난안전 등의 서비스( 유비쿼터스 기반의 전자정부서비스 )를 제공 을 하여야 할 책무를 지고 있는 행정기관 등의 장이 행정정보의 효율적 관리 및 이용(제36조)을 위하여 행정안전부장관 소속하에 설치되는 행정정보공동이용센터(제37조)가 특별한 사유가 없는

86 한 클라우드컴퓨팅 서비스를 제공하는 주체로서의 지위를 가질 것으로 예 상된다. 나. 비공공부문 (1) 전기통신사업법 과 클라우드컴퓨팅 서비스 제공자 비공공분야는 공공분야를 제외한 일체의 영역으로서 크게는 영리분야와 비영리분야로 나눌 수 있다. 이러한 영리를 목적으로 정보통신서비스를 제공하는 사업자는 일단 전기통신사업법 제4조에 근거하여 기간통신사 업, 별정통신사업 및 부가통신사업자로 대별할 수 있다. 즉 자신이 보유하고 있는 전기통신회선설비를 갖고서 서버 스토리지 네트워크 등의 인프라 자원(IaaS)을 제공하게 되면 전기통신사업법 제4조 제2항의 기간통신사업자로 되고 이들이 플랫폼 서비스(PaaS)나 소프트웨 어서비스(SaaS)를 하게 되면 역무의 추가로서 전기통신사업법 제10조의 적용을 받게 된다고 할 수 있다. 다른 한편 기간통신사업자의 전기통신회선설비를 이용하여 가상화된 환 경 하에서 기간통신역무를 행하면서 서버 스토리지 네트워크 등의 인프 라 자원(IaaS)을 제공하게 되면 전기통신사업법 제4조 제3항의 별정통신 사업자에 속하게 되며, 이러한 별정통신사업자가 기간통신역무 외에 플랫 폼 서비스(PaaS)나 소프트웨어서비스(SaaS) 등을 하고자 할 경우에는 전 기통신사업법 제19조 제1항 및 제4항, 전기통신사업법시행령 제65조제3 호에 의한 별정통신사업 변경등록을 하여야 할 것이다. 그리고, 기간통신사업자의 전기통신회선설비를 임차하여 가상화된 환경 하에서 기간통신역무 외의 플랫폼 서비스(PaaS)나 소프트웨어서비스(SaaS) 등을 하는 것은 전기통신사업법 제4조 제4항의 부가통신사업자에 해당하 게 된다

87 (2) 정보통신망이용촉진 및 정보보호 등에 관한 법률 과 클라우드컴퓨팅 서비스 제공자 현행 정보통신망이용촉진 및 정보보호 등에 관한 법률 제2조에서는 집 적정보통신시설 사업자의 개념에 대한 정의규정을 두고 있지 않고 같은 법 제46조에서 타인의 정보통신서비스를 제공하기 위하여 집적된 정보통 신시설을 운영 관리하는 사업자 를 집적정보통신시설 사업자로 정의하고 있을 뿐이다. 그런데, 클라우드컴퓨팅 서비스는 높은 수준의 확장성을 가 진 IT 자원들을 서비스 로 제공하는 컴퓨팅 으로 설명되고 높은 수준의 확장성 은 집적시설 로 새길 수 있는 점에 비추어 볼 때, 높은 수준의 확장성을 가진 IT 자원 을 가진 클라우드컴퓨팅 서비스 제공자가 정보를 제공하거나 정보제공을 매개하는 경우(기간통신시설사업자)에는 당연히 집적정보통신시설 사업자로 보아야 할 것이고 이러한 시설을 임대하여 정 보를 제공하거나 제공을 매개하는 경우(별정통신시설사업자)라면 이 법률 상의 집적정보통신시설 의 범위를 어디까지로 볼 것인가에 따라 그 해당 성 여부가 결정된다고 할 것이다. 98) 이와 관련하여서는 법률의 보완이 필요하다고는 하겠지만 기본적으로 클라우드컴퓨팅 사업자가 기간통신역무사업을 직접 수행하는 경우에는 특 별한 사유가 없는 한 정보통신망이용촉진 및 정보보호 등에 관한 법률 제46조에 근거하여 대통령령이 정하는 보호조치를 취하여야 하는 한편, 집적된 정보통신시설의 멸실, 훼손, 그 밖의 운영 장애로 발생한 피해를 보상하기 위하여 대통령령으로 정하는 바에 따라 보험에 가입하여야 할 것이다. 그리고, 같은 법 제46조제3항은 전기통신사업법 제2조 제1항 제1호 에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역 98) 사견으로는 클라우드컴퓨팅서비스제공자로부터 Infura로서 기간통신역무설비를 임대받아 이를 재임대하거나 Platform서비스를 제공하게 될 경우에는 정보통신망이용촉진 및 정보보호 등에 관한 법률 제46조의 입법취지상 집적정보통신시설 사업자에 해당하는 것으로 보아야 할 것으 로 생각된다

88 무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자 (제2조 제3 호)인 정보통신서비스 제공자를 주된 수범자로 규율하고 있는 바, 클라우 드컴퓨팅을 이용한 기간통신사업자 별정통신사업자 및 부가통신사업자를 모두 대상으로 하게 되며, 이들로부터 개인정보를 제공받아 가상화된 클 라우드컴퓨팅 환경 하에서 개인정보의 취급위탁을 받은 자 역시 정보통 신망이용촉진 및 정보보호 등에 관한 법률 제25조제1항의 정보통신서비스 제공자 등에 해당하게 된다는 점에서 일정규모 이상의 사업자에 대해 강 제되는 정보보호 안전진단을 받아야 할 의무(안전진단을 받지 아니하게 되면 같은 법 제76조 제3항 제6호에 의거하여 1천만 원 이하의 과태료처 분을 받게 된다)는 이들에 대해서도 적용된다고 할 것이다. (3) 기타 그 외에도 금융기관 예컨대 은행이나 증권회사 또는 보험업체 등에서 금융 업무를 처리하는데 있어 데이터를 보관하거나 관리하는데 클라우드 컴퓨팅 서비스를 이용하게 된다면 이러한 경우에 이를 제공하는 클라우드 컴퓨팅 사업자의 법적 지위는 전자금융거래법 제2조 99) 에 따른 전자금융 보조자로서의 지위를 가질 것이다. 전자금융보조자로서의 지위를 가지는 클라우드컴퓨팅 서비스 제공자의 경우에는 보험법 등의 적용을 받는 영역 에 포함이 된다. 금융기관에서는 보안이 중요하기 때문에 개방형 클라우 드 서비스 보다는 회원형 클라우드 서비스를 지향할 것으로 전망되고 있 다. 끝으로 현행법 상 클라우드컴퓨팅 사업자의 법적 지위로서 전자상거래 등에서의 소비자 보호에 관한 법률 에 의거한 통신판매중개자로서의 지위 를 거론할 수 있다. 예컨대, 클라우드컴퓨팅 서비스 제공자가 인터넷쇼핑 몰 등을 운영할 수 있도록 클라우드컴퓨팅 기술을 임대하거나 아니면 쇼 99) 전자금융거래법 제2조 5항 : 전자금융보조업자라 함은 금융기관 또는 전자금융업자를 위하여 전 자금융거래를 보조하거나 그 일부를 대행하는 업무를 해하는 자 또는 결제중계시스템의 운영자 로서 금융위원회의 설치 등에 관한 법률 제3조에 따른 금융위원회가 정하는 자를 말한다

89 핑몰의 영업정보 또는 이용자의 정보를 대신 위탁받아 보관, 관리하는 경 우가 이에 해당된다고 할 수 있다. 이와 같이 클라우드컴퓨팅 서비스 제공사업자는 현행법 상 정보통신서 비스 제공자, 집적정보통신설비제공자, 개인정보 수탁자, 전기통신사업자, 전자금융보조자, 통신판매중개자 등에 포함이 되며, 이에 따라 해당 법률 의 적용에서 배제될 수 없다. 이는 곧 클라우드컴퓨팅 서비스가 근본 없이 나타난 새로운 서비스가 아닌 기존에 존재하는 기술과 서비스를 바탕으로 발전된 새로운 서비스라 고 할 수 있으며, 이들 컴퓨터가 향후 IT시장과 나아가 국가 경제력 및 국제적 경쟁의 차원에서 중요한 요소로 작용할 것으로 예상되는 바, 초기 사업으로서 발전시키고 활성화 시킬 필요성이 있다. 3. 클라우드컴퓨팅 서비스의 진흥 및 활성화 클라우드컴퓨팅 서비스란 용어가 나오기 시작한지는 이제 막 4년여가 되었고, 본격적인 서비스가 도입된 것도 불과 얼마 되지 않았음에도 불구 하고 다양한 분야에서 도입이 되고 있으며, 그 기대가치는 상당할 것으로 예상이 되고 있는 바, 이와 같은 사업을 활성화 시키고자 하는 것은 국가 적 경제적 차원에서 당연할 것이다. 그렇다면 현재 우리나라에서 시행되고 있는 법들에서는 어떠한 방법으 로 클라우드컴퓨팅 서비스를 개발과 이용 활성화를 위해 적용될 수 있는 지 파악한다면 기존의 법제만으로 클라우드컴퓨팅의 활성화를 위해 충분 한 것이지 아니면 새로운 법이 필요한 것인지를 가늠해 볼 수 있을 것이 다. 우선, 대표적인 법으로서 정보통신망이용촉진 및 정보보호 등에 관한 법률 상의 진흥 및 활성화 규정을 살펴보면 정보통신망과 관련된 기술 및 기기의 효율적인 추진을 위하여 관련 연구기관에 대한 연구 개발 기술협 력 기술이전 또는 기술지도 등의 사업을 할 수 있게 하고 있다. 그리고

90 표준화와 인증에 관한 규정을 두고 있으며, 국가기관 지방자치단체 및 공공기관이 정보통신망을 활용하여 업무를 효율화 자동화 고도화 하는 응용서비스를 개발, 운영하고, 민간부문에 의한 개발 촉진, 기술인력 양상 을 위한 시책 마련 등을 규정하고 있다. 그밖에 정보통신망의 이용촉진 등에 관한 사업에 대하여 공공, 지역, 산 업, 생활 및 사회적 복지 등 각 분야의 정보통신망의 이용촉진을 위한 사 항과 인터넷 이용을 확산하기 위한 시책 마련, 인터넷서비스의 품질 향상 및 안정적 제공을 보장하기 위한 시책, 품질 측정 평가 등에 관한 기준 고시 등의 사항을 조문화하고 있다. 앞에서 언급한 바처럼 클라우드컴퓨팅 서비스의 경우, 정보통신서비스 에 해당하기 때문에 이들 규정이 클라우드컴퓨팅 서비스의 이용 활성화를 위한 규정으로서 적용될 것이다. 그리고 클라우드컴퓨팅은 정보통신 산업의 한 영역에 해당하기 때문에 정보통신 산업 진흥법의 적용도 가능할 것으로 사료된다. 정보통신산업의 진흥을 위한 기반을 조성하여 정보통신산업의 경쟁력을 강화하고 국민경 제의 발전에 이바지하기 위한 목적으로 제정된 정보통신산업법 에 따르 면 우선, 지식경제부 장관에게 정보통신산업의 중 장기 정책목표 및 방 향 설정을 위한 진흥계획을 수립 시행하도록 하고 있다. 이 계획에는 기 본방향, 부문별 진흥 시책, 기술의 개발 보급 확산과 활용 촉진에 관한 사항, 정보통신표준화 및 인증 촉진, 전문인력 양성, 창업 및 성장 지원에 관한 사항, 기업에 대한 자금 공급 활성화에 관한 사항, 국제 협력 및 해 외시장 진출 지원에 관한 사항 등을 그 내용으로 하고 있다. 진흥계획과 함께 정보통신기술의 진흥을 위한 시행계획을 수립하도록 하고 있는 바, 그 내용으로는 기술 수준의 조사, 개발된 정보통신기술의 평가 및 활용, 관련 정보의 원활한 유통에 관한 사항, 기술의 연구개발 및 다른 기술과의 결합 및 융합 촉진에 관한 사항, 협력, 지도 및 이전, 산학 협동 촉진, 전문인력 양성 및 수급, 표준화 및 새로운 정보통신기술의 채 택에 관한 사항, 연구기관 또는 단체 육성, 국제협력에 관한 사항을 두고

91 있다. 또한 기술개발촉진법 에 따른 신기술로 인증 받은 기술의 사업화에 필 요한 지원, 정보통신표준화의 촉진, 제정 및 인증, 인증지원에 관한 사항 과 표준의 국제표준화 촉진에 관한 사항을 담고 있다. 진흥계획과 시행계 획에 나와 있는 전문인력의 양성, 국제협력 추진을 위한 구체적인 내용과 정보통신망 응용서비스의 개발 촉진, 기술지도, 국내외의 시장정보 기술 정보 경영정보 등 각종 지식과 정보를 수집하여 데이터베이스를 구축하 고 정보통신기업에 제공할 수 있도록 하고 있다. 이와 같이 클라우드컴퓨팅 서비스는 IT 서비스, 즉, 정보통신에 기반을 둔 서비스로서 정보통신망이용촉진 및 정보보호 등에 관한 법률 과 정 보통신산업 진흥법 상의 진흥과 활성화에 관한 조항이 적용 가능할 것으 로 여겨진다. 다만 클라우드컴퓨팅 서비스는 정보통신서비스에 기반을 두 고 있으나 그 유형이나 기술 등에 있어 차별점이 있으며, 새로운 법적 이 슈 및 향후 사업의 영향력 등을 고려하였을 때, 클라우드컴퓨팅 서비스의 이용 활성화를 위해 기능 및 특징에 기인한 구체적이고 개별적인 방안이 필요할 것으로 예상된다. 4. 클라우드컴퓨팅 서비스의 보안이슈와 현행 정보보호법제 가. 보안이슈 클라우드 컴퓨팅은 IT 자원을 소유하지 않고 일부 또는 모두를 아웃소 싱 하는 형태이다. 이런 경우는 필연적으로 보안 문제가 제기될 수밖에 없는데, (그림 2-1)은 이를 잘 대변해 준다. 즉 (그림 2-1)은 시장 조사 기 관인 IDC에서 244명의 IT 관련 임원들에게 IT cloud 서비스에 관하여 그 들의 견해와 활용에 대하여 조사한 것 중의 하나로, 보안을 해결해야 할 첫 번째 과제로 꼽고 있다. 클라우드컴퓨팅의 보안 이슈는 두 가지 소비 자 영역으로 나누어서 생각해 볼 수 있다

92 첫 번째는 개인 사용자 관점의 보안이다. 개인 사용자는 이메일, 블로 그, 동호회, 사진 및 파일 저장과 공유 서비스를 주로 이용하며, 무료로 제공하는 서비스를 선호하는 특성을 갖는다. 개인 사용자 관점에서 우려 하는 보안 문제로는 개인정보 노출, 개인에 대한 감시, 및 개인 데이터 에 대한 상업적 목적의 가공 등이 있다. 100) 다음으로 기업 사용자 관점에서는 자신이 소유하던 IT 자산을 클라우드 형태로 제공받기를 원하지만, 자신의 데이터가 타인과 공유되기를 원하지 않으며, 기업 사용자는 안정성과 안전성을 제공하면 비용을 지불할 의사 가 있으며, 때에 따라서는 local cloud와 같이 자신이 직접 운영하기도 한 다. 기업사용자 입장에서 우려하는 보안 문제로는 서비스 중단, 기업 정보 훼손, 기업 정보 유출, 고객 정보 유출, 법 규제 준수 및 e-discovery 대 응 등이 있다. 101) 100) 최고정보관리책임자(CIO) 등을 포함하여 일부 사람들은, 기업재무보고에 관한 Sarbannes-Oxley 법, 그리고 건강기록의 안전과 프라이버시에 관한 건강 보험 이동성과 신뢰성에 관한 법 (HIPAA) 과 같은 법률에 부합하여 클라우드에 있는 개인 정보가 안전하고 보호될 수 있는지 걱정한다. 고객들 역시 클라우드에 있는 그들에 대한 개인 정보가 법과 규제, 그리고 기업들과의 약속으로 보호 받을 수 있다는 것을 확실하게 해야 한다. 클라우드의 성공 여부는 바로 이러한 질문들에 대해 적절한 해 답을 내릴 수 있는지에 달려 있다. PRIVACY & SECURITY LAW, 2009 BY THE BUREAU OF NATIONAL AFFAIRS, INC. PVLR ISSN , 2쪽 참조. 101) 은성경 외, 클라우드 컴퓨팅보안기술, 전자통신동향분석 24권제4호, 쪽

93 (그림 4-1) 클라우드 서비스의 해결과제 출처 : IDC Enterprise Panel, August n=244 나. 클라우드컴퓨팅 서비스와 보안 클라우드컴퓨팅 서비스의 근간을 이루는 가상화서버에 대하여는 첫째 정보보안이 가상화 프로젝트에 포함되어 있지 않다는 점, 둘째 가상화 계 층의 손상은 모든 호스트 업무의 손상을 가져 올 수 있다는 점, 셋째 가 상 네트워크에 대한 관리가 이루어지지 않게 되면 현재의 보안 정책실행 메커니즘에 맹점이 생긴다는 점, 넷째 서로 다른 신뢰수준을 요구하는 업 무들이 적절한 분리 없이 하나의 물리 서버 위에 합쳐지면 보안에 허점이 생긴다는 점 그리고 네트워크와 보안관리책임에 대한 소재가 나뉘는데 따 른 잠재적인 손해의 우려가 있다는 점 등 제시되고 있다. 102) 요컨대 클라우드컴퓨팅은 기본적으로 확장된 가상화공간을 이용한 서비 102) 전자신문, ; Gartner,

94 스로서 일종의 정보집적설비에 해당하여 이용형태의 다양화에 따른 가상 화계층이 달라 보안수준의 통일이 어려울 뿐만 아니라 서버의 소재지가 불분명하여, 서버의 소재지별 보안법제가 요구하는 보안수준 또한 상이하 여 앞의 아마존의 클라우드컴퓨팅 계약서에 보는 바와 같이 자칫 이용자 의 자기책임에 의한 클라우드 이용관계가 설정될 가능성을 배제하기 어렵 다. 그 밖에도 가상화를 위한 인프라의 집중화에 따라 해커 등의 주요한 공 격대상이 될 수 있다는 문제점 및 법규가 미비한 국가, 예측하기 힘든 법 체계 또는 법집행을 하는 국가 또는 독재적 경찰국가, 국제협정을 존중하 기 않는 국가 등에 데이터센터가 있을 경우, 갑작스럽게 시스템이나 데이 터가 압수될 수 있고 법집행을 위해 필요한 범위 이상의 고객 정보가 영 향을 받을 수 있다는 문제점 등이 지적되고 있다. 다. 현행 정보보호법제와 클라우드컴퓨팅 클라우드컴퓨팅 서비스는 인터넷 등을 활용하는 사업자 또는 공공기관, 개인 등의 영업 정보 및 개인정보 등을 위한 자원을 빌려주거나 그와 같 은 데이터를 위탁받아 보관하고 관리하는 서비스를 주로 제공하기 때문에 이러한 정보들을 어떻게 보호할 것인지가 최대 관심사라고 할 수 있다. 현행법에 따르면 우선, 정보통신망이용촉진 및 정보보호 등에 관한 법 률 제4장에서 개인정보보호에 관하여 규정하고 있다. 같은 법 제22조에서 제26조의2에서는 개인정보의 수집 이용 및 제공 등에 관하여 규정하고 있는 바, 주요 내용으로는 정보통신서비스 제공자가 이용자의 개인정보를 수집하는 경우에는 이용자에게 알리고 동의를 받도록 하고 있으며, 개인 의 권리 이익이나 사생활을 뚜렷하게 침해할 우려가 있는 경우 수집 제 한, 개인정보를 제3자에게 제공하고자 하는 경우에 예외의 사항 103) 을 제 103) 제22조제2항제2호 및 제3호에 해당하는 경우로서 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우, 이 법 또는 다른 법률에 특별한 규정이 있는 경우에는 이용자의 동의를 받지 않아도 됨

95 외하고 이용자에게 동의를 받도록 하고 있다. 그리고 개인정보를 제공받은 자가 제3자에게 업무를 위탁하는 경우에도 취급 위탁을 받는 자, 위급위탁을 하는 업무의 내용 등에 대하여 동의를 받도록 하고 있으며, 그 방법은 개인정보의 수집매체, 업종의 특성 및 이 용자의 수 등을 고려하여 정하도록 하고 있다. 동법 제28조에서는 개인정보를 취급할 때 개인정보의 분실 도난 누 출 변조 또는 훼손을 방지하기 위한 기술적 관리적 조치를 요구하고 있 으며, 개인정보를 취급한 자의 직무상 알게 된 정보에 대한 누설 금지, 개 인정보의 파기 등의 사항을 개별 조문화하여 규정하고 있다. 그 외에 정보보호를 위하여 제46조의3에서 안전진단 수행기관으로부터 자신의 정보통신망 또는 집적정보통신시설에 대하여 매년 정보보호지침에 따른 정보보호 안전진단을 받도록 규정하고 있다. 다음으로 공공기관의 개인정보보호에 관한 법률 에서는 공공기관의 컴 퓨터 폐쇄회로 텔레비전 등 정보의 처리 또는 송 수신 기능을 가진 장 치에 의하여 처리되는 개인정보를 보호하기 위한 규정을 담고 있다. 클라 우드컴퓨팅의 경우, 이미 공공기관에서 사용이 실행되고 있는 바, 공공기 관에 제공되는 클라우드컴퓨팅 서비스의 경우에는 동법의 적용을 받는 것 이 가능할 것이다. 동법에서는 공공기관에서의 개인정보보호를 위하여 개인정보 수집의 목 적을 명확히 하고 목적에 의해 필요 최소한으로서 적법하고 정당하게 수 집하여야 하며, 목적 외의 용도로 사용하지 못하는 것을 원칙으로 하고 있다. 공공기관의 장에게 개인정보를 처리하거나 개인정보파일을 정보통 신망에 의하여 송 수신하는 경우 개인정보가 분실 도난 누출 변조 또 는 훼손되지 않도록 안전성 확보에 필요한 조치를 하도록 규정하고 있으 며, 개인정보 처리 사무를 위탁하고자 하는 경우 그 사실을 미리 공개하 여야 한다. 인터넷 상에서 본인확인을 하는 과정에서 개인정보가 변조 유출 도용 되지 않도록 안전성 확보를 하여야 하며, 보유목적 외의 목적으로 처리정

96 보를 이용하게 하거나 제공해서 아니 되며, 업무수행에 필요한 최소한의 범위로 그 이용 또는 제공을 제한하도록 규정하고 있다. 또한 개인정보파 일이 불필요한 경우 지체 없이 파괴하여야 하며, 파기 사실을 공고하여야 하며, 개인정보의 처리를 취급하였던 공공기관의 직원이나 직원이었던 자 등이 직무상 알게 된 개인정보를 누설 또는 권한 없이 처리하거나 부당한 목적으로 사용하지 못하도록 의무규정을 두고 있다. 그 외에 정보주체에 의해 처리정보를 열람할 수 있도록 하고 있으며 정 보주체가 본인의 처리정보의 정정 또는 삭제를 청구할 수 있는 규정을 둠 으로서 개인정보를 보호하고 있다. 공공기관 이외에 개인정보의 이용이 활발한 분야로서 금융거래를 거론할 수 있다. 상거래 등에 있어서의 금융 거래 시에 필수적으로 요구되는 것이 개인의 신용도와 신용거래 능력이라 고 할 수 있으며, 이는 곧 개인의 정보와 직결된다 할 것이다. 현재 이와 같은 신용정보를 이용하는 과정에서 발생할 수 있는 개인정 보를 보호함으로서 사생활의 비밀 등을 보호하기 위한 목적으로 신용정 보의 이용 및 보호에 관한 법률 이 존재하고 있다. 클라우드컴퓨팅 서비스를 이용하여 상거래를 전개하고, 금융업계에서도 클라우드컴퓨팅 서비스의 도입을 계획하고 추진하고 있는 현 상황에서 동 법의 신용정보보호 규정은 클라우드컴퓨팅 서비스에 있어서도 적용될 가능 성이 크다 할 것이다. 동법에서는 개인의 정보를 포함하고 있는 신용정보를 수집 조사하는데 있어 그 목적을 명확히 하고, 그 목적 달성에 필요한 범위에서 합리적이 고 공정한 수단을 사용하도록 하고 있으며, 신용정보회사 등이 그 업무 범위에서 신용정보의 수집 조사를 다른 신용정보회사 등에 위탁하기 위 해서는 의뢰인의 동의를 받도록 규정하고 있다. 그리고 신용정보회사 등 은 신용정보 전산시스템에 대한 제3자의 불법적인 접근, 입력된 정보의 변경 훼손 및 파괴 그 밖의 위험에 대하여 기술적 물리적 관리적 보안 대책을 세워야 하며 신용정보 보안관리 대책을 포함한 계약을 체결하여야 한다

97 뿐만 아니라 신용정보를 제공하거나 이용하는 자가 대출, 보증에 관한 정보 등의 개인신용정보를 타인에게 제공하려는 경우 해당 개인으로부터 서면, 공인전자서명이 있는 전자문서 등에 의하여 미리 동의를 받아야 한 다. 개인신용정보는 해당 신용정보주체가 신청한 금융거래 등 상거래 관 계의 설정 및 유지 여부 등을 판단하기 위한 목적으로만 이용하여야 하 며, 개인식별정보를 신용정보회사 등에 제공하려는 경우에는 해당 개인의 동의를 받도록 규정하고 있다. 업무 목적 외의 신용정보 및 사생활 등 개 인적 비밀 누설 금지, 타인에게 제공 금지 등의 규정을 두고 있으며, 신용 정보 이용자가 동 법을 위반하여 신용정보 주체에게 피해를 입힌 경우 손 해배상을 책임을 지도록 함으로서 신용정보에 대한 보호를 꾀하고 있다. 라. 클라우드컴퓨팅과 司法權 (증거확보)의 한계 클라우드에서 정보가 저장되고 처리될 때, 어떤 데이터 보호와 프라이 버시에 관한 법률이 적용되는가? 클라우드에 저장된 정보가 국제적으로 공유되는 것인가? 그 결정은 어떻게 내려지는 것인가? 클라우드컴퓨팅은 그 장소 어디든지 간에 데이터 처리에 관한 일을 다양한 사법문제를 통해 심사숙고 한다. 대부분의 보호 법률과 안내 지침은 정보의 일방적 침해를 방지하고자 한다. 하지만 이 법률들이 어떻게 클라우드에 적용되는 것인 가? 벤더의 서버 위치에 따라 모델 계약이나 EU 정보 보호 지침 (EC/95/46)에 따른 Safe Harbor 프로그램과 같은 전통적인 접근법은 실 용성 있는 해법을 주지 못할 수 있고, 실행하고 유지하는데 번거롭다는 지적이 되고 있다. 104) 종래에는 대부분의 정보를 개인용 컴퓨터(PC)나 우리나라의 영토고권이 104) 클라우드에서 데이터 처리를 하는 유럽 관리인들은 이 법적 문제를 그 자체로 인식하며 프로 세싱을 위해 유럽 밖으로 전송되는 데이터의 적절한 보호를 보장하는 것을 명확히 하도록 되 어 있다. 일부 유럽의 정보보호 당국은 정보 관리자들이 해외로 데이터를 전송하기 전에 사 전 동의와 승인을 받도록 하고 있으며, 일반적으로 세부적인 전송의 수단, 목표, 그리고 목적 지는 물론 적용될 수 있는 보호조치를 밝히게 되어있다. PRIVACY & SECURITY LAW, 2009 BY THE BUREAU OF NATIONAL AFFAIRS, INC. PVLR ISSN , 2쪽

98 미치는 지역 내에 소재하는 서버에 담아두고 인터넷 서비스를 이용하던 오랜 관행이 클라우드컴퓨팅 시대 를 맞아 각국에서 다양한 마찰을 불러 일으키고 있다. 예컨대, 경찰청 사이버테러대응센터가 구글의 Street View 와 관련하여 그 제작 과정에서 무단으로 개인 간 통신내용이 수집 됐다며 사무실을 압수수색했지만, 정작 혐의를 확인할 수 있는 데이터의 소재지가 우리의 영토고권 105) 이 미치지 아니하는 미국 구글 본사에 있는 까닭에 증거자료의 수집에는 실패한 것이다. 106) 국외에서도 이러한 영토고권의 한계에 따른 마찰 사례가 잇따르고 있 다. 사우디아라비아는 지난 6일부터 블랙베리 서비스를 중단하도록 지시 했다가, 블랙베리를 공급하는 리서치인모션(RIM)과의 협의를 거쳐 블랙베 리 사용을 다시 허용하기로 했다. 외신들은 림이 사용자들의 블랙베리 고 유번호를 사우디 정부와 공유하기로 합의했다고 전했다. 사우디 정부가 사용자들의 블랙베리 고유번호를 알면 암호화된 통신 내용에 접근할 수 있다. 독일 정부도 보안을 이유로 공무원들의 아이폰과 블랙베리 사용을 금지 하고, 도이치텔레콤의 짐코 라는 스마트폰을 쓰도록 했다. 독일 정부는 이달 초 아이폰의 해킹 위험성을 경고한 데 이어, 블랙베리에 대해선 정 부가 데이터에 접근할 수 없는 점을 문제 삼고 나섰다. 전 세계에서 업무 용 스마트폰으로 가장 널리 쓰이는 블랙베리는 강력한 보안기능을 갖추 고, 문자나 이메일을 암호화해 캐나다에 있는 림의 서버에 보관하고 있다. 각국 정부를 비롯한 외부의 접근은 엄격하게 차단돼 있다. 이런 사례들은 모두 마찰의 모습은 약간씩 다르지만, 각국 정부가 다국 적 정보기술(IT) 업체의 국외 서버에 들어 있는 자국민 정보에 대해 접근 하겠다는 의지를 드러낸 점에선 공통적이다. 인터넷의 기본특성상 서비스 105) 참고판례: 대한민국 국민이 아닌 사람이 외국에 거주하다가 그곳을 떠나 반국가단체의 지배하 에 있는 지역으로 들어가는 행위는, 대한민국의 영역에 대한 통치권이 실지로 미치는 지역을 떠나는 행위 또는 대한민국의 국민에 대한 통치권으로부터 벗어나는 행위 어디에도 해당하지 않으므로, 이는 국가보안법 제6조 제1항, 제2항의 탈출 개념에 포함되지 않는다(대법원 선고 2004도4899 전원합의체 판결). 106) 이와 관련하여서는 한계레, 국외서버 속 자국민 정보를 어찌할꼬, 참조

99 는 국경을 뛰어넘어 제공되는데 반해, 각국의 경찰권은 영토고권에 따른 한계를 받기 때문이다. 특히 컴퓨팅 환경이 클라우드 기반으로 빠르게 이 동하면서 서버의 소재지와 관련한 영토고권의 한계에 따른 마찰이 벌어질 여지는 계속 남아 있게 된다. 마. 현행법상 클라우드 사업자의 보안의무 앞에서 살펴본 바와 같이 클라우드컴퓨팅 서비스제공자가 자신의 설비 로 기간통신역무를 제공하게 되면 기간통신사업자로, 기간통신사업자의 클라우드컴퓨팅 서비스를 이용하여 기간통신역무를 제공하게 되면 별정통 신사업자로 그리고 클라우드컴퓨팅 서비스제공자 또는 클라우드컴퓨팅 서 비스제공자의 서비스를 이용하여 기간통신역무 이외의 서비스를 제공하게 되면 별정통신사업자에 해당하게 되어, 이들 사업자는 모두 정보통신망 이용촉진 및 정보보호 등에 관한 법률 상의 정보통신서비스제공자로서 이 법률이 정한 바에 따라 안전진단이나 관리체계인증의 대상자로 된다. 어쨌든, 모든 클라우드 사업자는 데이터의 저장과 처리를 위해 적합한 보안을 갖추어야 한다. 107) 이는 새로운 클라우드를 사용하든지, 전통적인 정보 처리 센터를 유지하든지 마찬가지이다. 클라우드컴퓨팅을 제공하는 업체들은 CIO나 개별 고객들에게 데이터는 안전하게 보호 될 것이라는 것을 거듭 강조해야 한다. 그렇지 않으면 고객들은 클라우드컴퓨팅을 이 용하는 기업으로부터 데이터를 빼내어 갈 것이고, 기업들은 IT 서비스의 선택권이 줄어들게 될 것이기 때문이다. 5. 클라우드컴퓨팅 서비스 이용자 보호 107) EU 지침은 자신의 이익을 위해 개인 데이터를 처리하는 제3자는, 적절한 기술적, 체계적 보안 수단을 갖추어 정보를 안전하게 보호하도록 하고 있다. 이에 따라 EU 데이터 보호법( 法 )은 관 리자와 가공업자가 계약적 합의를 하도록 명시하고 있다. 관리자들은 주로 감사, 혹은 심도 있 는 조사를 통해 이 의무가 적절히 수행되는지 감시한다. 관리자의 이익을 위해서 제3자가 정보 를 처리하든지 여부를 떠나서, EU 데이터 보호 당국은 관리자들이 보안 의무를 지키도록 강조 하는 추세이다. PRIVACY & SECURITY LAW, 3쪽

100 클라우드컴퓨팅 서비스는 보는 관점에 따라 이용자가 구분될 수 있다. 클라우드컴퓨팅 서비스를 제공하고 제공받는 관점에서는 제공 받는 기업 또는 개인이 이용자가 될 수 있으며, 클라우드컴퓨팅을 제공받는 자의 입 장에서 그들의 고객인 개인 등이 다시 이용자가 될 수 있다. 따라서 클라 우드컴퓨팅 서비스의 제공에서 발생할 수 있는 이용자의 피해와 이를 예 방하기 위한 이용자 보호를 논함에 있어서는 클라우드컴퓨팅 서비스를 제 공받는 이용자와 이와 같은 이용자에게 자신의 정보 등을 제공하는 개인 이용자 모두를 고려하여야 한다. 우선 정보통신망법에서는 개인이용자에 관한 이용자 보호 규정이 클라 우드컴퓨팅 서비스에 있어 적용 가능할 것으로 여겨진다. 가장 대표적인 내용으로서 정보통신망을 통하여 유통되는 음란 폭력정보 등 청소년에게 해로운 정보로부터 청소년을 보호하기 위한 시책마련, 청소년 유해매체물 의 광고 금지, 청소년 유해매체물을 이용자의 컴퓨터에 저장 또는 기록되 지 아니하는 방식으로 제공하는 것을 영업으로 하는 정보 제공자 중 대통 령령에서 정하는 자에 대하여 해당 정보의 보관 의무 등 청소년 보호를 위한 규정을 두고 있다. 그리고 정보통신서비스 제공자가 자신이 운영 관리하는 정보통신망에 사생활 침해 또는 명예훼손 등 타인의 권리를 침해하는 정보가 유통되지 않도록 노력해야 할 것과 이를 방지하기 위한 방송통신위원회에게 기술개 발 교육 홍보 등에 대한 시책 마련 및 정보통신서비스 제공자에게 권고 할 수 있도록 하고 있다. 정보통신망을 통하여 일반에게 공개를 목적으로 제공된 정보로 사생활 침해나 명예훼손 등 타인의 권리가 침해된 경우 그 침해를 받은 자는 해 당 정보를 취급한 정보통신서비스 제공자에게 그 정보의 삭제 또는 반박 내용 게재를 요청할 수 있으며, 이를 요청받은 정보통신서비스 제공자는 필요한 조치를 하도록 규정하고 있다. 그 외에 정보통신서비스 제공자단 체는 이용자를 보호하고 안전하며 신뢰할 수 있는 정보통신서비스를 제공 하기 위하여 정보통신서비스 제공자 행동강령을 정하여 시행할 수 있게

101 함으로서 이용자를 보호하고자 하고 있다. 다음으로 클라우드컴퓨팅 서비스 제공자는 현행 전기통신사업법상 기간 통신 사업자 또는 부가통신사업자에 해당될 수 있기 때문에 전기통신사업 법에 따른 이용자보호 규정의 적용을 받아야 한다. 동법에 따르면 이용자 보호를 위하여 전기통신사업자는 전기통신여무에 관하여 이용자로부터 제 기되는 정당한 의견이나 불만을 즉시 처리하여야 하고, 의견이나 불만의 원인이 되는 사유의 발생과 이의 처리 지연에 따른 손해배상을 규정하고 있다. 손해가 불가항력으로 인하여 발생한 경우 또는 그 손해의 발생이 이용자의 고의나 과실로 인한 경우를 제외하고는 전기통신역무의 제공과 관련하여 이용자에게 손해를 입힌 경우에는 배상하도록 규정하고 있다. 마지막으로 전자상거래에 관하여 소비자를 보호하기 위한 법률로서 전 자상거래 등에서의 소비자 보호에 관한 법률 에서는 쇼핑몰 등의 전자상 거래를 알선하고 중개하는 통신판매중개업자에 클라우드컴퓨팅 서비스 제 공자가 포함될 수 있는 것으로 보인다. 따라서 통신판매중개자의 책임을 클라우드컴퓨팅 서비스 제공자가 져야 할 것이다. 즉 재화 등을 판매함에 있어 책임이 없다는 사실을 약정하지 아니하거나 미리 고지하지 아니하고 통신판매의 중개를 한 경우에는 당해 통신판매와 관련하여 통신판매의 중개를 의뢰한 자의 고의 또는 과실로 소비자에게 발생한 재산상의 손해에 대하여 그 통신판매중개자는 중개를 의뢰한 자와 연대하여 배상할 책임을 진다. 그리고 소비자에게 피해가 가지 않도록 상당한 주의를 기울인 경우가 아닌 이상은 중개자라는 이유로 면책되지 아니하도록 규정하고 있다. 또 한 전자상거래 또는 통신판매에서 소비자를 보호하기 위하여 소비자피해 보상보험계약을 체결하도록 하고 있으며, 이와 같은 법을 위반한 행위에 대한 시정조치 및 과징금을 부과함으로서 전자상거래에서 소비자를 보고 하고 있다. 6. 시사점

102 클라우드컴퓨팅 서비스는 현행법상 정보통신서비스 제공자, 집적정보통 신서비스 제공자, 전기통신사업자, 통신판매중개자 등의 법적 지위에 해당 할 수 있는 만큼 그에 상응하는 현행법제의 적용을 받는 것으로 받을 것 으로 보여 진다. 구체적으로 정보통신망법상의 개인정보보호와 이용자보호, 진흥과 관련된 법 규정의 대상이 될 것이고, 공공기관의 개인정보보호에 관한 법률 에 따 른 개인정보보호 규정이 적용 가능할 것이며, 전기통신사업법 과 전자상 거래 등에서의 소비자 보호법 상의 이용자보호 규정을 적용받을 뿐만 아니 라 정보통신산업진흥법 과 국가정보화 기본법 상의 서비스 및 산업 진흥 에 관한 규정이 적용된다. 이와 같이 클라우드컴퓨팅 서비스는 현행법에 의하여 진흥, 개인정보보 호, 이용자보호 등의 사항에 대한 규제를 받을 것이다. 그러나 기존의 정 보통신망을 이용한 정보통신서비스 제공자 및 전기통신사업법 상 전기통 신사업자와는 다른 특성과 서비스를 제공함에 있어 제공자와 소비자의 2 중구조가 아닌 제공자와 1차 소비자, 2차 소비자의 3중 구조를 가지고 있 기 때문에 이에 대한 고려가 필요할 것으로 보인다. 따라서 기존 법제로서 클라우드컴퓨팅을 적용하여 규제 또는 진흥 할 수 있는 경우에는 그러한 법 규정을 따름에 문제가 없을 것이나 기존의 법 규정이 클라우드컴퓨팅 서비스의 특성을 고려하여 과도한 경우에는 이 에 대한 완화가 이루어져야 할 것으로 여겨진다. 제2절 해외 법제 현황 클라우드컴퓨팅 서비스는 국내 뿐 만 아니라 세계적인 IT 분야에 있어 서의 이슈가 되고 있는 만큼 IT 선진국이라 할 수 있는 국외에서는 이와

103 같은 클라우드컴퓨팅 서비스를 어떠한 법에서 어떻게 규제 및 서비스 이 용 활성화를 위한 진흥을 추진하고 있는지 살펴볼 필요성이 있다. 이와 같은 분석을 통하여 우리나라의 클라우드컴퓨팅 법제 정비의 방향성을 정 함에 있어 시사점을 얻을 수 있을 것으로 여겨진다. 1. 미국 가. 의의 미연방정부는 데스크톱 PC, 노트북 PC, 모바일 및 클라우드컴퓨팅 플랫폼 별로 상이한 정책을 추진하고 있다. 미국 정책연구기관인 Brookings Institution의 공공부문의 클라우드컴퓨팅 개선방안보고서 (Steps to Improve Cloud Computing in the Public Sector)에 따르면 연방정부기관에 대해 일관 성 있는 프로세스가 필요하며, 현재 개별 연방정부 기관들은 자체적으로 활용 하는 어플리케이션에 대한 인증에 있어 독자적인 책임을 지는데 정부 기관 전반에 걸쳐 사용되는 특정 제품을 인증하고 관리하는 서비스를 검토하는 권 한을 합동 인증 이사회 등을 통해 행사하는 것이 바람직하다고 하고 있다. 또한 이용자가 데스크톱 PC를 이용하거나 클라우드컴퓨팅 서비스를 이 용하건 프라이버시 권리는 동일하게 인정되어야 하며, 플랫폼 별로 상이 한 표준을 적용하는 것은 적절하지 않으며, 소비자와 정부의 정책결정권 자들은 데스크톱 PC, 노트북 PC, 모바일 또는 클라우드 스토리지 시스템 에 저장된 정보에 접근하는데 있어 동일한 보호수준을 기대한다고 하였 다. 의회는 컴퓨팅 시스템에 대한 원치 않는 침입에 대해 처벌수준을 높 이기 위한 컴퓨터 사기 및 남용법 (Cpmputer Fraud and Abuse Act)을 개정할 필요가 있음을 지적하고 있다. 108) 108) 11 ways to boost cloud adoption in government, GCN, ;

104 나. 개인정보보호 관련 법률 미국의 개인정보보호법 은 연방정부기관이 보유하고 있는 개인정보에 관한 보호법규인 1974년의 프라이버시법 (Federal Privacy Act 1974)과 각 주 단위로 규정된 프라이버시권 관련 법률들이 있다. 미국의 개인정보 보호는 공공부문과 민간부문으로 나누어 공공부문에만 적용하고 민간부분 에는 원칙적으로 윤리적인 통제만 가능하다. 미국 보호법 (Protect Americana Act, 2007)에서는 제105조에서 미국 영토내의 사람이나 단체에 대한 통신제한조치는 법원의 명령이나 관리 하 에 이루어지도록 하고 있으나 미국 영토 외의 사람이나 단체에 대한 통신 제한조치는 법원의 명령이나 허가 없이도 이루어질 수 있도록 하고 있는 바 이는 클라우드컴퓨팅에 있어서도 예외라 할 수 없다. 최근에 미국 의회에 의하여 데이터 침해 통지법 (Data Breach Notification Act)과 개인정보보호와 보안법 (Personal Data Privacy and Security Act)이 통과된바, 데이터 침해 통지법 의 주요 내용은 정부기관과 기업이 개인정보 가 이미 공개됐거나 공개 됐을 것으로 추정될 때 당사자에게 그 사실을 고지 해야 한다는 것이다. 또한 개인정보에 누군가 접근했거나 유출됐을 경우에 도 마찬가지이다. 대규모 데이터 침해가 벌어졌을 경우 정부기관과 기업 은 미국첩보부에 보고해야 한다. 개인정보보호와 보안법 의 주요 내용으로는 민감한 정보에 대한 침해 위험 평가와 취약성 테스트, 통제 등에 관한 가이드라인을 제시한다. 이 법에서도 개인정보를 보관하고 있는 기관이 침해사고가 일어났을 때 잠재 적 희생자와 사법 기관에 그 사실을 통보해야 한다고 규정하고 있다. 또 개인정보 도용에 관한 형벌을 확대하였다. 그밖에 미국의 연방통상위원회는 보호수단 법률 중 Gramm-Leach -Bliley 법을 적용하여, FTC법 제5조를 근거로 기업들로 하여금 고객정보 보호방법에 대해 설명한 보안계획서를 직접 작성하도록 하여 클라우드 사 용자로 하여금 개인정보를 안전하게 보호한다는 것에 대한 신뢰를 가질

105 수 있도록 그 방법을 모색하고 있다. 다. 통신비밀보호법 (ECPA) 109) 전기통신비밀보호법 은 전자통신기록에 불법적으로 접근하거나 보유정 보를 허가 없이 공개하는 것을 예방하고자 제정된 것으로 핸드폰, 이메일 및 기타 전기통신에 대한 접근 표준을 정하고 수신자 식별 가능 정보, 로 그 기록 및 통화 기록 등 전송 기록에의 접근 표준을 설정하고 있다. 즉 기존의 전화 혹은 라디오 통신 등의 도청금지와 같은 통신비밀 보호의 영 역을 컴퓨터를 통한 데이터 전송이나 전자메일에 대한 통신 프라이버시 보호로 확대하여 유 무선 통신, 구두통신, 전자통신 중인 정보를 도청하 는 행위, 저장된 통신정보에 무단 접근하거나 공개하는 행위 등을 금지한 다. ECPA는 일반적으로 개인정보를 보호하기 위한 목적을 띄고 있으나 구 체적인 예외사항 및 법집행기관의 개인정보침해 우려가 있는 수사절차를 명시함으로써 객관적이고 투명한 수사를 할 수 있는 기틀을 마련하고 있 다. 즉 유선, 무선, 전기통신의 비승인된 접근 및 정보 공개를 원칙적으로 금지하는 동시에 ECPA가 적용되지 못하는 4가지 예외사항 110) 이 있는데 이들 경우에는 개인의 프라이버시가 보장받지 못하게 된다. 라. 해외정보감시법 (Foreign Intelligence Surveillance Act, 2008) 111) 해외정보감시법 에서는 영장 없는 긴급한 감청을 허용하고 있다. 즉, 미국의 국가 안보를 위협하는 정보가 손실될 우려가 있거나 즉시 필요한 경우 정부는 법원에 대한 영장 심사 개시 전 7일 동안 감청을 할 수 있 109) 국가정보화 백서, 2007, 310면. 110) ISPA 사업자의 경우, Business extension Rule 및 일상업무 규칙, 사전 동의 확보시, USA PATRIOT Act 에 따른 위기상황 발생시 공무원 및 법집행기관에 의한 요청이 있는 경우 111) 정책개발팀, 클라우드컴퓨팅 관련 법적 이슈 및 관련 산업발전에의 시사점, 한국인터넷진흥원, , 4면 참조

106 다. 정부의 감청 사건 영장 심사가 거부된 경우에도 정부는 법원의 심사 절차 중에 감청행위를 지속할 수 있으며, 그 와중에 취득한 정보를 합법 적으로 이용할 수 있다. 그리고 정부의 감청행위로 인한 소송에서 통신사업체의 책임을 면제할 수 있다. 즉, 정부의 요구로 감청을 허용한 통신사업체의 행위를 면책한 다. 또한 지난 7년간 정부의 감청행위에 관련된 소송에서 통신사업체에 대한 소송을 각하하도록 규정하고 있다. 마. 애국법 (USA PATRIOT Act, 2001) 애국법 (USA PATRIOT Act, 2001)에서는 2001년 9월 11일에 일어난 테러리스트의 공격과 같은 테러들에 대응하고 그것을 탐지하고 예방하는 능력을 향상시키는 방향으로 입법화되면서, 애국법 (USA PATRIOT Act, 2001)상의 많은 규정들은 컴퓨터 불법침입자들에 대한 법집행절차로서 정 부가 행하는 감시와 조사권을 좀 더 폭넓게 인정하게 되는 계기가 되었 다. 이 법은 클라우드컴퓨팅의 정보보호를 위한 법제로서 적용되고 있다. 특히, 클라우드컴퓨팅 서비스 중 SaaS(Software as a Service)에 있어서 실질적으로 작용하고 있다고 평가되고 있다. 애국법은 테러리즘을 방지하 기 위한 법으로서 클라우드컴퓨팅 서비스를 통한 국가적 정보의 유출 등 을 방지하기 위한 법으로서의 역할을 하고 있다. 2. 영국 영국에서의 법 및 제도 현황에 대한 내용은 Legal Fact Pack 2004에 명 시되어 있다. 1998년 7월 영국 의회는 데이터보호법 (data protection Act 1998)을 통과시켰다. 2000년 3월 1일에 발효된 동 법률은 유럽연합의 데이 터보호 지침에 관한 요구에 따라 1984년 데이터보호법 을 개정한 것이다. 동 법률은 정부기관이나 개인 기업들이 보유하는 기록들에 대한 내용들을

107 규제하고 개인정보의 사용에 대한 제한, 기록의 정정과 접근, 정보를 보유 하는 기관이 정보위원장에 해당 기록을 등록하도록 의무화하고 있다. 또한 정보위원회는 정부의 독립기관으로 기록을 유지하고 해당 법률의 집행을 담당하고 있다. 특히, 정보위원회는 데이터보호 및 프라이버시에 관한 법률 의 시행을 책임지고 있는데 동 법률은 2000년 3월 1일 공표되 었으며, 1997년 유럽연합의 텔레커뮤니케이션 지침을 준용하고 있고, 1999 년 5월 1일 공표되었던 텔레커뮤니케이션법 을 대체한 것이기도 하다. 112) 본 법을 클라우드컴퓨팅 서비스에 적용하면 클라우드컴퓨팅은 데이터를 저장하는 역할을 수행하는 바, 데이터 보호법에 따르면 클라우드컴퓨팅에 저장된 데이터의 해외 이전 등을 불가능 할 것으로 보여 진다. 즉 데이 터보호법 에 따르면 유럽 국가의 개인적인 데이터를 제3국에 저장하는 것은 위법이다. 조사권한규제법 (Regulation of Investigatory Powers Act)은 다양한 공 공 권력에 의한 조사 권한의 범위, 사용에 대하여 규제하기 위한 법으로서 제정되었고, 최근에는 그 범위를 인터넷상의 통신으로까지 확대하고 있다. 프라이버시 및 전자통신규칙 2003 (Privacy and Electronic Communications(EC Directive) Regulations 2003)은 EU의 전자통신부문 프라이버시 지침을 반영하여 제정되 었다. 동 규칙은 통신서비스의 보안문제, 통신의 비밀보장과 관련하여 쿠 키 거부권 및 개인정보보호, 트래픽 정보의 처리에 관한 기준, 위치정보 처리기준, 항목별 청구서, 발신자번호표시, 가입자 전화번호부 등의 프라 이버시 보호 문제 등을 규정하고 있다. 또한 전자적인 수단(전화, 팩스, 이메일, 문자메시지, 영상메시지, 비디오 등)과 자동전화호출시스템을 이 용한 직접마케팅 메시지 전송과 프라이버시에 관한 사항을 규정한다. 113) 3. 독일 112) 양용석, 해외 개인정보보호 관련법과 제도의 고찰, 보안뉴스, ) 국가정보화 백서, 2007, 326면

108 독일의 정보통신관련 대표적인 법률로서 정보통신법 은 2004년 제정되 어 2005년 다시 개정되었다. 본 법에서는 정부기관의 기밀 누설 방지, 데 이터의 안전성 확보, 네트워크 침해사고 방지를 위하여 ISP 등 정보통신 서비스를 제공하는 모든 책임자는 고객 정보를 정부에서 접근 가능한 상 태로 할 의무가 있으며, 그러한 데이터는 정부의 감시기관이 직접 접근 할 수 있도록 해야 한다고 규정하고 있다. 동 법은 상업적인 ISP 뿐만 아 니라 비상업적인 서비스 제공자나 BBS 운영자에 대해서도 적용된다. 만일 정보통신서비스 제공자가 이 조치를 실행하지 않을 경우 운영을 중지시킬 수도 있다. 게다가 동 법이 요구하는 기능의 실행을 위한 시스템 설치비 용은 정보통신서비스 제공자 스스로 부담해야 한다. 114) 다음으로 연방 데이터보호법(BDSG) 은 독일의 개인정보를 보호하기 위한 기본법으로 개인정보 정의에서부터 정보주체의 권리와 정보처리자의 각종 의무, 제3국으로의 정보이전, 비디오감시, 익명성, 스마트카드, 민감 한 정보의 수집 등에 대한 내용을 포함하고 있다. 그리고 정보통신서비스 정보보호법(TDDSG) 은 정보통신서비스 이용 관계에서의 개인정보수집 처리를 규율함에 따라 인터넷 포털사이트 운영 자, 이메일서비스 제공자, 온라인 게임서비스 제공자 등의 정보통신서비스 제공자가 고객정보를 이용 처리하는 행위에 직접적으로 적용된다. 4. 일본 일본의 정보보호 법체계는 고도정보통신 네트워크 사회형성 기본법, 특정 전기 통신 서비스 제공자의 손해배상 책임의 제한 및 발신자 정보 의 개시에 관한 법률 및 개인정보보호 관련 법률 등이 있다. 먼저 고 도 정보통신 네트워크 사회 형성 기본법 은 고도 정보통신 네트워크 사회 의 형성에 관한 시책을 신속하고 중점적으로 추진하는 것을 목표로 하고 있으며, 네트워크의 안전성 및 신뢰성, 개인정보보호의 확보를 기본방침 114) 국가정보화백서, 2007, 330~331면

109 중 하나로 정하고 있다. 그리고 정보보호 법제의 기본적인 방침이 되고 있다. 115) 그리고 일본은 개인정보의 대량 유통, 유출사건의 급증 및 프라이버시 의 권리 개념의 변모에 의한 필요성에 의하여 2005년에 개인정보보호법을 전면 시행하였다. 일본 개인정보보호법은 주로 EU 개인데이터보호지령 (1995년) 및 OECD 프라이버시 가이드라인(1980년) 등을 참고하여 작성하 였다. 개인정보보호법 제정 이후 긍정적인 면으로는 고객의 개인정보보호 를 포함한 정보시스템의 보안에 대한 관심이 높아지고, 투자에 대한 이해 도가 상승한 점과 위탁업체에 대한 정보보호 조치를 요구하기 쉬워진 점, 개인정보보호에 관한 보험상품이 충실해지고 개인정보 관련 인증을 취득 하려는 기업이 늘어나는 효과를 보고 있다. 반면 고객이 개인정보보호에 과민 반응하여 개인정보와 관련된 사고에 대한 일절의 책임을 기업에 넘 기는 요구가 많아졌고 개인정보에 관한 민원이 급증하고 종업원에 대한 감시가 강화되어 종업원의 스트레스가 증대되는 한편 정보시스템의 보안 에 대한 비용이 상승한 점들이 법 제정 이후 일부 부정적인 면으로 인식 되고 있는 점들이다. 116) 다음으로 특정 전기통신서비스제공자의 손해배상 책임 제한 및 발신자 정보의 개시에 관한 법률 은 인터넷 이용자의 권리침해로부터 일정 부분 온라인서비스제공자를 보호하고 정보의 유통을 촉진시키기 위하여 동법이 제정되었다. 이 법에 의하면 인터넷에서 송수신되는 정보에 의해서 피해를 받은 경우에 전기통신서비스제공자 등에 대한 배상책임에 일정한 기준을 마련함과 동시에 정보의 발신자를 공시하는 권리를 인정하고 있고, 개인 정보보호 관련 법률 은 주소 전화번호 메일주소 등 개인정보의 적정한 관리를 목적으로 하고 있다. 동 법은 정보의 부정취득과 누출을 막기 위 한 여러 의무를 기업과 단체에 부과하고 있다. 이 법의 규제 대상은 사업 목적으로 개인정보를 소지하고 있는 기업 개인사업자 상점 단체 등으 115) NIPA, 클라우드컴퓨팅 활성화를 위한 법제도 개선방안, , 75면. 116) 성경원, 국내외 개인정보보호법/규제 동향, 컴퓨터 월드,

110 로 총 5,000명 이상의 정리된 개인정보를 가지고 있는 곳이며, 이를 위반 할 경우 각각 사업을 관할하는 성 청장으로부터 권고 명령을 받는다. 만일 이에 따르지 않을 경우 6개월 이상의 징역 또는 30만 엔 이하의 벌 금에 처할 수 있도록 되어 있다. 이와 아울러 일본은 2001년 EU의 사이버범죄조약 에 가입하여 2004년 국회의 비준을 거치고 국내법에 반영하기 위해 범죄의 국제화 및 조직화 그리고 정보처리의 고도화에 대처하기 위한 형법 등의 일부를 개정하는 법률안 등을 정비하기 위해 노력하고 있다. 해킹, 바이러스 유포 등 정보 시스템관련범죄 방지를 위해 부정액세스행위 금지 등에 관한 법률 이 제 정되어 1999년 8월부터 시행되고 있다. 이 법률의 주요 내용으로는 부정 액세스행위를 조장하는 행위 및 타인의 식별정보를 무단으로 제공하는 행 위를 금지하고 액세스 관리자에 의한 방어조치 등을 다루고 있다. 제3절 시사점 클라우드컴퓨팅 서비스 보안을 목적으로 하여 제정된 외국의 개별입법 례는 찾아 볼 수 없으나 최근 미국 등을 중심으로 클라우드컴퓨팅 촉진 법 117) 에 관한 논의가 이루어지고 있고, 일본의 경우에는 2008년의 ASP, SaaS의 정보보안 대책 가이드라인 이 공표되어 전체 클라우드 서비스 제 공자는 아니지만 ASP, SaaS사업자의 서비스에 대한 정보보안대책에 대한 117) 마이크로소프트(MS)가 미 정부에 대해 클라우드컴퓨팅 법안 제청을 촉구하고 나섰다. MS의 법무자문위 원인 브래드 스미스는 지난 19일 워싱턴 브루킹스연구소(Brookings Institute)에서 클라우드 컴퓨팅 환경 에서의 개인정보보호, 보안 그리고 투명성에 대한 염려를 해소하고 클라우드 컴퓨팅 확산을 촉진시기 위해 새로운 법이 필요하다고 주장했다. 또 스미스 위원은 클라우드컴퓨팅촉진법(Cloud Computing Advancement Act)과 함께 기존 법안도 수정돼야 한다고 지적했다. 전자통신정보보호법(Electronic Communications Privacy Act. ECPA)와 컴퓨팅사기금지법(Computer Fraud and Abuse Act. CFAA)도 업그레이드해야 할 때라는 것이다. ECPA는 온라인 서비스에서 경찰과 검찰에 악영향을 줄 수 있는 검 색 로그의 공개를 요구하는 법이며 CFAA는 컴퓨터를 이용한 위변조 행위에 대한 가중 처벌법이라고 할 수 있다. ; -

111 지침을 제시하고 있다. 어쨌든 클라우드컴퓨팅이 갖고 있는 특성상 공공기관의 경우에는 공공기 관 상호간 통합된 자체의 Private Cloud Computing에 의존할 것으로 예상 된다는 점에서 큰 문제는 없다고 할 것이나 지구촌 차원의 자유무역체계 아래에서는 민간영역에서 이루어지는 클라우드컴퓨팅의 경우는 상황이 다 르다. 예컨대, 아마존의 클라우드컴퓨팅 서비스와 관련한 계약서에 의하면 4.3. 우리는 섹션 10.2에서 정의된 사용자의 콘텐츠, 사용자의 애플리케이 션 또는 사용자가 제출하거나 사용자의 계정 또는 서비스와 연계되어 사용 중인 다른 데이터에 대한 불법적인 액세스, 변경이나 삭제, 파괴, 망실, 손 실 또는 저장 실패에 대한 책임을 지지 않는다. 거나 7.2. 우리는 사용자의 콘텐츠나 애플리케이션에 대한 어떤 불법적인 액세스나 사용, 변조, 삭제, 파괴나 손실에 대해서 아무런 책임도 지지 않는다. 는 내용의 표준계약서가 보여주는 바와 같이 클라우드컴퓨팅 서비스 공급자는 데이터의 소유자인 사용자에게 어떤 침해에 대해서 알려주거나 어떤 시도에 대해서 통보하거 나 또는 어떤 사건에 대해서 대응할 책임이나 의무를 지지 않는다는 점 118) 에서 문제의 심각성이 발견되는 것이다. 이러한 점에 비추어 볼 때 우리 헌법 제119조가 개인과 기업의 자 율과 창의를 존중하는 시장 질서를 기본으로 하면서도 경제주체간의 조화를 통한 경제의 민주화를 위해 시장에 대한 규제와 조정을 할 수 있는 권한을 부여함과 아울러 제37조는 클라우드컴퓨팅 시장의 질서 유지를 위해 필요한 범위 내에서 법률로써 규제를 할 수 있음을 명시 한 바, 클라우드컴퓨팅이 갖고 있는 내재적인 위험으로부터 개인과 기업을 보호하기 위한 최소한의 규제는 필요하고 또는 가능하다. 118) IDG Korea, Cloud Security Basics, 쪽

112 제5장 클라우드컴퓨팅 서비스의 법적 이슈 제1절 클라우드컴퓨팅 서비스의 법적 이슈 현재 클라우드컴퓨팅과 관련한 법적 문제에 대한 본격적인 국내의 연구 논문은 발견되고 있지 않고 단편적으로 법적 이슈가 제기되는 상태에 머 물러 있다. 이러한 상황은 클라우드컴퓨팅 서비스가 행하여지고 있는 외 국의 경우와 크게 다르지 않는 것으로 보인다. 이하에서는 클라우드컴퓨 팅 서비스를 두고 행하여지고 있는 국내의 논의와 외국의 논의를 간단하 게 살펴보기로 한다. 1. 국내의 논의 국내에서의 논의는 전자신문( )의 법률적 관점에서 본 클라우 드컴퓨팅 이라는 제하의 기사에서 문제의 출발은 클라우드컴퓨팅 서비 스를 이용하게 되면 기업의 정보자산이 기업 외부의 구름 속 에 존재한 다는 사실이다. 당연히 정보자산의 직접적인 관리권한도 기업의 손 밖에 있다. 큰 틀에서 기업이 클라우드컴퓨팅과 관련해 고려해야 할 법률상 이슈를 정리해 보아도 구름 속에 있는 기업의 정보 자산에의 접근권 보 장, 국내 법령상 규제에 부응성, 정보자산 실제 위치와 선택권, 정보자산 의 부적절한 접근 차단과 오남용 방지, 서비스 제공기업 혹은 서비스 자 체의 영속성 법원 등 관련 기관의 자료제출 요구 시 적절히 대응이 가능 한지, 서비스 장애의 책임범위와 분담 등이며 이 외에도 지면상 미처 언 급하지 못한 검토 사항은 무수히 많다 는 지적을 필두로 예상되는 법 률적 이슈로는 데이터의 물리적 위치 관리, 법규제 준수, 서비스 계약,

113 보안, 지적재산권, 수사 소송, 위험 부담, 보험 관련 문제 등이 있다. 라 며, 서비스 계약의 내용은 법적 집행에서 핵심 근거가 되기 때문에, 반드 시 이러한 사항을 앞서 고려해야 한다. 는 지적 119), 보안을 높이는 데 있어 선결돼야 할 과제는 법적ㆍ제도적 장치를 마련하는 것이 중요하 다. 는 지적이 있다. 특히 클라우드컴퓨팅은 국제적인 법적 표준과 자체적인 컴플라이언스 기준이 없을 뿐만 아니라 서비스 수준에 대한 표준도 정립되지 않았다. 또한 클라우드컴퓨팅 서비스를 제공하는 사업자들이 데이터를 보관하고 있는 인터넷데이터센터(IDC)가 해외 곳곳에 산재해 있다는 것도 문제가 될 수 있다. 는 지적 120) 등이 있는바 이러한 지적은 정보자산에 대한 소 유와 관리의 분리 및 이와 관련한 위험관리로서의 보안문제 와 위험이 발생한 경우 증거확보 와 분쟁해결의 준거법 문제 등으로 압축할 수 있 고 121), 그밖에 문제로는 구름 속의 서버에 있는 내 자신의 데이터와 관련 하여 프랑스를 중심으로 하여 우리나라에서도 논의되고 있는 다음의 잊 혀질 권리 (Right to be forgotten)의 구현문제 122) 등이 지적될 수 있다. 119) 구태언 김앤장 법률사무소 변호사, 디지털데일리, 클라우드 컴퓨팅, 서비스 본격화되면, 법적 논란 클 것, ) 보안뉴스, IT의 새로운 화두, 클라우드 컴퓨팅과 보안, ) 이러한 지적은 한국정보진흥원의 클라우드 컴퓨팅의 법적 이슈 에서 제시된 법적 이슈로서 1서비스 가용 성 확보, 2서비스종속, 3정보보안, 4개인정보보호, 5IT 컴플라이언스, 6수탁자 관리 감독 및 책임, 7비밀 보호, 8디지털증거개시 및 전자증거 및 9틀라우드 서비스제공자의 면책 등과 대부분 맥락을 같이 한다. 122) 한겨레, 나를 잊어줘 온라인에 노출된 사생활 흔적 지워라 ; 네덜란드 출신 개발자들이 지난달 개설한 '웹2.0 자살기계'(suicidemachine.org)는 사회관계망 사이트에 올린 글과 사진을 모두 지워버리고 계 정 자체를 없애주는 서비스를 하고 있다. 이 사이트에서 트위터 페이스북 마이스페이스 등 가입한 사회관계 망 사이트의 계정과 비밀번호를 입력하고 '삭제'를 요청하면, 그동안 남긴 흔적을 깨끗이 지워준다. 이 사이 트는 "스토커들로부터 벗어나 당신의 실제 생활로 돌아가라, 가짜 친구 대신 진짜 이웃을 만나 관계를 개선 하라"는 구호를 내걸고, 과도한 사이버 관계 집착에 경고를 하고 있다. 최근까지 850여명이 이 서비스를 이 용해 수만명의 사이버 친구와 관계를 끊고 20만건이 넘는 트위터 글을 지웠다. 이보다 앞서 만들어진 '세 푸쿠'(seppukoo.com)도 온라인 계정 삭제를 도와주는 사이트다. 세푸쿠는 일본어로 '할복'이다. 이 사이트는 일본 무사들이 명예 회복을 위해 '할복 자결'을 선택한 것처럼 사이버 정체성을 버리고 실제 자아를 회복하 라고 권하고 있다. 그러나, 3억5000만 회원을 보유한 세계 최대의 사회관계망 사이트 페이스북은 부터 '웹2.0 자살기계'의 아이피(IP)를 차단해, 페이스북 계정을 삭제할 수 없도록 했다. 페이스북은 계정 차 단 이유를 자사의 서비스 규정과 어긋나기 때문이라고 밝혔다. 페이스북은 지난해 말 세푸쿠 사이트도 차단 했다. 하지만 페이스북과 달리 트위터 마이스페이스 등은 이들 계정삭제 대행 사이트를 차단하지 않고 있다

114 2. 외국의 논의 가. 안전성 클라우드컴퓨팅 제공자는 서비스의 일부로 이용자를 위해 대량의 데이 터를 처리 저장하게 된다. 그렇기 때문에 클라우드컴퓨팅 서비스 제공자 의 정보보호와 보안이 무엇보다 중요하다 할 것이다. 예컨대 대표적인 클 라우드컴퓨팅 사업자인 아마존의 서버 및 스토리지 컴퓨팅 서비스인 S3 서비스 는 2008년 2월 15일 약 2시간가량 중단되면서 수천 개의 기업과 개발자들, 30여만 명의 사용자들이 피해를 입었다. 비록 2시간에 불과한 사고였지만, 미션 크리티컬한 업무를 수행하는 기업의 경우(예를 들어 은 행과 같은 경우) 그 피해가 매우 클 수 있다. 123) 프라이버시 옹호론자들은 클라우드컴퓨팅은 데스크톱에 기초한 컴퓨팅 에 비해 높은 위험을 안고 있으며, 클라우드 내의 데이터보안이 입증될 때까지 클라우드컴퓨팅 서비스에 대해 저장된 모든 소비자 데이터의 암호 화가 강제되어야 함을 주장한다. 그러나 이러한 주장에 대하여는 소비자의 선택가능성과 관련하여 이용 자가 자신의 수요기반에 따라 용이하게 접근할 수 있는 시장에서 원격으 로 로컬서버에 저장하고자 하는 대상정보를 취사선택하여 저렴한 비용으 로 클라우드컴퓨팅 서비스를 받을 수 있는가 하는 의문을 제기하고 대 부분의 클라우드컴퓨팅 서비스제공자는 데이터의 전송과정에서의 암호화 는 제공하고 있지만 저장된 데이터의 암호화요구는 산업표준의 범주에 들 지 아니하는 것으로 이를 강제하는 것은 하나의 기술적 억압으로서 오히 려 보안서비스 질의 저하를 야기할 수 있다 는 결론에 이르고 있다. 124) 다음으로 데이터보안의 문제로서 서비스제공자 측에서는 보안사고와 그 사고의 심각성을 인식하고 노력하였으며 그 결과 클라우드컴퓨팅은 데스 123) NIPA, 클라우드 컴퓨팅 활성화를 위한 법제도 개선방안, , 21면. 124) Neil Roiter, "How to secure Cloud computing", Information Security Mag

115 크톱에 기반을 둔 컴퓨팅보다 더 안전하다는 입장을 취하고 있으며 125) 그 논거는 다음과 같다. - 데스크 탑이 갖지 못한 백업과 안전시스템의 내장 - 모든 이용자가 활용할 수 있는 즉각적인 보안등급의 상향능력 - 규모와 산업에 관계없이 모든 이용자에 대한 단일의 높은 목적의 보안 - 소수의 개인 또는 기업이 매치할 수 있는 기술전문성 - 불가독성화( 不可讀性化 )한 서버와 플랫폼에 걸쳐 행하여지는 데이터의 조각 분산 및 난수표화(obfuscation) - 준수여부분석의 단순화 - 부당하게 공개할 동기가 없는 공정한 제3자에 의한 데이터보유 - 재해복구 및 스토리지 솔루션에 대한 낮은 비용 및 - 실시간 시스템변조방지 및 요구에 따른 보안통제 126) 비판론자들은 이러한 혜택들이 산업에 있어 클라우드컴퓨팅의 상대적 미숙성을 인정하는데 실패하였다고 주장한다. 이러한 특색은 국제데이터 보안표준과 사이버범죄법령의 필요성을 배제할 수는 없다. 127) 클라우드 컴퓨팅을 지배하는 법령의 엄격성에 힘입어 비판론자들은 다음의 사항을 지적한다. - 법집행의 초보적인 수단으로서 이용자와 클라우드컴퓨팅 서비스 제공 자간에 맺어지는 사법계약에의 의존성 - 서비스이용자에 대한 고지 없이 서비스조건을 변경할 수 있는 클라우 드컴퓨팅 서비스제공자의 능력 - 데이터침해를 겪은 제공자에 대한 집행 가능한 구제의 추정적 부재 125) "Customers want Protection from Salesforce.com Breach", Computerworld, Nov ) Jeffrey F. Rayport and Andrew Heyward, "Envisioning the Cloud; The Next Computing Paradigm", at ) Jeffrey F. Rayport and Andrew Heyward, surpra at 35,

116 - 웹2.0과 클라우드컴퓨팅 서비스의 단일화 및 통합화 - 소수 클라우드컴퓨팅 회사에 의한 이용자데이터의 집중화 가능성 - 외국정부와 데이터 소환장에 의해 압류될 데이터의 공개 - 헤커에 의한 고부가가치 타켓화 128) 향후 이와 관련 논쟁은 클라우드컴퓨팅 기술과 그 활용으로 더욱더 전 개될 것으로 예측된다. 나. 그 밖의 쟁점 그밖에 클라우드컴퓨팅 서비스와 관련하여 다음과 같은 의문이 제기되 고 있다. - 사용표준약관이 소프트웨어의 다운로딩이나 온라인게임의 재생에 충분 하다면서도, 클라우드컴퓨팅 서비스와 애플리케이션에 대하여는 왜 부 적합하다는 주장을 하는가? - 제품의 무흠결성에 대한 어떠한 보증도 하지 아니한다는 사용면책표준 약관이 주어져야 한다면, 버그나 결함으로 인하여 데이터의 손실이 발 생한 경우 불법책임을 어떻게 물을 수 있을 것인가? - 클라우드컴퓨팅 내에서 발생한 소프트웨어 버그나 코딩에러는 데스크 탑이나 기업의 서버에서 발생한 것과 마찬가지로 기망적인 거래행위로 될 수 있는가? - 컴퓨팅 리소스의 새롭고, 국제적이며, 상호 연동하는 네트워킹을 사법 적인 측면에서는 어떻게 극복할 것인가(분쟁시 준거법의 문제)? - 대량의 계측적인 리소스의 지속적 발전과 소비자의 수요대응 및 필요 한 기술통합의 설계를 담보하기 위해 산업과 시장의 지도자 상호간 그 128) FTC Workshop, "Securing Personal Data in the Global Economy:Data Flows and Cross-Border Conflicts", Statement of EPIC Director Mark Rotenberg(2009)

117 리고 규제자와 소비자가 함께 최선의 공동노력을 할 수 있는 것인가 (상충되는 이해의 조정)? 전술한 의문의 목록은 클라우드컴퓨팅 서비스가 지속적으로 진화하고 산업 지도자, 클라우드컴퓨팅 이용자, 규제자 및 법적단체 등이 이익과 도 전에 대해 대응하게 될 때 작동하게 될 것으로 보이는 고려할 사항의 단 초에 지나지 아니한다. 3. 잊혀질 권리(Right to be forgotten) 프랑스에서 논의 중인 '잊혀질 권리'란 인터넷업체와 이동통신 회사들 이 전자우편이나 문자메시지에 대해 보관기한을 설정해, 시일이 지나면 그 기록을 삭제하도록 하는 것으로 파리 소르본대학의 디비나 프로메 교 수는 "이는 무죄추정권과 관련된 개념으로, (무분별하게 개인정보를 온라 인에 올려온) 청소년들이 사회생활을 시작하면서부터 범죄 혐의를 받지 않게 하기 위한 것"으로 설명되고 있다. 법안은 2009년 11월 6일, 프랑스 상원 의원 Détraigne과 Escoffier가 새 로운 데이터위반에 대해 의무를 부과함과 아울러 프랑스의 데이터 보호 당국인 CNIL의 제재권한을 강화하는 내용의 법안 중에 소개된 것으로 상 원의 입법위원회 회기 중인 2009년 5월 디지털시대의 프라이버시에 관한 보고서에서 권고한 다음의 내용을 채택하고 있다. 129) - 커뮤니케이션 네트워크에 연결된 단말기 장비를 식별할 수 있는 모든 주소와 번호는 개인데이터이다. 이 조항은 IP주소가 개인데이터인지 여부에 대한 프랑스에서의 논쟁을 종식하게 될 것이다. 유감스럽게도 제안된 조항은 인터넷에 연결된 모든 장치의 IP주소가 개인데이터로 129) French Senators propose data breach legislation; restrictions on cookie use, hhdataprotection. com/tags/right-to-be-forgotten/ < 접속>

118 인식되게 하는 효과를 발휘하게 될 것이다. - 정부기관과 일정한 회사는 데이터보호관을 임명하여야 한다. - 데이터통제자의 고지의무를 증가한 후 개인데이터의 처리 - 쿠키가 통신목적을 위하거나 온라인 서비스에 대한 접속허가를 위해 엄 격하게 요구되지 아니하는 경우에 쿠키에 대한 사전 동의 제도의 부과 - 데이터통제자에 대한 광범위한 보안책무 및 CNIL에 대해 모든 데이터 위반을 통지할 의무의 부여 - 데이터주체의 개인데이터에 대한 삭제요구능력의 수월성 - CNIL의 제재권한 향상과 데이터통제자의 관할 법원이 아닌 사생활침 해 희생자의 소재지를 관할하는 지방법원의 재판관할권 인정 데이터주체의 액세스 및 개인데이터에 대한 삭제능력을 부여한 위 법안 의 규정은 디지털네트워크상 시민의 잊혀질 권리 를 위한 프랑스정부의 캠페인의 일환이기도 한 것으로 인터넷상 잊혀질 권리 로서 인터넷상 개 인데이터에 대한 접근 및 삭제권은 조만간 프랑스정부의 지지 하에 입법 화 될 것으로 전망된다. 제2절 클라우드컴퓨팅 서비스의 법제 개선방향 1. 법 제도 개선의 필요성 클라우드컴퓨티 서비스는 현행법상 정보통신서비스제공자, 집적정보통 신서비스 제공자 등의 법적 지위를 가질 수 있는 바, 현행법에 의하여 규 제가 가능할 것으로 여겨진다. 다만, 현재의 법제도들은 기존에 존재하고 있던 서비스에 한정되어 그 범위를 제한하고 있기 때문에 이들과 다른 특성을 지니고 있는 클라우드

119 컴퓨팅 서비스에 그대로 적응하는 것이 적절할지 여부에 대하여는 신중히 고려하여야 할 것이다. 정보통신서비스에 대한 대표적인 법으로서 정보통신망이용촉진 및 정 보보호에 관한 법률 의 경우, 클라우드컴퓨팅 서비스 제공자 또는 이용자 에게 있어 과도한 규정이 존재하고 있는 바, 이를 클라우드컴퓨팅 서비스 에 적합하도록 정비할 필요성이 있다. 예컨대 데이터의 국외 이전 금지 등의 규정은 클라우드컴퓨팅 서비스 제공자의 측면에서 데이터센터 이용 요금이 저렴한 국외로 이전하는 경우, 매번 서비스 이용자의 동의를 받도 록 하는 것은 서비스 제공을 어렵게 하는 규정이 될 수 있다. 클라우드컴퓨팅의 경우, 서비스 이용자와 제공자와의 관계뿐만 아니라 서비스 이용자, 제공자, 그리고 이용자의 서비스를 이용하는 개인 이용자 의 삼자의 관계에 놓여 있다. 현행 대부분의 법제는 이용자와 제공자 사 이의 양자 간의 관계를 규제하고 있는 바, 클라우드컴퓨팅 서비스의 특이 한 삼자 간의 관계를 규제하기에는 한계가 있을 것으로 생각된다. 따라서 클라우드컴퓨팅 서비스 제공자와 이용자, 제공자와 개인 이용자, 이용자와 개인이용자 사이의 관계를 고려한 법제 정비가 필요할 것이다. 또한 클라우드컴퓨팅 서비스는 세계적으로 이슈가 되고 있으며, 그 기 대가치가 상당한 만큼 국가적인 경쟁력을 강화하기 위하여 사업을 활성화 할 필요성이 있다. 현행 법제에는 정보통신, 전기통신 사업 등에 대하여 활성화하기 위한 조항들이 포함되고 있으나 클라우드컴퓨팅의 진흥 및 활 성화하기 위해서는 부족한 부분이 있는 바, 이를 위하여 클라우드컴퓨팅 서비스 이용 활성화 측면에 대한 법제 정비가 필요할 것으로 여겨진다. 따라서 이와 같은 클라우드컴퓨팅 서비스에 대한 법제 정비의 필요성에 따라 클라우드컴퓨팅 관련법과 제도의 개선 및 정비가 이루어져야 할 것 으로 사료된다. 뿐만 아니라 개선 및 제도의 개선 및 정비의 방향에 대하 여는 보다 심도 깊고, 종합적이고 구체적인 고려가 필요할 것으로 보여 진다

120 2.. 법 제도 개선의 방향 우리나라의 정보보호법체계에 의하면, 개인정보보호 관련 법률로는 공공 기관의 개인정보 보호에 관한 법률, 주민등록법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률, 위 치정보의 이용 및 보호에 관한 법률 등이 있고, 정보통신망을 침해하는 행 위에 대하여는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 과 정보 통신기반보호법 등에서 각각 처벌하는 규정을 두어 기본적으로는 보호대상 별로 개별법을 두는 형태를 취하고 있다. 생각건대, 정보법제에 있어서 유럽은 공부문과 민간부문의 양부분을 아우르 는 통합방식(Omnibus System)을 130), 미국은 개별방식(Segment System)을 취 하고 있는 점, 전자는 법과 제도를 중심으로 강한 보호정책을 갖는 특색을 가지고, 후자는 자율규제를 중심으로 개별법안이나 판례 등을 통해 보완해나 가는 특색을 갖는 점 131) 및 전자는 권리중심적 접근방식 내지 사회적 가치 지향적 접근방식 을 취하고 있으나 후자는 시장중심적 접근방식 내지 경제 적 기술적 접근방식 을 취하고 있는 것으로 평가되고 있는 점 132) 등을 보더 라도 대륙법계를 근간으로 삼고 있는 우리의 법체계상 특별한 공익적 요구가 수반되지 아니하는 한 통합방식에 의한 원칙규율이 바람직하다. 예컨대 입법기술상 정보보호 및 보안정책에 대한 기본적 사항, 정보보 호 및 보안기술의 개발 및 지원에 관한 규정, 비용부담 규정 등은 기본법 의 형식을 취하되, 그 외의 사항은 클라우드컴퓨팅에 관한 개별법과 시행 령, 시행규칙을 제정하여 보안을 직접적으로 규정함으로써 원칙과 예외라 고 하는 상반되는 가치를 조화시키는 방법이 바람직하다. 133) 뿐만 아니라 클라우드컴퓨팅은 서비스로서 인프라(IaaS), 플랫폼(PaaS), 소프트웨어(SaaS)의 3가지로 대별할 수 있고, 그 단점 내지 법적 이슈의 130) 백윤철, 개인정보보호법(안)과 최근 입법동향 및 과제, 토지공법연구, 제43집제2호, ,665쪽. 131) 김은미, EU 인터넷 개인정보보호법에 관한 연구, 통신정보연구, 제3권 제2호, 쪽 132) 이인호, 미국의 개인정보보호법제에 대한 분석과 시사점, 법학논문집 제29집제1호(중 앙대학교 법학연구소 ), 197쪽의 주 9) 참조. 133) 정관영, 클라우드의 법제화, 디지털타임스,

121 주된 것으로서 보안성의 문제나 가용성 내지 호환성의 문제는 서버의 자 유로운 선택과 안전성의 보장이라는 점에서 IaaS와 관련되고, 서버에 저 장된 데이터 등의 안전성은 각종 소프트웨어의 무흠결성 내지 하자책임에 의해 담보될 것이라는 점에서는 SaaS와 관련되고, 각종 유용하고도 결함 없이 소통 가능한 소프트웨어는 PaaS를 배경으로 할 때 가능하다고 할 것이다. 이러한 점에서 향후 심도 있는 연구가 수반되어야 하겠지만, 클라우드 컴퓨팅을 활성화하기 위해서는 기업이든 개인이든 자신의 창의력을 체계 화할 수 있는 데이터 지식에 대한 자유로운 사회공동이용을 가능케 하여 야 할 것이며(전자정부법상의 행정정보공동이용과 같은 민간영역에 있어 서의 IaaS 제공), 사회공동이용을 가능하게 하는 서버(정보통신망법 제12 조 정보의 공동 활용 체제 구축의 개선)에는 다양한 프로그램을 시험 적 용할 수 있는 인큐베이터적인 플랫폼을 설치하여 해당 플랫폼에 테스트 중에 있는 각종 애플리케이션이나 프로그램에 대하여는 저작권에 준하는 권리를 부여하도록(제11조 응용서비스의 개발촉진) 등 법률에 의한 클라 우드컴퓨팅의 토양을 조성할 필요가 있다. 소프트웨어 특히 인증 받은 보안소프트웨어에 대하여는 이러한 개발의 동기부여 이외에도 사이버 보안과 침해간의 모순율에 비추어 미국의 Safty Act와 같이 보안사고로 인한 손해에 대해 개발자나 클라우드 운영 자의 관리책임을 축소하는 입법정책 또한 취할 필요가 있다(정보통신망법 제8조의 보완). 그밖에, 보안과 개인정보와 관련하여서는 정보통신망법 제 28조의 개인정보보호조치(식별정보의 암호와 분리화) 내지 제23조의2에 의한 대체수단의 본인확인력 부여 등을 통해 잊혀질 권리 가 구현될 수 있도록 기반이 조성되어야 할 것이다. 민간차원에서 이러한 풍토조성을 위해서는 정보통신망법을 개인정보보 호법과 클라우드컴퓨팅을 대비한 정보통신촉진법을 분리하여 재정비할 필 요가 있다

122 제3절 정리 및 제언 1. 클라우드컴퓨팅 사업자의 지위 클라우드컴퓨팅 사업자는 유 무선정보통신망을 매개로 하여 자신의 집적화되고 가상화된 IT자원의 활용가치를 제고하는 사업자라는 점에서 는 기본적으로는 전기통신사업법 상의 부가통신사업자에 해당하며, 가상 화된 자신의 집적시설을 이용하여 통신역무사업을 한다면 기간통신사업자 로 그리고 타인의 기간통신시설을 이용하여 통신역무를 제공한다면 별정 통신사업자로서의 지위를 갖는 것으로 현행 전기통신사업법 의 개정은 요하지 아니하는 것으로 보인다. 2. 정보통신서비스제공자 등 으로서 클라우드컴퓨팅 서비스 제공자 현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률 상 개인정보보 호의 의무를 지는 사업자로는 정보통신서비스제공자 등과 이에 준하는 자 가 있는바 전자는 전기통신사업법 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공 하거나 정보의 제공을 매개하는 자(같은 법제2조제1항제3호)와 이들로부 터 이용자의 개인정보를 제공받은 자(제25조제1항)를 의미한다. 따라서, 전기통신사업법 상의 기간통신사업자가 자신이 보유하거나 점 유하고 있는 서버 클러스터 등 집적된 IT 자원과 고도화된 가상화 기술을 활용하여 IaaS로서 기간통신역무를 제공한다면 여전히 기간통신사업자로 서의 법적 지위를 갖는다고 할 것이고, 클라우드컴퓨팅 서비스를 제공하 는 기간통신사업자의 IaaS로서 기간통신 시설을 이용하여 전송역무를 제 공하거나 IaaS로서 기간통신시설을 재판매하거나 정보통신을 매개하는 Platform 서비스를 하게 될 경우에는 별정통신사업자의 지위를 갖는 것으

123 로 각각 새길 수 있다. 그리고 기간통신사업자나 별정통신사업자 또는 클 라우드컴퓨팅 서비스 제공자가 기간통신역무 이외의 소프트웨어 등의 서 비스(SaaS)를 제공하게 된다면, 현행 전기통신사업법 상의 부가통신사업 자로서의 지위를 각각 갖는다고 할 것이고, 위 법률이 요구하는 정보통신 서비스제공자 등으로서의 의무를 부담하게 된다. 3. 클라우드컴퓨팅 서비스 제공자의 집적정보통신시설 사업자 여부 현행 정보통신망이용촉진 및 정보보호 등에 관한 법률 제2조에서는 집적정보 통신시설 사업자의 개념에 대한 정의규정을 두고 있지 않고 같은 법 제46조에서 타인의 정보통신서비스를 제공하기 위하여 집적된 정보통신시설을 운영 관리하 는 사업자 를 집적정보통신시설 사업자로 정의하고 있을 뿐이다. 그런데, 클라우 드컴퓨팅 서비스는 높은 수준의 확장성을 가진 IT 자원들을 서비스 로 제공하는 컴퓨팅 으로 설명되고 높은 수준의 확장성 은 직접시설 로 새길 수 있는 점에 비추어 볼 때, 높은 수준의 확장성을 가진 IT 자원 을 가진 클라우드컴퓨팅 서비 스 제공자가 정보를 제공하거나 정보제공을 매개하는 경우(기간통신시설사업자)에 는 당연히 집적정보통신시설 사업자로 보아야 할 것이고 이러한 시설을 임대하여 정보를 제공하거나 제공을 매개하는 경우(별정통신시설사업자)라면 이 법률상의 집적정보통신시설 의 범위를 어디까지로 볼 것인가에 따라 그 해당성 여부가 결 정된다고 할 것이다. 134) 이와 관련하여서는 법률의 보완이 필요하다. 따라서, 클라우드컴퓨팅 사업자가 기간통신역무사업을 직접 수행하는 경우에는 특별한 사유가 없는 한 정보통신망이용촉진 및 정보보호 등에 관한 법률 제46조에 근거하여 대통령령이 정하는 보호조치를 취하여야 하 는 한편, 집적된 정보통신시설의 멸실, 훼손, 그 밖의 운영 장애로 발생한 피해를 보상하기 위하여 대통령령으로 정하는 바에 따라 보험에 가입하여 134) 사견으로는 클라우드컴퓨팅서비스제공자로부터 Infura로서 기간통신역무설비를 임대받아 이를 재임대하거나 Platform서비스를 제공하게 될 경우에는 정보통신망이용촉진 및 정보보호 등 에 관한 법률 제46조의 입법취지상 집적정보통신시설 사업자에 해당하는 것으로 보아야 할 것으로 생각된다

124 야 할 것이다. 4. 클라우드컴퓨팅 서비스 제공자와 정보보호안전진단 현행 정보통신망이용촉진 및 정보보호 등에 관한 법률 제46조의3은 전기통신사업법 제2조제1항제1호에 따른 전기통신사업자로서 전국적으로 정보통신망서비스를 제공하는 자("주요정보통신서비스 제공자"), 집적정보 통신시설 사업자 및 정보통신서비스 제공자로서 매출액, 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 자에 대하여는 자신의 정보통신망 또는 집적정보통신시설에 대하여 매년 정보보호지침에 따라 아래의 아 래의 표 5-1 에서 보는 바와 같은 항목의 정보보호 안전진단을 받아야 할 의무를 지게 되는바(안전진단을 받지 아니하게 되면 같은 법 제76조 제3항 제6호에 의거하여 1천만원 이하의 과태료처분을 받게 된다), 클라 우드컴퓨팅 서비스 제공자가 타인의 정보통신서비스를 제공하기 위하여 자신의 집적화된 IT자원을 이용하여 서비스를 제공하는 한 당연히 정보보 호안전진단의 대상자가 된다고 할 것이다. 그밖에 별정통신사업자의 범주에 드는 클라우드컴퓨팅 서비스 제공자 또한 정보보호안전진단의 대상자가 된다고 할 것이다. 표 5-1 안전진단 대상별 기준 항목 수 구분 총 ISP IDC VID 기 C 타 정보보호 조직의 구성 운영 관 리 적 정보보호계획 등의 수립과 관리 인적 보안 이용자 보호 침해사고 대응 정보보호조치 점검

125 기 술 적 물 리 적 정보자산 관리 네트워크 보안 정보통신설비 보안 출입 및 접근 보안 부대설비 및 시설관리 운영 합 계 클라우드컴퓨팅 서비스 제공자와 정보보호 관리체계의 인증 현행 정보통신망이용촉진 및 정보보호 등에 관한 법률 제47조는 정 보통신망의 안정성 및 신뢰성을 확보하기 위하여 기술적ㆍ물리적 보호조 치를 포함한 종합적 관리체계("정보보호 관리체계")를 수립ㆍ운영하고 있 는 자는 정보보호 관리체계가 제2항에 따라 방송통신위원회가 고시한 기 준에 적합한지에 관하여 방송통신위원회나 한국인터넷진흥원이 지정하는 기관("정보보호 관리체계 인증기관")으로부터 인증을 받을 수 있다 고 규 정하여 정보통신망을 관리하거나 운영하는 자는 누구나 정보보호관리체계 의 인증을 받아 시장에서의 신뢰를 제고할 수 있도록 하는바, 클라우드컴 퓨팅 서비스 제공자는 누구든지 정보보호관리체계를 인증받을 수 있다는 점에서 법상 의무로 되어 있는 정보보호안전진단과는 구별을 요하고 135) 향후 외국의 클라우드컴퓨팅 업체에 대하여도 문제없이 적용될 수 있는 제도이다. 이와 관련하여, 유럽의 정보보호 당국이 EU지침이 정한 바에 따라 해 외로 데이터를 전송하기 전에 사전 동의와 승인을 받도록 하고 있는 것에 135) 보안컨설턴트 맷슈나이더는 평판이 좋은 보안 인증표시(예를 들면, 베리사인, GeoTrust), 여 러 개의 보안인증표시(베리사인, 맥아피, BBB 등) 이 이용자가 갖고 있는 보안의문에 대한 답을 줄 수 있을 것이라고 한다. Cloud Security Basics, IDG, 2010, 7쪽 참조

126 상응하여 우리의 전자금융거래법 제4조와 같이 대한민국 국민 또는 대한 민국 법인에 대하여 이 법에 준하는 소유데이터에 대한 보호를 보장하고 있는 국가에 대하여는 데이터의 국외이전을 당사자간의 계약에 따라 허용 도록 하는 방법을 고려해 볼 수 있다. 6. 클라우드컴퓨팅과 이용자의 데이터 보호 이용자의 데이터 보호와 관련하여 현행 정보통신망이용촉진 및 정보보 호 등에 관한 법률 상 이용자는 정보통신서비스 제공자에 해당하는 클라 우드 컴퓨팅 서비스제공자에 대하여는 제30조의 이용자의 권리 및 제44 조의2의 정보삭제권 등을 행사할 수 있으며, 해당 개인정보를 국외로 이 전하기 위해서는 이전되는 개인정보 항목, 개인정보가 이전되는 국가, 이전일시 및 이전방법, 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처를 말한다), 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간 등을 명시하여 정보주체로 부터 사전동의(제63조)를 받을 것을 요구할 수 있다. 136) 아울러, 클라우드컴퓨팅 서비스 제공자는 국가안전보장과 관련된 보안 정보 및 주요 정책에 관한 정보, 국내에서 개발된 첨단과학 기술 또는 기 기의 내용에 관한 정보 등의 국외유출을 방지하기 위하여 정보통신망의 부당한 이용을 방지할 수 있는 제도적ㆍ기술적 장치의 설정, 정보의 불법 파괴 또는 불법조작을 방지할 수 있는 제도적ㆍ기술적 조치 및 정보통신 서비스 제공자가 취급 중 알게 된 중요 정보의 누출을 방지할 수 있는 조 치 등을 취할 의무를 지게 된다. 이와 관련할 때 서버를 국외에 둔 클라 우드컴퓨팅 사업자는 원천적으로 국외유출이 금지되는 정보와 관련된 서 136) 클라우드에서 데이터 처리를 하는 유럽 관리인들은 이 법적 문제를 그 자체로 인식하며 프로 세싱을 위해 유럽 밖으로 전송되는 데이터의 적절한 보호를 보장하는 것을 명확히 하도록 되 어 있다. 일부 유럽의 정보 보호 당국은 정보 관리자들이 해외로 데이터를 전송하기 전에 사 전 동의와 승인을 받도록 하고 있으며, 일반적으로 세부적인 전송의 수단, 목표, 그리고 목적지 는 물론 적용될 수 있는 보호조치를 밝히게 되어 있다. PRIVACY & SECURITY LAW, 2009 BY THE BUREAU OF NATIONAL AFFAIRS, INC. PVLR ISSN , 3쪽

127 비스 자체가 허용되지 아니한다고 할 것이다. 7. 기타 클라우드컴퓨팅은 전 세계적으로 행하여지고 있는 탄소배출저감정책의 수단인 동시에 미래 성장 동력으로 인정되고 있음은 주지하는 바이나, 서 버소재지의 불명으로 인한 보안 및 증거채집의 문제 및 개인정보의 국외 이전 등의 문제를 안고 있는바. 현행 정보통신망이용촉진 및 정보보호 등에 관한 법률 과 관련하여 볼 때 법 제46조의3의 안전진단에 대해 상호 주의를 결합하여 법 제63조의 국외 이전 개인정보의 보호에 대한 특례를 인정할 필요가 있다. 즉 제63조제4항 후단에 다만, 법률 제46조의3에 의 한 안전진단을 받거나 해당 국가의 법률에 의하여 이와 동일한 보호수준 을 갖춘 안전진단을 받은 국외사업자에 대하여는 대통령령이 정하는 바에 따른 보호조치를 하지 아니할 수 있다 는 예외규정을 둘 필요가 있다. 그리고, 법위반여부에 대한 단속 및 형사상의 증거채집 등과 관련하여 영토고권에 의해 우리의 사법질서의 구속을 받는 외국에 서버를 둔 클라 우드 사업자에 대하여는 클라우드컴퓨팅 형태로 공동운영되는 미러서버를 우리 영토 내에 설치할 의무와 아울러 클라우드컴퓨팅 서비스 이용자의 위험책임을 덜어 주기 위해서는 서버의 소재와 데이터의 이전 시 다른 클 라우드 서비스와의 호환성여부 및 방법 등에 대한 충분한 정보제공의무를 부여할 필요가 있다. 끝으로 이러한 제반서비스는 클라우드컴퓨팅이 갖고 있는 가상성의 확 장력의 활용이라는 측면과 녹색보안 전략의 실행이라는 측면 및 위험의 분산과 인터넷 가버넌스의 구현이라는 측면을 종합적으로 구현할 수 있도 록 서비스 계층별 공동으로 운영되는 클라우드 보안플래폼 내지 공동관제 센터(ISAC)의 운영도 고려해 볼 필요가 있다

128 제6장 클라우드 컴퓨팅 서비스 계약 이슈 제1절 일반적 계약법적 고찰 1. 계약유형의 성질결정 가. 성질결정의 필요성 클라우드 컴퓨팅의 법률관계를 계약유형론으로 파악하는 것은 매우 기 초적인 문제이면서도 중요한 쟁점에 해당한다. 왜냐하면 어떠한 계약유형 에 속해야 하는지를 알아야만 이에 적용될 수 있는 책임법 규정을 결정할 수 있기 때문이다. 또한 약관의 불공정 여부도 적용하게 될 계약유형의 임의규정을 기준으로 판단하므로 약관규제와 관련하여 계약유형을 결정하 는 것이 중요한 의미가 있다. 그리고 많이 논의되고 있지는 않지만, 클라 우드 컴퓨팅 서비스가 국제적인 성격을 갖고 있기 때문에 국제동산매매에 관한 UN국제협약, 즉 UN매매법이 적용될 수 있는지에 관한 문제도 계약 의 유형론과 연관되어 있는 쟁점이기도 하다. 137) 나. 클라우드컴퓨팅 계약의 특성 계약관계의 성질결정을 함에 있어서 일반적으로 당사자가 부담하는 주 된 급부의무가 무엇인지를 기준으로 판단한다. 따라서 클라우드컴퓨팅 계 약의 성질결정을 함에 있어서도 당사자들이 부담하는 주된 급부의무가 무 엇인지가 주된 관심사가 된다. 137) 이러한 문제 제기로 Pohle/Ammann, CR 2009,

129 이러한 측면에서 보았을 때 그 핵심에 있어서 클라우드컴퓨팅이 유동적 이면서 다변적인 형태로 하드웨어와 소프트웨어를 온라인상의 네트워크를 통하여 서비스 급부로 제공하는 것이라고 요약할 수는 있지만, 매우 다양 한 형태로 제공되고 있다는 측면에서 어느 유형의 계약에 속하는지는 쉽 게 판단하기는 어려운 문제에 해당한다. 즉 클라우드컴퓨팅 서비스 제공 자와 이용자 사이의 계약관계와 관련하여 주의할 점은, 클라우드컴퓨팅이 실제로 통신망상으로 구현되는 현상을 기초로 해서 보았을 때 많은 경우 에는 여러 개의 서로 다른 서비스(급부)요소로 결합되어 있다는 점이다. 따라서 하나의 계약형태를 띄고 있다고 일률적으로 말할 수는 없고, 여러 개의 계약요소가 하나의 통합된 계약으로 융합된 혼합계약의 특징을 원칙 으로 갖고 있다는 것을 기본 전제로 삼아야 할 것이다. 138) 혼합계약의 경우 여러 가지 급부 중에서 주된 급부를 중심으로 적용될 계약규정을 정할 수도 있지만, 클라우드컴퓨팅의 경우 주된 급부(서비스) 를 기초로 계약 전체의 일반적 법적 성질을 결정하는 것은 개별 부분급부 (서비스)의 다양성으로 인하여 많은 경우에 불가능하며 타당하지도 않을 것이다. 클라우드 계약처럼 다양한 서비스(급부) 요소가 결합되어 있는 혼 합계약적 성질을 갖는 경우 오히려 각각의 계약요소에 대하여 해당하는 서비스(급부)의 법적, 경제적인 부분에 초점을 맞추어서 적용될 계약규정 을 결정하는 유연한 입장을 취하는 것이 타당할 것이다. 2. 클라우드컴퓨팅 서비스의 각 유형 가. 클라우드컴퓨팅 서비스의 특징 138) 혼합계약이란 비전형계약의 일종으로서 전형계약과 비전형계약, 전형계약과 전형계약의 내용이 혼합되어 있는 계약유형을 의미한다. 레스토랑에서 식사를 주문하여 먹는 경우에 식사의 급부와 관련하여 매매가, 자리의 제공과 관련하여 임대차가, 서비스의 제공과 관련해서는 고용 혹은 위임 이 혼합되어 있는 것으로 볼 수 있고, 제작물공급계약에서는 매매와 도급이 혼합되어 있는 것으 로 이해할 수 있다. 특히 혼합계약을 전형계약에 해당하는 부분으로 분해하여 각 부분에 대해서 전형계약의 규정을 적용해야 한다는 것이 일반적 견해이다 (김형배, 민법학강의, 제6판, 신조사, 2007, 1187면)

130 클라우드컴퓨팅은 스토리지(Storage), 서버, 데이터베이스, 소프트웨어, 정보(Information) 등 각종 IT 자원을 인터넷을 통해 온디맨드 (On-demand) 방식으로 이용자에게 제공하는 인터넷 기반의 컴퓨팅이다. 클라우드컴퓨팅 사업자는 IT 자원의 소유권을 이용자에게 판매하는 것이 아니라 다양한 형태의 IT 자원을 구비해두고 필요한 만큼 이용자에게 사 용권 을 대여하거나 이용자의 사무( 事務 )나 정보를 수탁 받아 관리 또는 처리해주는 서비스를 제공한다. 또한 이러한 클라우드컴퓨팅은 기존의 그 리드 컴퓨팅, 분산 컴퓨팅, 유틸리티 컴퓨팅, 웹 서비스, 서버 및 스토리지 의 가상화 기술과 공개 소프트웨어 등과 같은 기존의 기반의 기반 기술들 을 융합하여 하나의 커다란 구름(Cloud)과 같은 컴퓨팅 환경을 만드는 기 술이며, 서로 다른 물리적인 위치에 존재하는 컴퓨팅 자원을 가상화 기술 로 통합하여 제공하는 기술개념을 포함한다. 주요특징 사용량이나 광고기반 과금 표준화된 IT기반 기능 IP망을 통한 접근 Always on과 수요에 따른 확장성 지원 Web 혹은 Programmatic 기반 Control Interface 사용자 셀프서비스 [표 6-1] 클라우드 컴퓨팅 서비스의 주요특성 139)140) 세부내용 무료 또는 사용기반 과금으로 장기계약이나, 초기 셋업비용 등이 없음(광고, 주/원단위 과금, 사용량기반 과금) -컴퓨팅, 저장장치, 네트워크, SW 등을 포함하는 전반적 인 IT 자원 -제공되는 서비스 이외에 별도의 고객화가 없으며, 서비 스 제공자에 의해 제공되는 표준 -IP망과 Http, REST 141), SOAP 142) 등 웹기반 컴퓨팅 프로토 콜 활용 -UI를 위해 OS에 중립적인 표준 웹 브라우저와 웹 표준 지원 -서비스 제공자는 24시간 접근성과 고객수요의 변화에 이에 대응하는 컴퓨팅 자원을 가변성 있게 지원 따라 -고객데이터 원격 호스트, RIA 143) 인터페이스(페이스북,MS virtual earth 3D 등) 제공 -서버기반 인터페이스로 XML과 REST 스타일 SW Connection Standard(Flicker API, Amazon S3) 사용 -서비스제공자의 간섭 없이 고객 스스로 필요한 서비스 를 설치, 관리, 종결 -사용자는 Web-Interface나 Programmatic Call을 통해 서비 스 API에 접근 139) 정보통신산업진흥원, 클라우드 컴퓨팅 활성화를 위한 법제도 개선방안 P.6~7 참조. 140) Forester Research, "Is Cloud Computing Ready For The Enterprise?",

131 클라우드컴퓨팅 서비스는 그 서비스의 내용에 따라 크게 인프라 서비스 (IaaS), 플랫폼 서비스(PaaS), 소프트웨어 서비스(SaaS)로 구분할 수 있다. 이를 다른 맥락에서 항공서비스의 내용에 비유하는 이도 있다. 144) 인프라 서비스(IaaS)의 경우 공항을 포함하여 항공 산업에 필요한 모든 기반 시설 을 서비스의 목적으로 하는 것과 같은 맥락으로 파악할 수 있다. 플랫폼 (PaaS)의 경우 독립적인 항공사가 곧바로 입주하여 항공서비스를 제공할 수 있는 형태의 서비스로 비유해서 설명할 수 있다. 마지막으로 소프트웨 어 서비스(SaaS)는 항공사의 서비스 그 자체로 표현될 수 있다. 이하에서 는 각각의 서비스 내용에 대해서 구체적으로 살펴보도록 한다. (그림6-1) 145) 클라우드 컴퓨팅의 유형 나. 소프트웨어 서비스(Software as a Service - SaaS) 일정관리, 주소록, CRM용 프로그램, 오피스 프로그램 등 다양한 소프 트웨어를 웹을 통해 임대해 사용할 수 있도록 제공하는 서비스를 말한다. 이러한 소프트웨어 서비스(SaaS)의 도입으로 비용절감과 빠른 서비스 도 입이 가능해졌고, 운영생산성 향상을 가져왔다. 대표적으로 미국의 경우 소프트웨어 서비스(SaaS)를 중심으로 공공업무에 클라우드컴퓨팅 서비스 141) Representational State Transfer. 142) Simple Object State Transfer. 143) Rich Internet. 144) 한국마이크로소프트 김재우, 클라우드컴퓨팅을 위한 마이크로소프트의 전략. 145) 한국인터넷진흥원, 클라우드 컴퓨팅의 법적이슈, 1면

132 를 접목하는데 적극적인 결과, ICT 인프라 구축을 위한 예산 절감의 효과 를 가져왔다. 소프트웨어 서비스(SaaS)의 주요 사업자 서비스로는 구글 앱스(Google Apps), MS Office Live, IBM Bluehouse, 세일즈포스닷컴(Salesforce.com) 이 있다. 구글 앱스의 경우, 이를 통해 약 7GB 용량의 무료 웹메일 서비 스인 Gmail'을 이용할 수 있고, 이 외에도 채팅 서비스 구글 토크, 온라 인 일정관리 서비스 구글캘린더 등을 이용할 수 있다. 2006년에는 무료 로 제공되었으나, 현재는 유료로 전환되었으며, 월 50달러에 더 많은 용량 과 높은 속도를 보장하는 프리미엄 서비스도 이용할 수 있다. MS Office Live의 경우, 2010년 6월 출시된 신규 MS Office 버전의 핵심기술에는 클 라우드컴퓨팅 서비스가 포함됨에 따라 마이크로소포트의 고객들은 워드, 파워포인트, 엑셀 등을 클라우드 기반의 Office Web 서비스를 통해 제공 받음으로써, 사용자들은 웹 기반의 문서 공유와 단일 문서에 접속하여 편 집할 수 있는 협업기능 등을 이용할 수 있다. 세일즈포스닷컴은 고객 관 계 관리 솔루션 으로 사용자들은 웹을 통해 파트너관계 관리, 영업 자동 화, 마케팅 자동화, 고객 서비스 및 지원 자동화 등의 서비스를 제공받을 수 있다. 이를 통하여 세일즈포스닷컴은 관련시장에서 65%의 시장점유율 을 점하여 선두를 달리고 있다. 146) 국내에서는 KT의 중소기업용 ASP/SaaS 등 일부 서비스 모델 및 틸론의 엘클라우드( 등이 존재하나, 사설 클라우드 컴퓨팅 시장의 발전은 미비한 편이다. (그림 6-2) 틸론의 '엘클라우드' 소프트웨어 서비스(SaaS) 146) 이주영, "클라우드 컴퓨팅의 특징 및 사업자별 제공 서비스 현황", 10~14면 참조

133 소프트웨어 서비스(SaaS)의 경우에는 소비자에게 제공된 컴퓨팅 능력은 클라우드 인프라에서 가동되는 서비스 제공자의 어플리케이션을 사용 하 는 것이며, 소비자는 사용자와의 특화된 환경 설정과 같은 경우를 제외하 고는 클라우드 인프라를 관리하거나 통제하지는 못한다. 이러한 소프트웨어 서비스부분이 제대로 활용되기 위해서는 다중사용자 환경(Multi-Tenant) 147) 에 기반하고 있어 여러 사용자들이 안정적인 서비스 공유를 위한 플랫폼 기술 확보가 중요하다. 또한 이를 바탕으로 안정적인 서비스 공유 플랫폼에 따른 어플리케이션 실행환경, 데이터베이스 관리, 보안기술 제공이 필수로 이루어져야 할 것이다. 148) 다. 플랫폼 서비스(Platform as a Service - PaaS) 149) 이용자(SW 개발자)가 어플리케이션을 개발, 테스트, 구축할 수 있는 통 합된 플랫폼을 제공하는 서비스로, 이용자는 플랫폼 서비스(PaaS)를 통해 새로운 어플리케이션을 개발하기도 하고 다른 소프트웨어 서비스(SaaS)를 제공하기도 한다. 이러한 플랫폼 서비스(PaaS)는 소프트웨어 서비스(SaaS) 의 경쟁력 확보에 근간이 되는 서비스 유형으로, 높은 수준의 개발경험을 필요로 한다. 이는 오픈 소스 소프트웨어 기반의 어플리케이션 프레임워 크를 조합하여 해당 기관의 상황에 맞는 통합 개발하는 방식으로 전환되 는 방식으로 구현된다. 147) 여러 사용자가 동일시스템을 분리하여 활용할 수 있게 하는 기능이다. 148) 한국정보화진흥원, 범국가 차원의 ICT신기술 패러다임 : 클라우드 컴퓨팅 활성화 전략, 5면. 149) 한국정보화진흥원, 범국가 차원의 ICT신기술 패러다임 : 클라우드 컴퓨팅 활성화 전략, 5면: 사 전적인 의미의 플랫폼은 응용프로그램을 실행시킬 수 있는 하드웨어 및 소프트웨어가 조합된 환 경 을 의미하며 플랫폼 서비스(PaaS)에 대한 시장의 명확한 정의나 분류는 미약한 상태라고 할 수 있다

134 [표 6-2] 플랫폼 서비스의 3가지 유형 및 내용 150) 서비스 구분 구축플랫폼 (Development Platform) 확장플랫폼 (Software Platform) 운영플랫폼 (Delivery Platform) 서비스 내용 - 개발자가 손쉽게 프로그램 개발 및 테스트 할 수 있 는 개발프레임워크를 제공 - 어플리케이션 소프트웨어의 개발을 위한 실행환경 및 프레임워크를 함께 제공 - 활용사례 : Google AppEngine - 시스템 소프트웨어를 완성된 형태(Pre-built)로 필요 한 기관에 제공 - 재정 여력이 부족한 중소기업의 경우, 시스템 개발 에 필요한 표준환경을 저렴한 비용으로 단기간 내에 제공 받는 것이 가능 - 활용사례 : Amazon : EC2 - IaaS 서비스 제공을 위한 운영 환경 제공의 기반 - 운영플랫폼이 없다면 서버 위에 운영체제, 실행환경, 관리환경, 네트워크 구성 등의 작업을 수작업으로 진 행하여야 하나 이를 바로 사용할 수 있는 형태로 제공 - 활용사례 : 세일즈포스닷컴의 CRM 소프트웨어 변경 및 확장 API 제공 대표적 사업자의 서비스로는 구글의 구글 앱 엔진(Google AppEngine)', 아마존의 Simple DB, Simple Storage Service(S3), 마이크로소프트의 윈 도우 애저(Windows Azure)', 세일즈포스닷컴의 Force.com' 등이 있다. 각 각 세부적으로 살펴보면, 구글 앱 엔진 은 구글 인프라 위에 웹 응용 소 프트웨어를 구축하고 호스 구할 수 있는 개발환경을 무료로 제공해 준다. 또한 구글 앱 엔진 과 더불어 구서비스로 일정관리기능을 확장할 수 있 도록 API(Application Programming Interface)를 제공하는 일정관리 iapi(calendariapi)'를 제공한다. 세일즈포스닷컴의 Force.com'은 기업용 응용 소프트웨어에 대한 확장과 기능 변경을 위한 API 및 개발 프레임워 150) 한국정보화진흥원, 범국가 차원의 ICT신기술 패러다임 : 클라우드 컴퓨팅 활성화 전략, 6면

135 크를 웹 기반으로 제공한다. Force.com'을 통해 사용자들이 응용 소프트 웨어의 온라인 설정 공간에서 간단하게 드래그 앤 드롭(Drag and Drop) 인터페이스로 페이지의 레이아웃이나 데이터 필드를 바꿀 수 있고, 다른 사용자를 위해 다른 화면 모습을 생성할 수 있다. 마지막으로 마이크로소 프트의 윈도우 애저(Windows Azure)'는 어플리케이션 개발, 가상화된 서 버, 스토리마존Si애플리케이션을 호스 할 수 있는 네트워킹 구축을 위한 도구들을 모두 제공한다. 마이크로소프트는 2008년 10월 프리뷰 버전을 출시하였으며 그동안 이용자들이 무료로 이용해 볼 수 있도록 시범서비스 를 하다가 2010년 2월부터 유료화에 들어갔다. 151) 라. 인프라 서비스(Infrastructure as a Service - IaaS) 서버, 스토리지, 네트워크 등 인프라스트럭처를 가상화 환경으로 만들어 필요에 따라 인프라 자원을 사용할 수 있도록 하는 서비스를 말한다. 소 비자에게 제공된 컴퓨팅 능력은 소비자가 OS나 어플리케이션을 배포하고 구동할 수 있는 주요 컴퓨팅 자원(처리, 저장, 네트워크 등)을 제공하는 것이며, 소비자는 클라우드 인프라를 관리하거나 통제하지 못하나, OS, 저장, 어플리케이션, 특정 네트워킹 컴포넌트를 통제한다. 대표적 사업자의 서비스로는 아마존의 EC2(Elastic Compute Cloud)', 마이크로소프트의 LiveMesh' 등이 있다. 아마존의 EC2 를 통해 새로운 가상 서버를 짧은 시간 내에 구축할 수 있고, 필요에 따라 컴퓨터 용량을 늘리거나 줄일 수도 있다. 특히 사용자는 컴퓨팅 사용 시간에 대해서만 비용을 지불하므로 비용면에서도 유용하다. 마이크로소프트의 LiveMesh' 는 인터넷을 통해 사용자가 자신의 PC와 다른 PC나 모바일 장비와 데이 터를 공유할 수 있도록 하는 동기화 서비스이다. 국내에는 대형 SI업체와 정부통합전산센터를 중심으로 인프라 서비스(IaaS)를 준비 중인 단계에 있 다. 이를 통해 대형 SI업체들의 가상화 기술을 적용한 관계사 중소형 서 151) 이주영, "클라우드 컴퓨팅의 특징 및 사업자별 제공 서비스 현황", 10~14면 참조

136 버 통합작업은 상당 수준 진행된 상태이며, 인프라 서비스는 시범적으로 적용하거나 계획수립을 하는 단계에 있다. 3. 클라우드컴퓨팅의 각 서비스 유형에 따른 계약성질론 가. 일정 기간의 하드웨어와 소프트웨어의 제공 1) 유상의 임대차 대가를 받고 클라우드컴퓨팅 서비스를 제공하는 경우에는 혼합계약적 성질을 갖고 있기는 하지만, 주된 요소는 임대차로 볼 수 있다. 152) 즉 클 라우드 컴퓨팅 서비스 제공자는 계약의 내용에 따라 하드웨어 및 소프트 웨어, 하드웨어 또는 소프웨어만 일정한 기간 동안 이용할 수 있도록 제 공한다는 측면에서 임대차 계약적 요소를 갖고 있다. 2) 하드웨어의 임대 하드웨어를 일정한 기간 동안 이용할 수 있도록 하는 서비스를 제공하 는 경우에 그 주된 성질이 임대차라고 보는 것에는 큰 의문이 있을 수 없 을 것이다. 예컨대 웹스토리지 서비스의 경우 컴퓨터 파일의 저장 공간인 스토리지를 확보해 이용자들로 하여금 인터넷 접속이 가능한 어느 곳에서 나 인터넷을 통해 파일을 업로드, 열람, 편집, 다운로드를 할 수 있도록 하는 서비스를 말한다. 이 경우에 다양한 요소가 혼합되어 있기는 하지만 하드웨어의 임대차적 요소가 가장 강하다고 할 수 있다. 저장장소에 이르 는 방법이 통신망이라는 가상공간을 통해서 비록 이루어지더라도 하드웨 어라는 유체물을 대상으로 일정한 장소의 이용을 전제로 하기 때문이다. 이러한 측면에서 사용자가 자기 소유의 또는 임차한 기기를 IPP의 공간 152) Pohle/Ammann, CR 2009,

137 에 설치하는 웹사이트 하우징의 경우도 이용자에게 저장장소를 제공할 뿐 만 아니라, 전기나 접속장치와 같은 기본시설의 설치가 허용되는 기계설 치의 장소까지 제공한다는 측면에서 임대차 성격이 강하다고 볼 수 있 다. 153) 3) 소프트웨어의 임대 하지만 소프트웨어를 일정한 기간 동안 사용할 수 있는 권리를 부여하 는 경우에 이를 어떻게 임대차로 이해할 수 있는지에 관하여는 논란이 있 을 수 있다. 소프트웨어를 디지털 콘텐츠 내지 정보라는 측면에서 접근하 게 되면 컴퓨터 정보거래계약에 관한 다양한 논의들이 여기에 그대로 적 용될 수 있다. 미국의 UCITA 154) 와 학설 155) 은 디지털콘텐츠서비스 이용계 약과 off-line 상의 정보거래 등을 포함하는 포괄적인 개념인 컴퓨터 정보 거래계약의 법적성질을 라이선스계약으로 본다. 독일 역시 정보거래계약 의 법적성질에 대해 다양한 논의가 있는데, 이를 매매계약으로 보는 견해, 도급계약으로 보는 견해, 매매와 용익임대차의 요소가 혼합된 유형결합계 약으로 보는 견해가 있다. 우리나라에서는 디지털콘텐츠서비스 이용계약 의 사업자가 지속적으로 정보를 제작하여 공급하여야 하며 노무가 존재하 므로 도급계약적 고용계약적 성질을 가지는데, 개별적인 내용에 대한 검 색은 인터넷을 통하여 제공되는 정보의 매매와 유사하다는 견해 156) 와 라 이선스계약으로 보는 견해 157) 및 정보거래를 디지털정보에 대한 실시허락 153) 임건면, 성균관법학 제16권 제1호, 186면. 154) Section 502, 506, 507 등 참조. 155) Baumer David & Pindexter J. C., Cyberlaw and E-Commerce, Mcgraw-Hill, 2002, p ) 김민중, 인터넷법학의 민사법적 과제와 체계, 인터넷법연구 제2호, 2003, 한국인터넷법학회, 331면; 이와 유사한 견해로서 정진명, 가상공간법연구[Ⅰ], 법원사, 2003, 171면은 정보제공계 약의 법적성질을 매매 사용대차 도급 고용계약적 요소를 가진 유형결합계약으로 본다. 157) 배대헌, 인터넷과 民事法上課題 -디지털 정보를 중심으로-, 法制硏究 18호, 2000, 82면; 오병철, 디지털정보거래의 성립에 관한 연구, 한국법제연구원, 2001, 33면 이하는 정보자체 의 양도가 아니라 정보를 일정한 용도로 이용할 수 있도록 허락하는 계약을 협의의 디지털 정 보거래 로 분류하면서 그 성질을 라이센스 계약으로 본다 ; 현대호, 인터넷상 콘텐츠배포와 라 이센스계약, 인터넷법률 제14호, 274면 이하

138 (licensing)을 포함하는 거래로 보는 견해 158) 가 있다. 클라우드컴퓨팅 서비스를 통하여 소프트웨어 제공 서비스를 이용하는 경우 이를 임대차로 이해하는 것은 쉽지 않다. 하지만 우리가 통상 소프 트웨어가 담긴 CD를 구매하는 계약을 물건의 매매로 이해하듯이 클라우 드 서비스를 통하여 제공되는 소프트웨어의 사용을 목적하는 계약을 임대 차, 그것도 물건의 임대차로 구성할 수 있다. 왜냐하면 사용을 목적으로 제공되는 소프트웨어는 항상 물리적으로 클라우드컴퓨팅 서비스 제공자의 서버에 설치되어 있을 것이기 때문이다. 이러한 논거로 독일 연방법원의 판결도 온라인상 소프트웨어를 이용하는 계약이 임대차 계약의 요소가 있 는 것으로 보았다. 159) 즉 이용자가 서비스를 이용하기 위하여 항상 필수 적으로 서비스 제공자의 서버에 접속하여 설치되어있는 물리적으로 체화 되어 있는 소프트웨어를 이용한다는 점에 착안한 것이다. 이러한 물리적 인 평가는 이용자가 서비스를 이용할 때 직접 시각적으로 느끼는 것과는 상당한 차이가 있다. 즉 이 물건의 매매로 하지만 이용자가 서비스 제공 자의 웹에 있는 홈페이지 소프트웨어를 이용하는 각종의 서비스들은 물리 적으로 서비스 제공자가 운영하는 서버의 어느 곳 물건이용계약 이기 때 문에 물건의 임대차를 전제로 한 민법의 임대차의 규정의 임대목적물이 존재한다는 것을 인정하는 것에는 문제가 없을 것으로 생각된다. 그리고 클라우드컴퓨팅 서비스의 제공은 시간적으로 길던 짧던 간에 일정한 기간 동안 제공되기 때문에, 임대차의 계속적 계약으로서의 성질도 갖고 있다. 4) 무상의 사용대차 클라우드컴퓨팅 서비스 제공자가 하드웨어와 소프트웨어를 대가를 받지 않고 제공하는 경우에는 원칙적으로 임대차로 볼 수 있는 유상성이 결여 되어 있으므로 이를 사용대차로 볼 수밖에 없다. 사용대차의 경우에도 대 158) 이대희, 미국의 인터넷법제에 대한 고찰, 한국법제연구원, 2001, 9면. 159) BGH v XII ZR 120/04, MDR 2007, 257 = BGHReport 2007, 192 = CR 2007, 75 ff

139 차물에 대한 점유의 이전은 필수적 요소가 아니므로 단지 이용가능성만 제공되더라도 사용대차계약의 성립을 인정하는 것에는 문제가 없을 것이 다. 나. 그 밖의 서비스 제공 클라우드컴퓨팅 서비스를 기초로 제공되는 하드웨어와 소프트웨어의 이 용과 결합하여 일반적으로 다른 서비스(급부)들이 같이 제공된다. 이러한 서비스(급부)들은 임대인이 부담하는 부수적 의무의 범주를 넘어서 별도 의 서비스(급부)의 성질을 갖고 있기 때문에 이러한 서비스(급부)로 인하 여 순수한 임대차계약이 체결되었다고 보기는 힘들게 되는 경우가 대부분 이다. 이에 따라 해당 서비스(급부)의 성질에 따른 계약요소가 임대차계약 과 혼합된 형태의 혼합계약이 체결되는 것이 일반적이라고 할 수 있다. 해당 클라우드컴퓨팅 서비스를 이용할 수 있도록 교육하는 교육서비스를 제공하거나, 계산 서비스를 제공하는 경우에는 노무제공의 성격이 있어서 고용계약에 관한 규정 내지 위임계약에 관한 규정의 적용이 고려될 수 있 을 것이다. 하지만, 하드웨어와 소프트웨어의 하자보수 및 유지는 개별적 인 급부의무로 보기는 힘들다. 왜냐하면 임대차 계약의 경우 임대인은 임 대차의 존속기간 동안 임차인에게 주어진 사용 수익권을 보장해 주어야 할 의무가 있다(사용 수익 상태유지의무). 따라서 임대차의 존속기간 동 안에 임차인이 계약상 정해진 용도에 맞게 해당 서비스를 사용 수익하는 것을 용인해야 하고 그 범위를 넘지 않은 조치를 허용해야 한다. 또한 임 대인은 임대차의 목적물을 사용 수익할 수 있도록 존속상태를 유지하여 야 해야 할 계속적인 의무를 부담하기 때문에 임대차의 존속기간 동안에 목적물을 관리하고 수선해야 할 의무를 부담한다(수선의무). 이러한 의무 는 임대인의 주된 급부의무의 한 내용이므로 이러한 의무를 통하여 독자 적인 고용계약 또는 도급계약적 요소가 혼합되는 것은 아님을 주의할 필 요가 있다

140 그에 반하여 계약상 당연히 전제되어 있는 사용 수익 상태유지의무 내 지 수선의무의 범주를 넘어서 계약기간 동안 제공되는 서비스의 지속적인 개선(예컨대 소프트웨어의 업데이트)를 약속한 경우에는 별도의 서비스(급 부)에 관한 합의가 있는 것이라고 볼 수 있고 이때에는 고용 내지 위임계 약적 성질이 있다. 또한 개별적인 이용자의 사정에 맞추어서 소프트웨어 내지 하드웨어를 설계하여 주는 경우(Customizing)에도 개별적이고 독자 적인 도급계약적 요소가 있는 것으로 볼 수 있다. 마찬가지로 저장정보의 안전성, Backup의 문제 등에 관한 특별한 합의를 한 경우에도 별도의 서 비스(급부)가 제공된 것으로 보아야 하나, 이때에는 개별적인 합의내용의 해석을 통하여 목적 달성이 보장된 도급계약적 요소가 있는 것인지 아니 면 서비스 제공이라는 고용 내지 위임계약적 요소가 있는 것인지를 면밀 히 검토하여야 한다. 소프트웨어를 공급하는 자는 통상 소비자의 주문에 따라 제작된 소프트 웨어의 설치, 실행 적용과 관련된 서비스를 제공할 의무를 부담한다. 우리 나라 판례의 경우 이러한 소프트웨어의 개발 공급계약의 법적성질을 도 급계약의 형태로 보아 수급인이 그 일을 완성하면 미리 확정된 용역의 대 가를 전액 지급하는 것이 일반적이라고 판시한바 있다. 다만 모든 소프트 웨어의 개발 공급계약이 성질상 반드시 정액지급의 보수 지급방식을 취 하여야 하는 것은 아니며 개별계약의 구체적인 약정에 따라 얼마든지 보 수지급의 방식을 달리하여 실제로 투입한 인력의 실적에 따라 용역대가를 지급하기로 약정할 수 있다고 설시하였다. 160) 이와 같은 다양한 서비스 요소가 혼합되어 있더라도 임대차 계약이라는 핵심적 계약요소가 소멸하는 것은 아니다. 161) 즉 다른 계약요소들은 대체 로 하드웨어와 소프트웨어를 잘 사용하기 위하여 따르는 서비스요소에 해 당하기 때문에 임대차계약의 성질이 클라우드컴퓨팅 서비스에서는 주된 요소로 남는다고 할 수 있다. 160) 대법원 선고 97다45259 판결 161) Schneider, Handbuch EDV-Recht, 4. Aufl. 2009, M Rz. 27 u

141 4. 클라우드컴퓨팅 서비스 계약에서 당사자의 권리와 의무 가. 클라우드컴퓨팅 서비스 제공자의 의무 클라우드컴퓨팅 서비스 계약이 주된 성질이 임대차라고 한다면 서비스 제공자는 임대인이 지위에 있게 된다. 따라서 서비스 제공자가 부담하는 주된 급부의무는 계약기간 동안에 목적물인 클라우드컴퓨팅 서비스를 사 용 수익하게 할 의무이다. 이를 위해서 클라우드컴퓨팅 서비스 제공자는 원칙적으로 이용자에게 목적물을 인도하고, 임대차기간 중 그 사용 수익 에 필요한 상태를 유지하여야 한다(민법 제623조). 민법 제623조 임대인의 의무 임대인은 목적물을 임차인에게 인도하고 계약존속 중 그 사용, 수익에 필요한 상태를 유지하게 할 의무를 부담한다. 기존의 소프트웨어의 임대의 경우에는 소프트웨어의 이전은 이용자의 하드웨어에 소프트웨어를 설치함으로써 이루어졌다고 할 수 있다. 하지만 클라우드컴퓨팅 서비스의 경우에 주의할 점은 점유의 이전 없이 임차인인 이용자가 임대목적물에 접근할 수 있는 상태를 만듦으로써 해당 의무가 이행된 것으로 볼 수 있다는 점이다. 왜냐하면 임대차계약상 임대인이 목 적물인도의무를 이행하기 위해서 반드시 해당 임대목적물에 대한 점유를 이전해야 하는 것이 아니라 이용할 수 있는 상태를 만들어 주는 것으로 충분하기 때문이다. 162) 따라서 클라우드컴퓨팅 서비스에서 소프트웨어가 이용되는 방식은 일반적으로 웹상의 접근가능성을 열어 둔 상태에서 이용 자가 클라우드컴퓨팅 서비스의 로그인하여 해당 소프트웨어를 자신의 하 드웨어에 완전히 저장함이 없이 스트리밍 방식으로 이용하게 된다. 이 경 우 물론 부수적 급부의무로 소프트웨어의 사용에 필요한 사용설명서 등을 제공할 의무가 있고 이때에는 해당 내용을 전자문서의 형태로 제공해야 162) 김증한 김학동, 채권각론, 제7판, 박영사, 2006, 378면

142 하며 해당 문서는 다운로드할 수 있는 상태로 마련되면 될 것이다. 임대인은 또한 임대차의 존속기간 동안 임차인에게 주어진 사용 수익 권을 보장해 주어야 할 의무가 있다(사용 수익 상태유지의무). 따라서 임 대차의 존속기간 동안에 임차인이 계약상 정해진 용도에 맞게 물건을 사 용 수익하는 것을 용인해야 하고 그 범위를 넘지 않은 조치를 허용해야 한다. 하지만 통상의 물건의 임대차와 달리 소프트웨어의 임대의 경우에 는 원칙적으로 소프트웨어의 상태가 변하지 않기 때문에 계약상 정해진 용법대로 사용하기 위하여 특별한 조치가 필요하지 않은 것이 일반적이 다. 하지만 클라우드컴퓨팅 서비스의 경우 소프트웨어가 서비스 제공자의 하드웨어에 설치된 상태에서 이용자가 이용하기 때문에 하드웨어 자체에 하자가 발생하여 이용에 지장이 발생하지 않도록 방지할 의무가 부과되 며, 접속이용자가 폭주하여 서비스의 안정적 이용이 불가능해지는 것을 방지하기 위해서도 하드웨어의 확충도 이 의무이행과 관련되어 요구된다 고 할 수 있다. 이와 같은 사용 수익 상태유지의무의 내용에는 변화된 외부적 환경에 대한 적응, 예컨대 부가가치세의 변화에 대한 대응조치도 포함된다. 하지 만 대가를 지불해야 하는 업데이트 내지 개선은 여기서 말하는 의무내용 에 포함되지 않는다고 할 수 있다. 그 밖에 클라우드컴퓨팅 서비스제공자는 법률에 규정된 부수적 의무와 일반적인 계약의 해석상 부담하는 부수적 주의의무를 부담한다. 예컨대 클라우드컴퓨팅 서비스 제공자는 임대인으로서 해당 서비스로 인하여 임 차인의 안전을 배려해야 할 부수적 의무를 부담한다. 따라서 해당 서비스 로부터 발생할 수 있는 위험을 이용자에게 고지해야 할 의무가 있다. 예 컨대 서비스 제공자가 자신이 제공하는 프로그램이 바이러스에 감염되어 있다는 사실을 인식한 경우에는 이 사실을 이용자들에게 고지할 의무가 있다. 나. 클라우드컴퓨팅 서비스 이용자의 의무

143 클라우드컴퓨팅 서비스 이용자가 부담하는 주된 급부의무는 이용료 지 급의무이다. 이용료의 지급은 원칙적으로 후불이나(민법 제633조 참조), 실무에서는 별도의 합의를 하는 경우가 대부분이다. 민법 제633조 차임지급의 시기 차임은 동산, 건물이나 대지에 대하여는 매월 말에, 기타 토지에 대하 여는 매년 말에 지급하여야 한다. 그러나 수확기 있는 것에 대하여는 그 수확 후 지체없이 지급하여야 한다. 클라우드컴퓨팅 서비스와 관련하여 이용자가 부담하는 부수적 의무에는 실무적으로 매우 중요한 의미를 갖는 의무가 여럿 존재한다. 첫째, 이용자 는 클라우드컴퓨팅 서비스를 계약에서 정한 용법 이상으로 이용해서는 안 될 의무를 부담한다. 예컨대 1인에게만 이용이 허용되지 않는 경우에는 자체 내 통신망을 통하여 동시에 어려 명이 이용해서는 안 된다. 5. 담보책임의 내용과 범위 클라우드컴퓨팅 서비스가 임대차계약에 해당한다는 측면을 강조하게 되 면 지속적으로 해당 서비스를 이용할 수 있는 상태를 유지할 의무를 서 비스 제공자가 부담하는지가 문제된다. 즉 365일 중단 없이 24시간 동안 계속 서비스 제공을 사업자가 이용자에게 보장해야 하는가? 하지만 서비스 성질상 지속적인 제공은 가능하지 않을 뿐만 아니라 바 람직하지도 한다. 예컨대 하자보수 내지 치유 그리고 업데이트를 위해서 는 정기적으로 서비스가 최소한 일시적으로 나마 중단되어야 하기 때문이 다. 그리고 100%의 지속적인 서비스 제공을 할 수 있는 기능과 안정성을 확보할 수 있는 서비스를 갖추기 위해서는 비용이 많이 들고 그에 따라 이용자들이 지불해야 하는 이용료도 증가하게 된다. 이와 관련하여 서비스 제공자는 서비스 수준을 어느 범위에서 보장해야 하는지를 이용자와 사이에서 구체적으로 정하지 않으면 분쟁이 발생할 가 능성이 크다. 왜냐하면 이용자들은 불완전하거나 중단된 서비스로 인하여

144 서비스 제공자에게 손해배상을 청구하려고 할 것이기 때문이다. 이를 방 지하기 위해서 약관에 면책규정을 두거나 개별적인 협상된 계약내용으로 그 수준을 정해야 한다. 실무에서는 이 문제를 해결하기 위하여 SLA(서비 스레벨협정)를 통하여 해결하고 있다. 서비스의 제공수준의 문제는 서비스 제공자가 클라우드컴퓨팅 서비스를 통하여 제공하는 급부의 내용과 관련된 것이기 때문에 원칙적으로 약관의 내용통제의 대상이 되지 않는다. 그러나 이러한 서비스 내용을 약관에 두 고 이에 관한 면책규정을 둔다면 면책규정 자체는 내용통제의 대상이 될 수 있으므로 다툼의 대상이 될 수 있다. 이러한 분쟁을 사전에 예방하기 위해서 SLA를 통하여 서비스 수준을 미리 개별적으로 합의도록 할 필요 가 있는 것이다. 이러한 측면에서 보면 서비스 수준의 결정에 관한 다양 한 쟁점들이 이미 ASP와 SaaS계약에서 문제되었는데, 이 때 논의된 쟁점 들이 어느 정도 동일하게 클라우드컴퓨팅 서비스 계약에도 적용될 수 있 을 것이다. 클라우드컴퓨팅 서비스 제공자가 서비스를 무료로 제공하는 경우에는 사용대차에 관한 법리가 적용되기 때문에 유상의 경우와 반대로 계속적인 서비스 제공의무가 인정되지 않는다. 다만 하자의 존재를 알았지만 고지 하지 않은 경우 또는 하자에 대하여 고의 또는 중과실이 있는 경우에만 책임을 부담한다. 하지만 Customizing, 정보보전과 백업 서비스 그리고 그 밖의 부수적 지원서비스와 관련하여 서비스 제공자가 의무위반에 따른 담보책임을 도급 또는 위임계약적 측면에서 부담할 여지가 있다. 제2절 계약내용의 형성 - 서비스레벨협정(SLA) 앞에서 살펴본 바와 같이 어느 정도의 서비스를 당사자들이 계약상 정 하였는지는 매우 중요한 문제가 된다. 특히 정보의 저장이 서비스의 중심

145 될수록 클라우드컴퓨팅 서비스의 이용자들은 서비스의 안전성에 많은 관 심을 두고 클라우드컴퓨팅 서비스 제공자가 어떤 수준에서 서비스를 제공 하는지에 지대한 관심을 가질 것이다. 이러한 서비스의 수준에 관하여는 계약에 적절한 수준에서 합의가 있어야 하며, 이는 소위 서비스레벨협정 (SLA)과 관련하여 논의가 되고 있다. 서비스제공자의 서비스 품질에 대한 보증범위나 책임은 서비스레벨협정 을 통해 보다 명확히 하는 것이 필요하다. 서비스 수준이나 품질의 급격 한 저하, 비용 증가, 연계된 클라우드컴퓨팅 서비스의 장애 발생 시 데이 터 복구 등 사후 조치, 보상 문제, 계약 조건의 수정 등에 관한 사항이 명 확히 정립되어야 할 것이다. 이를 통해 계량화된 형태의 운영 품질 관리 에 기여할 수 있을 것이다. 최근 미국연방조달청(GSA)은 서비스 요청에 따른 서비스 수준 측정 항목으로써 전산자원의 가용성과 서비스 제공 및 회수시간의 적용을 시사하였다( ). [중요 서비스레벨협정 예] 1. Google Apps Service Level Agreement ( 2. Amazon S3 Service Level Agreement ( Amazon의 PaaS 서비스인 S3의 서비스레벨협정 3. Amazon EC2 Service Level Agreement ( Amazond의 IaaS 서비스인 EC2의 서비스레벨협정 1. SLA의 의의 인터넷의 급속한 이용확대와 텍스트위주의 정보통신서비스에서 실시간

146 서비스로의 전환은 인터넷 트래픽의 증가를 야기하고 있다. 이로 인하여 네트워크상의 혼잡문제, 서비스품질 저하, 최적요금체계설정문제 등 여러 가지 문제를 야기하고 있다. 현재의 인터넷 구조 하에서는 이용트래픽의 급증은 지연, 지연변이, 패킷손실, 네트워크의 신뢰성 등에 심각한 문제를 야기하였고, 인터넷 이용욕구의 증가는 서비스 질에 대한 관심이 커지게 되었다. 통신서비스 이용자는 자신이 가입하여 비용을 지불하고 있는 통 신서비스가 제대로 제공되고 있는지에 대한 확신을 가지길 원한다. 통신 이용자의 요구에 부응하기 위하여 통신서비스제공자는 자신이 이용자들에 게 시스템이나 응용서비스는 어떻게 운용되어 서비스가 제공되며, 제공되 는 서비스의 질은 어떠한지, 어떠한 운용상의 문제가 발생한 경우 문제해 결을 위한 조치는 어떤 것이 있는지 등의 내용을 통신서비스이용자에게 제시하여 사전에 협약을 체결하는 방법을 고안했다. 이를 서비스수준규약 (Service Level Agreement)이라 한다. 163) SLA란 계약당사자들이 실무적인 필요에 의하여 만든 개념이므로 이에 관한 법률적 학문적 개념정립이 이루어진 것은 아니다. 하지만 현재 일 반적으로 사용되고 있는 개념정의를 살펴보면 광의로는 SLA란 기대되는 서비스 수준에 대하여 계약당사자들 사이에 사전에 협약을 체결하는 경우 를 말한다. 예를 들어, 정보처리서비스 사업자가 ASP최종소비자인 이용자 들에게 시스템이나 응용서비스는 어떻게 운용되어 서비스가 제공되며, 그 리고 어떠한 운용상의 문제가 발생하였을 때 문제해결을 위하여 얼마나 빠르게 대처하는지 등에 대한, 즉 기대되는 서비스 수준들에 대하여 당사 자 간에 사전에 협약을 체결하는 것이다. 하지만 협의로 SLA는 계약관계에서 정한 당사자들의 급부의무를 더 구 체화하는, 즉 제공해야 하는 서비스의 양과 질을 구체화하는 약정을 의미 한다. 이 개념정의에 의하면 SLA는 개별적인 급부의무의 발생근거가 되 는 것이 아니라, 이미 계약상으로 정해진 급부의무의 내용을 구체화하는 역할을 갖는다. SLA를 통하여 개별적인 급부의무가 별도로 발생할 수 있 163) 이충훈, ASP 이용계약의 법적 고찰, 부동산법학 8집, 386면

147 다면 이미 정해진 계약과 모순이 발생할 수 있기 때문이다. 이러한 측면 에서 SLA는 주로 네트워크를 이용하여 자신의 비즈니스를 영위하는 기업 고객들을 대상으로 서비스 사업자가 사전에 서비스의 구체적인 성능을 제 시하는 서비스라고 할 수 있다. SLA라는 개념을 대신하여 종종 Service Level Requirement(SLR)이라는 개념이 사용된다. 그러나 이 두 개의 개념은 서로 배치되는 것이 아니고, 오히려 SLR은 공고단계, 청약의 단계에서 그리고 계약체결단계에서는 SLA로 일컬어지는 것으로 볼 수 있다. 결국 통칭하여 SLA로 쓰지만, 계 약의 교섭단계가 길게 진행되는 경우에 해당 교섭과정에서 논의된 서비스 수준의 상태(Status)를 구분하기 위하여 별도의 개념을 사용할 필요가 있 을 때 SLR과 SLA를 나누는 것이 의미가 있을 것이다. 2. SLA의 활용과 그 범위 오늘날 SLA는 거의 모든 정보기술 산업 영역에서 계약을 통하여 서비 스 제공자가 부담하는 급부의 질적 수준을 상세히 기술하고 그러한 수준 을 보장받기 위하여 활용되고 있다. 소프트웨어 점검계약, 하드웨어의 매 매 내지 점검계약의 영역에서 뿐만 아니라, 복합적인 아웃소싱계약에 있 어서도 SLA는 다양한 서비스 유형들을 위해 활용되고 있으며 클라우드 서비스에서도 SLA는 빠질 수 없는 수단으로 논해지고 있으며 점차 실무 에서 SLA를 필수적인 계약의 구성요소로 활용하고 있는 실정이다. SLA는 클라우드 서비스 이용계약을 체결하면서 서비스 수준에 대한 클 라우드 서비스 사업자가 부담하는 서비스 내용의 최소기준을 제시하는 역 할을 하게 된다. 소비자 측에서 바라보면 SLA는 서비스 제공자의 품질을 비교하고, 가격과 성능을 선택할 수 있는 기회를 제공한다는 측면 외에 서비스 제공자의 성능을 감사하여 서비스 보증에 만족하지 않을 경우 서 비스 제공자에게 그 책임을 부담지울 수 있는 법적 근거를 제공하는 역할 을 하고 있다

148 미국이나 일본의 경우 클라우드 서비스 사업자는 최종소비자와 서비스 제공계약을 체결하기 전에 SLA를 제시하여, 자신의 서비스 제공의 범위 와 구체적인 서비스 수준에 관한 협의하고 자신이 제공할 서비스의 품질 을 보증하는 것이 일반적이다. 3. SLA가 약관에 해당하는지 여부 SLA는 일단 다수의 상대방과 계약을 체결하기 위하여 사업자 측에서 미리 마련해 놓은 계약의 내용이라는 점에서는 약관에 해당할 수 있는 여 지가 크다. 그러나 SLA를 구성하는 개개의 내용 중 대다수의 내용은 고객의 시스 템의 성능에 따라 달라질 가능성이 크다. 예를 들어 SLA의 평가지표에서 중요한 의미를 갖게 되는 가용성이나 데이터 손실률, 지연 전송률, 네트워 크 수용능력 등은 고객의 컴퓨터 성능이나 회선의 종류, 하드웨어 서버의 종류, 접속자 수 등에 의하여 수치가 달라질 수밖에 없다. 즉 시스템의 성 능에 따라 계약의 내용이 고객 마다 달라지므로, 클라우드 서비스 사업자 와 최종소비자사이의 개별적인 약정을 통하여 계약의 내용을 결정하는 것 이 선행될 수밖에 없다. 따라서 SLA는 약관이라 볼 수 있는 여지가 상당 히 작아질 수밖에 없는 특성이 존재한다. 164) 4. SLA의 법적 성질 SLA는 클라우드 서비스 이용계약을 체결하면서 클라우드 서비스제공자 가 최종소비자에게 제공할 수 있는 서비스의 수준에 대한 보증을 내용으 로 하는 양당사자 사이의 합의를 말한다. SLA는 양당사자가 합의한 내용 을 문서화하고 있는 것으로, 법적 효력을 부여하는 것이 타당하다. 165) 164) 이충훈, ASP 이용계약의 법적 고찰, 부동산법학 8집, 390면. 165) 한국 ASP산업컨소시움에서 만든 SLA작성지침 案 에서도 SLA는 IT서비스 제공자간 또는 IT 서비스 제공자와 고객기업간 체결하는 기본계약서와는 별도로 서비스수준 등 구체적이고 기술

149 이러한 측면에서 SLA는 클라우드 서비스 이용계약에 종된 계약이라 할 수 있다. 즉 SLA는 클라우드 서비스이용계약에 부수하여 체결되고 그에 종속된 계약으로서 클라우드 서비스이용계약이 무효, 취소 등으로 소멸하 면 SLA도 효력을 상실한다고 볼 수 있다. SLA에 규정된 내용은 특히 클라우드 서비스제공자의 책임을 구성하게 되며, 클라우드 서비스제공자가 SLA에서 보증하고 있는 평가지표상의 내 용을 준수하지 못한다면, 채무불이행책임을 부담하게 된다. 5. 클라우드컴퓨팅 서비스의 SLA의 구조분석 중요 클라우드컴퓨팅 서비스의 공급자의 경우 일반적으로 유사한 구조 의 서비스레벨협정을 제시하고 있다. 이를 구성하고 있는 요소로는 서비 스 책임의 명시, 관련용어의 정의, 서비스의 가용성에 대한 내용, 보상에 관한 내용, 서비스레벨협정의 적용배제를 들 수 있다. 가. 서비스 책임 (Service Commitment)에 대한 명시 Google Apps Service Level Agreement "During the Term of the applicable Google Apps Agreement (the Agreement ), the Google Apps Covered Services web interface will be operational and available to Customer at least 99.9% of the time in any calendar month (the "Google Apps SLA"). If Google does not meet the Google Apps SLA, and if Customer meets its obligations under this Google Apps SLA, Customer will be eligible to receive the Service Credits described below. This Google Apps SLA states Customer's sole and exclusive remedy for any failure by 적인 사항에 대한 상호간 협약사항을 기술한 부속서를 말하며 법적 구속력을 갖는다고 규정하 고 있다

150 Google to meet the Google Apps SLA." Gmail SLA. Google은 Gmail 웹 인터페이스가 올바르게 작동하고 고 객에게 99.9%의 서비스 이용가능 시간을 보장할 수 있도록 상업적으 로 합당한 모든 노력을 기울입니다. Google이 약속한 대로 서비스를 제공하지 못하여 고객에게 아래 정의된 서비스 성능 문제가 발생한 경우 고객은 아래에 기술된 서비스 크래딧을 받을 수 있습니다('Gmail SLA'). Amazon EC2 Service Level Agreement "AWS will use commercially reasonable efforts to make Amazon EC2 available with an Annual Uptime Percentage (defined below) of at least 99.95% during the Service Year. In the event Amazon EC2 does not meet the Annual Uptime Percentage commitment, you will be eligible to receive a Service Credit as described below." Amazon S3 Service Level Agreement "AWS will use commercially reasonable efforts to make Amazon S3 available with a Monthly Uptime Percentage (defined below) of at least 99.9% during any monthly billing cycle (the Service Commitment ). In the event Amazon S3 does not meet the Service Commitment, you will be eligible to receive a Service Credit as described below. " 나. 용어의 정의(Definitions) 등 Google Apps Service Level Agreement "Downtime" means, for a domain, if there is more than a five

151 percent user error rate. Downtime is measured based on server side error rate. "Downtime Period" means, for a domain, a period of ten consecutive minutes of Downtime. Intermittent Downtime for a period of less than ten minutes will not be counted towards any Downtime Periods. "Google Apps Covered Services" means the Gmail, Google Calendar, Google Talk, Google Docs, Google Groups and Google Sites components of the Service. This does not include the Gmail Labs functionality, Google Apps Postini Services, Gmail Voice or Video Chat components of the Service. "Monthly Uptime Percentage" means total number of minutes in a calendar month minus the number of minutes of Downtime suffered from all Downtime Periods in a calendar month, divided by the total number of minutes in a calendar month. "Scheduled Downtime" means those times where Google notifies Customer of periods of Downtime at least five days prior to the commencement of such Downtime. There will be no more than twelve hours of Scheduled Downtime per calendar year. Scheduled Downtime is not considered Downtime for purposes of this Google Apps SLA, and will not be counted towards any Downtime Periods. "Service" means the Google Apps for Business service (also known as Google Apps Premier Edition), Google Apps for ISPs service (also known as Google Apps Partner Edition), or Google Apps for Education service (also known as Google Apps Education Edition) (as applicable) provided by Google to Customer under the Agreement

152 다음 정의는 Gmail SLA에 적용됩니다. '중단시간'은 도메인에서 사용자 오류율이 5% 이상인 경우를 의미합 니다. 중단시간은 서버 측 오류율을 기준으로 측정됩니다. '중단기간'은 도메인에서 중단시간이 수 분간 지속되는 경우를 의미합 니다. 10분 미만의 일시적인 중단시간은 중단기간에 포함되지 않습니 다. '월별 가동시간 비율'은 월별 총 시간(분)에서 월별 총 중단기간 동안 의 중단시간(분)을 뺀 후 이를 월별 총 시간(분)으로 나눠 계산합니다. '계획된 중단시간'은 Google이 중단시간 발생 5일 전에 고객에게 미리 중단시간을 고지하는 경우를 의미합니다. 계획된 중단시간은 연간 12 시간을 초과할 수 없습니다. 계획된 중단시간은 본 Gmail SLA에서 중단시간으로 간주되지 않으며 중단기간에 포함되지 않습니다. '서비스'는 Google Apps for Business 계약에 따라 Google이 귀하에 게 제공하는 Google Apps for Business 서비스를 의미합니다. '서비스 크래딧'은 (a) 월별 가동시간 비율이 99.0% %인 경우 서 비스 기간이 끝난 후 3일간 무상으로 제공되는 추가 서비스, (b) 월별 가동시간 비율이 95.0% %인 경우 서비스 기간이 끝난 후 7일간 무상으로 제공되는 추가 서비스 또는 (c) 월별 가동시간 비율이 95.0% 미만인 경우 서비스 기간이 끝난 후 15일간 무상으로 제공되는 추가 서비스를 의미합니다. Amazon S3 Service Level Agreement Error Rate means: (i) the total number of internal server errors returned by Amazon S3 as error status InternalError or ServiceUnavailable divided by (ii) the total number of requests during that five minute period. We will calculate the Error Rate for each Amazon S3 account as a percentage for each five minute period in the monthly billing cycle. The calculation of the number

153 of internal server errors will not include errors that arise directly or indirectly as a result of any of the Amazon S3 SLA Exclusions (as defined below). Monthly Uptime Percentage is calculated by subtracting from 100% the average of the Error Rates from each five minute period in the monthly billing cycle. A Service Credit is a dollar credit, calculated as set forth below, that we may credit back to an eligible Amazon S3 account. Amazon EC2 Service Level Agreement Service Year is the preceding 365 days from the date of an SLA claim. Annual Uptime Percentage is calculated by subtracting from 100% the percentage of 5 minute periods during the Service Year in which Amazon EC2 was in the state of Region Unavailable. If you have been using Amazon EC2 for less than 365 days, your Service Year is still the preceding 365 days but any days prior to your use of the service will be deemed to have had 100% Region Availability. Any downtime occurring prior to a successful Service Credit claim cannot be used for future claims. Annual Uptime Percentage measurements exclude downtime resulting directly or indirectly from any Amazon EC2 SLA Exclusion (defined below). Region Unavailable and Region Unavailability means that more than one Availability Zone in which you are running an instance, within the same Region, is Unavailable to you. Unavailable means that all of your running instances have no external connectivity during a five minute period and you are unable to launch replacement instances

154 The Eligible Credit Period is a single month, and refers to the monthly billing cycle in which the most recent Region Unavailable event included in the SLA claim occurred. A Service Credit is a dollar credit, calculated as set forth below, that we may credit back to an eligible Amazon EC2 account. 다. 서비스 가용성 (Service Credits) 등 Google Apps Service Level Agreement "Service Credit" means the following: '서비스 크래딧'은 (a) 월별 가동시간 비율이 99.0% %인 경우 서 비스 기간이 끝난 후 3일간 무상으로 제공되는 추가 서비스, (b) 월별 가동시간 비율이 95.0% %인 경우 서비스 기간이 끝난 후 7일간 무상으로 제공되는 추가 서비스 또는 (c) 월별 가동시간 비율이 95.0% 미만인 경우 서비스 기간이 끝난 후 15일간 무상으로 제공되는 추가 서비스를 의미합니다. Amazon S3 Service Level Agreement Service Credits are calculated as a percentage of the total charges paid by you for Amazon S3 for the billing cycle in which the error occurred in accordance with the schedule below. We will apply any Service Credits only against future Amazon S

155 payments otherwise due from you; provided that, we may issue the Service Credit to the credit card that you used to pay for Amazon S3 for the billing cycle in which the error occurred. Service Credits shall not entitle you to any refund or other payment from AWS. A Service Credit will be applicable and issued only if the credit amount for the applicable monthly billing cycle is greater than one dollar ($1 USD). Service Credits may not be transferred or applied to any other account. Unless otherwise provided in the AWS Agreement, your sole and exclusive remedy for any unavailability or non-performance of Amazon S3 or other failure by us to provide Amazon S3 is the receipt of a Service Credit (if eligible) in accordance with the terms of this SLA or termination of your use of Amazon S3. Amazon EC2 Service Level Agreement If the Annual Uptime Percentage for a customer drops below 99.95% for the Service Year, that customer is eligible to receive a Service Credit equal to 10% of their bill (excluding one-time payments made for Reserved Instances) for the Eligible Credit Period. To file a claim, a customer does not have to have wait 365 days from the day they started using the service or 365 days from their last successful claim. A customer can file a claim any time their Annual Uptime Percentage over the trailing 365 days drops

156 below 99.95%. We will apply any Service Credits only against future Amazon EC2 payments otherwise due from you; provided that, we may issue the Service Credit to the credit card that you used to pay for Amazon EC2 for the billing cycle in which the error occurred. Service Credits shall not entitle you to any refund or other payment from AWS. A Service Credit will be applicable and issued only if the credit amount for the applicable monthly billing cycle is greater than one dollar ($1 USD). Service Credits may not be transferred or applied to any other account. Unless otherwise provided in the AWS Agreement, your sole and exclusive remedy for any unavailability or non-performance of Amazon EC2 or other failure by us to provide Amazon EC2 is the receipt of a Service Credit (if eligible) in accordance with the terms of this SLA or termination of your use of Amazon EC2. KT의 클라우드서비스 166) KT의 클라우드 서비스는 월 누적 장애를 최소 43분으로 하는 99.9% 의 높은 시스템 가용성을 보장한다. 또 월 누적 장애시간이 43분 이상 초과할 경우 초과 장애시간에 대해 해당 이용요금의 100배를 보상해 주는 파격적인 보상 비율을 제시하고 있다. 일반적으로 국내 호스팅 업체의 경우 월 누적 장애시간 24시간을 기준으로 했을 때 보상비율 이 장애시 요금의 3배정도 수준인데 반하여 KT 클라우드 서비스가 보상 비율을 사용 요금의 100배로 정한 것은 전세계적으로도 최고 수 준의 SLA를 보장해 주고 있다. 향후에는 %의 가용성을 보장할 수 있도록 할 계획인 만큼 서비스 신뢰성 향상에 지속적으로 노력하 166) 성현희 기자, CIO Biz , KT, 장애시 100배 보상 '파격' 클라우드 SLA

157 고 있다. 라. 고객의 서비스 크레딧 요청의무와 절차 등 Google Apps Service Level Agreement Customer Must Request Service Credit. In order to receive any of the Service Credits described above, Customer must notify Google within thirty days from the time Customer becomes eligible to receive a Service Credit. Failure to comply with this requirement will forfeit Customer s right to receive a Service Credit. Maximum Service Credit. The aggregate maximum number of Service Credits to be issued by Google to Customer for any and all Downtime Periods that occur in a single calendar month shall not exceed fifteen days of Service added to the end of Customer s term for the Service. Service Credits may not be exchanged for, or converted to, monetary amounts. 고객의 서비스 크래딧 요청 의무. 위에 명시된 서비스 크래딧을 받으 려면 고객이 서비스 크래딧을 받을 자격이 된 날로부터 삼십(30)일 이 내에 Google에 통지해야 합니다. 본 요구사항을 준수하지 않을 경우 고객은 서비스 크래딧을 받을 수 없습니다. 최대 서비스 크래딧. 1개월 동안 발생한 일부 또는 총 중단기간에 대 해 Google이 고객에게 서비스 기간 만료일 이후에도 추가로 제공하는 서비스 크래딧의 최대 일 수는 15일을 초과할 수 없습니다. 서비스 크 래딧은 금전적인 보상으로 교환하거나 전환할 수 없습니다. Amazon S3 Service Level Agreement

158 To receive a Service Credit, you must submit a request by sending an message to amazon.com. To be eligible, the credit request must (i) include your account number in the subject of the message (the account number can be found at the top of the AWS Account Activity page); (ii) include, in the body of the , the dates and times of each incident of non-zero Error Rates that you claim to have experienced; (iii) include your server request logs that document the errors and corroborate your claimed outage (any confidential or sensitive information in these logs should be removed or replaced with asterisks); and (iv) be received by us within ten (10) business days after the end of the billing cycle in which the errors occurred. If the Monthly Uptime Percentage applicable to the month of such request is confirmed by us and is less than 99.9%, then we will issue the Service Credit to you within one billing cycle following the month in which the error occurred. Your failure to provide the request and other information as required above will disqualify you from receiving a Service Credit. Amazon EC2 Service Level Agreement To receive a Service Credit, you must submit a request by sending an message to amazon.com. To be eligible, the credit request must (i) include your account number in the subject of the message (the account number can be found at the top of the AWS Account Activity page); (ii) include, in the body of the , the dates and times of each incident of Region Unavailable that you claim to have experienced including instance ids of the instances that were running and affected during the time

159 of each incident; (iii) include your server request logs that document the errors and corroborate your claimed outage (any confidential or sensitive information in these logs should be removed or replaced with asterisks); and (iv) be received by us within thirty (30) business days of the last reported incident in the SLA claim. If the Annual Uptime Percentage of such request is confirmed by us and is less than 99.95% for the Service Year, then we will issue the Service Credit to you within one billing cycle following the month in which the request occurred. Your failure to provide the request and other information as required above will disqualify you from receiving a Service Credit. 마. 서비스레벨협정의 적용배제 Google Apps Service Level Agreement Google Apps SLA Exclusions. The Google Apps SLA does not apply to any services that expressly exclude this Google Apps SLA (as stated in the documentation for such services) or any performance issues: (i) caused by factors described in the Force Majeure section of the Agreement; or (ii) that resulted from Customer s equipment or third party equipment, or both (not within the primary control of Google). Gmail SLA 배제. Gmail SLA는 본 Gmail SLA가 명시적으로 제외된 모든 서비스(해당 서비스의 문서에 명시됨) 및 (i) Google의 합당한 제 어범위를 벗어나는 요소 (ii) 고객 또는 제3자의 특정 행위 또는 태만 (iii) 고객의 장비 및 제3자 장비(Google의 주된 관리 대상이 아님)에 의해 발생한 성능 문제에는 적용되지 않습니다. 고객이 본 Gmail SLA를 이용하는 경우 Gmail SLA가 Google이 서비스를 제공하지 못

160 한 데 대한 독점적 구제 조치가 됩니다. Amazon S3 Service Level Agreement The Service Commitment does not apply to any unavailability, suspension or termination of Amazon S3, or any other Amazon S3 performance issues: (i) that result from Service Suspensions described in Section 7.1 of the AWS Agreement; (ii) caused by factors outside of our reasonable control, including any force majeure event or Internet access or related problems beyond the demarcation point of Amazon S3; (iii) that result from any actions or inactions of you or any third party; (iv) that result from your equipment, software or other technology and/or third party equipment, software or other technology (other than third party equipment within our direct control); or (v) arising from our suspension and termination of your right to use Amazon S3 in accordance with the AWS Agreement (collectively, the Amazon S3 SLA Exclusions ). If availability is impacted by factors other than those used in our calculation of the Error Rate, we may issue a Service Credit considering such factors in our sole discretion. Amazon EC2 Service Level Agreement The Service Commitment does not apply to any unavailability, suspension or termination of Amazon EC2, or any other Amazon EC2 performance issues: (i) that result from Service Suspensions described in Section 7.1 of the AWS Agreement; (ii) caused by factors outside of our reasonable control, including any force majeure event or Internet access or related problems beyond the demarcation point of Amazon EC2; (iii) that result from any actions

161 or inactions of you or any third party; (iv) that result from your equipment, software or other technology and/or third party equipment, software or other technology (other than third party equipment within our direct control); (v) that result from failures of individual instances not attributable to Region Unavailability; or (vi) arising from our suspension and termination of your right to use Amazon EC2 in accordance with the AWS Agreement (collectively, the Amazon EC2 SLA Exclusions ). If availability is impacted by factors other than those explicitly listed in this agreement, we may issue a Service Credit considering such factors in our sole discretion. 제3절 클라우드컴퓨팅 서비스 약관과 그 통제 클라우드컴퓨팅 서비스 제공자와 이용자 사이의 이용계약은 일반적으로 클라우드컴퓨팅 서비스 이용약관과 각종 정책에 의하여 규율되고, 이용자 가 특별한 서비스를 이용하기 위하여 해당 서비스별 이용약관에 동의하게 되면 이러한 개별약관도 계약의 내용이 된다. 1. 클라우드컴퓨팅 서비스 약관의 특징과 문제점 가. 전자약관으로서의 클라우드컴퓨팅 서비스 약관 클라우드컴퓨팅 서비스와 관련하여 일반이용약관은 클라우드컴퓨팅 서 비스 사업자가 운영하는 홈페이지에 대한 회원가입과 기본적인 이용계약 에 관한 내용이 주된 것을 이룬다. 그리고 서비스별 이용약관은 특수한

162 서비스에 관한 이용계약의 내용으로서 많은 경우에 유료 서비스로 제공되 고 있다. 기본적으로 클라우드컴퓨팅 서비스 계약은 통신망을 통하여 체결되기 때문의 위의 약관들은 전자약관으로서의 특수한 성격을 갖는다. 즉 일방 당사자가 다수의 상대방과 계약을 체결하기 위하여 인터넷과 같은 개방형 시스템 하에서 컴퓨터 등 연산 작용에 의한 정보처리장치를 통해 일정한 형식에 따라 미리 마련한 약관으로서 계약의 내용이 되고 있다. 전자약관 은 전자적 변환을 거쳐야만 이용자가 인식할 수 있으며 링크의 설정과 같 은 사업자의 배려 없이는 그 존재를 인식하기 어렵다는 특징을 갖는다. 그리고 비대면적인 상황에서 개시되어 현실적인 교부나 설명이 어렵다는 단점이 있다. 그러나 현재 다양한 연구를 통하여 합리적인 전자약관의 명시 및 설명 이 이루어질 수 있는 모델을 실무에서 만들어서 사용하고 있다. 즉 현재 전자약관은 계약체결시 별도의 창을 통하여 이용자가 그에 동의를 해야만 계약체결단계가 진행하도록 되어 있으며, 이러한 방식으로 약관의 명시의 무는 충분히 이행한 것으로 보고 있다. 또한 약관의 설명의도 Q&A를 통 하여 자세하게 설명하고 있으면 충분히 이행한 것으로 평가되고 있어 현 재 제대로 약관 편입을 하고 있지 않은 클라우드컴퓨팅 서비스 제공자는 없는 것으로 평가된다. 실제로 이용자들이 이용계약을 체결할 때 약관의 내용을 숙지하지 않은 경우가 많아서 오히려 문제가 되고 있다. 나. 클라우드컴퓨팅 서비스 정책의 의미 클라우드컴퓨팅 서비스 약관에서 주요사항을 규정하면서 일정한 쟁점에 대하여는 별의 정책에 위임하는 경우가 많다. 이러한 정책(예: 개인정보보 호정책, 청소년보호정책 등)은 약관에 담기에 너무 많거나, 비회원에게도 적용되었으면 하는 내용을 담고 있다. 또한 각종 부대서비스에 관하여도 별도의 세부이용지침을 통하여 세부적인 사항을 정하는 경우가 있다

163 약관과의 관계에서 보면 약관에서 직접 이러한 정책 내지 이용지침을 언급하는 경우가 있다. 이와 같이 약관이 직접 내용상 언급하고 있는 경 우에는 정책이라는 명칭과 상관없이 약관으로 보는 것이 타당하다. 특히 개인보호정책의 경우는 이용자의 권리를 제한하는 규정을 갖고 있는 경우 가 대부분이어서, 이용자가 회원가입을 할 때 이용약관과 함께 별도로 동 의를 받는 경우가 많으므로 약관이라고 볼 수 있는 충분한 근거가 있다. 그에 반하여 다른 정책 내지 세부이용지침의 경우는 대부분은 약관에서 직접 언급하는 경우가 없다. 그런데 이러한 정책 내지 세부이용지침의 법 적 성격이 무엇인지가 문제되며 더 나아가서 정책 내지 세부이용지침을 약관으로 보아서 약관규제법에 의한 통제가 가능한지가 문제된다. 아직 대법원에서 이 문제를 판단한 적은 없지만, 서울고등법원 판결에서 운영 정책은 약관 유사의 것으로서 계약내용으로서 이용자와 회사 사이의 법적 구속력을 가지기 위해서는 개별적인 동의를 받아야 한다고 판시하였 다. 167) 그런데 대부분의 클라우드컴퓨팅 서비스의 경우도 그러하지만, 본 사안의 온라인 게임회사에서도 해당 운영정책에 대하여 이용자의 동의를 받은 적이 없으므로 계약의 내용으로 직접적으로 편입한 적이 없다고 판 단하였다. 다만 운영정책에서 정한 제재사유와 제재정도가 약관에 의한 이용제한의 가능성 범위 내에 있고 또한 계약당사자의 정당한 이익과 합 리적인 기대에 부합하는 한도에서 그 제재가 허용될 수 있다고 판단하였 다. 즉 약관의 해당규정에서 운영정책에 그 구체적인 내용을 위임하는 경 우가 많은데, 이러한 경우에도 운영정책이 약관의 내용을 통하여 예상 가 능한 한도에서만 효력이 가질 수 있다고 판단한 것이다. 다. 클라우드컴퓨팅 서비스 약관의 규제와 문제점 (1) 관계법령의 준수영부와 약관규제법에 따른 불공정성 심사 167) 서울고등법원 선고, 2006나20025 판결

164 클라우드컴퓨팅 서비스 약관은 전자약관으로서의 형태적 특이성으로 인 하여 서면형 약관이 아니라는 점, 새로운 사업유형에 관한 약관으로서 아 직 표준적인 규율내용이 알려져 있거나 마련되어 있다는 점 등에서 이용 자보호에 소홀할 수 있는 가능성을 안고 있다. 약관의 불공정성을 판단함에 있어서는 관계 법령의 준수여부와 약관규 제법의 위반여부를 기본적으로 판단해야 한다. 관계법령으로서는 약관규 제법, 전자거래기본법, 전자상거래소비자보호법, 정보통신망법, 전기 통신사업법, 콘텐츠산업진흥법 등이 있다. 대부분의 클라우드컴퓨팅 서비 스 약관들은 관계 법령을 준수하고 있음을 선언하고 있고 해당 법률이 계 약관계도 적용되고 있음을 천명하고 있으나, 이러한 약관규정과 상관없이 해당 법률을 준수하고 있는지는 첫 번째 단계에서 심사해야 할 것이다. 두 번째로는 개별규정에 대한 약관규제법의 불공정성 심사를 거쳐야 한 다. 이러한 관점에서 본 연구는 이하에서 중요한 클라우드컴퓨팅 서비스 약관들을 분석하여 불공정한 약관조항을 추려내고 표준적인 조항내용을 제시해 보려고 한다. (2) 클라우드컴퓨팅 서비스약관규제의 개선점 약관규제법 제19조의2에 근거한 표준약관제도는 약관이 거래 계에 유 통되기 전에 이를 바로 잡을 수 있는 사전심사의 성격을 갖는 것으로서, 개별사업자가 약관을 스스로 작성하는데 드는 비용과 수고를 절감하고, 약관사용에 따르는 위험을 줄이며, 고객도 표준약관을 믿고 안심하고 서 비스를 이용할 수 있는 장점을 갖는다. 약관규제법 제19조의 2 표준약관 ➀ 사업자 및 사업자단체는 건전한 거래질서를 확립하고 불공정한 내용의 약관이 통용되는 것을 방지하기 위하여 일정한 거래분야에서 표준이 될 약관을 마련하여 그 내용이 이 법에 위반되는지 여부에 관 하여 공정거래위원회에 심사를 청구할 수 있다

165 ➁ 소비자기본법 제29조의 규정에 따라 등록한 소비자단체 또는 동법 제33조의 규정에 따라 설립된 한국소비자원(이하 소비자단체 등 이라한다)은 소비자피해가 자주 일어나는 거래분야의 표준이 될 약 관을 마련할 것을 공정거래위원회에 요청할 수 있다. ➂ 공정거래위원회는 제2항의 규정에 따른 소비자단체 등의 요청이 있는 경우 또는 일정한 거래분야에서 다수의 고객에게 피해가 발생하 는 경우에 이를 조사하여 약관이 없거나 불공정약관조항이 있는 경우 사업자 및 사업자단체에 대하여 표준이 될 약관을 마련하여 심사청구 할 것을 권고할 수 있다. ➃ 공정거래위원회는 사업자 및 사업자단체가 제3항의 권고를 받은 날부터 4월 이내에 필요한 조치를 하지 아니하는 경우 관련분야의 거 래당사자 및 소비자단체 등의 의견을 듣고 관계부처의 협의를 거쳐 표준이 될 약관을 마련할 수 있다. ➄ 공정거래위원회는 제1항 제3항 및 제4항의 규정에 따라 심사하 거나 마련한 약관(이하 표준약관 이라 한다)을 공시하고 사업자 및 사업자단체에 대하여 그 사용을 권장할 수 있다. ➅ 공정거래위원회로부터 표준약관의 사용을 권장받은 사업자 및 사 업자단체는 표준약관과 다른 약관을 사용하는 경우에 표준약관과 다 르게 정한 주요내용을 고객이 알기 쉽게 표시하여야 한다. ➆ 공정거래위원회는 표준약관의 사용을 활성화하기 위하여 표준약 관표지를 정할 수 있으며, 사업자 및 사업자단체는 표준약관을 사용하 는 경우 공정거래위원회가 고시하는 바에 따라 표준약관표지를 사용 할 수 있다. ➇ 사업자 및 사업자단체는 표준약관과 다른 내용을 약관으로 사용 하는 경우 표준약관표지를 사용하여서는 아니된다. ➈ 사업자 및 사업자단체가 제8항의 규정을 위반하여 표준약관표지 를 사용하는 경우 표준약관의 내용보다 고객에게 더 불리한 약관의 내용은 내용은 무효로 본다

166 클라우드컴퓨팅 서비스에 대해 사업자나 이용자가 합리적인 이익조정의 기준에 대하여 정확한 인식을 갖기 어려운 면이 있으므로, 사업자단체나 정부가 거래현실에 부합하는 표준약관을 작성 보급하는 것도 충분히 고 려할 가치가 있을 것이다. 2. 클라우드컴퓨팅 서비스 약관의 현황 <클라우드 컴퓨팅 관련 주요 약관> 1. 구글앱스 for Domain ( 2. 구글 앱스 엔진 ( Paas 형태의 구글서비스 3. MS Office Live ( 이 약관은 MS Office Live 자체만의 약관이라기 보다는 MS Office Live를 포함한 MS사의 서비스 전반에 대한 약관에 해당함 4. IBM Lotus Live( SaaS 형태의 IBM의 서비스 5. 틸론의 ecloud서비스( 6. KT의 UCloud서비스( 7. Myspace.com의 웹기반서비스 ( 8. 아마존 웹서비스 이용약관( 9. Salesforce.com의 Force.com이용약관 (

167 3. 클라우드 컴퓨팅 서비스 약관의 내용통제 클라우드컴퓨팅 서비스 제공자가 서비스 이용자인 고객에게 제공하는 서비스 약관의 공정성 여부는 약관규제법에 따른 공정성 판단 척도에 따 라 결정된다. 여기서 약관을 제시받는 고객의 범위에는 소비자는 물론 사 업자도 포함되므로 BtoC에서 사업자가 사용하는 약관뿐만 아니라 BtoB에 서 사업자가 다수의 사업자와 계약을 체결하기 위하여 사용하는 약관에도 약관규제법에 의한 내용통제가 가능하다. 따라서 이하에서 구체적으로 살 펴보게 될 약관규정의 공정성 여부는 소비자는 물론 사업자에 대한 클라 우드컴퓨팅 서비스 약관에 대하여 공통적으로 적용될 수 있는 내용이다. 다만 각 거래영역에 대한 특수한 법리가 있는 경우에는 별도로 기술하는 방식으로 논의를 진행하려고 한다. 가. 담보책임을 배제 또는 면제하는 조항 모든 유형의 담보책임을 배제하는 조항은 약관규제법 제7조 제3호에 의 하여 무효이다. 또한 특정한 하자에 대한 담보책임을 제한하는 규정도 클 라우드컴퓨팅 서비스가 유상으로 제공되는 한도에서는 무효이다. 이러한 측면에서 이용료감액 청구권을 배제 내지 중대하게 제한하는 것도 허용되 지 않는다. 약관규제법 제7조 면책조항의 금지 계약당사자의 책임에 관하여 정하고 있는 약관의 내용 중 다음 각 호 의 1에 해당하는 내용을 정하고 있는 조항은 이를 무효로 한다. 1. 사업자, 이행보조자 또는 피용자의 고의 또는 중대한 과실로 인한 법률상의 책임을 배제하는 조항 2. 상당한 이유 없이 사업자의 손해배상범위를 제한하거나 사업자가 부담하여야 할 위험을 고객에게 이전시키는 조항 3. 상당한 이유 없이 사업자의 담보책임을 배제 또는 제한하거나 그

168 담보책임에 따르는 고객의 권리행사의 요건을 가중하는 조항 또는 계 약목적물에 관하여 견본이 제시되거나 품질 성능 등에 관한 표시가 있는 경우 그 보장된 내용에 대한 책임을 배제 또는 제한하는 조항 담보책임에 기한 손해배상청구권을 완전히 배제될 수 없는 것은 앞의 경우와 동일하다. 그밖에 손해배상조항과 관련된 내용은 뒤에서 관련 내 용에서 별도로 자세히 논하려고 한다. 마지막으로 해제권을 완전히 배제하는 조항도 원칙적으로 허용되지 않 지만, 이용자에게 하자보수 내지 추완이행을 청구할 수 있는 권리가 부여 된 경우에는 해제권의 배제가 예외적으로 허용된다. 하지만 이 경우에도 하자보수 내지 추완이행 후에도 하자가 제거되지 않은 때에는 해제권을 인정하고 있어야지만 해당 조항이 유효성에 문제가 없을 것이다. 이 때 소비자에게는 해제권을 행사할 수 있음을 알려줄 필요가 있지만, 사업자 의 경우에는 이러한 법률적 상황은 어느 정도 알고 있다는 것을 전제해야 하기 때문에 해제권의 행사가능성을 알릴 필요까지는 없을 것이다. 또한 하자보수 내지 추완이행으로 인하여 발생하는 비용을 원칙적으로 이용자 에게 부담시켜서는 안 된다. 여기서 논의된 이용료 감액청구권 내지 해제권에 관한 이용자의 권리는 소프트웨어 또는 하드웨어 자체에 하자가 있는 것이 아니라, 권리의 하자 가 존재하는 경우에도 동일하게 인정된다. 따라서 클라우드컴퓨팅 서비스 제공자가 지적재산권을 이용할 수 있는 권리를 저작권자로부터 확보하지 않아서 이용자에게 이러한 권리를 부여하지 않은 경우에 대한 책임과 관 련하여서도 위의 논의가 그대로 적용될 수 있다. 나. 비용조항 전형적인 비용조항(Kostenklauseln)의 예로는 고객이 담보책임상의 권 리를 행사하였으나, 하자가 존재하지 않거나 회사에 귀속될 수 있는 사유

169 로 인한 것이 아니어서 담보책임이 성립하지 않은 경우에는 권리행사에 대하여 귀책사유가 있는 고객은 사업자에게 이로 인하여 발생한 비용을 지급할 책임이 있다., 회사는 소프트웨어가 변경되거나, 제시된 환경 이 외에서 사용되거나 잘못 이용됨으로 인하여 발생한 추가비용을 고객에게 청구할 수 있다. 하자를 찾지 못한 경우에도 비용을 청구할 수 있다., 고객이 클라우드 시스템의 하자를 신고함으로써 이를 검사면서 비용이 발생한 때 검수 후 하자를 발견할 수 없었고 고객이 주의를 다하였다면 하자가 없다는 사실을 인식할 수 있었다면 회사는 이 비용을 고객에게 청 구할 수 있다. 등이 있다. 클라우드컴퓨팅 서비스의 종류와 상관없이 이용자가 하자의 존재를 신 고한 경우에 사업자에게는 하자의 존재를 검사하는데 비용이 발생한다. 다. 손해배상조항(Schadensersatzklauseln) (1) 무과실책임에 관한 조항 클라우드컴퓨팅 서비스와 관련하여 서비스 제공자가 계약상 무과실책임 을 부담하는 경우는 담보책임이 성립하는 경우와 특정한 서비스 내용을 보증(SLA)하였으나 해당 내용이 충족되지 않은 경우이다. 보증한 특정한 내용에 대한 책임을 배제하거나 제한하여 손해배상청구권을 결국 배제하 거나 제한하는 규정은 허용되지 않는다(약관규제법 제7조 제2호). 그에 반 하여 담보책임은 일정한 한도 내에서는 배제가 가능하다. 담보책임에 관한 약관규제법 제7조 제3호는 매매계약 및 기타 유상계약에 서 사업자가 부담해야 하는 하자담보책임을 배제 또는 제한하거나 그 청 구요건을 가중하는 조항을 무효로 규정하고 매매목적물에 관하여 견본이 제시되거나 품질 성능 등에 관한 표시가 있는 경우, 그 보장된 내용에 대한 책임을 배제 또는 제한하는 조항도 무효로 규정하고 있다. 168) 168) 자동차의 할부매매계약에 매수인이 인수한 자동차에 대한 애프터서비스는 별도 회사가 교부

170 담보책임이란 계약의 당사자가 급부한 목적에 하자가 있는 경우에 부담 하여야 하는 책임으로 민법상 매매에 관하여 기본적인 규정이 있고(민법 제569조~581조) 그것을 유상계약 일반에 준용하도록 되어 있지만(민법 제 567조), 증여 도급 소비대차 등에는 별도의 특칙이 마련되어 있다. 민법 제571조 이하에서는 하자담보책임의 효과로서 계약해제권, 손해배상청구권, 대금감액청구권, 완전물이행청구권 등을 규정하고 있다. 담보책임의 면책약 정과 관련하여 민법 제584조는 매도인은 전 15조에 의한 담보책임을 면하 는 약관을 한 경우에도 매도인이 알고 고지하지 아니한 사실 및 제3자에게 권리를 설정 또는 양도한 행위에 대하여는 책임을 면하지 못한다. 고 규정 한다. 이러한 민법규정은 편면적 강행규정이어서 매도인이 권리흠결이나 물 건의 하자를 알고도 매수인에게 고지하지 않은 경우, 그 권리흠결이나 하자 에 대한 면책특약은 무효이다. 또한 매도인이 스스로 제3자에게 권리를 설 정 또는 양도한 행위에 대해서도 면책약정은 무효이다. 위 두 경우 책임 면 제뿐 아니라 책임의 제한에 관한 특약도 무효라고 해석된다. 매도인이 악의 로 묵비한 것이 아닌 권리흠결이나 물건의 하자에 대하여 매도인과 매수인 의 책임면제 또는 제한에 관한 합의가 있는 경우에는 그 약정에 의하는데 그 약정은 개별약정으로서 약관에 의한 합의추정이 아니어야 한다. 이 경우 에도 민법규정의 적용배제의 결과 또는 약정의 내용이 매도인과 매수인의 이익형평을 해치는 경우에는 신의칙에 어긋나게 된다. 169) 민법 제567조 유상계약에의 준용 본절의 규정은 매매 이외의 유상계약에 준용한다. 그러나 그 계약의 한 보증서에 의하고 회사는 인도 이후의 자동차에 대한 하자담보책임을 지지 아니한다 라는 조 항이 하자담보책임의 부당한 배제에 해당한다. 독일에는 중고자동차의 매매계약에서 매도인의 약관에 조사한 때로 그리고 모든 하자담보책임을 배제한 채로 중고차를 사용하겠음 이라는 포 괄적 면책조항이 독일약관법 제9조에 어긋나지 않는다는 판례가 있다(BGHZ 74, 383 = NJW 79, 188). 이 판례에 대해서는 하자담보책임을 전부 배제하지 말고, 최소한 몇몇 하자에 대하여 는 무료의 하자보수청구권을 인정하고 사업자에게 성능하자로 인한 손해배상책임을 감면시키는 편이 타당하다고 하는 비판이 있다. 169) 이은영, 약관규제법, 박영사, 1994, 233면 이하

171 성질이 이를 허용하지 아니하는 때에는 그러하지 아니하다. 민법 제568조 매매의 효력 ➀ 매도인은 매수인에 대하여 매매의 목적이 된 권리를 이전하여야 하며 매수인은 매도인에게 그 대금을 지급하여야 한다. ➁ 전항의 쌍방의무는 특별한 약정이나 관습이 없으면 동시에 이행하 여야 한다. 민법 제571조 동전-선의의 매도인의 담보책임 ➀ 매도인이 계약 당시에 매매의 목적이 된 권리가 자기에게 속하지 아니함을 알지 못한 경우에 그 권리를 취득하여 매수인에게 이전할 수 없는 때에는 매도인은 손해를 배상하고 계약을 해제할 수 있다. ➁ 전항의 경우에 매수인이 계약 당시 그 권리가 매도인에게 속하지 아니함을 안 때에는 매도인은 매수인에 대하여 그 권리를 이전할 수 없음을 통지하고 계약을 해제할 수 있다. 민법 제584조 담보책임면제의 특약 매도인은 전15조에 의한 담보책임을 면하는 특약을 한 경우에도 매도 인이 알고 고지하지 아니한 사실 및 제3자에게 권리를 설정 또는 양 도한 행위에 대하여는 책임을 면하지 못한다. (2) 과실책임에 관한 조항 클라우드컴퓨팅 서비스와 관련하여 서비스 제공자의 고의 과실로 인하 여 손해배상책임이 발생할 수 있는 경우는 의무위반으로 인한 채무불이행 책임(이행지체, 이행불능, 불완전이행 등)과 불법행위책임이다. 이 경우에 경과실에 대한 면책은 허용되나 고의 내지 중과실에 대한 면책은 약관규 제법 제7조제1호에 의하여 허용되지 않는다. 이는 사업자인 경우는 물론 사업자의 피용자 내지 이행보조자의 고의 내지 중대한 과실을 배제하는 경우에도 마찬가지이다

172 라. 서비스 가용성에 대한 책임 클라우드컴퓨팅 서비스 시스템에 장애가 발생하여 서비스가 중단되거나 정보가 손실되는 등의 문제가 발생할 가능성은 충분히 있는 바, 이에 대 비하여 클라우드컴퓨팅 서비스제공자가 어느 범위까지 서비스 가용성을 보증할 것인가를 결정하는 것은 클라우드컴퓨팅 서비스의 신뢰확보와 안 정적 성장 기반 마련을 위해 매우 중요한 사항일 것이다. 이용자는 클라우드컴퓨팅 서비스가 언제든지 이용가능하고 자신들의 정 보가 손실될 위험이 없다는 점이 보증될 것을 요구할 것이나, 24시간 365 일 무사고를 100% 보장하는 것은 현실적으로 가능하지 않다. 이와 같이 서비스 실패에 대한 가능성은 항상 상존할 수밖에 없다. 아래의 표는 2008년도에 아마존의 S3서비스, 구글의 AppEngine과 Gmail 서비스에서 발생했던 기록이다. 결국 이러한 문제는 연중 서비스 오류 시간을 얼마나 단축할 수 있는가이다. 표 6-3 운영 중단의 경우 심각한 일을 야기할 수 있으므로, 클라우드컴퓨팅 서 비스의 모든 사용자들은 업무 연속성과 중단 없는 데이터 접근 권한을 확 인해야 한다. 운영 중단이나 붕괴는 항상 시스템과 네트워크 보안에 영향 을 주며, 기업의 생존 가능성에도 영향을 줄 수 있다. 몇몇 법률과 규정은 애플리케이션 가동을 계속 유지할 법적인 의무를 부과한다. 이러한 가용성의 문제에 있어서 규정 및 법률에 가동을 계속 유지할 의

173 무를 부과함에도 불구하고, 현재 구글 앱스(Google Apps), 아마존 웹서비 스(Amazon WebServices) 등 외국의 주요 클라우드컴퓨팅 서비스제공자 의 이용약관을 보면, 서비스 가용성에 대한 보증을 제공하지 않거나 면책 조항을 이용약관에 포함하는 경우가 많다. 보다 높은 서비스 가용성을 확보하기 위해서는 다수의 클라우드 컴퓨팅 제공자로부터 서비스를 받는 방법을 생각해 볼 수 있다. 물론 다수의 서 비스 제공자로부터 일관적인 서비스를 받기 위해서는 공통의 소프트웨어 인프라, 빌링시스템 등에서 비즈니스 연속성을 유지할 수 있는 조건이 전 제 되어야 한다. 또한 보다 높은 서비스 가용성을 확보하기 위해서 분산된 복수의 장소 에 정기적으로 백업이 필요하다. 다만, 서비스 제공자가 많은 Risk를 부담 할수록, 즉, 높은 수준의 서비스 수준을 보장할수록 요금이 증가하는 문제 가 생길 수는 있다. 가용성에 장애가 되는 것 중 하나는 DDoS 공격이다. DDoS 공격을 효 과적으로 차단하는 것도 가용성 확보를 위한 방법이다. 유틸리티 컴퓨팅 은 이러한 DDoS 공격에 대비하게 빠르게 시스템을 확장시키는 기능을 제공한다. 클라우드컴퓨팅은 SaaS 제공자에게 감행된 DDoS 공격을 유틸 리티 컴퓨팅 제공자에게 이전시켜 공격을 흡수함으로써 서비스 불능 사태 를 방지 할 수 있다. 170) 대부분의 평판이 좋은 클라우드컴퓨팅 서비스 제공자들은 재난 복구 및 업무 연속성을 위한 대책을 세우고 있다. 하지만, 이런 대책이 항상 충분 히 포괄적이거나 효율적이거나 정교한 것은 아닌 경우도 존재한다. 클라 우드컴퓨팅 서비스 제공자는 연속적인 운영을 적절한 수준으로 보장하기 위하여 클라이언트의 요구 등을 평가할 필요가 있을 것이다. 마. 수탁자에 대한 관리 감독 책임 170) 한국소프트웨어진흥원정책연구센터 클라우드 컴퓨팅 확산의 10대 장애 요소

174 기업이 클라우드컴퓨팅 서비스제공자에게 아웃소싱한 서비스가 실패할 경우, 클라우드컴퓨팅 서비스 이용 기업은 자신의 고객에게 직무상 부주 의(Professional negligence)에 따른 계약상 책임이나 불법행위에 따른 책 임(tortuous liablity) 171) 을 져야 할 수 있다. Failures in the services outsourced to the cloud provider may have a significant impact on the customer s ability to meet its duties and obligations to its own customers. The customer may thus be exposed to contractual and tortuous liability to its customers based on negligence. 172) 그러나 전형적인 IT아웃소싱과 달리, 클라우드컴퓨팅 서비스에 대해 위 탁자인 기업은 효율적인 통제 감독을 하기 곤란한 점이 있다. 전형적인 IT아웃소싱의 경우, 아웃소싱을 맡긴 고객은 통상적으로 데이터가 어디에 서 처리되고 있고 어디에 저장되어 있는지를 알고 있고 데이터 센터의 위 치가 정해져 있는데 반해, 클라우드컴퓨팅 서비스에서 데이터는 전 세계 의 데이터센터에 분산 저장될 수 있고, 여러 곳에 데이터의 복사본이 존 재 할 수 있다. 4. 사업자의 약관실태 조사와 표준약관(안) 가. 실태조사 클라우드 서비스와 관련된 대표적인 4개의 약관을 비교 분석하였고 이 하 도표에서 약관의 구체적인 규정 내용을 도식화한 것이다. 171) 민사상 의무 태만, 특허권, 저작권 침해, 비장(defamation)으로부터 발생하는 책임을 말한다. 계 약당사자가 아닌 누구든지 피해구제를 청구할 수 있다는 점에서 계약책임과는 구별된다. 172) ENISA, "Cloud Computing : Benefits, risks and recommendations for information security",

175 구글앱스 약관 for Domain KT의 ucloud 상품 이용약관 Microsoft 서비스 계약 틸론의 ecloud서비스 약관의 구성 약관 제1조 정의 제2조 서비스 제3조 고객의 의 무 제4조 제한 제5조 기술지원 서비스 제6조 구매, 지불, 세금 제7조 Google 고 급형 애플리케이 션 API 이용약관 제8조 기밀정보 제9조 소유권 및 이용제한 제10조 브랜드 표 시 제11조 홍보 제12조 진술 및 보증 제13조 보증의 면 책조항 제14조 배상 제15조 책임의 제 제16조 기간, 종 료 제17조 기타 제18조 구속력을 갖는 권한 및 계 약 제1조 목적 제2조 약관의 효력 및 변경 제4조 상품 이용계약 의 성립 제5조 상품 이용 거 절과 승낙의 제한 제6조 상품의 설명 제7조 상품의 변경 및 추가 제8조 상품의 이용 제9조 이용의 정지 제10조 이용의 휴지 제11조 상품이용요금 제12조 요금의 산정 및 일할 계산 제13조 요금 등의 납 입 및 납입청구 등 제14조 요금납입의 책임 제15조 요금 등의 확 인 및 이의신청 제16조 요금의 반환 제17조 회사의 의무 제18조 회원의 의무 제19조 청약철회 제20조 계약해지 제21조 손해배상 제22조 면책조항 제23조 약관 외 사항 제24조 분쟁의 해결 제1조 계약 포함 내용 제2조 서비스 사용 제3조 Windows Live ID 제4조 서비스 계정, 관련 계정 및 제3자가 부여한 계정 제5조 귀하의 콘텐츠 제6조 개인 정보 보호 제7조 소프트웨어 제8조 계약 변경 제9조 무보증 제10조 책임 제한 제11조 서비스 변경 및 취소 제12조 일반 약관 제13조 계약 당사자, 준 거법 및 분쟁 해결 장소 제14조 Microsoft에 대한 요금 지불 제15조 귀하에 대한 지불 제16조 Microsoft Office Live 제17조 Office.com 및 Office 웹 응용 프로그램 미디어 요소와 템플릿 제18조 Microsoft Points 제19조 MSN Video 제20조 Bing Mobile 음성 인식 검색 제1조 목적제2조 정의 제3조 약관의 명시와 개 정 제4조 서비스의 제공 제5조 회원가입 제6조 회원탈퇴 및 자격 상실 등 제7조 회원에 대한 통지 제8조 어린이 회원 가입 제9조 이용신청의 승낙과 제한 제10조 어린이 회원의 의 무 제11조 특칙 제12조 "elcloud 사이트" 의 의무 제13조 회원의 ID 및 비 밀번호에 대한 의무 제14조 이용자의 의무 제15조 계약의 성립 제16조 환불 제17조 서비스의 중단 제18조 게시물 및 데이터 의 관리 제19조 게시물에 대한 저 작권 및이용제한 제20조 면책 제21조 지적 소유권의 귀속 및 이용제한 제22조 분쟁해 결 제23조 준거법령 [표 6-4] 대표적인 약관의 구성

176 나. 표준약관(안) 클라우드 서비스 표준약관(안)은 디지털 콘텐츠 이용표준이용약관을 참 조하여 위 4개의 약관의 특수성을 반영하여 만들었다. 제1장 총칙 제1조 [목적] 이 약관은 온라인으로 제공하는 디지털콘텐츠(이하 콘텐츠 이라고 한다) 및 제반서비스의 이용과 관련하여 회사와 이용자와의 권리, 의 무 및 책임사항 등을 규정함을 목적으로 합니다. 본 조항은 디지털콘텐츠이용표준약관의 목적을 정하고 있다. 이 약관 은 회사 가 제공하는 디지털콘텐츠 및 제반서비스의 이용과 관련하여 회 사와 이용자와의 권리의무 및 책임사항, 기타 필요한 사항을 규정함을 목적으로 한다. 제2조 [정의] 이 약관에서 사용하는 용어의 정의는 다음과 같다. 1. 회사 라 함은 콘텐츠 산업과 관련된 경제활동을 영위하는 자로서 콘텐츠 및 제반서비스를 제공하는 자를 말합니다. 2. 이용자 라 함은 회사 의 사이트에 접속하여 이 약관에 따라 회사 가 제공하는 콘텐츠 및 제반서비스를 이용하는 회원 및 비회원을 말합 니다. 3. 회원 이라 함은 회사 와 이용계약을 체결하고 이용자 아이디(ID) 를 부여받은 이용자 로서 회사 가 제공하는 서비스를 지속적으로 이 용할 수 있는 자를 말한다

177 4. 비회원 이라 함은 회원 이 아니면서 회사 가 제공하는 서비스를 이용하는 자를 말합니다. 5. 콘텐츠 라 함은 정보통신망이용촉진 및 정보보호 등에 관한 법률 제 2조 제1항 제1호의 규정에 의한 정보통신망에서 사용되는 부호 문자 음 성 음향 이미지 또는 영상 등으로 표현된 자료 또는 정보로서, 그 보존 및 이용에 있어서 효용을 높일 수 있도록 전자적 형태로 제작 또는 처 리된 것을 말합니다. 6. 아이디(ID) 라 함은 회원 의 식별과 서비스이용을 위하여 회원 이 정하고 회사 가 승인하는 문자 또는 숫자의 조합을 말합니다. 7. 비밀번호(PASSWORD) 라 함은 회원 이 부여받은 아이디 와 일치 되는 회원 임을 확인하고 비밀보호를 위해 회원 자신이 정한 문자 또 는 숫자의 조합을 말합니다. 8. 서비스 수준계약 또는 SLA 는...에 게시되어 있는 서비스 수 준 계약을 말합니다. 제2조 [정의]는 회사 와 이용자, 그리고 회원 및 비회원 을 비롯하 여 콘텐츠 ID 비밀번호 에 대한 정의 규정이다. 정의규정에서 특징 적인 것은 제5호의 클라우드 서비스의 개념정의이며, 제8호의 서비스 수 준 계약(SLA)의 개념정의이다. SLA개념정의는 다음의 조항을 참조하였다. [참조조문] 구글앱스 for Domain 약관 제1조 정의 (8) '서비스 수준 계약' 또는 'SLA'는 다음 URL에 있는 서비스 수준 계약 을 의미합니다. 제3조 [신원정보 등의 제공] 회사 는 이 약관의 내용, 상호, 대표자 성명, 영업소 소재지 주소(소

178 비자의 불만을 처리할 수 있는 곳의 주소를 포함), 전화번호, 모사전송 번호, 전자우편주소, 사업자등록번호, 통신판매업 신고번호 및 개인정 보관리책임자 등을 이용자가 쉽게 알 수 있도록 온라인 서비스초기화 면에 게시합니다. 다만, 약관은 이용자가 연결화면을 통하여 볼 수 있도록 할 수 있습니 다. 이 조항은 전자상거래소비자보호법에 규정되어 있는 사업자의 신원정보 의무를 이행하기 위한 내용을 담고 있다. 거래의 특성상 소비자가 거래의 상대방인 사업자의 신원을 파악하기가 곤란하며, 이 점을 악용하는 경우 가 자주 발생하였다. 이로부터 소비자를 보호하기 위하여 사업자의 신원 정보 등을 이용자가 알기 쉬운 방법으로 게시하여야 한다는 규정을 두었 다. 사업자의 신원정보는 온라인으로 계약을 체결하는 이상 정보를 제공 하는 주체가 상품을 파는 사이버몰이던 디지털콘텐츠 사업자이던 상관없 이 동일하게 제공되어야 하므로 디지털콘텐츠의 경우 특별히 더 추가로 고려해야 할 점이 없다. 제4조 [약관의 게시 등] 1 회사 는 이 약관을 회원 이 그 전부를 인쇄할 수 있고 거래과정에 서 해당 약관의 내용을 확인할 수 있도록 기술적 조치를 취하여야 한다. 2 회사 는 이용자 가 회사 와 이 약관의 내용에 관하여 질의 및 응답을 할 수 있도록 기술적 조치를 취합니다. 3 회사 는 이용자 가 약관에 동의하기에 앞서 약관에 정하여져 있 는 내용 중 청약철회, 과오금의 환불, 해제ㆍ해지, 이용자에 대한 피해 보상 등과 같은 중요한 내용을 이용자가 쉽게 이해할 수 있도록 굵은 글씨 등으로 처리하거나 별도의 연결화면 또는 팝업화면 등을 제공하 여 이용자 의 확인을 구합니다

179 제4조 [약관의 게시 등]은 약관규제법상 약관의 명시 설명의무와 관련 된 것으로, 약관이 계약의 내용이 되기 위해서는 약관규제법상의 명시의 무와 설명의무를 사업자가 이행해야 하며(약관규제법 제3조 제1항 및 제2 항) 명시의무 내지 설명의무를 다하지 않은 상태에서 계약을 체결한 때 사업자는 해당 약관을 계약의 내용으로 주장할 수 없다(약관규제법 제3조 제3항). 제5조 [약관의 개정 등] 1 회사 는 콘텐츠산업진흥법, 전자상거래 등에서의 소비자보 호에 관한 법률, 약관의 규제에 관한 법률 등 관련 법령, 문화체 육관광부장관이 정하는 콘텐츠이용자보호지침, 기타 관계법령 또 는 상관습에 위배하지 않는 범위에서 이 약관을 개정할 수 있습니다. 2 회사 가 약관을 개정할 경우에는 적용일자 및 개정사유를 명시하 여 현행약관과 함께 서비스초기화면에 그 적용일자 14일 이전부터(중 대한 사항의 변경은 30일 이전부터) 적용일 후 상당한 기간동안 공지 하고, 기존회원에게는 개정약관을 전자우편주소로 발송합니다. 3 회사 가 약관을 개정할 경우에는 개정약관 공지 후 개정약관의 적용에 대한 이용자 의 동의 여부를 확인합니다. 동의 여부를 묻는 약관에 이용자가 동의 또는 거부의 의사표시를 하지 않으면 승낙한 것으로 간주하겠다는 내용도 함께 고지한 경우에 이용자가 거부의사 를 표시하지 않는다면 개정약관에 동의한 것으로 간주할 수 있습니다. 4 이용자 가 개정약관의 적용에 동의하지 않는 경우 회사 또는 이용자 는 온라인콘텐츠서비스 이용계약을 해지하거나, 회사 가 구 약관에 따른 서비스 제공이 기술적, 영업적으로 가능한 경우에는 구 약관대로 서비스를 제공할 수 있습니다. 이 때 회사 는 계약해지로 인하여 이용자 가 입은 손해를 배상합니다. 회사가 약관을 개정할 경우에는 그 개정약관은 그 적용일자 이후에 체

180 결되는 계약에만 적용되고 그 이전에 이미 체결된 계약에 대해서는 개정 전의 약관조항이 그대로 적용되도록 한다. 이미 계약을 체결한 이용자가 개정약관 조항의 적용을 받기를 원하는 뜻을 개정약관의 공지기간 내에 회사에 송신하여 회사의 동의를 받은 경우에는 개정약관의 조항이 적용된 다. [참조조문] KT의 ucloud 상품 이용약관 제2조 약관의 효력 및 변경 1본 약관의 내용은 서비스 화면에 게시하거나 기타의 방법으로 회원에게 공시하고, 이에 동의한 회원이 서비스에 가입함으로써 효력이 발생합니다. 2회사는 약관의 규제에 관한 법률, 정보통신망 이용촉진 및 정보보호 등 에 관한 법률 등 관련 법령에 위배되지 않는 범위에서 이 약관을 변경할 수 있으며, 약관이 변경된 경우에는 지체 없이 제1항의 방식에 따라 개정 약관의 적용일자 7일 전부터 적용일자 전일까지 공지합니다. 다만, 회원에 게 불리한 약관의 개정인 경우 공지 외에 일정기간 동안의 전자우편, 요 금청구서, SMS 등 수단을 통해 통지하도록 합니다. 3회사가 전항에 따라 개정약관을 공지 또는 통지하면서 회원에게 적용예 정일까지 회사에게 거부의 의사 표시를 하지 않으면 동의 의사표시가 표 명된 것으로 본다는 뜻을 명확하게 공지 또는 통지하였음에도 회원이 명 시적으로 거부의 의사표시를 하지 아니한 경우 회원이 개정약관에 동의한 것으로 봅니다. 4회원은 변경된 약관에 동의하지 않으면 서비스 이용을 중단하고 이용계 약을 해지할 수 있습니다. 5회사가 약관의 변경 시 본 조에 따른 조치를 하였음에도 불구하고 회원 이 변경된 약관을 인지하지 못하여 발생하는 손해에 대해 회사에서는 책 임을 지지 않습니다

181 틸론의 ecloud서비스 제3조 약관의 명시와 개정 1. elcloud 사이트 는 이 약관의 내용과 상호 및 대표자 성명, 영업소 소 재지 주소(소비자의 불만을 처리할 수 있는 곳의 주소를 포함), 전화번호, 팩스번호, 사업자등록번호 등을 서비스화면(전면)에 게재하여 이용자 들 이 가능 하도록 합니다. 다만, 약관의 내용은 이용자가 연결화면을 통하 여 볼 수 있도록 할 수 있습니다. 2. 회사는 약관의 규제에 관한 법률, 전자상거래 등에서의 소비자보호에 관한 법률, 소비자기본법 등 관련법을 위배하지 않는 범위에서 이 약관을 개정할 수 있습니다. 3. elcloud 사이트 의 약관을 개정할 경우에는 적용일자 및 개정사유를 명시하여 현행약관과 함께 해당 사이트의 초기화면에 그 적용일자 7일 이 전부터 적용일자 전일까지 공지합니다. 다만, 이용자들에게 불리하게 약관 을 개정할 경우에는 그 적용일자 30일 이전부터 적용일자 전일까지 공지 합니다. 4. elcloud 사이트 가 약관을 개정할 경우에는 그 개정약관은 그 적용일 자 이후에 체결되는 계약에만 적용되고 그 이전에 이미 체결된 계약에 대 해서는 개정전의 약관조항이 그대로 적용됩니다. 다만 이미 계약을 체결 한 이용자가 개정약관 조항의 적용을 받기를 원하는 뜻을 제3항에 의한 개정약관의 공지기간 내에 elcloud 사이트 에 송신하여 elcloud 사이트 의 동의를 받은 경우에는 개정약관 조항이 적용됩니다. 5. 이 약관에서 정하지 아니한 사항과 이 약관의 해석에 관하여는 전자상 거래 등에서의 소비자보호에 관한 법률, 약관의 규제등에 관한 법률, 공정 거래위원회가 정하는 전자상거래 등에서의 소비자보호지침 및 관계법령 또는 상관례에 따릅니다. 제6조 [약관의 해석]

182 이 약관에서 정하지 아니한 사항과 이 약관의 해석에 관하여는 콘 텐츠산업진흥법, 전자상거래 등에서의 소비자보호에 관한 법률, 약관의 규제에 관한 법률 등 관련 법령, 문화체육관광부장관이 정 하는 콘텐츠이용자보호지침, 기타 관계법령 또는 상관습에 따릅니 다. 약관은 계약의 내용이므로 이에 대한 해석은 법률행위의 해석에 해당한 다. 양당사자가 계약을 체결함에 있어서 약관의 내용이 정하고 있지 아니 한 사항이나 당 약관의 해석에 관하여는 콘텐츠산업진흥법, 전자상거래 등에서의 소비자보호에 관한 법률, 약관의 규제 에 관한 법률, 문화체육관 광부 장관이 정하는 디지털 콘텐츠 이용자 보호지침 및 관계법령 또는 상 관습에 따르도록 하였다. [참조조문] Microsoft 서비스 계약 제12조 일반 약관 1. 계약의 해석 본 계약의 모든 부분은 법률상 허용되는 최대한도로 적용됩니다. 법원에 서 본 계약의 일부를 현재 그대로 이행할 수 없다고 판결할 경우, 귀하와 당사는 관련 법률에 따라 이행 가능하도록 해당 조건을 유사한 조건으로 대체하나, 본 계약의 나머지 부분은 변경되지 않습니다. 본 계약은 서비스 사용과 관련된 귀하와 당사 간의 완전한 계약입니다. 본 계약은 귀하의 서비스 사용에 관한 종전의 계약이나 구두 또는 서면 진술에 우선합니다. 귀하가 서비스에 관하여 비밀 유지 의무가 있는 경우(예: 베타 테스터인 경우) 그러한 의무는 계속 유효합니다. 귀하가 다른 Microsoft 서비스를 사용하거나 그에 대한 요금을 지불하는 경우 다른 조건이 적용될한 의무 는 계속 본 계약 조항의 제목은 조건을 제한하지 않습니다. 독일 내에서 서비스에 액세스하고 있는 경우 있는 계

183 약이 적용됩니다. 제2장 회원가입 제7조 [회원가입] 1 회원가입은 이용자 가 약관의 내용에 대하여 동의를 하고 회원가 입신청을 한 후 회사 가 이러한 신청에 대하여 승낙함으로써 체결됩 니다. 2 회원가입신청서에는 다음 사항을 기재해야 합니다. 1호 내지 3호의 사항은 필수사항이며, 그 외의 사항은 선택사항입니다. 1. 회원 의 성명과 주민등록번호 또는 인터넷상 개인식별번호(단, 외국인인 경우 외국인등록번호 또는 여권번호를 통한 실명인증) 2. 아이디 와 비밀번호 3. 전자우편주소 4. 이용하려는 콘텐츠 의 종류 5. 기타 회사 가 필요하다고 인정하는 사항 3 회사 는 상기 이용자 의 신청에 대하여 회원가입을 승낙함을 원 칙으로 합니다. 다만, 회사 는 다음 각 호에 해당하는 신청에 대하여 는 승낙을 하지 않을 수 있습니다. 1. 가입신청자가 이 약관에 의하여 회원자격을 상실한 적이 있는 경 우 2. 실명이 아니거나 타인의 명의를 이용한 경우 3. 허위의 정보를 기재한 경우 4. 이용자의 귀책사유로 인하여 승인이 불가능하거나 회사의 규정에 의한 기타 제반 사항을 위반하여 신청하는 경우 4 회사 는 서비스 관련 설비의 여유가 없거나 기술상 또는 업무상 문제가 있는 경우에는 가입신청의 승낙을 유보 또는 거절할 수 있습 니다

184 5 제3항과 제4항에 따라 회원가입 신청의 승낙을 하지 아니하거나 유보 또는 거절한 경우 회사 는 이를 신청자에게 알려야 합니다. 회 사 의 귀책사유 없이 신청자에게 통지할 수 없는 경우에는 예외로 합 니다. 6 회원가입계약의 성립 시기는 회사 의 승낙이 이용자 에게 도달 한 시점으로 합니다. 디지털콘텐츠 이용 표준약관은 회사가 제공하는 사이트에 접속하여 디 지털콘텐츠 이용계약을 체결하는 경우에 적용되기 때문에 반드시 회원으 로 가입할 필요는 없다. 그러나 비회원의 경우 디지털콘텐츠를 이용함에 있어 회원의 경우보다 거래절차가 복잡하거나, 회원에게만 부여하는 혜택 등을 받을 수 없다는 단점이 있다. 디지털콘텐츠사업자가 온라인상 운영하는 서비스에 대한 회원가입은 이 용자가 약관에 동의하고 절차에 따라 회원가입신청으로 하고 신청한 내용 에 대해 회사가 승낙함으로써 체결된다. 서비스라는 용어가 의미하는 부 분에 있어서 디지털콘텐츠의 구매 또는 서비스 이용신청에서의 서비스와 구분하여야 할 필요성이 있다. 이용자는 회사가 정한 가입 양식에 따라 회원정보를 성실히 기입하고, 약관에 동의한다는 의사표시를 함으로써 회원가입을 신청하며 회사는 이 를 회사가 정한 실명확인절차를 거쳐 회원가입을 승낙하는 것을 원칙으로 한다. 온라인 가입신청 양식에 기재하는 모든 회원정보는 실제 데이터인 것으로 간주하며 실명이나 실제 정보를 입력하지 않은 이용자는 법적인 보호를 받을 수 없으며, 서비스 사용의 제한을 받을 수 있다. [참조조문] 틸론의 ecloud서비스 제5조 회원가입 1. 이용자는 "elcloud 사이트"가 정한 가입 양식에 따라 회원정보를 기입한

185 후 본 약관에 동의한다는 의사표시를 함으로써 회원가입을 신청합니다. 2. "elcloud 사이트"는 제1항과 같이 회원으로 가입할 것을 신청한 이용자 중 다음 각호에 해당하지 않는 한 회원으로 등록합니다. 1 가입신청자가 이 약관 제6조 제3항에 의하여 이전에 회원자격을 상실 한 적이 있는 경우, 다만 제6조 제3항에 의한 회원자격 상실 후 1개월이 경과한 자로서 "elcloud 사이트"의 회원재가입 승낙을 얻은 경우에는 예외 로 합니다. 2 등록 내용에 허위, 기재누락, 오기가 있는 경우 3 기타 회원으로 등록하는 것이 "elcloud 사이트"의 운영에 현저히 지장 이 있다고 판단되는 경우 3. 회원가입계약의 성립시기는 "elcloud 사이트"의 승낙이 회원에게 도달 한 시점으로 합니다. 제8조 [미성년자의 회원가입에 관한 특칙] 1 만 14세 미만의 이용자 는 개인정보의 수집 및 이용목적에 대하 여 충분히 숙지하고 부모 등 법정대리인의 동의를 얻은 후에 회원가 입을 신청하고 본인의 개인정보를 제공하여야 합니다. 2 회사는 부모 등 법정대리인의 동의에 대한 확인절차를 거치지 않 은 14세 미만 이용자에 대하여는 가입을 취소 또는 불허합니다. 3 만 14세 미만 이용자 의 부모 등 법정대리인은 미성년자에 대한 개인정보의 열람, 정정, 갱신을 요청하거나 회원가입에 대한 동의를 철회할 수 있으며, 이러한 경우에 회사 는 지체 없이 수집된 이용자 의 개인정보를 파기하는 등 필요한 조치를 취해야 합니다. 다만, 제12 조 제5항의 경우에는 그러하지 않습니다. 디지털시대에 있어서 개인정보에 대한 중요성을 고려하여 이러한 개인 정보의 가치판단에 있어서 아직 미숙한 만14세 미만의 이용자의 행위를 법정대리인의 동의를 받을 것을 조건으로 하여 동의를 받지 않은 14세 미

186 만 이용자의 회원가입에 대해서 가입을 취소하거나 불허하는 조항을 두어 이를 보호하고자 하는 것이다. 본 조항은 미성년자보호에 관한 규정으로 서 별도의 어린이 약관을 두지 않고 같은 약관을 사용하는 경우를 상정하 고 있다. 아래 참조조문의 경우는 별도의 어린이 약관을 두는 경우이다. [참조조문] 틸론의 ecloud서비스 제8조 어린이(14세 미만) 회원 가입 1. 어린이 회원은 회사가 정한 가입 양식에 따라 자신의 개인정보를 입력 하고 어린이 회원 약관에 동의한다는 의사표시를 합니다. 그리고 보호자 의 승낙을 받음을 증명하여 회사의 어린이 회원가입을 요청하게 됩니다. 2. 어린이 회원은 반드시 회원 본인의 정보를 제공하여야 하며, 보호자의 승낙을 받고 이를 사이트에서 규정한 방침에 따라 확인하여야만 회사의 서비스를 이용할 수 있습니다. 회사는 어린이 회원이 제공한 정보 및 보 호자의 승낙유무를 확인할 수 있으며, 회원과 보호자는 회사의 확인조치 에 대해 적극 협조하여야 합니다. 3. 어린이 회원 가입계약의 성립시기는 회사의 승낙이 어린이 회원에게 도달한 시점으로 합니다. 4. 어린이 회원이 만14세에 도달하면 elcloud 사이트 의 일반 회원으로 변경됩니다. 제9조 [회원정보의 변경] 1 회원 은 개인정보관리화면을 통하여 언제든지 자신의 개인정보를 열람하고 수정할 수 있습니다. 2 회원 은 회원가입신청 시 기재한 사항이 변경되었을 경우 온라인 으로 수정을 하거나 전자우편 기타 방법으로 회사 에 대하여 그 변 경사항을 알려야 합니다. 3 제2항의 변경사항을 회사 에 알리지 않아 발생한 불이익에 대하

187 여 회사 는 책임을 지지 않습니다. 본 조에서는 회원이 회원가입신청 시 기재한 사항에 변경된 내용이 있 을 경우 이에 대해서 회원이 개인정보 관리 화면을 통하여 개인정보를 열 람 수정하거나 전자우편 기타 방법으로 회사에 대하여 변경 사항을 알리 도록 하고 있다. 이는 회원정보의 변경에 관한 절차적인 규정이나, 제3항 의 경우로 인하여 회사에게도 이익이 있다. 즉 제3항에서 변경사항을 회 사에 알리지 않아 발생한 불이익에 대하여 회사가 책임을 지지 않는다고 규정하고 있는데, 이는 계약내용의 중요내용 등을 통지할 경우에 회원이 주소 또는 전자우편 등의 변경사항을 알리지 않아서 그 내용을 알지 못해 서 발생한 불이익에 대해서는 회사가 책임을 지지 않도록 규정하고 있다. 제10조 [ 회원 의 아이디 및 비밀번호 의 관리에 대한 의무] 1 회원 의 아이디 와 비밀번호 에 관한 관리책임은 회원 에게 있으며, 이를 제3자가 이용하도록 하여서는 안 됩니다. 2 회원 은 아이디 및 비밀번호 가 도용되거나 제3자에 의해 사 용되고 있음을 인지한 경우에는 이를 즉시 회사 에 통지하고 회사 의 안내에 따라야 합니다. 3 제2항의 경우에 해당 회원 이 회사 에 그 사실을 통지하지 않거 나, 통지한 경우에도 회사 의 안내에 따르지 않아 발생한 불이익에 대하여 회사 는 책임지지 않습니다. ID와 비밀번호의 관리에 있어서의 책임을 이용자에게 부과하여, 이를 제3자가 이용하는 것을 금지한다. 회원은 자신의 ID와 비밀번호가 제3자에 의해 무단으로 사용됨을 인지 한 경우에는 회사에 이 사실을 알리고 회사의 안내에 따라야 한다. 그러 나 이때의 무단 사용을 인지하였음에도 불구하고 이를 방치하거나 회사의 안내에 따르지 않아서 발생한 피해에 대해서는 회사는 책임을 지지 않는

188 것으로 규정한다. 즉, 회원의 아이디와 비밀번호가 제대로 관리되지 않아 서 손해가 발생하였을 때 누구의 책임으로 해당 손해를 돌릴 것인지를 결 정하기 위한 절차적인 규정이라고 할 수 있다. [참조조문] 틸론의 ecloud서비스 제13조 회원의 ID 및 비밀번호에 대한 의무 1. ID와 비밀번호에 관한 관리책임은 회원에게 있습니다. 2. 회원은 자신의 ID 및 비밀번호를 제3자에게 이용하게 해서는 안 됩니다. 3. 회원이 자신의 ID 및 비밀번호를 도난 당하거나 제3자가 사용하고 있 음을 인지한 경우에는 바로 "elcloud 사이트"에 통보하고 "elcloud 사이트" 의 안내가 있는 경우에는 그에 따라야 합니다. 제11조 [ 회원 에 대한 통지] 1 회사 가 회원 에게 통지를 하는 경우 회원 이 지정한 전자우편 주소 등으로 할 수 있습니다. 2 회사 는 회원 전체에게 통지를 하는 경우 14일 이상 회사 의 사이트의 초기화면에 게시하거나 팝업화면 등을 제시함으로써 제1항 의 통지에 갈음할 수 있다. 다만, 회원 본인의 거래와 관련하여 중 요한 사항에 대하여는 제1항에 따른 통지를 하여야 합니다. 본 규정은 회원에게 통지하는 방법으로 전자우편의 송신과 게시판의 게 시로 구분하고 있다. 전자는 특정 회원에 대한 통지 또는 회원 본인의 거 래와 관련하여 중대한 영향을 미치는 사항에 대한 통지방법에 해당한다. 이러한 경우로는 서비스내용의 변경, 재화 등의 인도 불가능, 배송료부담 등의 거래조건의 변경, 청약철회권 행사기간의 변경 등이 해당한다. 후자 는 불특정다수 회원에 대한 통지방법이다. 통지방법은 다양한 경우에 문제되는 것이므로 실무적으로 아주 중요한

189 의미를 갖는 것이므로, 계약내용의 변경, 약관의 변경, 서비스의 변경 등 으로 인하여 통지가 필요한 때 위 조문에 따른 절차를 밟게 된다. [참조조문] 틸론의 ecloud서비스 제7조 회원에 대한 통지 1. "elcloud 사이트"가 회원에 대한 통지를 할 경우 회원이 "elcloud 사이 트"에 제출한 이메일 주소로 할 수 있습니다. 2. 이 경우 허위의 전자우편주소를 기재하거나 변경된 전자우편주소를 "elcloud 사이트"에 통지하지 아니하여 발생하는 회원의 손해는 "elcloud 사이트"에서 책임지지 않습니다. 3. "elcloud 사이트"는 불특정다수 회원에 대한 통지의 경우 1주일 이상 "elcloud 사이트" 공지사항에 게시함으로써 개별 통지에 갈음할 수 있습니 다. 다만, 회원 본인의 거래와 관련하여 중대한 영향을 미치는 사항에 대 하여는 개별 통지를 합니다. 제12조 [회원탈퇴 및 자격 상실 등] 1 회원 은 회사 에 언제든지 탈퇴를 요청할 수 있으며 회사 는 즉시 회원탈퇴를 처리합니다. 2 회원 이 다음 각호의 사유에 해당하는 경우, 회사 는 회원자격을 제한 및 정지시킬 수 있습니다. 1. 가입신청 시에 허위내용을 기재한 경우 2. 회사 의 서비스이용대금, 기타 회사 의 서비스이용에 관련하여 회원이 부담하는 채무를 기일에 이행하지 않는 경우 3. 다른 사람의 회사 의 서비스이용을 방해하거나 그 정보를 도용하 는 등 서비스 이용 질서를 위협하는 경우 4. 회사 의 서비스를 이용하여 법령 또는 이 약관이 금지하거나 공 서양속에 반하는 행위를 하는 경우(단, 불법복제물 등을 게재하여 저

190 작권을 침해하는 경우에는 계정정지에 관한 저작권법 제133조의2에 의함) 3 회사 가 회원자격을 제한 정지시킨 적이 있는 회원이 제2항 각호 에서 금지한 행위를 반복하거나 회사 의 시정요구에 대하여 30일 이 내에 회원이 이에 따르지 않은 경우 회사 는 회원자격을 상실시킬 수 있습니다. 4 회사 가 회원자격을 상실시키는 경우에는 회원등록을 말소합니다. 이 경우 회원 에게 이를 통지하고, 회원등록 말소 전에 최소한 30일 이상의 기간을 정하여 소명할 기회를 부여합니다. 5 회사 는 회원 이 탈퇴하거나 회원자격을 상실하는 경우 회원 의 개인정보를 관련 법령에서 정한 범위와 절차에 따라 파기합니다. 클라우드 서비스의 이용을 목적으로 한 회원계약은 계속적 계약관계를 전제로 하고 있다. 따라서 당사자들이 계약관계를 지속하다가 그 존속여 부에 대하여 회의를 느끼고 이로부터 벗어나려고 하는 경우가 있을 것인 바, 계약법적으로 보면 당사자들은 계약관계의 해지를 요구하면 될 것이 다. 본 규정은 이러한 사정을 감안하여 회원계약의 해지에 관한 규정을 둔 것이다. 다만 해지라는 표현을 대신하여 이용자 측면에서는 회원탈퇴 그 리고 사업자 측면에서는 회원의 귀책사유로 인한 자격상실 내지 박탈이라 는 표현을 사용한 것이다. 제3장 콘텐츠이용계약 제13조 [ 콘텐츠 의 내용 등의 게시] 회사 는 다음 사항을 해당 콘텐츠 에 대한 거래가 이루어지는 화면 및 콘텐츠 이용초기화면에 이용자 가 알기 쉽게 표시합니다. 1. 콘텐츠 의 명칭 또는 제호

191 2. 콘텐츠 의 제작 연월일 3. 콘텐츠 제작자의 성명(법인인 경우에는 법인의 명칭), 주소, 전 화번호 4. 콘텐츠 의 내용, 이용방법, 이용료 기타 이용조건 5. 콘텐츠 별 이용가능기기 및 이용에 필요한 최소한의 기술사양에 관한 정보 6. 기타 회사 가 필요하다고 인정하는 사항 회사는 이용자가 개별적인 디지털콘텐츠 이용계약을 체결할 때 해당 제 품의 내용을 명확하게 인식하고 합리적인 구매의사를 결정할 수 있도록 계약을 체결하기 전에 디지털콘텐츠서비스 관련정보를 제공하여야 한다. 본 조 제1항은 전자상거래소비자보호법상 규정된 서비스 자체의 내용에 관한 정보제공의무를 사업자가 이행하기 위한 규정에 해당한다. 제2항은 콘텐츠산업진흥법상 규정되어 있는 기술사양에 관한 정보제공의무에 해당 한다. 제14조 [서비스이용계약의 성립 등] 1 이용자 는 회사 가 제공하는 다음 또는 이와 유사한 절차에 의 하여 이용신청을 합니다. 회사 는 계약 체결 전에 각 호의 사항에 관 하여 이용자 가 정확하게 이해하고 실수 또는 착오 없이 거래할 수 있도록 정보를 제공합니다. 1. 콘텐츠 목록의 열람 및 선택 2. 성명, 주소, 전화번호(또는 이동전화번호), 전자우편주소 등의 입력 3. 약관내용, 청약철회가 불가능한 콘텐츠 에 대해 회사 가 취한 조치에 관련한 내용에 대한 확인 4. 이 약관에 동의하고 위 제3호의 사항을 확인하거나 거부하는 표시 (예, 마우스 클릭) 5. 콘텐츠 의 이용신청에 관한 확인 또는 회사 의 확인에 대한 동

192 의 6. 결제방법의 선택 2 회사 는 이용자 의 이용신청이 다음 각 호에 해당하는 경우에는 승낙하지 않거나 승낙을 유보할 수 있습니다. 1. 실명이 아니거나 타인의 명의를 이용한 경우 2. 허위의 정보를 기재하거나, 제7조 제2항 제1호 내지 제3호의 필수 사항 또는 계약체결에 있어서 필수불가결한 정보내용을 기재하지 않 은 경우 3. 미성년자가 청소년보호법에 의해서 이용이 금지되는 콘텐츠 를 이용하고자 하는 경우 4. 서비스 관련 설비의 여유가 없거나, 기술상 또는 업무상 문제가 있는 경우 3 회사 의 승낙이 제16조 제1항의 수신확인통지형태로 이용자 에 게 도달한 시점에 계약이 성립한 것으로 봅니다. 4 회사 의 승낙의 의사표시에는 이용자 의 이용신청에 대한 확인 및 서비스제공 가능여부, 이용신청의 정정 취소 등에 관한 정보 등을 포함합니다. 본조는 클라우드 서비스 자체의 이용을 목적으로 체결하는 계약의 체결 절차를 규정한 조항이다. 이용신청이라 함은 일종의 구매신청으로 볼 수 있는데, 해당 서비스 제공 사이트에 접속하여 회원에 가입하는 것 이외에 사이트에서 이용 또는 구매하고자 하는 디지털콘텐츠에 대해서 이용신청 을 하는 경우에 관한 사항을 규정하는 것으로 콘텐츠의 검색과 선택에서 부터 이용을 신청하는데 필요한 절차와 방법 등을 규정한다. 구매신청으 로서의 청약은 구두나 서면 등의 행위로 행해질 수 있으며 전자적으로 행 해진 청약도 이와 같은 효력을 갖는다고 본다. 청약은 상대방이 이에 대 하여 승낙을 하는 때에 청약자를 구속하게 되는 것으로써 계약체결의 의 사표시이다

193 회사가 콘텐츠를 웹사이트에 전시하는 것은 대체적으로 청약으로 보기 보다는 청약의 유인으로 본다. 이는 이용자로 하여금 청약을 하도록 유인 하게 되는 것이며, 회사는 이용자의 청약에 대하여 승낙 또는 거절을 할 수 있게 되는 것이다. 이와 같이 이용자의 구매신청은 이용자와 회사 간 의 전자상거래 계약체결을 위한 청약으로 볼 수 있기 때문에 구매신청을 위한 표시로서 마우스를 클릭하는 행위는 전자적인 방법에 의한 의사표시 로서 구두 또는 서면으로 행해진 청약과 같은 효력을 가진다. [참조조문] KT의 ucloud 상품 이용약관 제4조 상품 이용계약의 성립 회원이 본 약관에 동의한다는 의사표시로써 동의함을 선택함과 함께 회 사에 대하여 상품 이용 신청을 하고 회사가 이를 승낙함으로써 상품에 대 한 이용계약이 성립됩니다. 제5조 상품 이용 거절과 승낙의 제한 회사는 다음의 각 호에 해당하는 신청에 대하여는 승낙을 하지 않을 수 있습니다. 1기술상 서비스 제공이 불가능한 경우 2실명이 아니거나, 타인의 명의를 도용하여 허위로 신청하는 경우 3이용자 등록 사항을 누락하거나 오기하여 신청하는 경우 4악성 프로그램 및 버그를 이용하거나 시스템 취약점을 악용하는 등 부 정한 방법을 서비스에 사용한 경우 5서비스를 신청한 자가 회사에 대하여 요금 등을 납부하지 않고 있는 경우 6법정대리인의 동의가 없이 미성년자가 유료 상품을 신청한 경우 7기타 회원의 귀책사유로 인하여 승낙이 곤란한 경우

194 틸론의 ecloud서비스 제9조 이용신청의 승낙과 제한 1. 회사는 제8조의 규정에 따른 어린이 회원의 가입계약 신청에 대하여 업무의 수행 및 기술상 지장이 없고, 정당한 보호자의 승낙을 얻은 것으 로 확인될 경우 원칙적으로 어린이 회원의 서비스 이용을 승낙합니다. 2. 회사는 아래 사항에 해당하는 경우, 그 사항이 해결될 때까지 어린이 회원의 가입에 대한 승낙을 제한할 수 있습니다. 1 회사가 설비의 여유가 없는 경우 2 회사가 기술상 지장이 있는 경우 3 기타 회사의 귀책사유로 이용승낙이 곤란한 경우 3. 회사는 아래 사항에 해당하는 경우, 이미 가입을 승낙하였더라도 회원 자격을 제한 시키거나 정지시킬 수 있습니다. 1 어린이 회원이 가입 신청시에 허위 개인정보를 제공한 경우 2 보호자의 승낙 없이 가입 신청을 한 경우 3 보호자의 승낙이 없었음에도 회사로 하여금 승낙이 있는 것처럼 믿도 록 기망하였고, 이 기망사실을 회사가 알게 된 경우 제15조 [미성년자 이용계약에 관한 특칙] 1 회사 는 만 20세 미만의 미성년이용자가 유료서비스를 이용하고 자 하는 경우에 부모 등 법정 대리인의 동의를 얻거나, 계약체결 후 추인을 얻지 않으면 미성년자 본인 또는 법정대리인이 그 계약을 취 소할 수 있다는 내용을 계약체결 전에 고지하는 조치를 취합니다. 2 미성년자가 유료서비스를 이용하고자 하는 경우 회사 에서 정하 는 월별 일정금액을 초과하는 경우에는 반드시 법정대리인의 동의를 얻어야 합니다. 미성년자보호에 관한 특칙규정으로서 전자상거래소비자보호법상의 규정 을 반영한 내용을 담고 있다. 계약을 체결하는 소비자가 미성년자인 경우 에 사업자는 법정대리인의 동의를 얻어야 하며, 법정대리인의 동의를 얻

195 지 못하는 경우에 미성년자 또는 법정대리인이 계약을 취소할 수 있다는 내용을 소비자인 미성년자에게 고지하여야 한다. 이는 사업자가 행위무능 력자와 계약을 체결한 경우에 행위무능력자의 보호를 위하여 민법에서 규 정하고 있는 행위무능력자의 권리를 고지하도록 한 것인데, 이는 앞에서 의 미성년자의 회원가입에 관한 특칙에서 규정한 개인정보보호와는 다르 게 유료서비스에서의 채무를 지는 계약체결이기 때문에 단순 이용을 위한 회원가입과는 별개의 문제로 파악되는 미성년자보호 조항이다. 제16조 [수신확인통지 이용신청 변경 및 취소] 1 회사 는 이용자 의 이용신청이 있는 경우 이용자 에게 수신확 인통지를 합니다. 2 수신확인통지를 받은 이용자 는 의사표시의 불일치 등이 있는 경 우에는 수신확인통지를 받은 후 즉시 이용신청 변경 및 취소를 요청 할 수 있고, 회사 는 서비스제공 전에 이용자 의 요청이 있는 경우 에는 지체 없이 그 요청에 따라 처리하여야 합니다. 다만, 이미 대금 을 지불한 경우에는 청약철회 등에 관한 제27조의 규정에 따릅니다. 본 조항은 서비스 제공자의 수신확인 통지의무를 규정하는 한편, 수신 확인 통지를 받은 이용자가 이용신청의 변경 및 취소 요청을 할 수 있는 근거를 마련하고 있다. 즉, 회사가 이용자로부터 이용신청을 받은 경우에 는 이에 관한 내용을 이용자에게 수신확인통지를 하도록 규정하고, 통지 를 받은 이용자는 의사표시의 불일치 등이 있는 경우에 즉시 구매신청 변 경 및 취소를 요청할 수 있도록 규정하여 분쟁이 발생할 가능성을 최소화 한다. 제17조 [ 회사 의 의무] 1 회사 는 법령과 이 약관이 정하는 권리의 행사와 의무의 이행을 신의에 좇아 성실하게 하여야 합니다

196 2 회사 는 이용자 가 안전하게 콘텐츠 를 이용할 수 있도록 개인 정보(신용정보 포함)보호를 위해 보안시스템을 갖추어야 하며 개인정 보보호정책을 공시하고 준수합니다. 3 회사 는 이용자 가 콘텐츠이용 및 그 대금내역을 수시로 확인할 수 있도록 조치합니다. 4 회사 는 콘텐츠이용과 관련하여 이용자 로부터 제기된 의견이나 불만이 정당하다고 인정할 경우에는 이를 지체없이 처리합니다. 이용 자가 제기한 의견이나 불만사항에 대해서는 게시판을 활용하거나 전 자우편 등을 통하여 그 처리과정 및 결과를 전달합니다. 5 회사 는 이 약관에서 정한 의무 위반으로 인하여 이용자 가 입 은 손해를 배상합니다. 서비스 제공자가 법령 기타 계약관계상 부담해야 할 중요의무를 열거하 고 있는 조항이다. 즉, 회사가 제공하는 서비스를 이용자가 대금을 지급하 고 이용하는 것인 만큼 회사는 이용자로 하여금 디지털콘텐츠를 이용함에 있어서 안정적이고 계속적인 서비스를 이용할 수 있게 하고, 이용자의 의 견이나 불만사항에 대하여 신속하게 처리 하여야 한다는 의무조항을 두었 다. 또한 이용자의 개인정보 유출의 경우에 대비하여 이를 보호하기 위한 보안시스템을 갖추어야 한다고 규정하고 있다. [참조조문] KT의 ucloud 상품 이용약관 제17조 회사의 의무 1회사는 본 약관이 정하는 바에 따라 지속적이고 안정된 유클라우드 서 비스를 제공하기 위하여 노력합니다. 2회사는 이용계약 체결 시 고객이 선택한 계약체결 내용 및 서비스 이용 과 관련하여 고객이 반드시 알아야 할 사항을 구두로 고지하거나, 약관 등에 표기하며, 고지 또는 표기하지 않은 경우 이에 대한 권리를 주장하

197 지 못합니다. 3회사는 유클라우드 서비스와 관련하여 회원으로부터 제기되는 불만사항 등이 정당하다고 판단하는 경우 그 문제를 신속하게 해결하도록 노력하 며, 신속한 처리가 곤란한 경우 그 사유와 처리일정을 회원에게 통지합니 다. 4회사는 네트워크 장애 등 문제 발생시 신속히 조치하고, 안정적인 서비 스 제공을 위해 최대한 노력합니다. 틸론의 ecloud서비스 제12조 "elcloud 사이트"의 의무 1. "elcloud 사이트"는 법령과 본 약관이 금지하거나 미풍양속에 반하는 행위를 하지 않으며 본 약관이 정하는 바에 따라 지속적이고, 안정적으로 재화용역을 제공하는 데 최선의 노력을 다합니다. 2. "elcloud 사이트"는 개인정보가 분실, 도난, 누출, 변조 또는 훼손되지 아니하도록 안정성 확보에 필요한 기술적/ 제도적 대책을 수립하여 안전 한 인터넷 서비스 이용을 도모합니다. 3. "elcloud 사이트"는 관련법령을 준수하고, 회원을 위한 고객 상담센터 운영을 통해 각종 민원의 해소를 위해 노력합니다. 제18조 [ 이용자 의 의무] 1 이용자 는 다음 행위를 하여서는 안 됩니다. 1. 신청 또는 변경 시 허위내용의 기재 2. 타인의 정보도용 3. 회사 에 게시된 정보의 변경 4. 회사 가 금지한 정보(컴퓨터 프로그램 등)의 송신 또는 게시 5. 회사 와 기타 제3자의 저작권 등 지적재산권에 대한 침해 6. 회사 및 기타 제3자의 명예를 손상시키거나 업무를 방해하는 행 위

198 7. 외설 또는 폭력적인 말이나 글, 화상, 음향, 기타 공서양속에 반하 는 정보를 회사 의 사이트에 공개 또는 게시하는 행위 8. 기타 관련 법령에서 금지하는 행위 2 이용자 는 이 약관의 규정, 이용안내 및 콘텐츠 와 관련하여 공 지한 주의사항, 회사 가 통지하는 사항 등을 준수하여야 한다. 본 조에서는 디지털콘텐츠 거래의 올바른 질서를 확립하고 신뢰성을 높 이기 위해 이용자가 회사가 제공하고 있는 온라인디지털콘텐츠 서비스를 이용함에 있어 이용자에게 일정한 의무를 부과하고 있다. 이용자의 금지사항으로 신청 또는 변경 시 허위내용의 기재, 타인의 정 보도용, 회사에 게시된 정보의 변경, 회사가 금지한 정보(컴퓨터 프로그램 등)의 송신 또는 게시, 회사와 기타 제3자의 저작권 등 지적재산권에 대 한 침해, 회사 및 기타 제3자의 명예를 손상시키거나 업무를 방해하는 행 위, 외설 또는 폭력적인 말이나 글, 화상, 음향, 기타 공서양속에 반하는 정보를 회사의 사이트에 공개 또는 게시하는 행위, 기타 관련 법령에서 금지하는 행위 등을 규정하여 이용자의 행위로 인한 분쟁이 발생하거나 회사의 원활한 서비스 제공이 방해받지 않도록 하기 위하여 이용자에게 일정한 의무를 부과 하는 것이다. [참조조문] KT의 ucloud 상품 이용약관 제18조 회원의 의무 1회원은 상품이용계약에 따라 요금을 지정된 기일까지 납입하여야 하고, 요금청구 주소 및 연락처 등 계약변경사항 발생시 이를 회사에 즉시 알려 야 하며, 이를 이행하지 않아 발생된 불이익은 고객의 책임으로 합니다. 2회원은 유클라우드 상품 이용과정에서 선량한 풍속 및 기타 사회질서에 반하는 행위 및 저작권법 등 관련 법령에 위반하는 행위를 하여서는 안됩 니다

199 3회원이 정보통신망 이용촉진 및 정보보호 등에 관한 법률이나 저작권법 등 관련 법령에 위반하거나 회원의 유클라우드 상품 이용과정에서 제3자 로부터 명예훼손이나 저작권 위반 등 권리침해 주장이 발생되는 경우, 회 사는 즉시 삭제, 임시조치 등 필요한 조치를 하고 이를 회원에게 통지하 는 등 관련 법령에 따른 조치를 합니다. 틸론의 ecloud서비스 제10조 어린이 회원의 의무 1. 어린이 회원은 다음의 행위를 하여서는 안됩니다. 1 신청 또는 변경 시 허위 내용 혹은 보호자의 동의를 얻은 것으로 오인 하도록 하는 행위 2 회사가 정한 정보 이외의 정보(컴퓨터 프로그램 등)의 송신 또는 게시 3 회사와 기타 제3자의 저작권 등 지적재산권에 대한 침해 행위 4 회사와 기타 제3자의 명예를 손상시키거나 업무를 방해하는 행위 5 폭력적, 외설적인 메시지, 화상, 음성 기타 공서양속에 반하는 정보를 회사에 공개 하거나 게시하는 행위 6 회사에 게시된 정보를 변경하거나 무단 도용하는 행위 2. 어린이 회원은 회사의 동의가 없는 한, 서비스의 이용권한 및 이용계약 상의 지위를 다른 사람에게 양도하거나 제공할 수 없습니다. 제14조 이용자의 의무 이용자는 다음 행위를 하여서는 안 됩니다. 1 개인용으로 구입한 소프트웨어는 업무용으로 사용할 수 없습니다. 2 신청 또는 변경 시 허위내용의 등록 3 "elcloud 사이트"에 게시된 정보를 변경하거나 고의로 변경을 시도하는 행위 4 "elcloud 사이트"가 정한 정보 이외의 정보(컴퓨터 프로그램 등)의 송 신 또는 게시

200 5 "elcloud 사이트" 및 기타 제3자의 저작권 등 지적재산권에 대한 침해 6 "elcloud 사이트" 및 기타 제3자의 명예를 손상시키거나 업무를 방해하 는 행위 7 외설 또는 폭력적인 메시지, 화상, 음성 기타 미풍양속에 반하는 정보 를 "elcloud 사이트"에 공개 또는 게시하는 행위 8 현금융통을 위해 신용카드를 사용하거나, 금감원, 수사기관 등의 제재 를 받을 수 있는 사항의 거래요청 9 "elcloud 사이트 " 의 정당한 관련서류 제출요구에 응하지 않는 행위 10 법령에 따라 온라인 유통이 금지되거나 제한되는 재화, 용역을 구매하 려는 행위 제19조 [지급방법] 콘텐츠 의 이용에 대한 대금지급방법은 다음 각 호의 방법 중 가능 한 방법으로 할 수 있습니다. 다만, 회사 는 이용자 의 지급방법에 대하여 어떠한 명목의 수수료도 추가하여 징수하지 않습니다. 1. 폰뱅킹, 인터넷뱅킹, 메일 뱅킹 등의 각종 계좌이체 2. 선불카드, 직불카드, 신용카드 등의 각종 카드결제 3. 온라인무통장입금 4. 전자화폐에 의한 결제 5. 회사가 발행 또는 인정한 유료캐쉬 또는 사이버 포인트에 의한 결 제 6. 회사 와 계약을 맺었거나 회사 가 인정한 상품권에 의한 결제 7. 전화 또는 휴대전화를 이용한 결제 8. 기타 전자적 지급방법에 의한 대금지급 등 본 조는 서비스 이용에 따른 이용료를 지급하는 방법에 관한 규정이다. 대금의 지급방법을 다양화함으로써 이용자가 좀 더 편리하게 이용을 하게 되어 콘텐츠 산업의 활성화에 기여할 것으로 생각된다. 그러나 한편으로

201 는 각종 지급방법에서 이용되는 개인정보의 유출로 인한 피해, 그리고 이 용자와 회사 간에 직접적으로 대금 지급이 이루어지는 것이 아니라 제3자 가 개입 되면서 발생하는 대금지급과 환급에 있어서의 지연문제, 분쟁이 발생할 경우 책임의 대상규명 등의 문제점들의 해결 되어야 할 부분일 것 이다. 제20조 [콘텐츠서비스의 제공 및 중단] 1 콘텐츠서비스는 연중무휴, 1일 24시간 제공함을 원칙으로 합니다. 2 회사는 서비스를 일정 영역으로 나누어 각 영역별로 이용 가능시 간을 별도로 정할 수 있으며, 이 경우 사전에 공지를 통해 회원에게 그 사실을 알립니다. 3 회사 는 컴퓨터 등 정보통신설비의 보수점검, 교체 및 고장, 통신 두절 또는 운영상 상당한 이유가 있는 경우 콘텐츠서비스의 제공을 일시적으로 중단할 수 있습니다. 이 경우 회사 는 제11조[ 회원 에 대한 통지]에 정한 방법으로 이용자 에게 통지합니다. 다만, 회사 가 사전에 통지할 수 없는 부득이한 사유가 있는 경우 사후에 통지할 수 있습니다. 4 회사 는 상당한 이유 없이 콘텐츠서비스의 제공이 일시적으로 중 단됨으로 인하여 이용자 가 입은 손해에 대하여 배상합니다. 다만, 회사 가 고의 또는 과실이 없음을 입증하는 경우에는 그러하지 아니 합니다. 5 회사 는 콘텐츠서비스의 제공에 필요한 경우 정기점검을 실시할 수 있으며, 정기점검시간은 서비스제공화면에 공지한 바에 따릅니다. 6 사업종목의 전환, 사업의 포기, 업체 간의 통합 등의 이유로 콘텐 츠서비스를 제공할 수 없게 되는 경우에는 회사 는 제11조[ 회원 에 대한 통지]에 정한 방법으로 이용자 에게 통지하고 당초 회사 에서 제시한 조건에 따라 이용자 에게 보상하거나 콘텐츠 사용이 가능하 도록 기술적 조치 또는 이전 조치 등을 제공합니다. 다만, 회사 가

202 보상기준 등을 고지하지 아니하거나, 고지한 보상기준이 적절하지 않 은 경우에는 이용자 들의 마일리지 또는 적립금 등을 현물 또는 현 금으로 이용자 에게 지급합니다. 본 조는 클라우드 서비스와 관련하여서는 매우 중요한 의미를 갖는 조 항으로서 서비스의 계속적 제공의무와 중단에 따른 서비스 제공자의 책임 에 관하여 규정하고 있다. 온라인디지털콘텐츠서비스는 온라인망을 통하 여 디지털신호의 전송으로 이루어지고, 계약의 이행과 대금결제까지도 전 자데이터의 송신형태로 이루어지게 된다. 따라서 안정성과 신뢰성의 확보 가 무엇보다 중요하다. 그러나 실제로는 데이터의 전송도중 시스템의 중 단, 오류발생 등의 사고가 생길 수 있다. 이와 같은 사고는 주로 전자기술 또는 온라인 기술의 기술적 한계, 천재지변, 불가항력적인 제3자의 행위 등에 의해서 야기될 수도 있지만, 통신설비의 용량부족이나 보안조치의 결여, 또는 이용자의 실수 등에 의한 경우도 있다. 이용자는 기술의 측면 에서 전문적인 지식이 부족하기 때문에 사업자의 과실을 입증하기가 매우 어려운 것이 사실이다. 따라서 회사로서는 사고의 발생 원인을 규명하기 어려운 시스템 사고까지도 이용자에게 책임을 전가하기 쉽다. 그러나 회 사는 통신회선 시스템 등을 포함한 제반 물적 인적 시설을 적절하게 설 치하고 유지 관리해야할 의무가 있다. 그러므로 회사가 전기통신법상의 의무를 이행하지 아니한 경우에는 고의 또는 과실이 추정될 수 있다. [참조조문] 틸론의 ecloud서비스 제17조 서비스의 중단 1. 회사는 컴퓨터 등 정보통신설비의 보수점검 교체 및 고장, 통신의 두 절 등의 사유가 발생한 경우에는 서비스의 제공을 일시적으로 중단할 수 있습니다. 2. 제1항에 의한 서비스 중단의 경우에는 회사는 제7조에 정한 방법으로

203 이용자에게 통지합니다. 3. 회사는 제1항의 사유로 서비스의 제공이 일시적으로 중단됨으로 인하 여 이용자 또는 제3자가 입은 손해에 대하여 회사의 고의 또는 과실이 없 는 경우에는 배상하지 아니합니다. Microsoft 서비스 계약 제9조 무보증 당사는 서비스를 '있는 그대로', '모든 오류와 함께', '제공된 대로' 제공하 며, 서비스에서 이용 가능한 정보의 정확성 또는 적시성을 보증하지 않습 니다. 귀하는 컴퓨터 및 통신 시스템에 장애가 발생할 수 있고 때때로 작 동이 중단될 수 있다는 것을 인정합니다. 당사는 서비스가 중단되지 않고, 적시에 안전하게 오류 없이 제공되며 데이터 손실이 발생하지 않는다는 것을 보증하지 않습니다. 당사 및 당사의 계열사, 재판매인, 판매인 및 공 급업체는 명시적인 보장, 보증 또는 조건을 제공하지 않습니다. 당사는 상 업성, 품질의 만족도, 특정 목적에의 적합성, 전문적 노력 및 비침해에 대 한 보증을 포함해 모든 묵시적 보증을 배제합니다. 귀하는 현지 법률에 따라 특정 권리를 가질 수 있으며, 그러한 권리가 적용되는 경우 본 계약 의 어떠한 내용도 그러한 권리에 영향을 주지 않습니다. 제21조 [서비스의 변경] 1 회사 는 상당한 이유가 있는 경우에 운영상, 기술상의 필요에 따 라 제공하고 있는 콘텐츠서비스를 변경할 수 있습니다. 2 회사 는 콘텐츠서비스의 내용, 이용방법, 이용시간을 변경할 경우 에 변경사유, 변경될 콘텐츠서비스의 내용 및 제공일자 등을 그 변경 전 14일 이상(중대하거나 이용자에게 불리한 경우는 30일 이상) 해당 콘텐츠초기화면에 공지합니다. 3 제2항의 경우에 변경된 내용이 중대하거나 이용자 에게 불리한 경우에는 회사 가 해당 콘텐츠서비스를 제공받는 이용자 에게 제

204 조[ 회원 에 대한 통지]에 정한 방법으로 통지하고 동의를 받습니다. 이때, 회사 는 동의를 거절한 이용자 에 대하여는 변경전 서비스를 제공합니다. 다만, 그러한 서비스 제공이 불가능할 경우 이용자 또는 회사는 계약을 해지할 수 있습니다. 4 회사 는 제1항에 의한 서비스의 변경 및 제3항에 의한 계약의 해 지로 인하여 이용자 가 입은 손해를 배상합니다. 본 조항은 서비스 자체의 변경에 따라 서비스 제공자가 취해야 하는 내 용을 규정하고 있다. [참조조문] KT의 ucloud 상품 이용약관 제7조 상품의 변경 및 추가 1 회사는 서비스 정책 결정을 통해서 제6조의 상품에 대하여 일정기간 공지를 통하여 수시로 변경하거나 해당 상품의 판매를 중단할 수 있으며, 신규 상품 또는 이벤트 상품을 추가할 수 있습니다. 2 일반상품 이용자가 QOOK인터넷 또는 SHOW데이터 요금제를 신규로 이용하게 될 경우 사이트에서 인증을 통해 QOOK인터넷 이용할인 상품 또는 SHOW데이터 요금제 이용자 할인 상품으로 변경 신청 하실 수 있 습니다. 3 QOOK인터넷 이용할인 상품 또는 SHOW데이터 요금제 이용자 할인 상품을 이용하고 계신 회원이 QOOK인터넷 또는 SHOW데이터 요금제를 해지하는 경우 할인 적용된 유클라우드 상품도 해지됩니다. 해지에 따른 요금 계산은 본 약관 제12조에 따라 일할 계산되어 익월에 청구됩니다. 4 QOOK인터넷 이용할인 상품 또는 SHOW데이터 요금제 할인상품을 이 용하는 회원의 경우 모회선(QOOK인터넷, SHOW)의 이용상태 변경(명의 변경, 요금제변경, 이용정지 등)에 따라 이용하고 계신 할인 상품의 대상의 요건에 부합하지 않을 경우 서비스 이용에 제한이 있을 수 있습니다

205 5 상품의 용량에 대한 변경 요청은 월 2회에 한하여 신청하실 수 있습니다. 제22조 [정보의 제공 및 광고의 게재] 1 회사 는 이용자 가 콘텐츠이용 중 필요하다고 인정되는 다양한 정보를 공지사항이나 전자우편 등의 방법으로 회원 에게 제공할 수 있습니다. 다만, 회원 은 언제든지 전자우편 등을 통하여 수신 거절 을 할 수 있습니다. 2 제1항의 정보를 전화 및 모사전송기기에 의하여 전송하려고 하는 경우에는 회원 의 사전 동의를 받아서 전송합니다. 3 회사 는 콘텐츠 서비스 제공과 관련하여 콘텐츠화면, 홈페이지, 전자우편 등에 광고를 게재할 수 있습니다. 광고가 게재된 전자우편 등을 수신한 회원 은 수신거절을 회사 에게 할 수 있습니다. 본 조항은 서비스 제공자가 정보 및 광고를 게재할 수 있는 근거조항을 마련해 주고 있다. [참조조문] 구글앱스 for Domain 약관 제2조 서비스 1. 범위... 서비스의 기본 설정은 서비스와 관련하여 Google에 의한 광고('광고') 제공을 허용하지 않는 설정입니다. 고객이 관리 콘솔을 통해 광고 제공을 허용하면 Google이 광고를 제공할 수 있는 권리를 부여받게 됩니다. 고객 은 Google이 광고 제공 권한을 부여받은 경우 해당 광고를 통해 발생된 Google의 수익이나 Google에 의해 시작 서비스로부터 파생된 모든 수익 을 Google이 보유하는 것에 동의하고 수익은 공유되지 않는다는 것에 동 의합니다

206 제23조 [게시물 및 데이터의 관리] 1 회사 는 게시판에 정보통신망이용촉진 및 정보보호 등에 관한 법률 을 위반한 청소년유해매체물이 게시되어 있는 경우에는 이를 지체없이 삭제합니다. 다만, 19세 이상의 이용자 만 이용할 수 있는 게시판은 예외로 합니다. 2 회사 가 운영하는 게시판 등에 게시된 정보로 인하여 법률상 이 익이 침해된 자는 회사 에게 당해 정보의 삭제 또는 반박내용의 게 재를 요청할 수 있습니다. 이 경우 회사 는 지체없이 필요한 조치를 취하고, 이를 즉시 신청인에게 통지합니다. 본 조는 불법게시물 내지 저장정보의 처리 방침에 관한 규정이다. 인터 넷이라는 가상공간에서 익명을 이용한다는 점을 악용하여 게시판에 청소 년 유해 매체물을 전시하거나 타인에 대한 비방하는 내용을 글을 게시하 고, 허위사실 등을 유포하여 타인에게 피해를 주는 경우가 흔히 일어난다. 그러므로 본 조에서는 게시물 또는 내용물의 삭제 조항을 둠으로써 이러 한 피해로부터의 구제수단으로 활용할 수 있을 것으로 생각된다. 즉 회사 는 자신이 관리하는 인터넷 홈페이지의 게시판에 청소년 유해 매체물이 전시되어있는 경우에 이를 지체 없이 삭제하고, 게시판에 게시된 정보로 인하여 법률상 이익이 침해 된 자는 회사에게 당해 정보의 삭제 또는 반 박내용의 게재를 요청할 수 있도록 하고 있다. [참조조문] 틸론의 ecloud서비스 제18조 게시물 및 데이터의 관리 elcloud 사이트 는 다음과 같은 사항에 해당하는 게시물이나 데이터를 사전통지 없이 삭제하거나, 이동 또는 등록 거부를 할 수 있으며, 그 게시 물의 양과 성격에 따라 서비스 사용 중지 또는 회원자격의 제한을 둘 수 있습니다

207 1 elcloud 사이트 의 서비스를 이용하여 얻은 정보를 elcloud 사이트 의 사전 승낙 없이 복제 또는 유통시키거나 상업적으로 이용하는 내용인 경우 2 타인의 명예를 손상시키거나, 타인에게 불이익을 주는 내용인 경우 3 음란물을 게재, 공개 하거나 음란사이트를 연결(링크)하는 경우 4 회사"의 저작권, 제3자의 저작권 등 기타 권리를 침해하거나 불법복 제를 조장하는 내용인 경우 5 공공질서 및 미풍양속에 위반되는 내용의 정보, 문장, 도형, 음성 등에 해당하는 내용인 경우 6 서비스와 관련된 설비의 오동작이나 정보 등의 파괴 및 혼란을 유발시 키는 내용이거나 컴퓨터 바이러스 감염 자료를 등록 또는 유포하는 경우 7 영리를 목적으로 하는 광고성 정보일 경우 8 elcloud 사이트 가 공식적으로 인정한 경우를 제외한 서비스를 이용 하여 상품을 판매하는 영업 활동 및 해킹, 광고를 통한 수익, 음란 사이트 를 통한 상업행위, 상용소프트웨어 불법배포를 하는 경우 9 법률에 의하거나 계약상 또는 위임에 의하여 전송할 수 있는 권리가 없는 내용을 게시, 게재, 전자메일 또는 여하한의 방법으로 전송하거나 공 개하는 경우 10 elcloud 사이트 에서 규정한 "이용자"의 의무 원칙에 어긋나거나, 게 시판의 성격에 부합하지 않는 경우 11 기타 관계법령에 위배된다고 판단되는 경우 제24조 [저작권 등의 귀속] 1 회사 가 제작한 콘텐츠에 대한 저작권 기타 지적재산권은 회사 에 귀속합니다. 2 회원 이 온라인서비스를 이용하면서 독자적으로 생성한 콘텐츠에 대하여는 회원이 저작권 기타 지적재산권 등의 권리를 가집니다. 3 이용자 는 회사 가 제공하는 서비스를 이용함으로써 얻은 정보

208 중 회사 또는 제공업체에 지적재산권이 귀속된 정보를 회사 또는 제공업체의 사전승낙 없이 복제, 전송, 출판, 배포, 방송 기타 방법에 의하여 영리목적으로 이용하거나 제3자에게 이용하게 하여서는 안 됩 니다. 4 회사 는 약정에 따라 이용자 의 저작물을 사용하는 경우 당해 이용자 의 허락을 받습니다. 본 조는 서비스와 관련되거나 서비스 이용으로 형성된 저작권 등의 귀 속에 관한 아주 중요한 규정에 해당한다. 지적소유권이란 사람의 지적창 작물에 관한 권리와 표지에 관한 권리를 총칭한다. 디지털콘텐츠에 있어 서 가장 중요시 되는 부분 중에 하나로 저작권 기타 지적재산권을 들 수 있다. 음악이나, 영화, 서적 등의 저작물에 있어서 저작권을 가지고 있지 않은 사람이 저작권자의 동의 또는 허락 없이 저작물을 복제, 출판, 유통 하여 저작권자에게 막대한 피해를 주고 있다. 뿐만 아니라, 이는 국내 음 반, DVD, 비디오시장 등을 위축시키는 악영향도 끼치고 있기 때문에 이 분야에 있어서 많은 논란이 되고 있다. 콘텐츠 이용계약에 있어서 제공되 는 서비스의 저작권 및 기타 지적재산권이 누구에게 귀속되어 있는지를 명확히 규정하고 저작권이 회사에게 귀속되어있음에도 불구하고 이를 회 사의 동의 또는 허락 없이 무단으로 사용하는 것을 금지 한다는 내용을 규정에 담아 저작권 및 기타 지적재산권을 보호하고, 이에 따른 책임관계 를 명확하게 하는 것에 목적이 있다. [참조조문] 구글앱스 for Domain 약관 제9조 소유권 및 이용제한 소유권 및 이용제한. Google 및 Google의 라이센스 제공자는 Google이 본 서비스의 일부로 게재되는 통신내용을 포함하여 본 서비스의 일부로 사용되는 고객 콘텐츠나 최종 사용자 또는 제3자의 콘텐츠 및 정보를 소

209 유하지 않는다는 점을 제외하고 모든 소프트웨어, 기술, 정보, 콘텐츠, 자 료, 안내서 및 설명서를 포함하되 이에 국한되지 않는 서비스를 비롯하여 해당 서비스와 관련된 모든 지적재산권(아래에 정의됨)을 포함하되 이에 국한되지 않는 모든 소유권, 권리 및 이권을 소유합니다. 고객은 본 계약 에 명백히 명시된 경우를 제외하고 모든 소유권, 권리 또는 이권을 취득 할 수 없습니다. 본 계약에서 명시적으로 허가하지 않은 모든 권리는 보 류된 것으로 간주됩니다. '지적재산권'은 전 세계적으로 현재 또는 이후에 시행되는 특허법, 저작권법, 반도체칩 보호법, 윤리법, 기업 비밀법, 상표 권법, 불공정 경쟁법, 광고 선전권법, 사생활 보호법 및 기타 모든 독점권 법에 따라 수시로 존재하는 모든 권리 및 이러한 권리에 대한 모든 응용, 갱신, 연장 및 복원을 의미합니다. 의심의 소지를 없애기 위해 Google은 모든 추가 콘텐츠를 포함하여 본 서비스의 일부로 포함되었거나 제공되는 제3자 콘텐츠는 소유하지 않습니다. 고객은 다음과 같은 행위를 할 수 없 으며, 제3자로 하여금 다음 행위를 하도록 허가해서도 안 됩니다. (i) 서비 스를 양도, 판매, 임대, 신디케이트, 서브 신디케이트, 대여하거나 공동 브 랜드로 사용, 공동소유, 서비스 지국 또는 기타 허가되지 않은 목적을 위 해 서비스를 이용하거나 액세스하는 행위, (ii) 모든 서비스 또는 기타 모 든 Google 기술, 콘텐츠, 데이터, 루틴, 알고리즘, 수단, 아이디어 디자인, 사용자 인터페이스 기술, 소프트웨어, 자료 및 문서를 수정, 개조, 변형 또 는 그로부터 파생물을 생성하거나, 디컴파일, 리버스 엔지니어링, 디스어 셈블하거나 또는 소스 코드를 파생시키는 행위, (iii) 모든 서비스 또는 기 타 모든 Google 기술, 소프트웨어 자료 및 문서에 첨부되거나 일부로 제 공되는 Google 저작권 표시, 상표 또는 기타 독점권 표시를 삭제 또는 흐 리게 처리하거나 변경하는 행위, (iv) 본 서비스에서 입수된 정보를 '크롤 링', '스파이더', 색인 또는 기타 지속적인 방법으로 저장하거나 캐시에 저 장하는 행위, (v) 본 서비스 또는 그와 관련된 독점 정보의 사용 또는 접 근을 통해 대용품이나 그와 유사한 서비스 또는 제품을 생성하거나 생성 하려고 시도하는 행위 또는 (iv) 제13항에 명시된 위험활동을 위해 서비스

210 를 이용하는 행위. 서비스에 포함된 모든 제3자 바이너리 또는 소스 코드 는 서비스와 연계해서만 사용이 가능하며, 이와 같이 사용할 경우 본 계 약에 명시된 모든 조건이 적용됩니다. 본 계약에서 명백하게 허용한 경우 를 제외하고 본 서비스 또는 서비스의 일부를 사용, 복사, 전송 또는 변경 해서는 안 됩니다. 틸론의 ecloud서비스 제19조 게시물에 대한 저작권 및 이용제한 1. "이용자"가 elcloud 사이트 에 업로드 또는 게시한 게시물에 대한 저 작권은 게시자에게 귀속됩니다. 단, "회사"는 "이용자"가 게시한 게시물을 elcloud 사이트 에 한하여 무상으로 사용할 수 있는 권리를 갖습니다 2. "이용자"는 elcloud 사이트 을 이용함으로써 얻은 정보를 elcloud 사 이트 의 사전 승낙 없이 복제, 전송, 출판, 배포, 방송 기타 방법에 의하여 영리목적으로 이용하거나 제3자에게 이용하게 하여서는 아니 됩니다. 제21조 지적 소유권의 귀속 및 이용제한 1. elcloud 사이트 의 서비스를 통하여 이용자에게 제공되는 동영상 또는 음원 기타 저작물에 대한 지적소유권은 "회사", 해당 저작물의 저작권자, MCP(Master Contents Provider) 및 CP(Contents Provider) 등의 권리 소 유자에게 있습니다. 2. 지적 소유권의 이용제한 1 "이용자"는 정당한 권한이나 해당 프로그램 저작권자의 허락 없이 프 로그램 등을 제거, 변경, 복제 하거나 게시, 전송, 링크, 배포하는 경우나 저작자의 실명 또는 익명을 변경 또는 은닉하거나 해당 프로그램의 제호 를 변경하여 당사자의 허락 없이 게시/게재할 수 없습니다. 2 이용자"는 본인이 게재한 소프트웨어 프로그램, 정보, 메시지, 데이터, 문서, 그림, 이미지, 문자, 소리, 퍼스널리티 등의 정보에 대하여 책임이 있으며, 저작권 침해나 기타의 불법으로 인해 발생하는 피해에 대해서는

211 이용자 본인이 책임을 부담해야 합니다. 3 이용자"는 관련 법규에서 명시적으로 허용한 제한적인 범위 이외에 elcloud 사이트 의 프로그램을 리버스 엔지니어링, 디컴파일, 디스어셈블 할 수 없습니다. 4 이용자"는 elcloud 사이트 의 모든 프로그램과 복사본에서 저작권 표시를 제거하거나 변경할 수 없습니다. 5 위 각 항의 피해에 대하여 "이용자"의 과실 또는 고의에 의한 불법행 위에 대해서는 "이용자" 본인이 모든 책임을 지며, 회사 는 어떠한 책임 도 부담하지 않습니다. 제25조 [개인정보보호] 1 회사 는 제7조 제2항의 신청서기재사항 이외에 이용자 의 콘텐 츠이용에 필요한 최소한의 정보를 수집할 수 있습니다. 이를 위해 회 사 가 문의한 사항에 관해 이용자 는 진실한 내용을 성실하게 고지 하여야 합니다. 2 회사 가 이용자 의 개인정보를 이용하려고 수집하는 때에는 다 음 각 호의 모든 사항에 대하여 이용자에게 알리고 동의를 받습니다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같습니 다. 1. 개인정보의 수집 이용목적 2. 수집하는 개인정보의 항목 3. 개인정보의 보유 및 이용기간 3 회사 는 이용자 가 이용신청 등에서 제공한 정보와 제1항에 의 하여 수집한 정보를 당해 이용자 의 동의 없이 목적 외로 이용하거 나 제3자에게 제공할 수 없으며, 이를 위반한 경우에 모든 책임은 회 사 가 집니다. 다만, 다음의 경우에는 예외로 합니다. 1. 통계작성, 학술연구 또는 시장조사를 위하여 필요한 경우로서 특 정 개인을 식별할 수 없는 형태로 제공하는 경우

212 2. 콘텐츠 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로 서 경제적 기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤 란한 경우 3. 콘텐츠 제공에 따른 요금정산을 위하여 필요한 경우 4. 도용방지를 위하여 본인확인에 필요한 경우 5. 약관의 규정 또는 법령에 의하여 필요한 불가피한 사유가 있는 경우 4 회사 가 제2항과 제3항에 의해 이용자 의 동의를 받아야 하는 경우에는 개인정보 관리책임자의 신원(소속, 성명 및 전화번호 기타 연락처), 정보의 수집목적 및 이용목적, 제3자에 대한 정보제공관련사 항(제공받는 자, 제공목적 및 제공할 정보의 내용)등에 관하여 정보통 신망이용촉진 및 정보보호 등에 관한 법률 제24조의2 제1항이 규정한 사항을 명시하고 고지하여야 합니다. 5 이용자 는 언제든지 제2항과 제3항의 동의를 철회할 수 있습니다. 6 이용자 는 언제든지 회사 가 가지고 있는 본인에 관한 개인정보, 회사 가 본인의 개인정보를 이용하거나 제3자에게 제공한 현황, 회 사 에게 개인정보 수집 이용 제공 등의 동의를 한 현황에 대한 열람이 나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있습니다. 회사 는 이용자 로부터 오류의 정정을 요구받으면 지 체없이 그 오류를 정정하거나 정정하지 못하는 사유를 이용자에게 알 리는 등 필요한 조치를 하고, 필요한 조치를 할 때까지는 해당 개인정 보를 이용하거나 제공하지 않습니다. 7 회사 는 개인정보보호를 위하여 관리자를 한정하여 그 수를 최소 화하며, 신용카드, 은행계좌 등을 포함한 이용자 의 개인정보 의 분 실, 도난, 유출, 변조 등으로 인한 이용자 의 손해에 대하여 책임을 집니다. 8 회사 또는 그로부터 개인정보 를 제공받은 자는 이용자 가 동 의한 범위 내에서 개인정보 를 사용할 수 있으며, 목적이 달성된 경 우에는 당해 개인정보 를 지체 없이 파기합니다

213 9 회사 는 정보통신망이용촉진 및 정보보호에 관한 법률 등 관계 법령이 정하는 바에 따라 이용자 의 개인정보 를 보호하기 위해 노 력합니다. 개인정보 의 보호 및 사용에 대해서는 관련법령 및 회사 의 개인정보보호정책이 적용됩니다. 본 조는 이용자의 개인정보보호를 위한 관계 법령에서 요구하는 내용을 규정하고 있다. 온라인디지털콘텐츠 서비스의 이용계약이나 회원가입을 하는 경우에 대부분의 경우 개인의 신원에 관한 정보를 입력하게 되어 있 고, 이렇게 해서 수집된 개인정보가 유출됨으로 인하여 여러 가지 피해가 발생하고 있다. 이 규정의 목적은 회사는 개인정보를 보호하기 위한 방법 을 마련하여야 하며, 회사가 필요 이상의 개인정보를 요구하는 것을 제한 하였고, 개인정보의 이용에 있어서 당해 이용자의 동의를 얻도록 하여 동 의한 부분까지의 정보를 이용하며, 개인정보의 유출 등의 피해에 대하여 회사에게 책임이 있음을 명확하게 하여 분쟁의 가능성을 줄이고자 함에 있다. 제4장 콘텐츠이용계약의 청약철회, 계약해제 해지 및 이용제한 제26조 [ 이용자 의 청약철회와 계약해제 해지] 1 회사 와 콘텐츠 의 이용에 관한 계약을 체결한 이용자 는 콘텐 츠를 제공받은 날로부터 7일 이내에는 청약의 철회를 할 수 있습니다. 다만, 회사 가 다음 각 호중 하나의 조치를 취한 경우에는 이용자 의 청약철회권이 제한될 수 있습니다. 1. 청약의 철회가 불가능한 콘텐츠 에 대한 사실을 표시사항에 포함 한 경우 2. 시용상품을 제공한 경우 3. 한시적 또는 일부이용 등의 방법을 제공한 경우

214 2 이용자 는 다음 각 호의 사유가 있을 때에는 당해 콘텐츠 를 제 공받은 날로부터 3월 이내 또는 그 사실을 안 날 또는 알 수 있었던 날부터 30일 이내에 콘텐츠이용계약을 해제 해지할 수 있습니다. 1. 이용계약에서 약정한 콘텐츠 가 제공되지 않는 경우 2. 제공되는 콘텐츠 가 표시 광고 등과 상이하거나 현저한 차이가 있는 경우 3. 콘텐츠 또는 시스템 자체에 정상적인 이용이 불가능한 정도의 하 자가 있고 사업자가 이 서비스를 연속 3일 이상 제공하지 못하거나 당해 하자로 인해 이용 중단 및 장애발생 누적시간이 1월 기준 72시 간을 초과하는 경우 4. 회사 가 이용자의 동의없이 무료서비스를 유료서비스로 전환하는 경우 5. 기타 콘텐츠 의 결함으로 정상적인 이용이 현저히 불가능한 경우 3 제2항의 해제 해지권에도 불구하고 민법 및 관련법령에서 규정하 고 있는 해제 또는 해지권은 배제되지 않습니다. 4 제1항의 청약철회와 제2항의 계약해제 해지는 이용자 가 전화, 전자우편 또는 모사전송으로 회사 에 그 의사를 표시한 때에 효력이 발생합니다. 5 회사 는 제4항에 따라 이용자 가 표시한 청약철회 또는 계약해 제 해지의 의사표시를 수신한 후 지체 없이 이러한 사실을 이용자 에게 회신합니다. 6 이용자 는 제2항의 사유로 계약해제 해지의 의사표시를 하기 전 에 상당한 기간을 정하여 완전한 콘텐츠 혹은 서비스이용의 하자에 대한 치유를 요구할 수 있습니다. 본 조는 청약철회 등에 관한 전자상거래소비자보호법의 규정내용을 담은 것이다. [참조조문]

215 KT의 ucloud 상품 이용약관 제19조 청약철회 1 회원은 다음 각호의 1에 해당하는 경우에는 청약철회를 할 수 없습니 다. 1. 소비자에게 책임 있는 사유로 재화 등이 멸실 또는 훼손된 경우. 다 만, 재화 등의 내용을 확인하기 위하여 포장 등을 훼손한 경우를 제외 한다. 2. 소비자의 사용 또는 일부 소비에 의하여 재화 등의 가치가 현저히 감소한 경우 3. 시간의 경과에 의하여 재판매가 곤란할 정도로 재화 등의 가치가 현저히 감소한 경우 4. 복제가 가능한 재화 등의 포장을 훼손한 경우 5. 그 밖에 거래의 안전을 위하여 전자상거래 등에서의 소비자보호에 관한 법률 시행령에서 정하는 경우 2회사는 무료이용상품을 제공하는 등의 방법으로 청약철회 등의 권리 행사가 방해 받지 아니하도록 조치 합니다. 제20조 계약해지 1 회원이 상품 이용계약을 해지하고자 할 경우에는 본인이 사이트상에서 또는 회사가 정한 별도의 이용방법으로 회사에 해지신청을 하여야 합니 다. 2 회원은 언제든지 상품이용계약 해지를 요청할 수 있으며 회사는 즉시 해당 계약해지 요청을 처리합니다. 단, 상품 신규 신청 시에는 익일에 해 지 요청을 할 수 있습니다. 3 상품이용계약 해지 시 상품 해지 전까지 회원님이 유클라우드 서버에 저장한 자료는 해지 후 30일간 보관됩니다. 30일 이내 상품을 새로 신청 하는 경우 이전 자료를 이용하실 수 있습니다. 상품이용계약 해지 시에는 익일에 재가입 요청을 할 수 있습니다. 단, 서비스이용계약 해지를 위해

216 사이트를 탈퇴하는 경우에는 유클라우드 서버에 저장한 자료는 탈퇴 즉시 삭제합니다. 4 회사는 상품 이용계약 해지 시 제10조에서 정한 바와 같이 해지 전일 까지의 요금을 일할 계산하여 익월에 청구합니다. 5 회원이 다음 각호의 사유에 해당하거나 본 약관상의 의무를 이행하지 않은 경우, 회사는 회원자격을 제한 또는 정지시키거나 상품 이용 계약을 해지할 수 있습니다. 1. 이용신청 시에 타인의 명의를 도용하거나 허위 내용을 등록한 경우 2. 시스템 운용이나 네트워크 보안 등에 심각한 장애를 초래하거나 고 의로 침투 및 방해한 경우 3. 서비스를 개인적 용도 이외에 상업적인 목적으로 이용하거나 제3자 에게 해당 서비스를 임의로 제공하는 경우 4. 회원이 제18조를 위반하는 경우 5. 기타 법령에 위배되거나 회사의 업무를 방해하는 경우 제27조 [ 이용자 의 청약철회와 계약해제 해지의 효과] 1 회사 는 이용자 가 청약철회의 의사표시를 한 날로부터 또는 이용자 로부터 계약해제 해지의 의사표시를 받은 날로부터 3영업일 이내에 대금의 결제와 동일한 방법으로 이를 환급합니다. 동일한 방법 으로 환불이 불가능할 때에는 이를 사전에 고지하여야 합니다. 이 경 우 회사 가 이용자 에게 환급을 지연한 때에는 그 지연기간에 대하 여 연 24%의 지연이자율을 곱하여 산정한 지연이자를 지급합니다. 2 회사 가 제1항에 따라 환급할 경우에 이용자 가 서비스이용으로 부터 얻은 이익에 해당하는 금액을 공제하고 환급할 수 있습니다. 3 회사 는 위 대금을 환급함에 있어서 이용자 가 신용카드 또는 전자화폐 등의 결제수단으로 재화 등의 대금을 지급한 때에는 지체 없이 당해 결제수단을 제공한 사업자로 하여금 재화 등의 대금의 청 구를 정지 또는 취소하도록 요청합니다. 다만, 제2항의 금액공제가 필

217 요한 경우에는 그러하지 아니할 수 있습니다. 4 회사, 콘텐츠 등의 대금을 지급 받은 자 또는 이용자와 콘텐 츠이용계약을 체결한 자 가 동일인이 아닌 경우에 각자는 청약철회 또는 계약해제 해지로 인한 대금환급과 관련한 의무의 이행에 있어 서 연대하여 책임을 집니다. 5 회사 는 이용자 에게 청약철회를 이유로 위약금 또는 손해배상 을 청구하지 않습니다. 그러나 이용자 의 계약해제는 회사 에 대한 손해배상청구에 영향을 미치지 않습니다. 본 조는 청약철회 등의 행사에 따른 효과를 규정한 규정이다. 제28조 [회사의 계약해제 해지 및 이용제한] 1 회사 는 이용자 가 제12조 제2항에서 정한 행위를 하였을 경우 에는 기간을 정하여 서비스이용을 제한할 수 있으며, 제12조 제3항에 서 정한 행위를 하였을 경우에는 사전통지 없이 해제 해지할 수 있 습니다. 2 제1항의 해제 해지는 회사 가 자신이 정한 방법에 따라 이용 자 에게 그 해제 해지의 의사표시가 도달한 때에 효력이 발생합니다. 3 회사 의 해제 해지 및 이용제한에 대하여 이용자 는 회사 가 정 한 절차에 따라 이의신청을 할 수 있습니다. 이 때 이의가 정당하다고 회사 가 인정하는 경우, 회사 는 즉시 서비스의 이용을 재개합니다. 이용자의 귀책사유에 따른 콘텐츠 이용계약의 해제 해지 및 이용제 한에 관한 규정으로 타인의 개인정보, 회원ID 및 비밀번호를 도용한 경 우, 가입한 이름이 실명이 아닌 경우, 타인의 명예를 훼손하거나 불이익을 주는 행위를 한 경우, 회사 또는 다른 이용자나 회원, 제3자의 지적재산권 을 침해한 경우 등 회사가 이용계약을 해제 해지 및 이용제한 할 수 있는 사유들을 규정하여 이용자가 이를 위반하였을 경우에는 회사가 자신

218 이 정한 통지방법에 따라 이용자에게 그 의사를 표시함으로써 계약을 해 제 해지 하거나 이용제한을 할 수 있도록 하였다. 이러한 제한 사유는 서비스를 안정적으로 제공함과 더불어 또 다른 이용자를 비롯하여 제3자 에게 발생할 피해를 막기 위한 규정이라고 할 수 있다. 제29조 [회사의 계약해제 해지의 효과] 1 이용자 의 귀책사유에 따른 이용계약의 해제 해지의 효과는 제 27조를 준용합니다. 다만 회사의 부대비용 및 수수료 부담 등의 사유 로 전체 이용대금의 10% 범위 내에서 차감하여 환불할 수 있습니다. 2 제1항의 경우 회사 는 이용자 에 대하여 계약해제 해지의 의사 표시를 한 날로부터 3영업일 이내에 대금의 결제와 동일한 방법으로 이를 환급합니다. 이용자의 귀책사유로 인한 이용계약의 해제 내지 해지된 경우 그 법률 효과는 원칙적으로 사업자의 귀책사유 이용계약이 해제 내지 해지된 경우 와 같으므로 제27조의 규정을 준용하였다. 제5장 과오금, 피해보상 등 제30조 [과오금] 1 회사 는 과오금이 발생한 경우 이용대금의 결제와 동일한 방법으 로 과오금 전액을 환불하여야 합니다. 다만, 동일한 방법으로 환불이 불가능할 때는 이를 사전에 고지합니다. 2 회사 의 책임 있는 사유로 과오금이 발생한 경우 회사 는 계약 비용, 수수료 등에 관계없이 과오금 전액을 환불합니다. 다만, 이용 자 의 책임 있는 사유로 과오금이 발생한 경우, 회사 가 과오금을 환 불하는 데 소요되는 비용은 합리적인 범위 내에서 이용자 가 부담하 여야 합니다

219 3 회사는 이용자 가 주장하는 과오금에 대해 환불을 거부할 경우에 정당하게 이용대금이 부과되었음을 입증할 책임을 집니다. 4 회사 는 과오금의 환불절차를 콘텐츠 이용자보호지침에 따라 처 리합니다. 본 조항은 과오금이 발생하였을 때 그 환불사유와 환불절차를 규정하고 있다. 과오금의 환불방법 및 절차에 관하여서 콘텐츠 이용자보호지침(안) 에서 상세하게 다루고 있다. [참조조문] KT의 ucloud 상품 이용약관 제16조 요금의 반환 1 회사는 요금 등의 과오납이 있을 때에는 그 과오납 요금을 반환하고 회사의 귀책사유로 발생할 경우에는 법정 이자율을 부가하여 반환합니다. 단 고객이 동의하거나 회사의 반환통지에 대하여 응하지 아니할 경우에는 익월 요금에서 해당금액의 법정 이자율을 차감하여 청구할 수 있습니다. 2 회사는 요금 등을 반환하여야 할 고객에게 미납요금 등이 있을 경우에 는 반환하여야 할 요금 등에서 우선 변제하고 반환할 수 있습니다. 제31조 [콘텐츠하자 등에 의한 이용자피해보상] 회사 는 콘텐츠하자 등에 의한 이용자피해보상의 기준 범위 방 법 및 절차에 관한 사항을 콘텐츠 이용자보호지침에 따라 처리합니 다. 제32조 [면책조항] 1 회사 는 천재지변 또는 이에 준하는 불가항력으로 인하여 콘텐

220 츠 를 제공할 수 없는 경우에는 콘텐츠 제공에 관한 책임이 면제됩 니다. 2 회사 는 이용자 의 귀책사유로 인한 콘텐츠이용의 장애에 대하 여는 책임을 지지 않습니다. 3 회사 는 회원 이 콘텐츠 와 관련하여 게재한 정보, 자료, 사실 의 신뢰도, 정확성 등의 내용에 관하여는 책임을 지지 않습니다. 4 회사 는 이용자 상호간 또는 이용자 와 제3자 간에 콘텐츠 를 매개로 하여 발생한 분쟁 등에 대하여 책임을 지지 않습니다. 회사의 면책에 관한 조항으로, 서비스의 중단 등의 경우에 있어서 천재 지변 또는 이에 준하는 불가항력으로 인하여 콘텐츠를 제공할 수 없거나 이용자의 귀책사유로 인하여 콘텐츠 이용에 장애가 발생할 경우에 대해서 회사가 책임을 지지 않는다는 내용을 담고 있다. 또한 회사가 아닌 회원 이 콘텐츠와 관련하여 게재한 정보, 자료, 사실의 신뢰도, 정확성 등의 내 용에 대하여 책임을 지지 않으며, 이용자 간 또는 이용자와 제3자 상호간 의 콘텐츠를 매개로 하여 거래 등을 한 경우에는 책임이 면제된다고 하여 일정부분에 대한 회사의 면책조항을 두어 회사가 일정부분 이상의 과도한 책임을 부담하는 것을 방지하는 규정을 두었다. [참조조문] 구글앱스 for Domain 약관 제13조 보증의 면책조항 본 조항에 명시된 경우를 제외하고 상품성, 특정 목적에 대한 적합성 또 는 비침해에 대한 묵시적 보증 및 거래 과정, 수행 과정, 상거래에 의해 발생한 어떠한 묵시적 보증을 포함하여 모든 명시적 또는 묵시적 조건, 진술 및 보증을 부인합니다(본 면책 조항이 법적으로 잘못된 범위는 제 외). 관련 법률이 허용하는 한도 내에서, Google 및 라이센스 제공자는 상 품성, 특정 사용 및 재산권 비침해에 대한 보증을 포함한 모든 명시적, 묵

221 시적, 법적 보증을 하지 않습니다. Google은 본 서비스의 올바른 사용에 대해 책임을 지지 않습니다. Google 및 라이센스 제공자는 본 서비스를 통해 액세스할 수 있는 콘텐츠나 정보에 대해 어떠한 진술도 하지 않습니 다. Google은 Google(또는 제3자)이 서비스에 대한 업데이트나 개선기능 을 발표한다는 어떠한 진술도 하지 않습니다. Google은 본 서비스에 포함 된 기능이 중단되지 않는다거나 오류가 없다고 보증하지 않습니다. 일부 관할지역에서는 묵시적 보증의 배제를 허용하지 않으므로, 위와 같은 책 임배제는 고객에게 적용되지 않을 수도 있습니다. 이러한 상황이 발생할 경우, 허용되는 범위 내에서 묵시적인 보증은 유효일자로부터 구십(90)일 동안으로 제한됩니다. 본 서비스는 무장애 서비스가 아니며, 서비스를 잘 못 사용할 경우 사망, 인명피해 또는 환경훼손의 결과를 초래할 수 있는 핵시설, 항공교통 관제 또는 생명유지 장치의 작동('위험 활동')을 위해 사 용하도록 설계 또는 제작되지 않았습니다. KT의 ucloud 상품 이용약관 제22조 면책조항 회사는 다음 각 호의 사유로 인하여 발생한 손해에 대해서는 그 책임을 지지 아니 합니다. 1 서비스 점검이 불가피하여 사전에 공지한 경우로 회사의 고의, 중과실 이 없는 경우 2 국가의 비상사태, 천재지변 또는 이에 준하는 불가항력으로 인해 서비 스를 제공할 수 없는 경우 3 회원 또는 제3자의 귀책사유로 인한 데이터 유실 등의 서비스 이용장 애 발생시 4 유클라우드 서비스의 관리영역을 벗어난 공중통신선로의 장애로 서비 스 이용이 불가능한 경우 Microsoft 서비스 계약

222 제9조 무보증 당사는 서비스를 '있는 그대로', '모든 오류와 함께', '제공된 대로' 제공하 며, 서비스에서 이용 가능한 정보의 정확성 또는 적시성을 보증하지 않습 니다. 귀하는 컴퓨터 및 통신 시스템에 장애가 발생할 수 있고 때때로 작 동이 중단될 수 있다는 것을 인정합니다. 당사는 서비스가 중단되지 않고, 적시에 안전하게 오류 없이 제공되며 데이터 손실이 발생하지 않는다는 것을 보증하지 않습니다. 당사 및 당사의 계열사, 재판매인, 판매인 및 공 급업체는 명시적인 보장, 보증 또는 조건을 제공하지 않습니다. 당사는 상 업성, 품질의 만족도, 특정 목적에의 적합성, 전문적 노력 및 비침해에 대 한 보증을 포함해 모든 묵시적 보증을 배제합니다. 귀하는 현지 법률에 따라 특정 권리를 가질 수 있으며, 그러한 권리가 적용되는 경우 본 계약 의 어떠한 내용도 그러한 권리에 영향을 주지 않습니다. 제10조 책임 제한 귀하는 Microsoft 및 당사의 계열사, 재판매인, 판매인 및 공급업체로부터 월별 서비스 요금에 해당하는 금액 한도 내에서 직접적 손해에 대하여만 배상을 받을 수 있습니다. 귀하는 결과적 손해, 일실 이익, 특별 손해, 간 접적, 우발적 또는 징벌적 손해 등을 포함하는 기타 손해에 대하여는 배 상을 받을 수 없습니다. 이러한 제한 및 배제는 다음과 같이 본 계약과 관련된 모든 사항에 적용 됩니다. 서비스/데이터 손실/본 서비스를 통해 액세스할 수 있는 제3자 웹 사이 트, 제3자 프로그램 또는 제3자 행위의 콘텐츠(코드 포함)/서비스의 액세 스 또는 사용에 영향을 미치는 바이러스 또는 기타 사용을 방해하는 기능 /본 서비스와 다른 서비스, 소프트웨어 및 하드웨어 간의 호환 불능/귀하 가 서비스와 관련된 전송 또는 거래를 정확한 방법 또는 적시의 방법으로 개시 또는 완료하는 과정에서 발생하는 지연 또는 장애/계약 위반, 보증, 보장 또는 조건의 위반, 엄격 책임, 불법 행위(과실 또는 또는 법률상 의

223 무의 불이행 포함) 또는 허위 진술에 대한 청구 본 구제책이 귀하의 손해를 완전히 배상하지 못하거나 중요한 목적을 달 성하지 못하는 경우 또는 당사가 그러한 손해의 가능성을 알고 있었거나 알아야 하는 경우에도 이러한 제한 및 배제가 적용됩니다. 귀하의 지역 또는 국가에서 우발적 손해, 결과적 손해 또는 기타 손해에 대한 배제 또는 제한을 허용하지 않는 경우 이러한 제한 또는 배제의 일 부 또는 전부가 적용되지 않을 수 있습니다. 제33조 [분쟁의 해결] 1 회사 는 분쟁이 발생하였을 경우에 이용자 가 제기하는 정당한 의견이나 불만을 반영하여 적절하고 신속한 조치를 취합니다. 다만, 신속한 처리가 곤란한 경우에 회사 는 이용자 에게 그 사유와 처리 일정을 통보합니다. 2 당사자 사이에 분쟁해결에 대한 협의가 이루어지지 않은 경우 우 선적으로 콘텐츠산업진흥법 제29조의 콘텐츠분쟁조정위원회에 조정을 신청하여 분쟁을 해결할 수 있습니다. 회사에게 이용자 상호간 또는 이용자와 제3자 사이에 온라인 서비스를 매개로 발생한 분쟁을 원만히 해결하도록 성실하게 조력하여야 하며 이용 자가 제기하는 의견이나 불만을 반영하여 적절하고 빠른 조치를 취할 것, 또한 신속한 처리가 곤란한 경우 이용자에게 그 사유와 처리 일정을 통보 하는 등 회사에게 분쟁의 해결을 위하여 위 내용의 조치를 취하도록 규정 하고 있다. 제33조 [분쟁의 해결] 규정은 회사에게 온라인 서비스를 매개로 발생한 분쟁을 원만히 해결하도록 성실하게 조력할 위무를 부과하고 있다. 따라 서 회사는 이용자가 제기하는 의견이나 불만을 반영하여 적절하고 빠른 조치를 취하고 또한 신속한 처리가 곤란한 경우 이용자에게 그 사유와 처 리 일정을 통보하여야 한다

224 [참조조문] 틸론의 ecloud서비스 제22조 분쟁해결 1. "elcloud 사이트"는 이용자가 제기하는 정당한 의견이나 불만을 반영하 고 그 피해를 보상처리하기 위하여 피해보상처리기구를 설치 운영합니다. 2. "elcloud 사이트"는 이용자로부터 제출되는 불만사항 및 의견은 우선적 으로 그 사항을 처리합니다. 다만, 신속한 처리가 곤란한 경우에는 이용자 에게 그 사유와 처리 일정을 즉시 통보해 드립니다. 3. "elcloud 사이트"와 이용자간에 발생한 분쟁은 전자거래기본법 제28조 및 동 시행령 제9조에 의하여 설치된 전자 거래 분쟁조정위원회의 조정에 따를 수 있습니다. KT의 ucloud 상품 이용약관 제24조 분쟁의 해결 1 상품 이용과 관련하여 회사와 회원 사이에 분쟁이 발생한 경우, 회사 와 회원은 분쟁의 해결을 위해 성실히 협의합니다. 2 본 조 제1항의 협의에도 분쟁이 해결되지 않을 경우 민사소송법상의 관할법원에 소를 제기할 수 있습니다

225 제7장 클라우드컴퓨팅 서비스의 정보보호 이슈 제1절 관련법제 현황 1. 정보보호의 의의와 그 하위개념 가. 상위개념으로서 정보보호의 의의 정보보호(information protection) 173) 는 내 외부의 공격으로부터 정보시 스템을 안전하게 보호함으로써 시스템소유자 또는 사용자의 안정적 이용 을 보장하고, 그 안에 저장되어 있거나 유통되고 있는 데이터의 무결성 (integrity), 비밀성(confidentiality) 및 가용성(availability)을 보장함으로써 정보에 대한 신뢰성(reliability)을 확보하는 것이다. 174) 이러한 정보보호는 그 개념상 개인정보보호(Personal Data Protection)와 정보보안(Information Security)으로 나누어 설명될 수 있다. 지난 2009년 2월 27일 행정안전부령 제66호로 일부 개정된 행정안전부와 그 소속기관 직제 시행규칙 의 경우 173) 법제처 법령영역서비스추진 T/F에서 주관하여 발간한 책자에 따르면, 행정안전부의 직무범위 를 규정하고 있는 정부조직법(Government Organization Act) 제29조제1항 소정의 전자정부 및 정보보호 는 e-government and information protection 으로 번역되어 있다; See Seung-Jin Hong (ed.), Laws on Government Organization: Restructuring Government for the Future of Korea, Ministry of Government Legislation, 2008, p ) 사회 전반적인 정보화의 진전과 정보기술의 광범위한 이용은 정보의 훼손, 위 변조, 유출, 도용 등과 같은 다양한 형태의 침해 위험을 동반한다. 이 같은 침해는 사소하게는 자신의 기술능력 을 과시하기 위한 개인적 호기심에서부터 시작하여, 불법적인 이득을 편취하거나 상대방에 대 한 불만의 표시로 행해지기도 하며, 더 나아가서는 정보시스템에 장애를 야기시켜 사회기능을 마비시키려는 의도를 가지고 행해지기도 한다. 심각한 경우는 사이버 테러, 국가기밀, 산업정보 유출, 온라인 전쟁 등과 같은 범죄적 의도로 악용될 수도 있다. 정보기술 및 정보시스템에 대 한 의존도가 높아질수록 금전적 이득을 노리거나 파괴를 목표로 하는 정보범죄가 증가할 것이 라는 것은 자명한 사실이다. 일상생활에서 정보기술이 광범위하게 사용되고 국가, 지방자치단 체 및 기업의 크고 작은 행정들이 모두 전산화 디지털화됨에 따라 정보보호의 역할은 더욱 중 요해지고 있다; 이창범, 유럽연합의 정보보안 및 개인정보보호 법제 현황, 인터넷법률 통권 제 38호, 법무부, 2007, 76~77쪽

226 제16조제8항에서 정보화전략실의 보조기관인 정보보호정책과의 주요 분장 사무로 1 개인정보보호 민간정보보호 전자인증에 관한 정책 수립 조 정 총괄, 법제도 연구 및 제 개정 총괄, 2 전자정부 관련 대민서비스의 보안 정책 대책 수립 및 수준조사, 정보보호 관리체계의 인증, 사이버침 해사고 예방 대응 및 암호인증시스템의 구축 운영에 관한 사항, 175) 3 민간 정보통신기반시설의 지정 권고 보호대책 보호지원 보호계획 수 립 및 암호이용활성화 지원에 관한 사항 등을 명시하고 있으므로 정보보 호가 개념상 개인정보보호와 정보보안으로 구분될 수 있음을 보여주고 있 다. 또한 정보통신망 이용촉진 및 정보보호 등에 관한 법률 의 경우 총 칙, 개인정보의 보호, 정보통신망에서의 이용자 보호, 정보통신망의 안정성 확보 등이 장별로 구분되어 있어 개인정보보호와 정보보안이 정보보호의 하위개념임을 전제로 구성되어 있다고 할 수 있다. 나. 개인정보보호의 의의 현행법상 개인정보보호의 개념은 공공기관의 개인정보보호에 관한 법 률 제3조의2에 명시된 개인정보보호의 원칙, 176) 즉 목적명확성 목적구속 성 안전성 책임성 및 참여성의 원칙에 따른 개인정보의 취급을 뜻한다고 할 수 있지만, 177) 개인정보의 개념과 이에 대한 보호라는 언명이 적합한 175) 다만, 전자정부 사이버침해사고 대응센터 구성 운영에 관한 사항 중 제39조제8항제7호의 사무, 즉 중앙행정기관 사이버침해사고 대응센터 운영 으로서 행정안전부 소속기관인 정부통합전산 센터 보안관리과 직무는 제외한다; 행정안전부와 그 소속기관 직제 시행규칙 의 경우 제16조 제8항제4호 참조. 176) 공공기관의 개인정보보호에 관한 법률 제3조의2 (개인정보보호의 원칙) 1 공공기관의 장은 개인정보를 수집하는 경우 그 목적을 명확히 하여야 하고, 목적에 필요한 최소한의 범위 안에 서 적법하고 정당하게 수집하여야 하며, 목적 외의 용도로 활용하여서는 아니 된다. 2 공공기관의 장은 처리정보의 정확성 및 최신성을 보장하고, 그 보호의 안전성을 확보하여야 한 다. 3 공공기관의 장은 개인정보관리의 책임관계를 명확히 하여야 한다. 4 공공기관의 장은 개인정보의 수집 활용 등 개인정보의 취급에 관한 사항을 공개하여 야 하 며, 개인정보처리에 있어서 처리정보의 열람청구권 등 정보주체의 권리를 보장하여야 한다. 177) 여기서 목적구속원칙이란 비례원칙에서 파생된 것으로 개인정보의 처리에 있어서 그 목적이 수집단계에 미리 명확히 특정되어야 할 뿐 아니라 그 이후의 처리단계에서도 수집시 특정된 목적과 일치되게 저장 또는 이용되어야 함을 말한다; Spiros Simitis, Von der Amtshilfe zur

227 것인지는 재검토되어야 할 것이다. 여기서 개인정보란 생존하는 개인에 관한 정보로서 성명 주민등록번 호 등에 의하여 당해 개인을 알아볼 수 있는 부호 문자 음성 음향 및 영상 등의 정보 를 말하며, 여기에는 당해 정보만으로는 특정 개인을 알아 볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 당해 개인을 알아볼 수 있는 것이 포함된다. 즉, 본인의 의사에 반하거나 본인이 알지 못하는 상태에서 이용될 경우 당사자인 정보주체의 안녕과 이해관계에 영향을 미 칠 수 있는 개인 관련 정보는 모두 개인정보라고 할 수 있다. 개인정보는 생존하는 자연인의 내면적 사실, 신체나 재산상의 특질, 사회적 지위나 속 성에 관하여 식별되거나 또는 식별할 수 있는 정보의 총체를 일컫는 것으 로 이해할 수 있는 것이다. 178) 다른 나라의 경우를 보더라도 개인정보의 개념범위가 개인을 특정할 수 있는 모든 정보 라고 하는 큰 틀이 유지되 고 있으며, 현행법상 공공기관의 개인정보보호에 관한 법률 또는 정보 통신망 이용촉진 및 정보보호 등에 관한 법률 에 적용되는 개인정보의 개 념정의 역시 크게 다를 바가 없다. 그런데 우리나라에서 개인정보에 관한 논의는 개인정보보호 혹은 개 인정보침해 라는 용어로 대표되고 있다. 엄격히 말하자면 개인정보라는 것 은 그에 관한 권리의 객체에 지나지 않는 일종의 재화( 財貨 )라고 할 수 있지만, 179) 그 권리객체의 적격성 여부를 떠나 그 자체가 권리 개념에 포 섭되는 보호법익은 아니라 할 것이다. 그럼에도 불구하고 이와 관련된 용 례로서 권리객체의 보호 또는 침해를 운운하는 것이 일반적인 현실이 된 상황에서는 그것이 법적으로 어떠한 의미를 지니는지 되짚어보지 않고서 Informationshilfe - Informationsaustausch und Datenschutzanforderungen in der öffentlichen Verwaltung, NJW, 1986, S ) 총무처, 축조해설 개인정보보호법, 1994, 31쪽; 여기서는 개인정보의 예로 1 내면의 비밀로서 사상 신조 종교 가치관 양심 등, 2 심신의 상태로서 체력 건강상태 신체적 특징 병력( 病歷 ) 등, 3 사회경력으로서 학력 범죄경력 직업 자격 소속정당 및 단체 등, 4 경제관계로서 재산 상황 소득 채권채무관계 등, 5 생활 가정 신분관계로서 성명 주소 본적 가족관계 출생지 본관 등을 들고 있다. 179) 개인정보를 포함한 정보의 법적 성질과 관련하여 그 자체가 민법상의 물건에 해당하는지 여부 에 대하여는 아직까지도 논란이 있는 것으로 보이며, 형법상의 재물에 해당하지 않는다고 엄격 히 해석하면서 입법론적 해결이 필요하다는 주장이 유력한 견해로 받아들여지고 있는 것 같다

228 는 정확한 논의를 적절히 개진할 수 없게 된다. 더욱이 그동안 개인정보 와 관련한 권리관계를 논할 때 대개 프라이버시(privacy) 180) 라는 용어로 포괄하여 접근하는 것이 일반적인 경향이었다. 하지만 서구에서 발달하여 온 프라이버시의 개념은 아직 통설적인 정의에는 이르지 못한 것으로서 다양한 개념징표가 논의되고 있으며, 프라이버시의 개념을 명확히 정의하 는 것이 어렵게 되자 프라이버시에 대한 설명은 개념적 접근보다는 그 중 요성을 강조하는 데 치우치는 경향을 보유하게 된다는 점 181) 에 유념할 것 이 요청된다. 182) 여하튼 권리 개념이 아닌 개인정보와 프라이버시라는 법 익 관념이 혼재되어왔던 과정에서 개인정보보호 내지 개인정보침해 라 는 단어가 관련 법령 및 기관의 명칭으로 당초부터 자리잡아버린 것이므 로, 용법상의 변혁이 아니라도 비판적으로 사용해야 할 것이다. 그러한 차원에서 최근 개인정보의 수집 처리가 일반화되고 있는 상황과 개 인정보 자체가 유통의 대상으로 범주화되고 있는 상황에 부합하게 새로이 개인 정보에 관한 권리를 개념화하여야 한다는 논의가 제기되고 있는 것이다. 개인정 보에 관한 정보주체의 권리라 함은 자신에 관한 정보를 관리하고 통제할 수 있 는 권리라고 풀어쓸 수 있겠는바, 자기 정보에 대하여 정보주체 스스로가 갖는 자율적 결정 권능이 여기서 도출된다고 보고 이를 정보자기결정권( 情報自己決定權 : Recht auf informationelle Selbstbestimmung)이라 부를 수 있다. 183) 이는 일정한 180) 프라이버시의 어원( 語原 )은 사람의 눈을 피한다 는 의미의 라틴어인 privatue에서 유래한다. 그 사 전적 의미는 사생활에 대하여 타인의 눈길로부터 떨어져 있는 상태, 은거하는 장소나 은밀한 장소, 타인으로부터 독립하여 사적 비밀( 私的秘密 )이 보장된 분위기, 타인에게 알려지기를 꺼리는 사사 ( 私事 ), 사적인 친척관계나 친밀한 관계와 같이 은밀한 관계 등을 뜻한다 고 기술되기도 하고 (Merriam Webster, Webster's new international dictionary of the English language unabridged, Chicago: Encyclopaedia Britannica, 1966, p.1804.), 사회 타인의 호기심 그리고 영향력으로부터 독립된 것으 로서 규범적 요소를 포함한 개인적인 영역에 대한 접근의 배타적 통제력 으로 풀이할 수 있다 (David L. Sills, International Encyclopedia of the Social Science, Vol.12, the MacMillan Press, 1976, p.480). 181) Daniel J. Solove & Marc Rotenberg, Information Privacy Law, New York: Aspen Publishers Inc., 2003, p ) 권리로서 프라이버시는 단순히 소극적인 것이 아니라 개인정보자기결정권이라는 적극적인 접근권과 통제권을 내용으로 하는 것이며, 오늘날 단순히 혼자 있을 권리 가 아니라 자신의 신상정보를 통제할 수 있는 권리이자 개인의 참여를 보장하고 개인의 체계적 역감시를 요청하는 적극적 권리로 재해석되 고 있다; Charles Fried, Privacy, 77 Yale L. J. 475, 482 (1968); 대법원 선고, 96다42789 판결 [공 , (65), 2200] 참조. 183) 다만, 그 용어에 있어서는 학자에 따라 개인정보통제권 개인정보자기결정권 자기정보통제권 자

229 범위 내에서 자신에 관한 정보를 제공할 것인가를 자유로이 결정할 권한 이 인간의 존중과 인격의 자유로운 전개에 해당하여 법적 보호를 필요로 하는 것으로 파악하여 1983년 독일 연방헌법재판소가 결정한 인구조사판 결(BVerfGE 65, 1)에서 처음 인정된 개념으로, 자신에 대한 정보가 언제 어떻게 어느 범위까지 타인에게 전달 이용될 수 있는지를 자율적으로 결 정할 수 있는 미국에서 논의되는 정보프라이버시(information privacy)와 동일한 개념이라 볼 것이다. 물론 프라이버시 혹은 헌법 제17조 소정의 사생활의 비밀과 자유 가 개인정보에 관한 권리와 동일한 것은 아니다. 즉, 개인정보자기결정권은 포괄적인 의미의 사생활에 관한 권리를 이루는 하나의 유형이라고 볼 수 있고 이런 측면에서 개인정보자기결정권이 헌법 제17조로부터 도출되는 개념이라고 하겠지만, 타인에 의한 무분별한 개인정보의 취급과 활용에 대응하는 정보주체의 적극적인 통제권이 그 핵심인 개인정보보호의 권리 는 소극적으로 개인의 내밀한 사적 영역을 지켜주는 데 초점이 맞추어져 있는 사생활권( 私生活權 )과 그 보호의 객체 범위 내용에 있어 구별될 수밖에 없는 것이다. 따라서 각기 다른 법리에 따른 법제도의 정립이 요 구된다. 그러므로 두 개념을 혼용하는 일반적인 용례에 문제점이 있음을 경계하여 이른바 개인정보보호 체계를 조망할 필요가 있다고 하겠다. 이 로써 개인정보권의 보호와 침해를 다루는 법제적 기틀에서 그 권리구제방 안을 검토하여야 할 것이다. 개인정보에 관한 권리의 객체로서 개인정보 를 범주화하고 이에 대응하는 권능을 세분화 체계화함으로써 보호와 이용 기정보관리통제권 등 다양한 표현을 사용하고 있으나, 그 내용은 크게 다르지 아니하다. 헌법 재판소는 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 즉, 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말한다. 개인정보자기결정권의 보호대 상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사( 私事 )의 영역에 속하는 정보에 국한되지 않고 공적 생활 에서 형성되었거나 이미 공개된 개인정보까지 포함한다. 또한 그러한 개인정보를 대상으로 한 조사 수집 보관 처리 이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다. 라고 설시하고 있다; 헌재 헌마190, [판례집 17-1], 668, 682~683; 헌마 (병합), [판례집 17-2] 81, 91~

230 의 조화로운 법률관계를 형성하도록 하는 적극적 의미로 해석될 수 있기 때문에, 우선 국가기관 또는 민간업자 등 개인정보관리주체에 대한 부정 과 불신의 관념에서 벗어나 정당한 권리의무의 법률관계로 형성할 수 있 도록 하는 것이 중요한 것이다. 결국 보호할 것은 두텁게 보호하고 이용 할 것은 합리적으로 보호할 수 있는 제도적 체계의 확립을 위해서 개인정 보에 관한 권리의 재정립이 요구되는 것이며, 이를 통해 보호법익으로서 권리가 침해받기 이전에 준수되어야 할 예방조치와 사후에 관철되어져야 할 구제방안이 법률적 제도로 형성될 것이다. 이러한 측면에서 개인정보의 대상이나 범위, 즉 그 보호법익의 문제에 대하여 짚고 넘어갈 필요가 있다. 다시 말해 개인에 관한 일체의 정보는 모두 보호객체가 되는 개인정보인가? 하는 의문에 대하여 과연 어떻게 적 절히 해답을 제시할 것인지가 요청되는 것이다. 그 까닭은 개인정보의 내 용 가운데 일부는 이미 공개되어 있는 것이거나 혹은 당사자의 의사에 의 하여 이용이 허용된 것일 수 있기에, 개인정보가 공개되었다는 이유만으 로 프라이버시를 침해하였다는 판단을 확정짓는 것은 개인정보를 전체적 으로 조망하는 법리구성에 있어 온당치 못할 것이기 때문이다. 그리고 네 트워크로 연결된 현대 정보사회에서 순전히 정보주체인 개인에게만 국한 되는 정보란 존재하기 어려운 것인 바, 개인정보라 하더라도 그 보호법익 이란 가치가 사회적 관련성이 배제된 채 측정될 수는 없는 노릇이기에 보 호대상으로서 개인정보의 범위를 개인에 관한 일체의 정보로 설정하는 것 은 정보통신망 혹은 유비쿼터스(ubiquitous)와 같은 정보환경이 지니는 현 실과 적잖은 괴리( 乖離 )를 가지게 된다. 184) 그러므로 개인정보를 개인에 관한 정보 가운데 경제적 가치를 지니고 있는 대상으로 파악하고 이용계 약체결의 대상이 되는 거래의 객체로서 보호하되, 그 가치의 경중( 輕重 )에 따라 규제의 법리도 달리 구성하는 것이 오히려 타당할 것으로 본다. 185) 184) 同旨 : 배대헌, 정보의 귀속 유통에 관한 민사법적 접근, 비교사법 통권 제15호, 한국비교사법 학회, 2001, 287쪽; 개인정보는 특정한 개인에 관한 관심대상으로서 또는 특정인에 의하여 통제 할 수 있는 가능한 범위를 정하는 문제로 파악할 것이 아니라, 사회전반에서 드러난 것에 기초 하여 또는 장차 드러날 것으로 추단되는 법적 문제를 예방하기 위하여 검토되는 논의대상이다. 185) 개인정보를 등급별로 분류하고 보호수준을 정하는 방법론을 채택하는 다른 견해로는 정영화,

231 이렇게 보면 1 사상 신념 병력 전과기록과 같이 원천적으로 수집이 제 한되는 절대적 보호대상으로서 사생활정보와 2 주민등록번호 등과 같이 개 인이 직접적으로 식별되는 것이므로 특정목적에 의해서만 제한적으로 제공 되어야 할 개인식별번호의 경우 민감도( 敏感度 ; degree of sensitiveness)가 높은 것으로 볼 수 있을 것이나, 그 취급에 있어서는 보호법익으로서 개인 정보의 가치가 지니는 속성이 다른 까닭에 차별화된 논리를 적용해야 할 것이다. 하지만 3 개인이 제출하거나 법령에 의해 수집되어 개인정보의 일면적 속성인 인격적 측면이 희석되어 있는 정보인 경우 거래관계에서의 재산적 가치에 따라 시장논리에 따를 것이나, 4 개인에 대한 식별이 간 접적이면서 이미 공개되어 있는 정보인 성명 전화번호 주소와 같은 정보 는 정상적이고 합법적인 정보유통의 대상으로 파악되는 개인정보 유형 가 운데에서도 논의를 달리해야 할 측면을 내재하고 있다 할 것이다. 이와 같은 논의는 권리 개념을 재정립할 때 정보사회의 흐름을 훼손하지 않는 관념적 설정도 함께 구성하여야만이 본질적으로 권리침해의 실질적 위법 성을 논할 수 있는 것이다. 한편, 우리 헌법상 정보질서에 따른 개인정보자기결정권의 적용실태 및 개인정보에 관한 법리가 논의의 전제가 되어야 한다. 우리 헌법이 명문으 로 규정하고 있지 않는 정보사회의 원칙과 기준에 관한 모형을 상정한다 면, 경제질서라는 개념을 원용하여 정보질서 186) 라 부를 수 있을 것이다. 그런데 대한민국헌법 제119조는 제1항에서 대한민국의 경제질서는 개인 과 기업의 경제상의 자유와 창의를 존중함을 기본으로 한다. 고 규정하여, 국가가 시장의 자율성을 보장하면서 시장참여자들 간의 경쟁을 위한 규칙 을 확정하고 그 행위준거를 제시하는 한편 그들이 상호신뢰감이나 안정감 사이버스페이스와 프라이버시권, 헌법학연구 제6권 제3호, 한국헌법학회, 2001, 25쪽 이하 참조. 186) 정보질서라는 개념은 전반적이고 구체적으로 이미 확정된 의미가 아니라 마치 헌법상 경제질 서와 아주 유사하게 사회 안에서 나름대로의 원칙과 기준을 제시하는 모형인바(Wolfgang Zöllner, Informationsordnung und Recht, Berlin: Walter de Gruyter, 1990, S.11.), 법적으로 구성 되는 정보질서는 현실적인 사회구조를 반영해야 할 뿐만 아니라 이들이 추구해야만 하는 기본 적인 지침과 기준을 제공하여야 한다(Friedrich Schoch, Öffentlichrechtliche Rahmenbedingungen einer Informationsordnung, VVDStRL 57, Berlin: Walter de Gruyter, 1998, S.213.)

232 을 가지고 시장활동을 영위할 수 있도록 각종의 표준이나 지침 등을 설정 함으로써 그 과정과 결과 모두를 행위자가 책임지도록 함을 기본적인 경 제질서로 삼고 있다. 즉, 국가는 규범설정자이자 심판관이며 후견자로서 기능함으로써 시장의 자율성을 최대한 보장해주어야 한다는 것이다. 다만 같은 조 제2항에서는 국가는 균형 있는 국민경제의 성장 및 안정과 적정 한 소득의 분배를 유지하고, 시장의 지배와 경제력의 남용을 방지하며, 경 제주체간의 조화를 통한 경제의 민주화를 위하여 경제에 관한 규제와 조 정을 할 수 있다 고 하여, 경제주체간의 조화를 통한 경제의 민주화라는 요청에 따라 시민사회의 경제영역에의 참여가 중심이 되도록 하고 국가는 보조자로서의 지위를 수행하도록 요구하고 있다. 이처럼 헌법상 경제정책 시행에 부여된 입법형성의 자유가 존재하기는 하지만, 개인과 기업이 보 유하는 경제상 자유와 창의의 존중이 경제질서의 근간임을 부인할 수 없 다. 이렇게 규범적으로 개방된 경제질서에 있어 기업의 자유는 헌법 제15조 에서 천명하고 있는 직업(선택)의 자유와 헌법 제23조 소정의 재산권 등 에서 도출될 수 있는바, 이는 우리 헌법이 상정하고 있는 경제구조를 형 성하는 기본권이며 산업적 측면에서의 정보활동에 대한 규범적 설정의 기 초가 되고 있기에 정보사회에서의 정보의 활용에 있어서도 헌법적 가치를 제공하는 정보질서를 설명할 수 있게 한다. 따라서 헌법적 정보질서에 상 응하는 정보 활용의 자유와 책임의 조화를 구체화하기 위해서는 헌법상의 경제질서와 기업의 자유 그리고 개인정보에 대한 개인의 권리 등을 종합 적으로 이해하여 우리 헌법이 지향하고 있는 정보질서를 규범적으로 판단 해야 할 것이다. 즉, 정보사회로서 우리가 직면하고 있는 현실이 어떠한 규범적 의미가 있는지를 논의한 연후에야 비로소 개별적 권익의 상충을 조율할 수 있게 되는 것이다. 이러한 측면에서 우리 헌법은 원칙적으로 정보의 활용과 유통의 산업적 활성화를 도모하기 위하여 개인과 기업의 정보활동을 장려하고 있으며, 다만 개인정보보호와의 균형을 위해 예외적 으로 정부규제와 시장개입을 허용하고 있는 것으로 새겨야 할 것으로 사

233 료된다. 정보의 자유를 갖는 개인과 기업 가운데 이를 기업의 자유에 의 해 영업활동을 하는 데 있어서는 정보에 있어서의 자유와 창의를 존중하 는 질서가 규범적으로 인정되어야 할 것이고 이를 침해하지 않는 범위 내 에서 정보의 민주화라는 요청에 따른 최소한의 정부규제가 정당화되는 것 으로 유추해석할 수 있는 것으로 본다면, 개인과 기업의 정보활동에 대한 제한을 헌법상 중립적 가치로서의 정보질서에 부합하도록 규제합리화의 선상에서 재검토할 필요성이 있다고 하겠다. 그런데 개인정보자기결정권이라는 개인의 자유와 정보 활용이라는 기업 의 자유가 상충된 가치로서 대립하는 민간영역에서는 상호간 이익형량에 따르는 것이 원칙이며, 다만 예외적으로 정보 활용이 부당하게 개인정보 에 관한 권리, 즉 개인정보자기결정권을 침해하는 경우 비로소 국가가 개 입하게 되어 개인정보자기결정권의 효력이 관철된다 하겠다. 이는 원칙적 으로 사인( 私人 )은 자유로이 정보를 수집할 권리 및 계약자유에 관한 권 리 등을 갖고 있기 때문이며, 시장경제가 작용하기 위해서는 우선 경쟁을 가능하게 하고 개인 상호간 계약체결을 가능하게 하고 그 준수를 보장하 며 빠르고 확실한 교환을 가능하게 하는 법질서가 요구되므로 한편으로는 시장경제체제가 제대로 작동하기 위해서는 개인정보를 보호해야만 할 필 요성이 있는 것이다. 그러나 또 다른 한편으로 시장경제 속에서 활동하는 사람들은 올바른 결정과 판단을 내리기 위하여 불확실성은 가능한 한 줄 이고 필요한 정보에 관하여 가능한 한 많이 획득하려고 하기 때문에 이를 위하여 개인정보가 필요함은 너무도 당연한 반면, 경제활동의 주체인 개 인은 스스로가 적극적으로 개인정보를 조사 수집 처리하려 한다. 결국 시장경제가 제대로 기능하기 위해서는 개인정보의 가능한 한 방해받지 않 는 접근과 광범위한 저장 및 이용자유를 전제로 부분적으로 또는 분야별 로 개인정보보호가 요구되기도 하며, 여기서 예외적인 규제나 제재가 가 동된다. 환원하자면, 개인정보자기결정권의 효력 여하에 따라 원칙적으로 금지되는 행위가 아닌 것에 대한 제한원리가 적용되는 것인지 아니면 일 반적으로 제한되는 행위에 대하여 정당화사유가 있는 경우 예외적으로 허

234 용할 수 있는 것인지에 대한 구별이 선행되지 않으면 안 됨을 주목해야 한다. 민간부문의 경우 원칙적으로 복수( 複數 )의 기본권주체가 서로 대립 되는 상이한 기본권의 적용을 주장하는 기본권충돌의 문제가 되므로 구체 적 사정을 고려하여 법익형량의 조화를 추구하는 것이 관건이 되며, 권리 침해의 경우에 예외적으로 개인정보자기결정권은 제3자적 효력을 갖게 되 는 것이다. [표7-1] 정보자기결정권의 효력에 따른 개인정보의 활용 여부 원칙 논거 예외 논거 공공부문 개인정보활용의 금지 기본권침해 개인정보활용의 허용 기본권제한 민간부문 개인정보활용의 허용 기본권충돌 개인정보활용의 금지 대사인효력 결국 프라이버시의 연원에 따라 헌법상의 기본적 인권으로서의 그것과 사법상 권리로서의 그것이 차이가 있으며 행정기관에 대해서는 민간사업 자보다 엄격한 개인정보보호가 요구되고, 187) 국가가 법률로써 행정기관에 의한 개인정보의 취급에 제한을 마련하는 경우와 국가가 법률로써 사인에 의한 개인정보의 취급에 제한을 마련할 경우와는 문제의 구성은 물론 필 요한 조정의 형태가 다르므로 이러한 차이를 무시하는 것은 적절하지 않 으며, 민간부문의 개인정보보호는 개인의 존엄이 기본적 인권으로서 보장 되는 것에 대하여는 적어도 헌법의 간접적인 적용을 받는 것이지만 시장 경제의 자율성을 근간으로 하고 있기 때문에 동시에 표현의 자유와 같은 상충되는 기본권이나 사적 자치의 원칙(Prinzip der Privatautonomie) 등과 의 조화가 고려되어야 하므로 두 부문에서의 개인정보보호에 관한 원리가 상이하게 나타난다고 볼 수 있다. 이와 같은 측면에서는 개인정보보호라 는 시대적 화두가 완결될 수 있으려면 규범적 사실적 논리복합체로서 헌 187) Paul M. Schwartz & Joel R. Reidenberg, Data Privacy Law : A Study of United States Data Protection, Charlottesville; Michie Law Publishers, 1996, pp.24~

235 법이 지향하는 정보질서에 따라 균형 잡힌 정보가치관으로 정보환경을 구 축하는 가운데 사회구성원의 권리를 상호 존중할 수 있어야 할 것으로 본 다. 이러한 논급은 개인정보가 개인적 사회적 가치뿐만 아니라 엄연히 경 제적 가치를 지니고 그 활용을 전제로 정보질서를 결정짓는 정보환경의 기본요소이기 때문이다. 아무튼 개인정보보호에 있어서 보호객체가 개인정보라기보다는 정보주 체의 정보자기결정권을 보장하기 위한 방편과 원칙이라는 측면에서 논의 된다는 점에서 부적절한 용례임에도 불구하고 지난 1994월 1월 7일 법률 제4734호로 공공기관의 개인정보보호에 관한 법률 이 제정되면서 법률용 어가 되고 그 관행화가 유지되었으므로 본고 역시 그 용법의 적합성을 별 론으로 하더라도 동일한 어휘를 취하도록 한다. 다. 정보보안 의의의 개관 정보보안이라 함은 정보가 어떻게 악용 오용될 수 있는지를 살펴보고 이를 방지하기 위한 모든 노력과 물리적 관리적 기술적 대책을 강구하는 것을 가리키는 용어이다. 188) 원래 보안(Security)은 네트워크의 발전으로 지구 전체가 하나로 접속되고 있는 상황을 전제할 때 그 중요성이 점증하 고 있기 때문에 보안에 만전을 기한다는 것은 정보사회의 기반을 강화하 기 위해 요구된다. 종래 보안은 정보처리전문가의 과제였지만, 기업이나 가정에서 1인 1PC가 보편화되고 스마트폰이 보급된 오늘날 보안은 비즈 니스와 사생활보호를 위해 기업이나 개인의 필수과제로 되었다고 보는 것 이 타당하다. 한편, 경제협력개발기구(Organization for Economic Cooperation and Development; OECD)가 1992년 11월에 발표한 보안가이드라인 (Guidelines for the Security of Information Systems)에서 보안의 개념을 명확히 하고 있는데, 이 지침은 정보시스템보안의 목적은 정보시스템에 188) 홍승필 김영철, 정보보안의 이해, 도서출판 길벗, 2005, 16쪽

236 의존하는 자를 가용성, 기밀성, 완전성의 결여로 인한 위험으로부터 보호 하는 것 이라고 정의하고 있다. 이후 이 지침은 2002년 시스템 및 네트워 크의 정보보안에 관한 가이드라인(OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security)으로 대체되었는데, 위 3가지의 용어에 관하여 다음과 같이 정의하고 있다. 189) 첫째, 가용성이라 함은 정보시스템이 정해진 방법으로 마음대로 이용할 수 있는 것을 말한다. 둘째, 기밀성이라 함은 제3자에게 정보가 누설되지 않도록 하는 것을 말한다. 셋째, 완전성은 그 내용에서 본다면 일관성 접속성의 의미를 지닌 것으 로 볼 수 있다. 초기 단계에서는 컴퓨터보안이란 용어를 사용하는 것이 일반적이었고 오늘날에는 정보보안이라는 용어를 많이 사용하는바, 어떤 용어이든 최종 적으로는 정보를 보호하기 위한 전반적인 수단이라는 점에서는 차이가 없 으며 그 대상범위도 동일하다고 볼 수 있다. 최근에는 모든 업무에 관하 여 정보가 처리되고 그 처리된 결과의 정보에 근거하여 물품이 유통되고 금전이 결제되고 있는 만큼 정보가 중요한 역할을 하기 때문에 정보가 잘 못되면 최종적으로 금전 결제도 잘못될 수밖에 없고, 악의를 갖고 정보를 조작하면 컴퓨터범죄가 발생하게 되며, 190) 개인정보에 오류가 있게 되면 189) 이 지침은 공공분야와 민간분야의 모든 정보시스템에 적용되며, 공공분야와 민간분야에서 정보 시스템의 보호와 안전성의 제공을 위한 조치를 행하고 정보시스템의 안전성을 위한 법적 행정 적 자기규제적 조치와 기구의 설립을 촉진 및 지원할 것을 강조하고 있다. 그 주요목적으로 1 정보시스템의 위험과 이러한 위험에 대처할 보안장치에 대한 인식의 증진, 2 공공분야와 민간 분야에서 정보시스템의 안전성을 위하여 통일된 조치 관행 및 절차의 개발과 구현을 위한 책 임을 지우는 일반적인 기반 구축, 3 이러한 조치 관행 및 절차의 개발과 구현에 있어서 공공 분야와 민간분야 사이에 협력 촉진, 4 정보시스템에 대한 신뢰성 향상, 5 국내외적으로 정보 시스템의 개발과 이용 자극, 6 정보시스템의 안전성을 확보하기 위하여 국제적인 협력 촉진 등을 제시하고 있는 이 지침의 목적 실현을 위하여 OECD는 책임원칙 주지원칙 윤리원칙 협 력원칙 비례원칙 통합원칙 적절성원칙 재평가원칙 및 민주주의원칙 등을 채택하면서 이에 따 라 회원국이 정보시스템의 보호 및 안전성에 대한 적절한 입법의 필요성을 수용하고 그에 상 응하는 책임을 명확히 할 것을 강조하고 있다; Working Party on Information Security and Privacy, The Promotion of a Culture of Seccurity for Information Systems and Networks in OECD Countries, Organization for Economic Cooperation and Development, 2005, pp.3~4. 190) 컴퓨터와 네트워크 등에 대한 범죄를 포괄하는 범죄적 행위를 전자적 침해행위( 電子的侵害行

237 정정하지 아니하는 한 그 개인은 생각 이상의 불이익을 받을 수도 있다. 정보통신기술의 발달과 급격한 보급으로 인한 정보누수와 정보침해에서 정보보안의 원인을 찾아볼 수 있다. 정보통신의 대중성과 개방지향성은 정보의 유출과 침해를 용이하게 할 뿐만 아니라, 그에 대한 추적 역시 어 렵게 만들어 놓고 있는 실정이며, 정보통신망이라는 개념으로 형성된 네 트워크체계는 각종 정보원의 공개가 자연스럽게 이루어지고 이에 따른 정 보침해나 해킹 그리고 버그의 발생과 확산을 가능케 하고 있다. 바람직한 정보사회의 정립을 위하여 필요한 정보는 보호되어야 하며, 정보보안은 유통되는 정보나 데이터의 보호뿐만 아니라 이를 작동시키고 정보유통을 가능토록 하는 각종 소프트웨어 및 시스템 네트워크 등에 대하여 광범위 하게 이루어져야 한다. 이러한 정보보안의 기본요소는 다음과 같이 분설 할 수 있다. 첫째, 기밀성(confidentiality)은 보안공격으로부터 전송자료를 보호하기 위하여 전송 또는 보관중인 정보를 비인가자가 부정한 방법으로 입수하더 라도 그 내용을 알 수 없도록 보호하는 것이라 하겠다. 안전한 정보시스 템을 구축하기 위해서는 허가되지 않은 사용자에게 정보를 공개해서는 아 니 되며, 이를 위해 누가 시스템에 접근하는지 그리고 각각의 사용자가 어떠한 작업을 수행할 수 있는지에 대하여 제어할 수 있어야 하기 때문이 다. 이를 위한 보안대책으로 접근통제방법이나 암호화기법이 사용될 수 있다. 둘째, 무결성(integrity)은 전송 또는 보관중인 정보가 인가되는 방법이 다. 시스템이 정보를 변조하거나 비인가된 사용자가 악의적인 또는 의도 하지 않은 변화를 유발시키는 것을 방지해야 하기 때문이다. 특히 네트워 爲 ) 라 부를 수 있는바, 이는 정보통신기반보호라는 측면에서 그 위험성의 정도에 따라 구분하 여 보면, 사이버테러리즘으로 대표되는 집단목적 추구형 전자적 침해행위, 사적 목적 추구형 전자적 침해행위 및 단순유희형 전자적 침해행위로 분류될 수 있다. 한편, 정보통신망에 대하 여 해킹, 백도어, 크래킹, 서비스 거부 공격(Denial of Service), 컴퓨터 바이러스, 논리폭탄 (Logic Bomb), 스팸(Spam) 이라고 부르기도 하는 전자우편폭탄( Bomb), 트로이목마 (Trojan Horse), 인터넷 웜(Internet Worm), 포트스캔(Port Scan), 스니핑(Sniffing), 스푸핑 (Spoofing) 등과 같이 다양한 논리적 공격수단이 존재한다

238 크 통신에서는 정보의 무결성과 관련하여 정보교환시 상대방의 신분을 확 실히 하여 도모할 수 있는 인증성(authenticity)이 보장되어야 하는바, 이 는 누가 네트워크에 접근하여 정보를 제공하였는지를 결정하고 정보의 전 송 및 수신 시점을 기록함으로써 정보의 출처를 확증하는 방법을 제공한 다. 셋째, 가용성(availability)은 정당한 사용자가 인가된 방법으로 적시에 정보시스템에 접근하여 이용할 수 있는 특성을 의미한다. 컴퓨터 시스템 의 하드웨어와 소프트웨어가 효율적으로 작업을 수행하며 사고 및 재앙이 발생하더라도 신속하고 완전하게 복구할 수 있어야 하기 때문이다. 서비 스 거부(denial of service)가 그 반대개념이다. 그 밖에도 시스템침입 의도를 사전에 어느 정도 감쇠시키고 사후에 부 적절한 추궁으로 불이익을 유발하는 문제를 미연에 방지할 수 있도록 정 보시스템에 보안문제가 발생하더라도 그 사고가 누구에 의해 어떤 방법으 로 발생한 것인지 추적할 수 있는 책임추적성과 특정 행위에 따른 결과가 언제나 동일하게 나타나도록 함으로써 그렇지 않을 경우에 나타날 수 있 는 예측불허의 손해발생을 예방하는 신뢰성 등도 정보보안의 기본개념으 로 파악될 수 있다. 2. 클라우드컴퓨팅과 현행 법제도 가. 공공기관의 개인정보보호에 관한 법률 (1) 입법적 개관 1989년 2월 들어 국제인권옹호 한국연맹의 법제정 건의를 시작으로 언 론과 시민단체 등은 개인정보의 오 남용 사례보도 등 여론조성을 통하여 법제정의 필요성을 촉구하기 시작했는바, 그 결실이 1994년 1월 7일에 제 정된 공공기관의 개인정보보호에 관한 법률 이며 이듬해 시행되기에 이

239 르렀다. 이후 1999년 1월 29일 법률 제5715호로 개정된 위 법은 일부사항 이 보완되었지만, 전자정부구현에 있어 적절한 대응책의 구비나 새로이 등장한 정보기술 역기능 제거에 부족한 면이 많았기 때문에 그 개정이 요 청되었다. 그러던 중 종전 논의되었던 폐쇄회로 텔레비전 취급 화상정보 에 대한 대응 및 관련 정보주체의 권리 보장을 수렴하고 기존에 반영하지 못하였던 사항을 정비토록 하여, 공공기관의 컴퓨터 폐쇄회로 텔레비전 등 정보의 처리 또는 송 수신 기능을 가진 장치에 의하여 처리되는 개인 정보의 보호를 위하여 그 취급에 관하여 필요한 사항을 정함으로써 공공 업무의 적정한 수행을 도모함과 아울러 국민의 권리와 이익을 보호함을 목적으로 지난 2007년 5월 17일 법률 제8448호로 개정된 공공기관의 개 인정보보호에 관한 법률 이 같은 해 11월 18일부터 시행되고 있다. 이 법 에서 개인정보란 생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명 주민등록번호 및 화상 등의 사항에 의하여 당해 개인을 식별 할 수 있는 정보 191) 를 말하며, 개인정보파일에 기록되어 있는 개인정보인 처리정보에 의하여 식별되는 자로서 당해 정보의 주체가 되는 정보주체에 대응하는 개념으로서 개인정보취급자인 공공기관은 국가행정기관 지방자 치단체 그 밖의 공공단체 중 대통령령이 정하는 기관을 말한다. (2) 논의의 접목 공공기관의 개인정보보호에 관한 법률 제3조제1항은 공공기관의 컴 퓨터 등(컴퓨터 폐쇄회로 텔레비전 등 정보의 처리 또는 송 수신 기능을 가진 장치)에 의하여 처리되는 개인정보의 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법이 정하는 바에 의한다. 라 고 규정하고 있다. 이에 따르면 클라우드컴퓨팅에서의 클라이언트 단말기 및 네트워크가 정보의 송 수신 기능을 가진 장치에 해당하므로 예컨대 191) 당해 정보만으로는 특정개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함한다; 공공기관의 개인정보보호에 관한 법률 제2조제2호 참조

240 행정안전부 정부통합전산센터와 같이 개인정보를 취급하는 공공기관, 192) 즉 국가행정기관 지방자치단체 그 밖의 공공단체 중 공공기관의 개인정 보보호에 관한 법률 시행령 이 정하는 기관의 경우 공공기관의 개인정보 보호에 관한 법률 의 적용을 받게 된다. 193) 그런데 공공기관의 개인정보보호에 관한 법률 시행령 제2조의 경우 본문에서 법 제2조제1호에서 대통령령이 정하는 기관 이라 함은 다음 각 호의 기관을 말한다. 이 경우 제2호 및 제3호에 따른 기관에는 금융 실명거래 및 비밀보장에 관한 법률 에 따른 금융기관은 포함되지 아니한 다. 라고 하면서, 194) 각 호로 1 초 중등교육법 및 고등교육법 그 밖 192) 이와 관련하여 정부통합전산센터 내 범정부 클라우드 인프라를 구축하여 개별부처 풀 체계를 전부처 통합풀 체계로 전면 개편하는 추진과제에 대하여는 방송통신위원회 행정안전부 지식 경제부, 범정부 클라우드 컴퓨팅 활성화 종합계획, 2010, 9쪽 참조. 193) 행정안전부와 그 소속기관 직제 제2조제1항에 따라 행정안전부 소속기관으로 조직되는 정부 통합전산센터는 행정권의 직접적인 행사를 임무로 하는 기관에 부속하여 그 기관을 지원하는 행정기관으로서 정부조직법 제4조 및 행정기관의 조직과 정원에 관한 통칙 제19조제1항에 따른 부속기관에 해당한다. 지난 2005년 11월 국가 IT자원을 효율적으로 관리하고 세계 최고 수준의 전자정부를 완성하기 위해 출범한 행정안전부 정부통합전산센터는 현재 대전과 광주 두 곳에 데이터센터를 두고 있는바, 설립 초기에 분산되어 있던 서버와 스토리지 등을 데이터 센터로 옮겨 오기 시작하여 이후 단순한 위치 통합을 넘어서 모든 정부 IT자원을 하나의 풀 (pool) 형태로 묶는 작업을 시도함으로써 사실상 클라우드 컴퓨팅의 초기 서비스 모델의 성격 을 띠고 있으면서 결과적으로 정부 각 부처가 필요로 하는 IT자원을 유연하게 제공하는 클라 우드 컴퓨팅 서비스로 나아가고 있다; 민옥기 이미영 허성진 김창수, 훤히 보이는 클라우드 컴 퓨팅, 전자신문사, 2009, 169~170쪽. 194) 금융실명거래 및 비밀보장에 관한 법률 제2조(정의) 이 법에서 사용하는 용어의 정의는 다음 과 같다. 1. "금융기관"이라 함은 다음 각목에 정하는 것을 말한다. 가. 한국은행 한국산업은행 한국수출입은행 중소기업은행 및 은행법 에 따른 은행 나. 장기신용은행법에 의한 장기신용은행 다. 자본시장과 금융투자업에 관한 법률 에 따른 투자매매업자 투자중개업자 집합투자업자 신 탁업자 증권금융회사 종합금융회사 및 명의개서대행회사 라. 삭제< > 마. 상호저축은행법에 의한 상호저축은행과 그 중앙회 바. 농업협동조합법에 의한 농업협동조합과 그 중앙회 사. 수산업협동조합법에 의한 수산업협동조합과 그 중앙회 아. 축산업협동조합법에 의한 축산업협동조합과 그 중앙회 자. 인삼협동조합법에 의한 인삼협동조합과 그 중앙회 차. 신용협동조합법에 의한 신용협동조합과 그 중앙회 카. 새마을금고법에 의한 금고와 그 연합회 타. 삭제< > 파. 삭제< > 하. 보험업법에 의한 보험사업자

241 의 다른 법률에 따라 설치된 각 급 학교, 2 공공기관의 운영에 관한 법 률 제4조에 따른 공공기관, 3 특별법에 의하여 설립된 특수법인, 4 지 방공기업법 에 따른 지방공사 및 지방공단 등을 열거하고 있는 실정이다. 이로써 한국은행 한국산업은행 한국수출입은행 등 공공금융기관의 경우 클라우드 서비스 사용자로서 컴퓨터 등을 사용하여 정보의 입력 저장 편 집 검색 삭제 및 출력 그 밖에 이와 유사한 행위를 하는 처리를 할 경우 현행법상 공공기관의 개인정보보호에 관한 법률 에 따른 공공기관에 해 당하지 않게 되어 공공기관의 개인정보보호에 관한 규율을 따르지 않게 되는 문제가 드러나게 된다. 무엇보다도 정보의 처리 또는 송 수신 기능을 가진 장치에 의한 개인 정보의 처리에 있어서 공공기관의 개인정보보호를 위하여 제정된 공공기 관의 개인정보보호에 관한 법률 의 경우 그 규범적 규율대상은 클라우드 서비스 사용자인 공공기관에 한정되어 있음에도 불구하고 클라우드 서비 스 운영자에 대하여 어떠한 규제도 가하고 있지 않다는 점이 사각지대로 드러난다는 점에 유의할 필요가 있다. 다만, 공공기관이 Amazon EC2(Elastic Cloud Computing)와 같이 불특정다수의 기업이나 개인 사용 자를 대상으로 일정한 과금모델을 제시하면서 컴퓨팅 자원을 빌려주는 임 대서비스인 public cloud 195) 가 아니라 Oracle Cloud PaaS와 같이 사용자 내부에 구축되어 기존 하드웨어 및 소프트웨어 자산을 재사용하는 클라우 드 서비스 개념인 private cloud 196) 를 채택했을 경우 해당 공공기관은 스스로가 클라우드 서비스 운영자가 될 수 있으므로 컴퓨터 등을 사용하여 입력 저 장 편집 검색 삭제 및 출력 그밖에 이와 유사한 행위로서 정보처리를 하는 현행법상 공공기관에 해당되어 그 적용을 받게 된다. 거. 우체국예금 보험에관한법률에 의한 체신관서 너. 기타 대통령령이 정하는 기관 195) 이 경우 클라우드 서비스의 운영자는 클라우드 컴퓨팅 사업자가 되고, 클라우드 서비스의 사용 자는 공공기관이 되며, 클라우드 서비스에 따라 제공되는 공역무에서 취급되는 개인정보의 처 리는 수탁처리로 운영자가 수행하거나 사용자가 스스로 담당할 수 있게 된다. 196) 이 경우 공공기관은 클라우드 서비스의 운영자이면서 사용자가 되며, 클라우드 서비스에 따라 제공되는 공역무에서 취급되는 개인정보의 처리는 원칙적으로 공공기관의 책임 하에 이루어지 는 것이다

242 그럼에도 불구하고 공공금융기관의 경우 앞서 지적한 바와 마찬가지로 공공기관의 개인정보보호에 관한 법률 시행령 에서부터 그 적용이 배제 되어 있으므로 현행법의 규율대상에서 제외될 수밖에 없으며, 결국 입법 공백을 야기하게 되는 점을 간과해서는 아니 된다. 더욱이 정보보안에 관 한 부분은 공공기관의 개인정보보호에 관한 법률 제9조 197) 에 따른 개인 정보의 안전성확보 등에 국한되는바, 공공기관의 장은 개인정보가 분실 도난 누출 변조 또는 훼손되지 아니하도록 안전성확보에 필요한 조치를 강구하여야 할 뿐 아니라 개인정보 처리사무를 위탁하는 경우에도 안전성 확보에 필요한 조치를 취하여야 함에도 불구하고 공공금융기관의 경우 같 은 법 시행령에서부터 그 적용이 배제되어 있는 까닭에 현행법의 규율대 상에서 제외될 수밖에 없으므로 이러한 조치에 대한 법적 의무를 부담하 지 않게 되고 따라서 결국 입법공백이 초래될 뿐만 아니라 후술하는 정 보통신망 이용촉진 및 정보보호 등에 관한 법률 의 규율과의 차별성을 지 니게 되는 허점이 존재한다. 그렇다면 공공금융기관에 대한 개별법의 규율은 정보보호에 있어서 공 공기관의 개인정보보호에 관한 법률 의 수준 이상으로 적정하게 이루어지 고 있을까? 금융정보 198) 에 대하여는 실지명의에 의한 금융거래를 실시하 197) 공공기관의 개인정보보호에 관한 법률 제9조(개인정보의 안전성확보 등) 1 공공기관의 장은 개인정보를 처리하거나 개인정보파일을 전자정부법 제2조제10호에 따른 정보통신망에 의하 여 송 수신하는 경우 개인정보가 분실 도난 누출 변조 또는 훼손되지 아니하도록 안전성확보에 필요한 조치를 강구하여야 한다. 2 공공기관의 장은 개인정보의 처리에 관한 사무를 다른 공공기관 또는 관련 전문기관에 위 탁할 수 있으며, 이 경우 개인정보가 분실 도난 유출 변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 조치를 취하여야 한다. 3 제2항에 따른 위탁 방법 절차 등에 관하여 필요한 사항은 대통령령으로 정한다. 4 공공기관의 장은 제2항에 따라 개인정보의 처리에 관한 사무를 위탁하고자 하는 경우에는 관보 또는 인터넷 홈페이지 등을 통하여 미리 그 사실을 공개하여야 한다. 5 공공기관으로부터 개인정보의 처리를 위탁받은 자에 대하여도 제1항의 규정을 준용한다. 198) 개인정보처리에 관한 법적 문제를 고찰하는 경우에는 해당정보 보유자가 자신의 영업목적을 수행하기 위하여 개인정보를 수집 처리하는 경우와 소비자신용정보기관과 같이 제3자나 고객 에게 정보를 제공하기 위하여 개인정보를 수집 처리하는 경우로 나누어 생각할 수 있다. 양자 ( 兩者 )의 경우는 정보처리의 본래 목적과 기능에서 차이가 있으며, 따라서 그 수집 및 이용에 있어서 법적 규제를 달리하게 된다( 吉野正三郞, 西ドイシにおける個人信用情報保護の一斷面, 個人信用情報の法的保護, 商事法務硏究會, 1986, 139 面 ). 전자( 前者 )인 자기목적을 위한 처리의 경우란 은행이 대출 등 신용제공의 여부를 결정하기 위한 판단자료로서 고객의 신용정보 등을

243 고 그 비밀을 보장하여 금융거래의 정상화를 기함으로써 경제정의를 실현 하고 국민경제의 건전한 발전을 도모함을 목적으로 하는 금융실명거래 및 비밀보장에 관한 법률 이 제4조제1항 본문에서 금융기관에 종사하는 자는 명의인(신탁의 경우에는 위탁자 또는 수익자를 말한다)의 서면상의 요구나 동의를 받지 아니하고는 그 금융거래의 내용에 대한 정보 또는 자 료(이하 거래정보등 이라 한다)를 타인에게 제공하거나 누설하여서는 아 니 되며, 누구든지 금융기관에 종사하는 자에게 거래정보등의 제공을 요 구하여서는 아니 된다. 라고 규정하고 있으며, 199) 위 법 제4조는 제3항에 수집 처리하는 것을 예로 들 수 있으며, 정보처리 자체는 부수적인 업무가 되는 데 그친다. 이 경우 정보의 처리 및 이용에 관하여는 당사자간, 즉 정보주체와 정보보유자간의 계약관계의 설정목적 범위 내에서 정보주체의 보호받는 이익의 침해가 없도록 이루어져야 한다는 제한이 적용된다. 반면에 후자( 後者 )인 제3자를 위한 정보처리는 전문적인 신용정보기관이 정보의 수 집 제공을 주업무로 다루는 경우인데, 여기서는 정보주체 정보보유자 정보수령인이라고 하는 3 당사자 사이의 상호적 법률관계가 별도의 규율을 요하게 된다. 이 경우 정보의 수집 처리는 정보주체의 보호받는 법익의 침해가 없는 한도 내에서 제한되며, 그 정보의 이용 또는 제3자 에 대한 정보제공에 있어서는 정보수요자인 정보수령인에게 개인정보를 필요로 하는 정당한 이익이 인정될 것을 요한다. 그 대표적인 경우로서 개인정보를 유형화하게 되면 자기목적을 위한 금융정보( 金融情報 )와 제3자를 위한 신용정보( 信用情報 )로 분류된다; 이민영, 개인정보법 제론, 진한M&B, 2007, 43~45쪽. 199) 다만, 그 단서로 다음 각 호의 1에 해당하는 경우로서 그 사용목적에 필요한 최소한의 범위 안에서 거래정보등을 제공하거나 그 제공을 요구하는 경우에는 그러하지 아니하다. 라고 하면 서 각 호에 해당하는 사항으로 1 법원의 제출명령 또는 법관이 발부한 영장에 의한 거래정보 등의 제공, 2 조세에 관한 법률에 의하여 제출의무가 있는 과세자료등의 제공과 소관관서의 장이 상속 증여재산의 확인, 조세탈루의 혐의를 인정할 만한 명백한 자료의 확인, 체납자의 재 산조회 및 국세징수법 제14조제1항 각호의 1에 해당하는 사유로 조세에 관한 법률에 의한 질문 조사를 위하여 필요로 하는 거래정보등의 제공, 3 국정감사 및 조사에 관한 법률 에 의 한 국정조사에 필요한 자료로서 해당 조사위원회의 의결에 의한 금융감독원장 및 예금보험공 사사장의 거래정보등의 제공, 4 금융위원회(증권시장 파생상품시장의 불공정거래조사의 경우 에는 증권선물위원회를 말한다.), 금융감독원장 및 예금보험공사사장이 금융기관에 대한 감독 검사를 위하여 필요로 하는 거래정보등의 제공, 5 동일한 금융기관의 내부 또는 금융기관 상 호간에 업무상 필요한 거래정보등의 제공, 6 금융위원회 및 금융감독원장이 그에 상당하는 업 무를 수행하는 외국금융감독기관과 업무협조를 위하여 필요로 하는 거래정보 등의 제공, 7 자본시장과 금융투자업에 관한 법률 에 따라 설립된 한국거래소가 필요로 하는 투자매매업자 투자중개업자가 보유한 거래정보 등의 제공, 8 기타 법률에 의하여 불특정다수인에게 의무적 으로 공개하여야 하는 것으로서 당해 법률에 의한 거래정보등의 제공 등을 규정하고 있다. 한 편, 금융실명거래 및 비밀보장에 관한 법률 제4조제4항은 제1항 각호의 규정에 의하여 거래 정보등을 알게 된 자는 그 알게 된 거래정보등을 타인에게 제공 또는 누설하거나 그 목적 외 의 용도로 이를 이용하여서는 아니되며, 누구든지 거래정보등을 알게 된 자에게 그 거래정보등 의 제공을 요구하여서는 아니된다. 라고 하여, 예외적으로 그 제공이 허용되는 거래정보등의 경우라고 할지라도 제3자 제공 또는 그 목적 외 용도로의 이용이 제한된다는 점을 분명히 하 고 있다

244 서 금융기관에 종사하는 자는 제1항 또는 제2항의 규정에 위반하여 거래 정보등의 제공을 요구받은 경우에는 이를 거부하여야 한다. 라고 하면서 제5항에서는 제1항 또는 제4항의 규정에 위반하여 제공 또는 누설된 거 래정보등을 취득한 자(그로부터 거래정보 등을 다시 취득한 자를 포함한 다)는 그 위반사실을 알게 된 경우 이를 타인에게 제공 또는 누설하여서 는 아니 된다. 라고 하고 있다. 또한 금융실명거래 및 비밀보장에 관한 법률 제6조제1항은 이들 규정을 위반한 자는 5년 이하의 징역 또는 3천 만 원 이하의 벌금에 처하도록 정하고 있다. 200) 또한 은행업을 규칙적 조 직적으로 경영하는 한국은행 외의 모든 법인을 말하는 은행의 건전한 운 영을 도모하고 자금중개기능의 효율성을 높이며 예금자를 보호하고 신용 질서를 유지함으로써 금융시장의 안정과 국민경제의 발전에 이바지함을 목적으로 하는 은행법 제21조의2의 경우 은행의 임직원은 업무상 알게 된 공개되지 아니한 정보 또는 자료를 외부에 누설하거나 업무목적 외로 이용하여서는 아니 된다. 라고 규정하고 있어서 금융실명거래 및 비밀보 장에 관한 법률 과 마찬가지로 비밀누설 금지를 근간으로 목적 외 이용 제한을 골격으로 하는 구조를 취하고 있을 뿐 이를 제외하고는 개별법상 제재조항에 그치고 있는 실정이다. 이 역시 정보보호의 관념에서는 특히 개인정보보호에 관한 국제기준에 비추어 볼 때 미약한 것이라 할 수 있다 는 점에서, 공공금융기관이 클라우드 서비스를 운영 또는 사용하게 되는 경우 공공기관의 개인정보보호에 관한 법률 에 따른 개인정보파일 관련 행정안전부의 감독이나 정보보안과 관련된 법적 안전성 확보조치 책무 및 개인정보처리 위탁 관련 법적 통제 그리고 정보주체의 개인정보자기결정 권 보장절차 등에 있어서 상대적으로 취약한 규범 상태에 놓이게 된 다. 201) 200) 금융실명거래 및 비밀보장에 관한 법률 제6조(벌칙) 1 제4조제1항 또는 제3항 내지 제5항의 규정을 위반한 자는 5년 이하의 징역 또는 3천만원 이하의 벌금에 처한다. 2 제1항의 징역형과 벌금형은 이를 병과할 수 있다. 201) 행정통제(administrative control; Verwaltungskontrolle)란 행정책임을 구현하기 위하여 가해지는 행정권한의 내재적 통제와 외부적 제한을 뜻한다고 새기는 것이 타당하다. 행정통제의 목적은 행정책임의 이행을 보장하는 데 있으며 행정책임은 행정통제의 확보대상이 되는 것인바, 오늘

245 나. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (1) 입법적 개관 현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률 은 정보통신부 의 주도 아래 1999년 2월 8일 기존의 전산망보급확장과 이용촉진에 관한 법률 을 전면 개정하여 정보통신망에서의 개인정보보호규정을 새로이 신 설했던 정보통신망 이용촉진 등에 관한 법률 을 2001년 1월 16일 시행 1 년 만에 다시 전면 개정한 것이다. 정보통신망 이용촉진 등에 관한 법률 은 1990년대 후반 우리나라에서 인터넷 이용이 급속도로 활성화되면서 이용자들의 개인정보보호에 대한 우려와 이제 막 태동하기 시작한 전자상 거래의 활성화를 저해할 것이라는 고려가 작용하고, 또 이미 1995년과 1997년의 유럽연합의 개인정보보호지침에 자극을 받아 제정되었다고 할 수 있다. 202) 당시 인터넷사업자에 의한 개인정보의 수집 이용 처리실태 및 시장에 미치는 파급효과 등에 대한 충분한 조사나 검토 없이, 온라인 에서 이루어질 수 있는 모든 개인정보의 수집과 이용을 규율하는 매우 광 범위하고 보기에 따라서는 강경한 입법조치였다. 그리하여 그동안 시행 결과 드러난 문제점들을 개선 보완하기 위하여 다시 전면개정의 형식으 로 현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률 을 제정하게 되었는바, 규율대상인 정보통신서비스제공자뿐만 아니라 준용규정에 따라 날 행정권의 강화와 전문성의 심화에 따른 행정국가화 경향이 짙어지면서 행정책임의 확립이 중요시되고 행정통제의 필요성 또한 증대되고 있기 때문이다. 따라서 행정통제란 행정권의 담 당자인 행정주체가 행정조직의 목표를 달성하도록 행정행위를 일정한 기준에 합치되도록 유도 하고 평가하며 시정조치 하는 제도적 행정과정 으로 정의될 수 있을 것이다. 그 상세에 대하여 는 이민영, 개인정보에 관한 행정통제와 권익구제의 법적 연구, 인터넷법률 통권 제43호, 법무 부, 2008, 41-61쪽 참조. 202) 1995년의 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data 와 1997년의 Directive of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector 를 말한다

246 일부 일반사업자에게도 개인정보보호사항을 강제하고 있다. 이 법은 정보 통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자의 개인정보를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성함으로써 국민생활의 향상과 공공복리의 증진에 이바지함을 목적으로 하고 있다. 이 법은 개인정보 를 생존하는 개인에 관한 정보로서 성명 주 민등록번호 등에 의해 당해 개인을 알아볼 수 있는 부호 문자 음성 음 향 및 영상 등의 정보와 함께 당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함 하는 것으로 규정하고 있다. 특히, 개인정보의 주체는 자연인이며, 법인 또는 이미 사망했거나 실종선고 등 관계 법령에 의해 사망한 것으로 다루 어지는 자는 개인정보의 주체가 될 수 없고, 정보 를 부호 문자 음성 음 향 및 영상 등의 정보 라고 부연함으로써 다양한 개인 인식 수단이 포함 된다는 것을 명확히 밝히고 있다. (2) 논의의 접목 클라우드컴퓨팅이란 대형 전력회사에서 전기를 받아쓰듯 중앙집중화된 대형 데이터센터에서 서비스를 받고 소프트웨어 프로그램도 인터넷 망을 통해 자유롭게 빌려 쓰는 것, 즉 IT 자원을 구매하거나 소유할 필요 없이 필요한 만큼 사용료를 주고 사용하는 개념이라 할 수 있다. 203) 그렇다면 클라우드컴퓨팅에 관한 역무를 제공하는 이른바 클라우드 서비스를 운영 하거나 사용하는 법률관계에 있어서 특히 정보보호에 해당하는 영역이 정보통신망 이용촉진 및 정보보호 등에 관한 법률 의 적용을 받을 수 있 을까? 이는 새롭게 조명 받으며 각광받고 있는 클라우드컴퓨팅에서의 정 보보호를 과연 현행법으로 규율할 수 없다면 신규입법의 제정수요를 확인 하여 이에 대응하는 법제도적인 기틀을 갖추어야 할 당위성을 부여받게 되므로 법현실적 측면에 법규범적 상황이 조응되지 못하는 굴절을 바로잡 203) Nicholas G. Carr, IT doesn t Matter, Harvard Business Review, 2003, p

247 는 법정책적 결단을 요청하게 하는 사안이기에 결코 간과될 수 없는 사항 이다. 상술한 바와 같이 공공기관의 개인정보보호에 관한 법률 의 경우 개념상 대체로 클라우드컴퓨팅의 수용이 가능하나, 공공금융기관 등과 관 련하여 그 적용에서 누수 되는 부분이 존재한다. 이를 살펴보면 다음과 같다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 의 경우 정보통신서 비스를 규율객체로 하여 정보통신서비스 제공자를 수범자( 受範者 )로 예정 하고 있는바, 204) 비록 전기통신설비를 이용하여 타인의 통신을 매개하는 것은 아니지만 전기통신설비를 타인의 통신용으로 제공하는 개념에 클라 우드 서비스가 포섭될 수 있으므로 이는 정보통신서비스에 해당한다고 볼 수 있다. 그리고 클라우드 서비스 운영자는 전기통신사업법 의 규율을 받는 전기통신사업자는 아니라 하더라도 영리를 목적으로 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자에 해당한다면 정 보통신서비스 제공자로 볼 수 있다고 하겠다. 이 경우 클라우드 서비스 운영자가 클라우드컴퓨팅 사업자인가 아니면 클라우드 서비스 사용자인가 여부로 구분될 수 있겠는바, 전자( 前者 )의 경 우 public cloud에 해당하고 후자( 後者 )는 private cloud에 해당되는 것이 라 볼 것이다. 다만, 정보통신서비스 제공자 등 205) 에 해당하는 특정 기업 이 클라우드컴퓨팅 사업자의 클라우드 서비스를 사용하여 자사 고객정보 204) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조 (정의) 1 이 법에서 사용하는 용어 의 뜻은 다음과 같다. 2. 정보통신서비스 란 전기통신사업법 제2조제6호에 따른 전기통신역무와 이를 이용하여 정 보를 제공하거나 정보의 제공을 매개하는 것을 말한다. 3. 정보통신서비스 제공자 란 전기통신사업법 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하 는 자를 말한다. 전기통신사업법 제2조 (정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. 6. 전기통신역무 란 전기통신설비를 이용하여 타인의 통신을 매개하거나 전기통신설비를 타인 의 통신용으로 제공하는 것을 말한다. 8. 전기통신사업자 란 이 법에 따른 허가나 등록 또는 신고를 하고 전기통신역무를 제공하는 자를 말한다. 205) 정보통신서비스 제공자와 그로부터 제24조의2제1항에 따라 이용자의 개인정보를 제공받은 자 를 말한다; 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제25조제1항 참조

248 를 처리하는 public cloud 경우 클라우드 서비스 운영자인 클라우드컴퓨 팅 사업자는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제25조 의 개인정보 취급위탁에 있어 수탁자에 해당하므로 정보보호에 관한 사항 을 성실히 수행해야 할 의무가 있다고 볼 것이다. 206) 더욱이 다른 정보통 신서비스 제공자가 클라우드컴퓨팅 사업자의 클라우드 서비스를 사용하여 개인정보를 저장하기만 하는 경우에도 개인정보의 취급에 해당하므로 넓 은 의미에서 개인정보 취급위탁에 해당하는 것이다. 그러므로 클라우드 서비스 사용자인 특정 기업의 경우 취급위탁자로서 개인정보 취급위탁을 하는 경우에는 클라우드컴퓨팅 운영자로서 개인정보 취급위탁을 받는 수탁자와 개인정보 취급위탁을 하는 업무의 내용에 관한 사항 모두를 이용자에게 알리고 동의를 받아야 하며, 정보통신서비스 이 용자의 개인정보를 취급할 수 있는 목적을 미리 정하여 수탁자가 이 목적 을 벗어나서 이용자의 개인정보를 취급하지 아니하도록 하는 등 정보보호 에 관한 수탁자 관리 감독을 해야 한다. 또한 클라우드컴퓨팅 운영자가 수탁업무와 관련하여 이용자에게 손해를 발생시키는 경우 위탁자인 특정 206) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제25조(개인정보의 취급위탁) 1 정보통신 서비스 제공자와 그로부터 제24조의2제1항에 따라 이용자의 개인정보를 제공받은 자(이하 정 보통신서비스 제공자등 이라 한다)는 제3자에게 이용자의 개인정보를 수집 보관 처리 이용 제 공 관리 파기 등(이하 취급 이라 한다)을 할 수 있도록 업무를 위탁(이하 개인정보 취급위탁 이라 한다)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. 1. 개인정보 취급위탁을 받는 자(이하 수탁자 라 한다) 2. 개인정보 취급위탁을 하는 업무의 내용 2 정보통신서비스 제공자등은 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 경우로서 제1항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자우편 등 대통령령 으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 취급위탁에 따른 제1항의 고지절 차와 동의절차를 거치지 아니할 수 있다. 제1항 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. 3 정보통신서비스 제공자등은 개인정보 취급위탁을 하는 경우에는 수탁자가 이용자의 개인정 보를 취급할 수 있는 목적을 미리 정하여야 하며, 수탁자는 이 목적을 벗어나서 이용자의 개인 정보를 취급하여서는 아니 된다. 4 정보통신서비스 제공자등은 수탁자가 이 장의 규정을 위반하지 아니하도록 관리 감독하여야 한다. 5 수탁자가 개인정보 취급위탁을 받은 업무와 관련하여 이 장의 규정을 위반하여 이용자에게 손해를 발생시키면 그 수탁자를 손해배상책임에 있어서 정보통신서비스 제공자등의 소속 직원 으로 본다

249 기업의 소속 직원으로 의제된다. 한편, 신용정보업을 건전하게 육성하고 신용정보의 효율적 이용과 체계 적 관리를 도모하며 신용정보의 오용 남용으로부터 사생활의 비밀 등을 적절히 보호함으로써 건전한 신용질서의 확립에 이바지함을 목적으로 하 는 신용정보의 이용 및 보호에 관한 법률 의 경우 정보통신망 이용촉진 및 정보보호 등에 관한 법률 과 규율영역상 중첩으로 인하여 클라우드컴 퓨팅의 적용범위에 있어서도 논란이 될 수 있는바, 이를 살펴보면 다음과 같다. 우선 신용정보의 이용 및 보호에 관한 법률 제2조제1호 및 제2호에 따르면 결국 개인식별정보와 결합되는 신용정보를 개인신용정보라 하고 이러한 개인신용정보는 개인정보에 해당하는바, 개념상 신용정보 자체에 개인신용정보가 포함된다고 이해된다. 207) 특히 신용정보의 이용 및 보호 207) 신용정보의 이용 및 보호에 관한 법률 제2조 (정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. 1. 신용정보 란 금융거래 등 상거래에 있어서 거래 상대방의 신용도와 신용거래능력 등을 판단 할 때 필요한 정보로서 대통령령으로 정하는 정보를 말한다. 2. 개인신용정보 란 신용정보 중 개인의 신용도와 신용거래능력 등을 판단할 때 필요한 정보로 서 대통령령으로 정하는 정보를 말한다. 신용정보의 이용 및 보호에 관한 법률 시행령 제2조 (정의) 1 신용정보의 이용 및 보호에 관한 법률 제2조제1호에서 "대통령 령으로 정하는 정보"란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 다른 법령에 따라 공시( 公示 ) 또는 공개된 정보나 다른 법령에 위반됨이 없이 출판 물 또는 방송매체나 공공기관의 인터넷 홈페이지 등의 공공매체를 통하여 공시 또 는 공개된 정보는 제외한다. 1. 생존하는 개인의 성명, 주소, 주민등록번호 등 특정 신용정보주체를 식별할 수 있는 정보(제2 호부터 제6호까지의 어느 하나에 해당하는 정보와 결합되는 경우에 한정한다) 2. 대출, 보증, 담보제공, 당좌거래(가계당좌거래를 포함한다), 신용카드, 할부금융, 시설대여 및 금융실명거래 및 비밀보장에 관한 법률 에 따른 금융거래 등의 상거래와 관련하여 신용정보주 체의 거래 내용을 판단할 수 있는 정보로서 총리령으로 정하는 정보 3. 금융거래 등 상거래와 관련하여 발생한 연체 부도 대지급( 代支給 )이나 거짓, 속임수, 그 밖의 부정한 방법 에 의한 신용질서 문란행위 등 신용정보주체의 신용도를 판단할 수 있는 정보로서 총리령으로 정하는 정보 4. 금융거래 등 상거래에서 신용정보주체의 신용거래능력을 판단할 수 있는 정보로서 다음 각 목의 어느 하나에 해당하는 정보 가. 개인의 재산 채무 소득의 총액, 납세실적 나. 기업의 재무에 관한 사항, 주식회사의 외부감사에 관한 법률 에 따른 감사인의 감사의견 및 납세실적 5. 금융거래 등 상거래에서 신용정보주체를 식별하고 신용도 및 신용거래능력을 판단할 수 있는 법원 또는 공공기관의 재판 결정 정보, 조세 또는 공공요금 등의 체납정보, 주민등록 사업자등 록 및 법인등록에 관한 정보 및 그 밖에 공공기관이 보유하는 정보로서 총리령으로 정하는 정

250 에 관한 법률 제25조제6항에 따라 신용정보공동전산망을 구축하는 신용 정보집중기관은 전기통신사업법 제2조제1항제1호에 따른 전기통신사업 자이어야 하는바, 208) 신용정보회사 신용정보집중기관 및 신용정보제공 이 용자를 지칭하는 신용정보회사 등 이 클라우드 서비스를 사용하는 때는 정보통신서비스 제공자가 되어서 정보통신망 이용촉진 및 정보보호 등에 관한 법률 역시 적용되는 것이다. 정보통신망 이용촉진 및 정보보호 등 에 관한 법률 이 제5조에서 정보통신망 이용촉진 및 정보보호 등에 관하 여는 다른 법률에서 특별히 규정된 경우 외에는 이 법으로 정하는 바에 따른다. 라고 규정하고 있기 때문이다. 209) 특히 신용정보의 이용 및 보호 에 관한 법률 이 제33조에서 규정하고 있는 것처럼 개인신용정보는 해당 신용정보주체가 신청한 금융거래 등 상거래관계의 설정 및 유지 여부 등 을 판단하기 위한 목적으로만 이용하여야 하므로 클라우드 서비스 사용자 인 신용정보회사 등 은 정보통신서비스 제공자로서 신용정보의 이용 및 보호에 관한 법률 에 따른 개인신용정보 이용목적의 제약 아래서 정보통 신망 이용촉진 및 정보보호 등에 관한 법률 에 따른 정보보호 의무를 부 담하게 된다. 보 6. 그 밖에 제2호부터 제5호까지와 유사한 정보로서 총리령으로 정하는 정보 2 법 제2조제2호에서 "대통령령으로 정하는 정보"란 제1항에 따른 신용정보 중 기업 및 법인에 관한 정보를 제외한 개인에 관한 신용정보를 말한다. 208) 신용정보의 이용 및 보호에 관한 법률 제25조(신용정보집중기관) 6 신용정보집중기관은 대 통령령으로 정하는 바에 따라 신용정보공동전산망을 구축할 수 있으며, 신용정보공동전산망에 참여하는 자는 그 유지 관리 등에 필요한 협조를 하여야 한다. 이 경우 신용정보집중기관은 전기통신사업법 제2조제1항제1호에 따른 전기통신사업자이어야 한다. 209) 신용정보의 이용 및 보호에 관한 법률 의 경우 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제5조와 같이 다른 법률과의 관계에서 적용우선순위에 관하여 규정하고 있지 않기 때문 에 신용정보의 이용 및 보호에 관한 법률 에서 정보통신망 이용촉진 및 정보보호 등에 관한 법률 과 달리 특별하게 규정하고 있지 않거나 동등한 규율인 때에는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 이 적용된다고 할 것이다

251 표7-2 클라우드컴퓨팅 서비스 환경 적용 시 주요 이슈 출처 : 정제호 김수동 국신욱 민영기 손승우 신수정 양희동 이종화, 클라우드 컴퓨팅 활성화를 위한 법제도 개선방안, 정보통신산업진흥원, 2009, 89쪽. 다. 해외 법제도 동향 클라우드컴퓨팅은 가상화를 기반으로 하고 있어 데이터의 위치 파악이 어렵고, 보안 측면에서 악성코드나 해킹 등 외부공격에 쉽게 노출될 수 있으며, 관리자 권한 오 남용 등을 통한 개인정보가 대량 유출될 위험이 존재한다. 기업 입장에서도 이러한 문제가 완벽하게 해결되지 않은 상태

252 에서는 고객 데이터베이스(DB) 등 핵심 기업정보를 클라우드에 의존하는 것 자체를 주저할 수밖에 없다. 국외의 법제도 역시 클라우드컴퓨팅 서비 스 보안에 특화된 법제도는 아직까지 제시되지 않고 있고 기존의 법제도 를 기반으로 하여 클라우드컴퓨팅 서비스 보안을 요구하고 있다. 그러나 최근 미국 등을 중심으로 클라우드컴퓨팅 데이터 보호법 에 관한 논의가 이루어지고 있으며, 210) 일본의 경우 2008년 'ASP, SaaS의 정보보안 대책 가이드라인 이 공표되어 전체 클라우드 서비스 제공자는 아니지만 ASP 및 SaaS 사업자의 서비스에 대한 정보보안대책에 대한 지침을 제시하고 있다. 211) 또한 주요 클라우드컴퓨팅 서비스 제공자들은 자사 서비스의 신 뢰성을 고객에게 제시하기 위해 기존의 보안 인증제도인 ISO 등을 활용하고 있으며, 최근에는 CSA(Cloud Security Alliance)를 중심으로 클 라우드컴퓨팅 서비스에 특화된 보안인증제도의 수립을 준비하고 있다. 212) 3. 클라우드컴퓨팅 사업자의 지위 가. 개인정보 취급수탁자인가? 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제25조제1항은 본 문에서 정보통신서비스 제공자 등(정보통신서비스 제공자와 그로부터 제 24조의2제1항에 따라 이용자의 개인정보를 제공받은 자)은 제3자에게 이 용자의 개인정보를 취급(수집 보관 처리 이용 제공 관리 파기 등)할 수 있 210) 최근 DDPC(Digital Due Process Coalition)는 의회에 1986년 만들어진 ECPA(Electronic Communications Privacy Act)를 개정하여 이용자의 클라우드 컴퓨팅 서비스 사용 등을 정부 의 감시로부터 보호할 것을 요청했다; 211) インダストリコンソーシアム, ASP SaaSソリューションガイド, ダイヤモンド社, 2008 參照. 212) 클라우드 컴퓨팅의 확산에 따라 가장 큰 장애요소인 보안이슈에 대응하기 위해 미국 기업들을 중심으로 출범한 CSA는 클라우드 컴퓨팅 제품을 도입하는 업체들에 보안에 관한 조언을 제공 하는 한편, best practices 이용을 촉진하고 클라우드 컴퓨팅이 다른 형태의 컴퓨팅을 보호할 수 있는 방법에 관한 교육을 제공한다. CSA는 2009년 4월 'Cloud Security Alliance Issues Guidance for Critical Areas of Focus in Cloud Computing'을 발표하고 아키텍처, 관리, 운용 측면에서 구분된 13개의 도메인에서 고려해야 할 보안 이슈에 대한 방향성을 제시했다;

253 도록 업무를 위탁하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알 리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경 우에도 또한 같다. 라고 규정하고 있으며, 각 호를 1 개인정보 취급위탁 을 받는 자, 즉 수탁자 및 2 개인정보 취급위탁을 하는 업무의 내용으로 명시하고 있다. 그렇기 때문에 클라우드 서비스를 활용하여 정보통신서비 스를 제공하는 경우 클라우드컴퓨팅 사업자를 수탁자로 한 개인정보 취급 위탁이 이루어지는 때에는 개인정보 취급위탁에 따른 고지절차와 동의절 차를 거쳐야 하는바, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제25조제1항을 위반하여 이용자의 동의를 받지 아니하고 개인정보 취급위 탁을 하게 되면 취급위탁자로서 클라우드 서비스 사용자인 해당 정보통신 서비스 제공자 등은 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처해 질 수 있다. 그러므로 클라우드 서비스 사용자가 개인정보 취급위탁을 하 더라도 정보통신서비스 제공자 등에 해당하지 않는 경우 정보통신망 이 용촉진 및 정보보호 등에 관한 법률 에 따른 개인정보 취급위탁에 따른 동의획득의무 및 그 위반 시 행정형벌부담은 지지 않게 된다. 한편, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제64조의3 제1항 제5호에 따르면 방송통신위원회는 이용자의 동의를 받지 아니하고 개인정보 취급위탁을 한 경우에는 해당 전기통신사업자에게 위반행위와 관련한 매출액의 100분의 1 이하에 해당하는 금액을 과징금으로 부과할 수 있는바, 213) 이 경우 클라우드 서비스 사용자는 단순히 정보통신서비스 제공자 등이 아니라 전기통신사업법 에 따른 전기통신사업자이어야 한 다. 따라서 위와 마찬가지로 개인정보 취급수탁자인 클라우드컴퓨팅 사업 자는 개인정보 취급위탁 자체에 있어서는 정보통신망 이용촉진 및 정보 보호 등에 관한 법률 의 규율과는 무관하지만, 정보통신서비스 제공자 등 에 해당하는 특정 기업이 클라우드컴퓨팅 사업자의 클라우드 서비스를 사 용하여 자사 고객정보를 처리하는 public cloud 경우 클라우드 서비스 운 213) 방송통신위원회는 이에 따른 과징금을 부과하려면 1 위반행위의 내용 정도, 2 위반행위의 기 간 횟수, 3 위반행위로 인하여 취득한 이익의 규모 등을 고려하여야 한다; 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 제64조의3제3항 참조

254 영자인 클라우드컴퓨팅 사업자는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제25조에 따른 개인정보 취급위탁에 있어 수탁자에 해당하므 로 개인정보 취급위탁자인 정보통신서비스 제공자 등이 미리 정한 개인정 보취급의 목적을 벗어나서 이용자의 개인정보를 취급하여서는 아니 되고, 개인정보 취급자와 동등한 수준으로 개인정보보호에 임하면서 그 준수에 있어서 정보통신서비스 제공자 등으로부터 관리 감독을 받아야 하는 등 정보보호에 관한 사항을 성실히 수행해야 할 의무를 부담해야 하며, 클라 우드컴퓨팅 운영자가 수탁업무와 관련하여 이용자에게 손해를 발생시키는 경우 위탁자인 특정 기업의 소속 직원으로 의제된다. 214) 그런데 여기서 개인정보 취급위탁에 따른 동의( 同意 ; consent)라 함은 개인정보처리자가 정보주체로 하여금 개인정보의 처리에 대하여 인식하 거나 수락하게 할 때 그 의사표시 를 말하는 것인바, 215) 그 획득을 위하여 수탁자 및 위탁업무의 내용을 고지하면서 개별 이용자로부터 이에 따른 의사표시를 수령하는 방식을 취하게 되면 클라우드 서비스 사용자인 해당 정보통신서비스 제공자는 과도한 규제에 놓이게 된다. 이와 관련하여 정 보통신망 이용촉진 및 정보보호 등에 관한 법률 제25조제2항은 정보통 신서비스 제공자 등은 정보통신서비스의 제공에 관한 계약을 이행하기 위 하여 필요한 경우로서 제1항 각 호의 사항 모두를 제27조의2제1항에 따라 공개 216) 하거나 전자우편 등 대통령령으로 정하는 방법 217) 에 따라 이용자 214) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제25조제3항에서 제5항까지 참조. 215) 온라인상 영업주체는 정보주체의 개인정보를 직접적으로 지배하는 법적 지위를 가지지 못하므 로 정보제공자와의 계약내용에 따라 일정한 범위에 한정하여 이용권을 행사할 수 있을 뿐이다. 여기서의 이용권은 민법상 물건에 대해 논의되는 소유권과 유사한 속성을 가지고 있지도 않다. 그리고 이용계약(license)의 체결에 있어 정보주체의 동의는 정보통신서비스제공자의 청약에 대 한 승낙의 의사표시라 할 것이며, 동의의 철회는 정보주체의 일방적인 의사표시로 인한 계약해 지로 판단할 수 있다; Steven A. Bibas, A Contractual Approach to Data Privacy, 17 Harv. J. L. & Pub. Pol'y 591, 609 (1994). 216) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제27조의2 (개인정보 취급방침의 공개) 1 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 경우에는 개인정보 취급방침을 정 하여 이용자가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. 217) 법 제25조제2항 전단에서 "대통령령이 정하는 방법"이란 전자우편 서면 모사전송 전화 또는 이 와 유사한 방법 중 어느 하나의 방법을 말한다; 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제10조

255 에게 알린 경우에는 개인정보 취급위탁에 따른 제1항의 고지절차와 동의 절차를 거치지 아니할 수 있다. 제1항 각 호의 어느 하나의 사항이 변경 되는 경우에도 또한 같다. 라고 규정하여 정보통신망 이용촉진 및 정보 보호 등에 관한 법률 시행령 제14조제1항제1호에 따라 인터넷 홈페이지 의 첫 화면 또는 첫 화면과의 연결화면을 통하여 고지사항을 이용자가 볼 수 있도록 하는 고지사항의 공개방법을 취하여 개인정보 취급위탁에 따른 동의획득에 갈음할 수 있도록 규율수준을 완화시키고 있다. 218) 물론 정 보통신망 이용촉진 및 정보보호 등에 관한 법률 제26조의2와 정보통신 망 이용촉진 및 정보보호 등에 관한 법률 시행령 제12조제1항에 따라 인 터넷 사이트에 동의 내용을 게재하고 이용자가 동의 여부를 표시하도록 하거나 동의 내용이 적힌 전자우편을 발송하여 이용자로부터 동의의 의사 표시가 적힌 전자우편을 전송받거나 인터넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 얻는 방법을 취할 수도 있는 것이다. 219) 나. 집적정보통신시설 사업자인가? 클라우드컴퓨팅 사업자가 집적정보통신시설 사업자에 해당할 수 있다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제46조는 제1항에서 집적된 정보통신시설의 보호에 있어서 타인의 정보통신서비스 제공을 위 하여 집적된 정보통신시설을 운영 관리하는 집적정보통신시설 사업자에 게 정보통신시설을 안정적으로 운영하기 위하여 일정한 보호조치 220) 를 하 218) 이 경우 정보통신서비스 제공자등은 글자 크기, 색상 등을 활용하여 이용자가 개인정보취급방 침을 쉽게 확인할 수 있도록 표시하여야 한다; 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제14조제1항제1호 단서. 219) 정보통신서비스 제공자 등은 개인정보 수집매체의 특성상 동의내용을 전부 표시하기 어려운 경우 이용자에게 동의 내용을 확인할 수 있는 방법(인터넷주소 등)을 안내하고 동의를 얻을 수 도 있다; 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제12조제2항 참조. 220) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제37조 (집적정보통신시설 사업자 의 보호조치) 1 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영 관리하는 사업자(이하 "집적정보통신시설 사업자"라 한다)가 법 제46조제1항에 따라 정보통신시설의 안 정적 운영을 위한 보호조치는 다음 각 호와 같다

256 도록 하면서 제2항에서는 집적된 정보통신시설의 멸실, 훼손, 그 밖의 운 영장애로 발생한 피해를 보상하기 위하여 보험에 가입하도록 규정하고 있 다. 221) 그러므로 클라우드컴퓨팅 사업자가 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영 관리하는 때에 위 규정이 적용되는 것이다. 원래 정보통신망 이용촉진 및 정보보호 등에 관한 법률 에서 규율하고 있는 집적정보통신시설 사업자란 것은 보안시설과 관리인력을 갖추고 기 업의 서버 및 전산시설을 위탁 관리하는 IDC(internet data center; 인터넷 데이터센터) 개념을 전제로 한 것인 까닭에 플랫폼을 서비스로 제공하는 Paas(Platform as a Service)나 애플리케이션이나 소프트웨어를 서비스 형 태로 제공하는 SaaS(Software as a Service) 등 클라우드컴퓨팅 서비스 개 념의 대부분은 이에 해당하기 어렵다고 볼 것이다. 다만, 서버 스토리지 또는 네트워크 등을 서비스로 제공하는 Iaas(Infrastructure as a Service)의 경우, 인터넷 비즈니스의 성장과 함께 생겨난 용어로 최첨단 시설과 보안 및 완벽한 통신네트워크를 갖추고 개별 기업이 운영하기에는 부담이 큰 서 버 장비 및 통신장비의 운영과 관리를 대행하며 기업 및 개인 고객에게 전 산설비나 네트워크설비를 임대하거나 고객의 설비를 유치하여 유지 보수 등의 서비스를 제공하는 IDC와의 연결점이 있으므로 해당 클라우드컴퓨팅 사업자는 집적정보통신시설 사업자에 해당할 수 있다고 하겠다. 1. 정보통신시설에 대한 접근 권한이 없는 자의 접근 통제 및 감시를 위한 기술적 관리적 조치 2. 정보통신시설의 지속적 안정적 운영을 확보하고 화재 지진 수해 등의 각종 재해와 테러 등의 각종 위협으로부터 정보통신시설을 보호하기 위한 물리적 기술적 조치 3. 정보통신시설의 안정적 관리를 위한 관리인원 선발 배치 등의 조치 4. 정보통신시설의 안정적 운영을 위한 내부관리계획(비상시 계획을 포함한다)의 수립 및 시행 5. 침해사고의 확산을 차단하기 위한 기술적 관리적 조치의 마련 및 시행 2 방송통신위원회는 관련 사업자의 의견을 수렴하여 제1항에 따른 보호조치의 구체적인 기준 을 정하여 고시한다. 3 방송통신위원회는 제1항에 따른 보호조치의 이행확인을 하는 과정에서 다른 기관이 수행하 는 업무와 관계되는 때에는 해당 기관과 미리 협의하여야 한다. 221) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제38조 (보험가입) 1 집적정보통신 시설 사업자는 법 제46조제2항에 따라 사업 개시와 동시에 책임보험에 가입하여야 한다

257 다. 전기통신사업자인가? 전기통신사업법 제2조제8호에 따르면, 전기통신사업자란 이 법에 따 른 허가를 받거나 등록 또는 신고(신고가 면제된 경우를 포함한다)를 하 고 전기통신역무를 제공하는 자를 말한다. 그리고 전화 인터넷접속 등과 같이 음성 데이터 영상 등을 그 내용이나 형태의 변경 없이 송신 또는 수신하게 하는 전기통신역무 및 음성 데이터 영상 등의 송신 또는 수신 이 가능하도록 전기통신회선설비를 임대하는 전기통신역무 중 방송통신위 원회가 정하여 고시하는 전기통신서비스를 제외한 것을 기간통신역무라 하며, 기간통신역무 외의 전기통신역무를 부가통신역무라 한다. 또한 전 기통신사업법 제5조제1항에 따라 전기통신사업은 기간통신사업, 별정통 신사업 및 부가통신사업으로 구분한다. 기간통신사업은 전기통신회선설 비 222) 를 설치하고 그 전기통신회선설비를 이용하여 기간통신역무를 제공 하는 사업으로 하고, 별정통신사업은 1 기간통신사업의 허가를 받은 기 간통신사업자의 전기통신회선설비 등을 이용하여 기간통신역무를 제공하 는 사업 또는 2 대통령령으로 정하는 구내( 構內 ) 223) 에 전기통신설비 224) 를 설치하거나 그 전기통신설비를 이용하여 그 구내에서 전기통신역무를 제 공하는 사업으로 하며, 부가통신사업은 부가통신역무를 제공하는 사업으 로 한다. 222) 전기통신회선설비란 전기통신설비 중 전기통신을 행하기 위한 송신 수신 장소 간의 통신로 구 성설비로서 전송설비 선로설비 및 이것과 일체로 설치되는 교환설비와 이들의 부속설비를 말 한다; 전기통신사업법 제2조제3호. 223) 전기통신사업법 시행령 제8조 (구내의 범위) 법 제4조제3항제2호에서 "대통령령이 정하는 구 내"란 다음 각 호의 어느 하나를 말한다. 1. 하나의 건축물 2. 하나의 부지(1명 소유 또는 공유에 한정한다)와 그 부지 안의 건축물 3. 1명 점유의 둘 이상의 건축물 및 그 부지(건축물 상호 간의 직선거리가 500미터 이내인 경우 에 한정한다) 4. 그 밖에 제1호부터 제3호까지의 건축물 또는 부지와 인접한 건축물 또는 부지로서 방송통신 위원회가 전기통신기본법 제44조의2에 따른 정보통신정책심의위원회의 심의를 거쳐 고시한 구역 224) 전기통신설비란 전기통신을 하기 위한 기계 기구 선로 또는 그 밖에 전기통신에 필요한 설비를 말한다; 전기통신사업법 제2조제2호

258 특히 SW가 아닌 Open API 형태로 통합할 수 있는 플랫폼을 서비스로 제공하는 Paas(Platform as a Service)나 SaaS(Software as a Service) 225) 등 클라우드컴퓨팅 서비스 개념의 대부분은 부가통신역무에 해당하므로 해당 클라우드컴퓨팅 사업자는 부가통신사업자라 하겠지만, 가령 서버 스토리지 또는 네트워크 등을 서비스로 제공하는 Iaas(Infrastructure as a Service)의 경우 음성 데이터 영상 등의 송신 또는 수신이 가능하도록 전기통신회선설비를 임대하는 전기통신역무이거나 전화 인터넷접속 등과 같이 음성 데이터 영상 등을 그 내용이나 형태의 변경 없이 송신 또는 수신하게 하는 전기통신역무에 해당할 수 있다는 점에서 기간통신역무로 새길 수 있고 이 경우 클라우드컴퓨팅 사업자는 기간통신사업자에 속하거 나 기간통신사업자의 전기통신회선설비 등을 이용하여 당해 기간통신역무 를 제공하는 별정통신사업자가 된다고 할 것이다. 그럼에도 불구하고 정보통신망 이용촉진 및 정보보호 등에 관한 법률 에서 규정하고 있는 정보통신서비스 제공자 개념을 차용할 때 영리를 목 적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정 보의 제공을 매개하는 자인 클라우드컴퓨팅 사업자는 정보통신서비스 제 공자에는 해당하지만, 전기통신사업법 에 따른 전기통신사업자는 아니라 할 것이다. 하지만 전기통신사업법 에 따른 전기통신사업자에 해당하는 클라우드컴퓨팅 사업자는 전기통신사업법 제32조제1항에 따라 전기통신 역무에 관하여 이용자로부터 제기되는 정당한 의견이나 불만을 즉시 처리 하여야 하고 이 경우 즉시 처리하기 곤란한 경우에는 이용자에게 그 사유 와 처리일정을 알려야 하며, 226) 전기통신사업법 제33조 본문에 따라 전 225) 애플리케이션이나 소프트웨어를 서비스 형태로 제공하는 클라우드 컴퓨팅인 SaaS 사용자는 별 도의 SW 라이선스 구매 및 설치 없이 바로 원하는 SW를 웹에서 이용할 수 있다. SaaS가 각 광받는 것은 종량제 가격 대안을 제시해 기업들이 새로운 SW 기능을 구매하는 데 드는 비용 을 혁신적으로 줄여줄 수 있기 때문이다. 또한 일정 기간 동안 사용량 기반으로 비용을 지급함 으로써 인프라 투자를 피할 수 있을 뿐만 아니라, 공급업체 시각에서는 고객사의 요구사항을 제품에 빠른 속도로 반영할 수 있는 장점을 보유하고 있다. SaaS는 기존에 없던 완전히 새로운 기술은 아니지만 클라우드 컴퓨팅 활성화와 함께 해외 진출에 어려움을 겪고 있는 국내 기업 들에 새로운 기회를 제공할 땅으로 떠오르고 있다; 전자신문 2010년 2월 19일자 4면 기사. 226) 기간통신사업자나 별정통신사업자에 해당하면서 기간통신역무를 제공하는 클라우드 컴퓨팅 사 업자는 이용요금을 이용자 등으로부터 미리 받고 그 이후에 서비스를 제공하려면 그 서비스를

259 기통신역무의 제공과 관련하여 이용자에게 손해를 입힌 경우에는 배상을 하여야 한다. 라. 전자금융보조업자인가? 전자금융거래법 제2조제5호는 전자금융보조업자라 함은 금융기관 또 는 전자금융업자를 위하여 전자금융거래를 보조하거나 그 일부를 대행하 는 업무를 행하는 자 또는 결제중계시스템의 운영자로서 금융위원회의 설치 등에 관한 법률 제3조에 따른 금융위원회가 정하는 자를 말한다. 라고 규정하고 있다. 따라서 개념상 모든 클라우드컴퓨팅 사업자가 전자 금융보조업자라 볼 수는 없고 게다가 금융위원회가 정하는 범위에 들어올 때에만 전자금융거래법 소정의 전자금융보조업자라 하겠다. 전자금융보조업자인 클라우드컴퓨팅 사업자에 대하여는 전자금융거래 법 제11조 및 제21조에 따라 전자금융거래와 관련하여 그 고의나 과실이 금융기관 또는 전자금융업자의 고의나 과실로 의제되는바, 그 고의나 과 실로 인하여 발생한 손해에 대하여 금융기관 또는 전자금융업자는 이용자 에게 그 손해를 배상한 경우 클라우드컴퓨팅 사업자에게 구상할 수 있고 해당 클라우드컴퓨팅 사업자 역시 전자금융거래가 안전하게 처리될 수 있 도록 선량한 관리자로서의 주의를 다하여야 할 책무를 진다. 마. 통신판매중개자인가? 전자상거래 등에서의 소비자보호에 관한 법률 제2조제4호는 통신판 매중개라 함은 사이버몰(컴퓨터 등과 정보통신설비를 이용하여 재화등을 거래할 수 있도록 설정된 가상의 영업장을 말한다)의 이용을 허락하거나 제공할 수 없게 됨으로써 이용자 등이 입게 되는 손해를 배상할 수 있도록 서비스를 제공하기 전에 미리 받으려는 이용요금 총액의 범위에서 대통령령으로 정하는 기준에 따라 산정된 금액 에 대하여 방송통신위원회가 지정하는 자를 피보험자로 하는 보증보험에 가입하여야 한다. 다 만, 해당 클라우드 컴퓨팅 사업자의 재정적 능력과 이용요금 등을 고려하여 대통령령으로 정하 는 경우에는 보증보험에 가입하지 아니할 수 있다; 전기통신사업법 제32조제3항 참조

260 그 밖에 총리령이 정하는 방법 227) 에 의하여 거래 당사자간의 통신판매를 알선하는 행위를 말한다. 라고 규정하고 있는바, 위의 논의와 크게 다를 바 없다. 즉, 개념상 모든 클라우드컴퓨팅 사업자가 통신판매중개자라 볼 수는 없고 위와 같은 행위범주에 들어올 때에만 전자상거래 등에서의 소 비자보호에 관한 법률 에 따른 통신판매중개자라 하겠다. 통신판매중개자인 클라우드컴퓨팅 사업자에 대하여는 전자상거래 등에서의 소비자보호에 관한 법률 제20조가 적용되므로 클라우드컴퓨팅 사업자가 재화 등을 판매함에 있어서 책임이 없다는 사실을 약정하지 아니하거나 미리 고지 하지 아니하고 통신판매의 중개를 한 경우에는 당해 통신판매와 관련하여 통 신판매의 중개를 의뢰한 자의 고의 또는 과실로 소비자에게 발생한 재산상의 손해에 대하여 중개를 의뢰한 자와 연대하여 배상할 책임을 지고, 위와 같은 고지에도 불구하고 통신판매업자인 클라우드컴퓨팅 사업자는 제12조 내지 제 18조의 규정에 의한 통신판매업자의 책임을 면하지 못하며, 228) 통신판매의 중 개를 의뢰한 사업자의 신원에 관한 정보를 열람할 수 있는 방법을 소비자에게 제공하여야 하고 통신판매의 중개를 의뢰한 자가 사업자가 아닌 경우에는 주 소 전화번호 등의 사항에 관하여 통신판매의 중개 대상이 되는 거래의 당사 자들에게 거래상대방에 관한 정보를 열람할 수 있는 방법을 제공하여야 한 다. 229) 한편, 통신판매중개자인 클라우드컴퓨팅 사업자에게 통신판매의 중개를 의뢰한 사업자는 통신판매중개자의 귀책사유( 歸責事由 )로서 고의( 故意 ) 또는 과실( 過失 )로 인하여 소비자에게 발생한 재산상 손해에 대하여 중개자의 행위 라는 이유로 면책( 免責 )되지는 아니하지만, 소비자에게 피해가 발생하지 아니 하도록 상당한 주의를 기울인 경우에는 그러하지 아니하다. 230) 227) 전자상거래 등에서의 소비자보호에 관한 법률 시행규칙 제3조 (통신판매 거래의 알선 방법) 법 제2조제4호에서 "그 밖에 총리령이 정하는 방법"이라 함은 자신의 명의로 통신판매를 위한 광고수단을 제공하거나 그러한 광고수단에 자신의 이름을 표시하여 통신판매에 관한 정보의 제공이나 청약의 접수 등 통신판매의 일부를 수행하는 것을 말한다. 228) 다만, 통신판매업자의 의뢰를 받아 통신판매의 중개를 함에 있어서 의뢰자가 책임을 지는 것으 로 약정하여 소비자에게 고지한 부분에 대하여는 의뢰자가 책임을 진다; 전자상거래 등에서의 소비자보호에 관한 법률 제20조제2항 단서. 229) 전자상거래 등에서의 소비자보호에 관한 법률 제20조제4항. 230) 전자상거래 등에서의 소비자보호에 관한 법률 제20조제3항

261 제2절 정보보호에 관한 이슈 1. 정보의 물리적 위치에 따른 관할권 인터넷을 통한 개인이나 기업의 활동은 지리적 편재성( 偏在性 )과 익명 성( 匿名性 )으로 인하여 전통적 관할권 이론을 적용하는 데 한계가 있 다. 231) 그리고 인터넷의 등장으로 말미암아 지리적 위치는 관할권을 구분 할 수 있는 개념으로서의 가치를 점차 상실하게 되었으며, 머지않아 지리 적 위치 중심의 관할권 결정방식은 한계에 이르게 될 것이다. 왜냐 하면, 사람이나 물건 또는 행위의 위치를 중심으로 하여 관할권을 결정하는 것 이 매우 어렵게 되었기 때문이다. 그러므로 인터넷환경에 맞는 변화가 요 구되는 게 사실이다. 이에 따라 정보발생지주의와 정보수신지주의의 극단적 입장의 단점을 회피할 수 있는 소극적 정보수신지주의(moderate country of destination)를 선택하기도 한다. 소극적 정보수신지주의는 온라인활동에 의해 특별하게 목표가 된 국가 만이 관할권을 행사하는 것이다. 232) 이로써 국가는 국내법의 적용 영역을 보호할 수 있으며, 온라인 행위자들은 과도한 규제에서 벗어날 수 있을 뿐만 아니라, 인터넷의 개방성을 유지할 수 있게 된다. 233) 하지만 결국 정 보수신지주의와 마찬가지로 특정 온라인활동으로 영향을 받는 국가가 관 할권을 포기해야 할 뿐만 아니라 집행가능성의 문제가 발생한다는 점에서 그 자체로 완전한 것은 아니라 할 것이다. 따라서 각국의 국내조치에 그치는 것이 아니라 국제적 협력이 병행되어 야만 자국민의 개인정보자기결정권을 보호하면서 개인정보의 국외이전 및 정보의 자유와의 조화를 이룰 수 있는 조건을 갖추게 된다고 하겠다. 지 231) Denis T. Rice, A Cyberspace Odyssey Through U.S. and E.U. Internet Jurisdiction over E-Commerce, PLI-PAT Vol. 661, Practising Law Institute, 2001, p ) Uta Kohl, Jurisdiction and the Internet; A Study of Regulatory Competence over Online Activity, Cambridge: Cambridge University Press, 2007, p ) Ibid., p

262 난 2009년 10월 14일 프랑스 파리 OECD 본부에서 개최된 2009년 OECD 기술전망포럼(Technology Foresight Forum)은 클라우드컴퓨팅: 새로운 컴 퓨팅 패러다임인가?(Cloud Computing: The Next Computing Paradigm?) 를 주제로 선정하여 OECD 정보통신정책위원회 주관으로 클라우드컴퓨팅 의 주요 개념 및 실행 방안에 관한 4개 패널 토의를 진행하였는바, 여기서 유럽평의회(Council of Europe)의 Alexander Seger 본부장은 법실행기관 의 입장에서 국가별 상이한 관할권 및 규제체계의 적용으로 인한 국제적 일관성 문제가 해결되어야 한다고 주장한 바 있다. 같은 취지에서 함께 논의된 사항을 정리하자면, 프라이버시와 접근성 그리고 저작권 문제 등 클라우드컴퓨팅에서 제기되는 공공정책 쟁점들은 많은 부분 수십 년간 각 정부에서 대응해온 인터넷정책에서의 그것과 동일하지만, 클라우드컴퓨팅 이 근본적으로 국제적인 속성을 지니므로 관할권 문제를 수반하고 다수의 중개를 받으므로 책임소재 문제를 동반하게 되는 까닭에 상이한 대책 마 련이 요구된다는 것이다. 234) 그러나 현재로서는 IDC 및 ISP(internet service provider; 인터넷서비스 제공자) 등 기존 정보통신서비스 사업자 중심으로 규정된 현행법의 규율 태도로 인하여 클라우드 서비스 제공자에 대한 고려가 부재하고 데이터의 물리적 위치 변경 시 이에 함유된 개인정보의 보호 및 프라이버시 대응 요건이 충분히 제시되지 않고 있는 실정이다. 235) 제도적 안전장치 역시 미비하여 클라우드컴퓨팅으로의 전환 시 PC 및 자체 서버를 활용하던 방 식에서 인터넷과 연결된 클라우드를 활용함에 따라 해킹 등으로 인한 기 업정보 및 데이터 유출 등 보안 우려가 확대되고 있는 실정이며, 236) 정보 또는 저장서버의 물리적 위치로 인하여 발생할 수 있는 분쟁의 관할권 문 234) Committee for Information, Computer and Communications Policy, Briefing Paper for the ICCP Technology Foresight Forum; Cloud Computing and Public Policy, DSTI/ICCP(2009)17, Organisation for Economic Co-operation and Development, 2009, p ) 박영우, 클라우드 서비스와 현행 법률에 의한 규율상 문제점, 클라우드 컴퓨팅 서비스 현황과 법적 과제, 미래정보사회 입법정책포럼, 2010, 23쪽. 236) 정제호 김수동 국신욱 민영기 손승우 신수정 양희동 이종화, 클라우드 컴퓨팅 활성화를 위한 법제도 개선방안, 정보통신산업진흥원, 2009, 23쪽

263 제는 해결해야 할 과제로 꼽을 수 있다. 그럼에도 불구하고 대다수의 학 자들은 사이버공간에서 이루어지는 인터넷활동과 해당 영역의 불확실성 등이 현재의 관할권 이론과 준거법체계에 상당한 어려움을 안겨주지만 그 래도 이미 존재하고 있는 이론과 원칙으로 잘 규율할 수 있다는 견해에 동조하고 있다. 물론 OECD에서 논의된 것처럼 국제적 공조가 협력적 차 원에서 이루어지는 것을 전제로 할 때 비로소 그 실행가능성이 높아질 것 이라는 점은 더 이상 중언부언( 重言復言 )할 필요 없는 명약관화( 明若觀火 ) 한 것이다. 여기서 관할( 管轄 ; jurisdiction)이라 함은 주권국가가 그 영토 내의 행위 에 대하여 제정된 법률에 따라 이를 집행하고 규제하는 법적 권한으로서 초국경적(transnational)인 것을 가리키며, 이는 라틴어인 juris dictio에서 온 말로 법의 집행(administration of justice) 을 의미한다. 237) 이처럼 일 정한 권한을 가지고 통제하거나 지배하는 것 또는 그런 지배가 미치는 범 위를 의미하는 관할에 있어서 주권(sovereignty)이라는 국가의 일반적인 법적 권한의 특정 측면을 가리키는 관할권(jurisdictional competence)은 그 전제로서 국가를 이루는 3 요소 중 하나인 영토와 관련될 수밖에 없 다. 238) 다만, 그와 같은 주권이 국경을 넘어서 확장될 수 있는가의 여부는 분명치 않다. 239) 하지만 근본적으로는 각국의 개인정보보호법이 조화를 이루어 외국과 자국의 기준이 동등한 보호의 규준으로 작용한다는 점에 신뢰하여 어떠한 관할권 규칙을 주장하더라도 일정한 수준의 보장을 확보할 수 있도록 상 호 협력하는 것이 요청된다고 할 것이다. 240) 여하튼 클라우드컴퓨팅 사업자의 서버가 해외에 위치한 가운데 개인정보 보호법규 위반의 문제가 발생한다면 이 경우 정보의 물리적 위치가 갖는 237) Ivan Shearer, Jurisdictionin, in Sam Blay, Ryszard Piotrowicz, and Martin Tsamenyi (eds.), Public International Law, Melbourne: Oxford University Press, 2005, p ) Ian Brownlie, Principles of Public International Law, Oxford: Oxford University Press, 2008, p ) Kevin A. Meehan, The Continuing Conundrum of International Internet Jurisdiction, 31 BC Int'l & Comp. L. Rev. 345, 347 (2008). 240) Uta Kohl, supra note 55, p

264 영토적 관할권과의 이반현상 때문에 분쟁해결의 지배권은 어떻게 되는가는 클라우드컴퓨팅 서비스의 활성화에 있어서는 큰 제약이 되어 해소방안이 갖추어져야 할 사안이라 할 수 있다. 이른바 관할권의 충돌(jurisdictional conflicts of law)이 정보 또는 저장매체가 자리하고 있는 외국과 해당 개인 정보에 대하여 권리를 보유하는 정보주체의 국적지인 우리나라 상호간 집 행기관 사이의 권한상충이 발생하는 것이라 하겠다. 우선 이 경우 개인정보보호법규 위반행위가 형법상 구성요건에 해당하 는 때에는 본법은 대한민국 영역 내에서 죄를 범한 내국인과 외국인에게 적용한다. 라고 규정함으로써 속지주의( 屬地主義 ; territorial principle)를 원칙으로 하는 우리 형법 제2조가 해결의 실마리를 줄 수 없지만, 본법 은 대한민국 영역 외에서 대한민국 또는 대한민국국민에 대하여 전조 241) 에 기재한 이외의 죄를 범한 외국인에게 적용한다. 단, 행위지의 법률에 의하여 범죄를 구성하지 아니하거나 소추 또는 형의 집행을 면제할 경우 에는 예외로 한다. 라고 규정하고 있는 우리 형법 제6조로 말미암아 해당 서버가 위치한 국가의 개인정보보호법규에서 당해 행위가 범죄를 구성하 지 아니하거나 소추 또는 형 집행의 면제대상으로 규정되어 있는 경우를 제외하고는 가벌성( 可罰性 )의 현실화에 있어 실체법적 제약을 받지 아니 한다. 다만, 현실적으로 형사소추( 刑事訴追 ) 및 사법적 집행( 司法的執行 ) 에 있어 이를 실현할 수 있는 제도적 장치의 미약이 존재할 뿐인바, 관할 권 문제의 법이론적 해결은 현행법에서의 논의 자체로도 가능하다고 볼 것이다. 게다가 우리 형사소송법 제2조는 소송행위는 관할위반인 경우에 도 그 효력에 영향이 없다. 라고 규정함으로써 만일 당해 개인정보보호법 241) 형법 5 (외국인의 국외범) 본법은 대한민국 영역 외에서 다음에 기재한 죄를 범한 외국인에게 적용한다. 1. 내란의 죄 2. 외환의 죄 3. 국기에 관한 죄 4. 통화에 관한 죄 5. 유가증권, 우표와 인지에 관한 죄 6. 문서에 관한 죄중 제225조 내지 제230조 7. 인장에 관한 죄중 제238조

265 규 위반행위에 대한 형사사법상 절차가 관할위반에 해당한다고 할지라도 오로지 그 판단은 사법부의 종국적 판결에 따라 귀결을 달리할 뿐이라는 점을 분명히 하고 있다. 물론 수사절차에 있어서는 국제공조에 기한 형사 적 대응을 꾀할 수 있을 것이다. 한편, 당해 개인정보보호법규 위반행위가 불법행위에 기한 손해배상의 요건을 갖추고 있어 이에 관한 분쟁으로 비화되는 경우 위 사안을 국제민 사사건으로 보아 외국적 요소가 있는 법률관계에 관하여 국제재판관할에 관한 원칙과 준거법을 정함을 목적으로 제정된 국제사법에 따라 분쟁해 결의 기준을 검토해야 할 것이다. 먼저 우리 국제사법의 관련규정을 보면 다음과 같다. 국제사법 2 (국제재판관할) 1법원은 당사자 또는 분쟁이 된 사안이 대한민국과 실질적 관련이 있는 경우에 국제재판관할권을 가진다. 이 경우 법원은 실질적 관련의 유무를 판단함에 있어 국제재판관할 배분 의 이념에 부합하는 합리적인 원칙에 따라야 한다. 2법원은 국내법의 관할 규정을 참작하여 국제재판관할권의 유무를 판단하되, 제1항의 규정의 취지에 비추어 국제재판관할의 특수성을 충 분히 고려하여야 한다. 국제사법 3 (본국법) 1당사자의 본국법에 의하여야 하는 경우에 당 사자가 둘 이상의 국적을 가지는 때에는 그와 가장 밀접한 관련이 있 는 국가의 법을 그 본국법으로 정한다. 다만, 그 국적중 하나가 대한 민국인 때에는 대한민국 법을 본국법으로 한다. 2당사자가 국적을 가지지 아니하거나 당사자의 국적을 알 수 없는 때에는 그의 상거소( 常居所 )가 있는 국가의 법(이하 "상거소지법"이라 한다)에 의하고, 상거소를 알 수 없는 때에는 그의 거소가 있는 국가 의 법에 의한다. 3당사자가 지역에 따라 법을 달리하는 국가의 국적을 가지는 때에는 그 국가의 법 선택규정에 따라 지정되는 법에 의하고, 그러한 규정이

266 없는 때에는 당사자와 가장 밀접한 관련이 있는 지역의 법에 의한다. 국제사법 7 (대한민국 법의 강행적 적용) 입법목적에 비추어 준거법 에 관계없이 해당 법률관계에 적용되어야 하는 대한민국의 강행규정 은 이 법에 의하여 외국법이 준거법으로 지정되는 경우에도 이를 적 용한다. 따라서 국제재판관할 배분의 이념에 부합하는 합리적인 원칙에 따라 당 사자 또는 분쟁이 된 사안이 대한민국과 실질적 관련이 있는 것으로 법원 이 판단하는 경우 클라우드컴퓨팅 사업자에 의해 개인정보보호법규 위반 에 따른 불법행위로 인하여 권리침해의 손해를 입게 된 정보주체가 원고 가 되어 제기한 민사소송의 수소법원( 受訴法院 )이 국제재판관할권을 가지 게 되며, 이 경우 해당 법원은 국내법의 관할 규정을 참작하여 국제재판 관할권의 유무를 판단하되, 국제재판관할의 특수성을 충분히 고려하여야 한다. 이 경우 당사자 가운데 원고가 대한민국인 때에 해당하므로 우리 민법을 본국법으로 하여야 할 것이다. 다만, 입법목적에 비추어 준거법에 관계없이 해당 법률관계에 적용되어야 하는 정보통신망 이용촉진 및 정 보보호 등에 관한 법률 소정 개인정보보호원칙 등 대한민국의 강행규정 은 준거법(choice of law)과 무관하게 이를 적용한다. 한편, 재판관할의 문제와 그 판결의 집행문제는 별개이므로 해외 클라 우드 데이터센터 서버 공급자의 지사가 국내에 존재하지 않는 한 해당 국 가의 준거법에 따른 관할권을 통해 판시된 외국법원의 판결에 관한 문제 이고 이에 대한 집행은 타국의 승인을 요하는 것인바, 이에 관하여는 다 음과 같이 우리 민사소송법 제217조에 명시되어 있다. 242) 242) 민사소송법 제203조제4호에 이른바 상호의 보증이 있는 일이라 함은 당해 외국이 조약에 의하 여 또는 그 국내법에 의하여 대한민국 판결의 당부를 조사함이 없이 민사소송법 제203조의 규 정과 같던가 또는 이보다도 관대한 조건 아래에서 대한민국의 판결의 효력을 인정하고 있는 경우를 말하는 것이라 할 것인바, 원판결은 위 원칙에 비추어 미합중국은 외국법원의 판결을 일체 승인하지 아니하며 그에 대한 보장이 없으므로 우리나라와 미합중국은 민사 및 인사 판 결의 효력에 대한 상호의 보증이 없다고 정당하게 판단하고 있으며 (중략) 민사소송법 제477 조에 의하여 그 집행판결을 청구하는 이 사건 소는 각하되어야 할 것이니 원판결이 제1심 판 결을 유지하고 원고의 항소를 기각한 결론은 정당하다 할 것이다; 대법원 선고

267 민사소송법 217 (외국판결의 효력) 외국법원의 확정판결은 다음 각 호의 요건을 모두 갖추어야 효력이 인정된다. 1. 대한민국의 법령 또는 조약에 따른 국제재판관할의 원칙상 그 외국 법원의 국제재판관할권이 인정될 것 2. 패소한 피고가 소장 또는 이에 준하는 서면 및 기일통지서나 명령 을 적법한 방식에 따라 방어에 필요한 시간여유를 두고 송달받았거나 (공시송달이나 이와 비슷한 송달에 의한 경우를 제외한다) 송달받지 아니하였더라도 소송에 응하였을 것 3. 그 판결의 효력을 인정하는 것이 대한민국의 선량한 풍속이나 그 밖의 사회질서에 어긋나지 아니할 것 4. 상호보증이 있을 것 2. 국외 정보 이전의 제한 다른 분야와 마찬가지로 정보사회 243) 의 기업활동에 있어 정보의 새로운 가치가 창출됨으로써, 244) 개인정보가 해외로 이동하는 기회가 빈번하게 다1393 판결 참조. 243) 정보사회라는 용어는 1968년 高山建一 이 처음 사용하기 시작하였는바, 초기 개념은 전체 고용 인구의 절반 이상이 정보를 산출해내는 산업에 종사하거나 그들이 산출해내는 생산량이 전체 GNP의 50% 이상을 차지하는 사회를 가리키는 말이었다고 하나(Yoshihiro, Changing Value Patterns and their Impact on Economic, University of Tokyo Press, 1982, p.174), 현재는 정보의 생산 처리 및 활용기술이 사회발전의 원동력이 되고 사회구조를 지배하게 되는 사회 라는 의미 로 통용되고 있다. 따라서 정보사회를 주도하는 개념으로 특정가치를 가지는 정보와 이를 보유 활용하는 주체 그리고 수단적 변화요인으로서 정보기술 등이 거론되어지는바, 지금 우리가 살 아가고 있는 사회를, 지각대상(percept) 기호(sign) 의미(meaning) 등 세 요소로 나뉘지만 그 자 체가 정보에 그 특성을 둔 정보사회(information society)라고 일컫는다는 것은 주지의 사실이 다. 정보사회를 정보를 생산도구로 하여 재화나 역무 혹은 정보 및 지식을 창출하고 유통시킴 으로써 정보가치가 사회경제활동의 중심이 되는 사회 로 간략히 설명할 수 있다; See generally F. Webster, Theories of the Information Society, London; Routledge, 1995, pp.15~ ) 정보사회의 핵심인 정보의 가치는 크게 세 가지로 나누어 볼 수 있는바, 첫째가 경제적 혹은 상업적 가치이고, 둘째가 개인적 가치이며, 셋째가 공공적 또는 사회적 가치이다. 따라서 정보 사회란 이미 결정되어 있는 사회가 아니라, 현재 끊임없이 변화하고 있으며 정보가치가 증가되 는 가운데 정보주체의 역할과 상호작용이 중요시되는 사회라 정의할 수 있다. 정보사회에서 정 보가치는 정보의 자유라는 기본권을 형성하는 헌법정책적 전제조건으로 작용한다는 측면에서 그 법적 효용을 발견할 수 있다. 다양한 정보를 처리할 수 있는 것이 인격성의 자기발현을 위 한 필수조건이 되며, 정보의 자유는 다원주의사회의 전제조건이자 기능적 되기 때문이다. 다시

268 발생되고 있다. 이제 정보는 한 국가 내에서만 머무르지 않게 된 것이다. 그러므로 각국은 자국민의 개인정보가 국외로 이전하는 경우에도 국내에 서와 마찬가지로 이에 관한 정보주체의 권리, 즉 개인정보자기결정권이 보호될 수 있도록 개인정보 국외이전의 경우 준수해야 할 규칙을 정하고 있다. 이와 관련하여 전자거래 인터넷을 포함한 경제 행정 및 기타 모든 영 역에서의 안전한 개인정보의 수집 보장하기 위하여 유럽의회가 제정하였 으며 1995년 10월에 채택된 Directive on the Protection of Individuals with Regard to the Processing of Personal Data and the Free Movement of Such Data 는 개인정보의 처리와 원활한 이동을 보장하기 위해 프라이버시가 존중되어야 함을 재차 강조하고 프라이버시보호가 미 흡한 국가로의 개인정보 이전을 금지함으로써 개인정보보호논의를 국제사 회에서 중요한 문제로 부각시켰다. 245) 즉, 이 지침 Chapter IV는 개인정 보의 제3국으로의 이전(Transfer of Personal Data to Third Countries 에 관하여 두 개의 조문으로 규율하고 있는바, 246) 그 주요원칙은 유럽연합위 말해서, 정보기술이 정보사회를 구현하며 정보기술을 사용하는 만큼 보다 편리해진 사회활동이 보장되고 그에 따른 경제적 혜택을 얻을 수 있는 사회가 정보사회인 까닭에, 정보가 지니는 가 치속성에 따라 정보사회를 규명하는 규범적 탐구가 전통적인 법학분야와는 차별성을 지닐 수 있음은 간과할 수 없을 것이며 그 중핵은 바로 정보가치라 하겠다. 정보가치는 정보사회에서 정보의 자유라는 기본적 권리를 형성하는 헌법정책적 전제요건으로 작용하기에 그 법적 효용 이 발견될 수 있으며, 정보처리의 다양성이 인격성의 자기발현을 위한 필수조건이 됨과 아울러 정보의 자유는 다원주의사회의 기능적 근본조건이 된다는 점에서 그러하다; Vgl. Claudia Drews, Die Wesensgehaltsgarantie des Artikels 19 II GG, Baden-Baden: Nomos, 2005, S.17ff. 245) 이 지침의 목적은 예컨대, 사업목적으로 다른 기업에 판매하는 것처럼 기업이 자신의 고객이 원하지 않는 방식으로 고객에 대한 정보를 사용하는 것을 금지하는 데 있으므로, 유럽에서 영 업하고 있는 모든 기업은 동등한 개인정보보호를 보장하지 못하는 타국으로의 개인정보 전송 을 금지하는 것이 핵심조항이다. 이는 1998년 1월에 채택된 Directive of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector 와 함께 인터넷과 같은 정보통신망상의 개인정보보호문제를 규율한다; 이민영, 인터넷 개인정보보호에 관한 법제도 연 구, 정책연구 00-10, 정보통신정책연구원, 2000, 55~57쪽. 246) EU Directive(Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data)에 따르면 정보 특정에 있어 제3국으로의 이전 이 예정된 경우 전송사실을 고지해야 하며[Directive Article (e) Member States shall specify the information to be given in the notification. It shall include at least proposed transfers of data to third countries.], Directive의 다른 규정을 좇아 채택된 국내법 준수에 폐

269 원회(European Commission)의 적절성 판단(adequacy decision) 247) 에 의해 서 EEA협정(Agreement on the European Economic Area) 밖 국가가 적 절한 수준의 개인정보보호를 취하고 있지 못하다고 평가하는 경우에는 개 인정보 국외이전이 금지되고, 정보이전 상대국에 대하여 유럽연합위원회 나 회원국 정보보호당국이 적절한 수준의 보호를 제공하고 있다고 결정하 는 경우에는 해당 국가로의 개인정보 이전이 가능하며, 다만 예외적으로 개인정보 이전 당시 적절한 안전조치(adequate safeguards)를 마련하기만 한다면 EU 내의 기업들은 적절한 보호를 제공하지 않는 외국으로 개인정 보를 이전할 수도 있다는 것이다. 248) 를 끼치지 않고 제3국이 적절한 보호수준을 확신시켜줄 때에만 비로소 처리중이거나 전송후 처리 예정인 개인정보의 제3국 이전이 가능하며, 정보전송의 운용환경에 따라 평가되는 제3국 의 보호수준이 적절하지 않을 경우 회원국은 동종 정보의 제3국 이전을 예방하는 데 필요한 조치를 해야 한다[Directive Article 25 (Principles)]. 247) 다만, 유럽연합은 제한적으로 일부 국가에 대해서만 적절성을 판단하고 있는바, 예컨대 미국 -EU 세이프하버원칙은 유럽연합 내에서 미국으로의 개인정보 이전을 위한 적절성 판단의 대 안으로 선택된 것이다. 미국-EU 세이프하버체제(Safe Harbour Framework)에서 유럽연합은 기 업의 자율규제가 적절하게 이행되지 않는 경우에 미국정부기관이 세이프하버원칙을 집행할 것 을 원하였으며, 연방거래위원회(FTC; Federal Trade Commission)와 연방운송관리국(US DOT; United States Department of Transportation)가 세이프하버원칙의 집행에 동의하였다. 따라서 현재 유럽연합위원회는 FTC와 US DOT가 유럽연합의 적절성 요건을 충족시키는 것으로 인정 하고 있다; 248) Directive on the Protection of Individuals with Regard to the Processing of Personal Data and the Free Movement of Such Data Article 25 (Principles) 1. The Member States shall provide that the transfer to a third country of personal data which are undergoing processing or are intended for processing after transfer may take place only if, without prejudice to compliance with the national provisions adopted pursuant to the other provisions of this Directive, the third country in question ensures an adequate level of protection, 2. The adequacy of the level of protection afforded by a third country shall be assessed in the light of all the circumstances surrounding a data transfer operation or set of data transfer operations; particular consideration shall be given to the nature of the data, the purpose and duration of the proposed processing operation or operations, the country of origin and country of final destination, the rules of law, both general and sectoral, in force in the third country in question and the professional rules and security measures which are complied with in that country. 3. The Member States and the Commission shall inform each other of cases where they consider that a third country does not ensure an adequate level of protection within the meaning of paragraph Where the Commission finds, under the procedure provided for in Article 31 (2), that a third country does not ensure an adequate level of protection within the meaning of paragraph 2 of this Article, Member States shall take the measures necessary to prevent

270 그 체결사례로 들 수 있는 것으로 미국-EU간 세이프하버를 들 수 있는 바, 이는 미국의 기업들이 EU지침의 최소한 요건을 충족시킬 수 있도록 하는 골격협정(framework agreement)으로서의 성격을 지닌다. 미국과 EU 가 합의한 세이프하버 프라이버시보호 원칙은 개인정보에 대한 적절한 수준의 보호(adequate level of protection) 를 규정하고 있는 EU지침 제25 조제6항에 부합하는 조치이 결과라고 할 수 있으며, 미국 기업들이 자발 적으로 세이프하버의 구속을 받겠다는 동의를 표하면 자동적으로 EU회원 국들이 그러한 의사표시를 한 기업들을 승인한 것으로 의제된다. 한편, EU지침 제25조제6항에 따라 제3국이 EU지침상의 조건에 따라 적절한 개 인정보보호조치를 제공하고 있는지 여부의 결정 권한은 EU위원회에 부여 되어 있다. 한편, 미국 스위스 간 세이프하버는 2008년 12월 9일 양국간 정보보호 프레임워크를 채택하기로 하면서 서명되어 2009년 1월 8일 스위스 정부가 세이프하버의 검토가 완료되었음을 미국에 통보함과 동시에 그 법적 유효 성이 인정된 것인바, 249) 스위스로부터 개인정보를 이전받으면서 미국-스위 스간 세이프하버원칙을 준수하는 기업은 1992년 발효된 스위스 개인정보 보호입법인 연방정보보호법(Federal Act on Data Protection; FADP)상의 적절성 요건(adequacy requisite) 250) 을 만족하는 것으로 간주되므로 이는 any transfer of data of the same type to the third country in question. 4. At the appropriate time, the Commission shall enter into negotiations with a view to remedying the situation resulting from the finding made pursuant to paragraph The Commission may find, in accordance with the procedure referred to in Article 31 (2), that a third country ensures an adequate level of protection within the meaning of paragraph 2 of this Article, by reason of its domestic law or of the international commitments it has entered into, particularly upon conclusion of the negotiations referred to in paragraph 5, for the protection of the private lives and basic freedoms and rights of individuals. 6. Member States shall take the measures necessary to comply with the Commission's decision. Member States shall take the necessary to comply with the Commission's decision. 249) 250) SR Federal Act on Data Protection Art. 6 (Cross-border disclosure) Personal data may not be disclosed abroad if the privacy of the data subjects would be seriously endangered thereby, in particular due to the absence of legislation that guarantees adequate protection

271 스위스 연방으로부터 개인정보를 이전받는 미국 기업들에게 권위 있는 지 침이 되며 이러한 적절성 요건을 충족하는 개인정보의 이전을 위해 기업 이 예측할 수 기준으로 마련된 것이라 할 수 있다. 우리나라의 경우 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제63조는 국외 이전 개인정보의 보호에 대하여 다음과 같이 규정함으로 써, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제25조제1항이 명시한 바와 같이 정보통신서비스 제공자와 그로부터 정보통신망 이용촉 진 및 정보보호 등에 관한 법률 제24조의2제1항에 따라 이용자의 개인정 보를 제공받은 자를 가리키는 정보통신서비스 제공자 등에 대하여 개인정 보보호 의무를 부과하면서 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제67조에서는 개인정보 국외 이전시 보호조치로서 1 개인 정보보호를 위한 기술적 관리적 조치, 2 개인정보 침해에 대한 고충처 리 및 분쟁해결에 관한 사항, 3 그 밖에 이용자의 개인정보 보호를 위하 여 필요한 조치를 들면서 정보통신서비스 제공자 등으로 하여금 위 각 사 항을 개인정보를 국외에서 이전받는 자와 미리 협의하고 이를 계약내용 등에 반영하여야 하도록 규정하고 있다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제63조 (국외 이 전 개인정보의 보호) 1 정보통신서비스 제공자 등은 이용자의 개인정 보에 관하여 이 법을 위반하는 사항을 내용으로 하는 국제계약을 체결 하여서는 아니 된다. 2 정보통신서비스 제공자 등은 이용자의 개인정보를 국외로 이전하려 면 이용자의 동의를 받아야 한다. 3 정보통신서비스 제공자 등은 제2항에 따른 동의를 받으려면 미리 다음 각 호의 사항 모두를 이용자에게 고지하여야 한다. 1. 이전되는 개인정보 항목 2. 개인정보가 이전되는 국가, 이전일시 및 이전방법 3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관

272 리책임자의 연락처를 말한다) 4. 개인정보를 이전받는 자의 이용목적 및 보유 이용 기간 4 정보통신서비스 제공자 등은 제2항에 따른 동의를 받아 개인정보를 국외로 이전하는 경우 대통령령으로 정하는 바에 따라 보호조치를 하 여야 한다. 하지만 정보통신망 이용촉진 및 정보보호 등에 관한 법률 에 따른 위 와 같은 국외 개인정보 이전에의 제한 및 개인정보 보호조치 의무에 있어 서는 그 위반 시 제재수단으로 활용될 과징금이나 과태료 또는 행정형벌 부과에 관한 법적 근거가 없어 그 실효성에 의문이 제기된다고 하겠 다. 251) 더욱이 물론 규범적으로는 국외 개인정보 이전에의 제한 및 개인정보 보호조치 의무가 설정되어 있으므로 이로써 클라우드 서비스 운영자의 개 인정보 국외 이전은 규율될 수 있겠으나, 정보통신서비스 제공자 등에 해 당하지 않는 클라우드 서비스 사용자 기업에 대하여는 이를 적용할 수 없 는 까닭에 클라우드 서비스 사용자에 관한 개인정보 보호의무의 설정과 이에 따른 개인정보의 국외이전에 관한 제한을 규율하는 것이 요구된다고 볼 것이다. 다만, 이러한 법규는 정보통신서비스 제공자와 이용자 상호간 의 법적 규율을 다루는 정보통신망 이용촉진 및 정보보호 등에 관한 법 251) 헌법재판소는 과징금을 행정법상의 의무위반행위에 대하여 행정청이 의무위반행위로 인한 불 법적인 이익을 박탈하거나 혹은 당해 법규상의 일정한 행정명령의 이행을 강제하기 위하여 의 무자에게 부과 징수하는 금전 으로 이해하였으며( 헌가18, 99헌바71 111, 2000헌바 , 2001헌바2 병합), 대법원은 원칙적으로 행정법상의 의무를 위반한 자에 대하여 경제적 이익을 박탈하기 위한 목적으로 부과하는 금전적인 제재 로 파악하였다( 선고 2000두6121 판결). 과징금과 과태료는 부과대상행위에 의하여 구별되어야 한다는 지적이 있다. 즉, 과징금과 과태료는 모두 행정법상의 의무위반행위가 전제가 된다는 점에서 공통성을 가지 고 있으나 과태료는 경미한 질서위반행위에 대하여 부과되는 것에 대하여 과징금은 단순한 질 서위반행위가 아니라 일반적 과징금제도에서 보는 바와 같이 경제행정법분야에서 영업허가의 취소나 정지 철회에 해당할 정도로 중한 의무위반에 대하여 부과된다는 것이라 할 수 있다. 다 만, 과태료에 대하여는 일반법인 질서위반행위규제법 이 지난 2007년 12월 21일 법률 제8725 호로 제정되어 시행되고 있으므로 그 법적 근거는 여기서 찾아야 할 것이다; 이민영, 컨버전스 와 미디어법, 한국학술정보, 2008, 129~130쪽

273 률 에 담기에는 분명 한계가 있는 측면이라는 점이 고려되어야 할 것이 며, 따라서 클라우드컴퓨팅 서비스 전반에 관한 입법적 대응의 한 부문으 로서 이에 관한 논의가 적절한 규율로 이어져야 할 것으로 본다. 다른 한편으로 국외이전의 제한을 위한 사전동의획득은 정보전송을 전 제로 한 국외 정보통신서비스 제공자의 서비스 이용을 차단함으로써 오히 려 이용자에게 폐해가 될 수 있으므로 국외이전 제한을 위한 고지의무 이 행으로의 법규 전환을 고려할 수 있을 것이며, 이로써 제3국 이전에 관한 고지로써 이용자의 개인정보 전송에 관한 인식 담보를 유도할 수 있을 것 이라 여겨진다. 물론 이는 유럽연합의 Directive Article 19에도 부합할 뿐 만 아니라, 경제협력개발기구 이사회의 Guidelines on the Protection of Privacy and Transborder Flows of Personal Information Part 2에 제시 된 수집제한의 원칙(Collection Limitation Principle; There should be limits to the collection of personal data and any such data should be obtained by lawful and fair means and, where appropriate, with the knowledge or consent of the data subject.)에도 합치되는 것이다. 252) 다 만, 원천적으로는 제3국 개인정보 보호수준의 적절성 확보와 함께 국내법 규 위반 국외 정보통신서비스제공자에 대하여 국내법 적용에 관한 집행력 문제를 현실화하는 방안이 아울러 이루어져야 할 것으로 사료된다. 3. 정보의 보존 복구 및 폐기 가. 정보의 복구 및 폐기 252) 원칙적으로 사인( 私人 )은 자유로이 정보를 수집할 권리 및 계약자유에 관한 권리 등을 갖고 있 기 때문에 사적 영역에서 개인정보보호문제는 공적 영역에서 국가를 규율하는 것과 동일한 방 법으로 처리하기 힘든 측면들이 많다. 시장경제가 작용하기 위해서는 우선 경쟁을 가능하게 하 고 개인 상호간 계약체결을 가능하게 하고 그 준수를 보장하며 빠르면서도 확실한 교환을 가 능하게 하는 법질서가 요구되므로 한편으로는 시장경제시스템이 제대로 작동하기 위해서는 개 인정보를 보호해야만 할 필요성이 있는 것이다. 그러나 또 다른 한편으로 시장경제 속에서 활 동하는 사람들은 올바른 결정과 판단을 내리기 위하여 불확실성은 가능한 한 줄이고 필요한 정보에 관하여 가능한 한 많이 획득하려고 하기 때문에 이를 위하여 개인관련정보가 필요함은 너무도 당연하다; Wolfgang Zöllner, Datenschutz in einer freiheitlichen marktwirtschaftlichen Ordnung, RDV 1-11, 1991, S

274 최근 프랑스에서는 인터넷 이용자들이 과거 웹상 남겼던 개인정보로 인 하여 피해를 보는 상황이 빈번히 발생하였는바, 인터넷 이용자들이 과거 웹상 남겼던 개인정보를 삭제할 수 있는, 이른바 잊혀질 권리(Le droit à l'oubli sur Internet; right to oblivion on the Internet) 의 문제가 대두되 었다. 이를 관련업계의 자율규제로 보장하려는 것은 당사자의 개인정보보 호를 위하여 충분치 못하므로 법률로써 보장할 필요성이 있다는 주장이 제기된 것이다. 253) 가령 다음과 같은 예를 들 수 있다. 254) 리옹(Lyon)에 있는 어느 고등학교 재학생 자녀를 두고 있었던 A씨 는 1990년 말경 Libertysurffr 이라는 웹사이트를 통하여 자신의 자 녀가 다니는 고등학교의 학생 학부모를 위한 단체 홈페이지를 만듦. 이 홈페이지에는 학부모들의 성명과 전화번호가 등록되어 있었음. 253) 행정규제가 권리주체의 관점에서는 타율적으로 이루어지는 것이므로 이와 대비되는 용어로 자 율규제가 존재한다. 자율규제란 사업자 또는 사업자단체가 소비자보호를 위해서 또는 시장의 투명성과 신뢰를 확보하기 위해 스스로 행하는 자정노력으로서의 규제활동을 총칭한다. 강제력 을 보유하는 행정규제와는 달리 자율규제는 원칙적으로 강제력을 수반하지 않는다. 행정규제를 이행하지 아니한 경우에는 일반적으로 처벌이 따르게 되는 반면, 자율규제는 이를 이행하지 않 는다고 해서 직접적으로 규제나 처벌이 따르는 것은 아니다. 다만, 사업자단체의 규약으로 자 율규제조치를 준수하지 않은 회원사에게 제명 등의 불이익을 줄 수 있다는 점은 자율규제를 도입하는 데 있어 재정력을 수반하게 하는 등의 보완조치를 요청케 하는 부분이라 하겠다. 한 편 자율규제는 규제절차의 간이성과 유연성으로 인해 신속하고 예방적인 규제가 가능하지만, 규제기준의 제정이나 규제심사과정에 외부전문가가 배제될 수 있으므로 규제에 대한 신뢰성과 공정성을 확보하기 어려울 수 있는 단점도 가지고 있다. 또한 자율규제는 사업자의 자발적 노 력이므로 예방적 효과가 크며, 개선조치나 피해구제절차가 신속히 진행되어 비용을 크게 절감 할 수 있으나, 규제효과가 사업자 자신 혹은 회원사에 한정되는 한계를 가진다. 더욱이 자율규 제의 활동이 대부분 비공개적으로 이루어지기 때문에 사업자 또는 회원사 내부의 구조적 문제 점을 은폐하는 수단으로 악용될 수도 있다는 점은 경계되어야만 할 것이다. 그런데 여기서 자 율 이란 개인적 자율과 집단적 자율이라고 하는 전혀 다른 의미를 가지고 있으며, 개인이나 기 업이 스스로 정한 기준과 절차에 의하여 자신의 행위를 통제하는 개인적 자율규제보다는 공동 의 관심사를 가지고 일정한 목적을 추구하는 조직이 구성원에게 그 조직의 권위와 일정한 권 한을 바탕으로 감독권을 행사하는 집단적 자율규제가 일반적 의미에서 논의되는 것이라 하겠 다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 은 제44조의4에서 정보통신서비스 제 공자단체는 이용자를 보호하고 안전하며 신뢰할 수 있는 정보통신서비스를 제공하기 위하여 정보통신서비스 제공자 행동강령을 정하여 시행할 수 있다. 라고 자율규제에 관하여 규정함으 로써 나아가 법적 장치를 통한 집단적 자율규제의 근거를 마련하고 있다. 이에 관한 상세는 拙稿, 인터넷 자율규제의 법적 의의, 저스티스 통권 제116호, 한국법학원, 2010, 133~160쪽 참조. 254) 신지연, 프랑스, 디지털시대 사생활보장에 관한 법안(Texte n 93 ( ) 하원발의, 인터 넷 법제동향 제26호, 한국인터넷진흥원, 2009, 22쪽

275 A씨는 몇 년간 이 홈페이지를 관리하다가 자신의 자녀가 해당 고등 학교를 졸업하자 다른 학부모에게 그 역할을 이양함. 시간이 한 참 흐른 후, A씨는 구글이나 야후 같은 사이트를 통해 예전 자신이 관 리했던 해당 홈페이지에 등록되어 있던 자신의 이름과 전화번호가 그대로 검색된다는 사실을 발견하고, 해당 정보를 삭제하려고 시도 하였으나, 쉽지 않았음. A씨는 당시 Libertysurffr 라는 웹사이트를 통해 해당 홈페이지를 만들었으나, 이 회사는 이후 Tiscali 라는 회 사에 인수되었고, Tiscali 는 곧 Alice 라는 회사에 인수됨. 따라서 A씨는 해당 정보의 삭제를 위해 많은 사람들과 접촉을 해야 했으 며, 해당 정보의 삭제까지 많은 시간이 소요됨 이에 따라 지난 2009년 11월 6일 디지털시대 사생활권 보장에 관한 법안 (de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique) 이 Anne-Marie Escoffier 의원과 Yves Détraigne 의원에 의해 하원에 발의되었다. 이는 지난 1978년 6월 제정된 정보처리축적 및 자유 에 관한 법률(Loi n du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés) 의 개정과 새롭게 부각되는 개인정보보호 쟁 점의 인식을 요구하는 사회안전망의 발달 그리고 기술의 진보에 따라 디 지털 메모리(digital memory) 의 출현과 관련된 위험성을 강조하면서 잊 혀질 권리 의 실현을 위한 조치의 마련에 대하여 명확히 하고 있는바, 255) 지난 해 5월 27일 하원에서 공개된 그들의 보고서에 따른 것이다. 256) 특 히 이 보고서는 쿠키(cookies) 통제에 필요한 정보의무를 강화하고 정보처 리 시 정보주체로부터 직접 개인정보를 수집하지 않도록 하는 방안을 기 술하고 있다. 257) 그 밖에도 법안과 마찬가지로 개인정보보호를 위한 소프 트웨어 애플리케이션 인식 및 보증라벨 등의 개발, 개인정보보호와 관련 된 학교교육의 강화 및 인터넷사용에 따른 개인정보보호 관련 쟁점과 권 255) 256) 257)

276 리에 대한 국민의 인식강화를 위한 행정지도 활성화, 국가정보처리 자유 위원회(CNIL; Commission nationale de l'informatique et des libertés)의 감사(audit) 역할 강화 등이 언급되어 있다. 258) 경제협력개발기구(OECD; Organization for Economic Cooperation and Development) 이사회가 지난 1980년 9월 23일에 채택한 Guidelines on the Protection of Privacy and Transborder Flows of Personal Information 의 경우 그 주요목적은 1 공적 사적 영역에서 개인정보를 보호하고, 2 정보의 자유로운 흐름을 촉진하며, 3 정보의 자유로운 흐름 에 대한 개별 국가의 사생활보호법에 의한 억제를 제한하면서, 4 여러 국가들의 관련 법규정을 조화시키는 데 있다. 259) OECD 가이드라인 Part 1 은 일반원칙을 규정하고 있는바, 특히 목적명확성원칙(Purpose Specification Principle)은 개인정보가 수집되는 목적은 수집 시보다 늦지 않게 특정되어 야 하며, 그 다음의 이용은 수집목적이나 이와 양립될 수 있는 목적의 완 수에 한정되어야 한다(The purposes for which personal data are collected should be specified not later than at the time of data collection and the subsequent use limited to the fulfilment of those 258) CNIL은 17명의 위원으로 구성된 복수집단으로 합의제 기관이다. 특히 위원회를 구성하는 각각 의 위원들은 그 자격이나 직위 면에서 볼 때 프랑스의 입법 사법 행정부를 대표하는 자로 이루 어져 있어 강력한 권한과 위상을 가지고 있다. CNIL은 강한 독립성을 갖고 있는 합의제행정기 관의 성격을 갖는다. 위원회를 구성하는 위원의 3분의 2가량이 의회나 법원에 의해 선출되고, 각각의 위원들의 독립성을 보장하기 위해 자신을 임명한 자 또는 소속기관의 지시 감독을 받지 않고 자유롭게 활동할 수 있도록 명시적으로 규정하고 있다. 또한 정부의 장관이나 공공기관, 공기업, 사기업의 경영자 등은 여하한 이유로도 위원회의 활동을 방해할 수 없도록 규정함으로 써, 위원회의 독립성을 더욱 강화하고 있다. 따라서 CNIL은 임무수행에 대해서도 대통령과 의 회에 직접 보고하며 직원의 임명도 위원장이 자유롭게 행한다. 또한 CNIL은 행정기관의 성격을 갖기 때문에, 위원회의 결정은 행정행위로서의 성격을 띠며, 결정을 대상으로 꽁세유데따(C.E.; Conseil d'etat)에 상소할 수 있다. CNIL은 정보처리 내지 정보의 축적에 관하여 확인하고 조사 하는 기능을 수행하는데, 프랑스 안에서 이루어지는 모든 정보처리 및 축적에 대하여 등록 또는 신고접수를 통해 그 현황을 파악하고 이를 바탕으로 정보처리과정을 규제하고 있다. 또한 CNIL 은 정보관리자가 개인정보보호법규에 적합하게 개인정보를 처리하고 있는지 그 준수여부를 감 독하는 기능을 수행하며, 정보처리에 관한 기준과 규범을 제시하는 규칙을 제정할 권한을 가진 다. 이에 덧붙여 CNIL은 정보주체의 접근권 및 정정요구권이 침해되지 않도록 보다 적극적인 역할뿐만 아니라 소송에 앞서 전문적이고 포괄적인 피해구제를 담당하고 있다; Voir Loi n Chapter Ⅲ. The Commission Nationale De L 'Informatique Et Des Libertés. 259) Raymond Wacks, Personal Information, Gloucestershire: Clarendon Press, 1989, p

277 purposes or such others as are not incompatible with those purposes and as are specified on each occasion of change of purpose). 고 하여, 개인정보의 처리에 있어서 그 목적이 수집단계에 미리 명확히 특정되어야 할 뿐 아니라 그 이후의 처리단계에서도 수집시 특정된 목적과 일치되게 저장 또는 이용되어야 함을 의미하는 이른바 목적구속원칙과 궤를 같이하 고 있다. 260) 비례원칙 또는 과잉금지원칙에서 파생된 목적구속원칙에 따 르면 당초 목적과 달리 그 정보를 이용하거나 전달하는 것은 그 별도의 목적이 법률에 정해져 있거나 정보주체로부터 동의를 얻지 않는 이상은 정당화될 수 없기 때문이다. 그리고 가이드라인 해설서류(explanatory memorandum)에 기재된 지침(guidelines) 가운데 상세논평(detailed comments) 9절은 목적명확성원칙에 대하여 종국적으로 해당 정보 취급의 목적이 달성되 었거나 더 이상 실행가능성을 가지지 못할 때에는 해당 정보를 삭제 또는 파기 하거나 익명형식으로 전환할 필요가 있다. 개인정보에 대한 통제력은 해당 정 보가 더 이상 관심거리가 되지 않을 때 상실되기 마련이어서 절도나 무권한의 복제 등의 위험으로 이어질 수 있기 때문이다(Finally, when data no longer serve a purpose, and if it is practicable, it may be necessary to have them destroyed(erased) or given an anonymous form. The reason is that control over data may be lost when data are no longer of interest; this may lead to risks of theft, unauthorised copying or the like). 라고 설명하고 있다. 한편, 전자거래 인터넷을 포함한 경제 행정 및 기타 모든 영역에서의 안전한 개인정보의 수집 축적 및 이전을 보장하기 위해 1995년 10월에 채 택된 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data 는 개인정보의 처리와 원활한 이동을 보장하기 위해 정보프 라이버시가 존중되어야 함을 재차 강조하고 개인정보보호가 미흡한 국가 260) Spiros Simitis, Von der Amtshilfe zur Informationshilfe - Informationsaustausch und Datenschutzanforderungen in der öffentlichen Verwaltung, NJW, 1986, S

278 로의 개인정보 이전을 금지함으로써 개인정보보호 논의를 국제사회에서 중요한 문제로 부각시켰는바, 261) Article 의 경우 회원국은 개인 정보가 정확하도록 하고 필요하다면 최신의 것으로 유지되도록 하며, 해 당 정보가 수집되거나 처리되는 목적과 관련하여 부정확하거나 불완전한 경우 삭제되거나 정정되도록 하는 정당한 절차를 밟아야 한다(Member States shall provide that personal data must be accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that data which are inaccurate or incomplete, having regard to the purposes for which they were collected or for which they are further processed, are erased or rectified). 라고 규정하고 있다. 이 같은 국제적 기준의 규율태도는 현행법에서도 찾아볼 수 있는 바, 우선 공공기관의 개인정보보호에 관한 법률 은 제10조의2제1항에서 보 유기관의 장은 개인정보파일의 보유목적 달성 등 당해 개인정보파일의 보 유가 불필요하게 된 경우에는 당해 개인정보파일을 지체 없이 파기하여야 한다. 262) 다만, 다른 법률에 따라 보존하여야 하는 경우에는 그러하지 아 니하다. 라고 규정하여 법적 근거에 따라 보유기간이 조정되는 예외적인 때를 제외하고는 원칙적으로 개인정보를 취급하지 않고 파기하도록 규정 하고 있다. 다음으로 정보통신망 이용촉진 및 정보보호 등에 관한 법률 의 경우 이에 대하여 다음과 같이 규정하고 있다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제29조 (개인정보 261) 이 지침의 목적은 예컨대, 사업목적으로 다른 기업에 판매하는 것처럼 기업이 자신의 고객이 원하지 않는 방식으로 고객에 대한 정보를 사용하는 것을 금지하는 데 있으므로, 유럽에서 영 업하고 있는 모든 기업은 동등한 개인정보보호를 보장하지 못하는 타국으로의 개인정보 전송 을 금지하는 것이 핵심조항이다. 이는 1998년 1월에 채택된 Directive of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector와 함께 인터넷과 같은 정보통신망에서의 개인정보 보호문제를 규율한다; 이민영, 인터넷 개인정보보호에 관한 법제도 연구, 정책연구 00-10, 정보통신정책연구원, 2000, 55~57쪽. 262) 공공기관의 개인정보보호에 관한 법률 시행령 제12조의2 (개인정보파일의 파기방법 등) 1 보유기관의 장은 개인정보파일을 파기하려는 때에는 해당 개인정보의 재생이 불가능한 방법을 사용하여야 한다

279 의 파기) 정보통신서비스 제공자등은 다음 각 호의 어느 하나에 해당 하는 경우에는 해당 개인정보를 지체 없이 파기하여야 한다. 다만, 다 른 법률에 따라 개인정보를 보존하여야 하는 경우에는 그러하지 아니 하다. 1. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항 제2항에 따라 동의를 받은 개인정보의 수집 이용 목적이나 제22조제2항 각 호에서 정한 해당 목적을 달성한 경우 2. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항 제2항에 따라 동의를 받은 개인정보의 보유 및 이용 기간이 끝난 경우 3. 제22조제2항에 따라 이용자의 동의를 받지 아니하고 수집 이용한 경우에는 제27조의2제2항제3호에 따른 개인정보의 보유 및 이용 기간 이 끝난 경우 4. 사업을 폐업하는 경우 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제30조 (이용자의 권리 등) 3 정보통신서비스 제공자등은 이용자가 제1항에 따라 동의 를 철회하면 지체 없이 수집된 개인정보를 파기하는 등 필요한 조치를 하여야 한다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제76조 (과태료) 1 다음 각 호의 어느 하나에 해당하는 자에게는 3천만 원 이하의 과 태료를 부과한다. 4. 제29조 본문(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보를 파기하지 아니한 자 이와 같이 볼 때, 개인정보의 보존 보유는 원칙적으로 개인정보 취급목 적에 부합하는 일정 기간에 한정되어야 하고 목적을 달성하거나 보유 및 이용 기간이 끝난 경우 원칙적으로 해당 개인정보는 지체 없이 파기되어 야 한다. 그럼에도 불구하고 이용자의 적극적인 삭제의사가 관철되어야

280 하는 까닭은 이용자의 권리로서 개인정보의 흔적을 지우고 잊혀질 권리 를 실현하려는 의도와는 달리 수많은 웹사이트의 회원가입을 위해 개인정 보의 수집을 강요당하게 된 정보주체의 입장에서는 정보통신서비스 이용 관계의 만료를 인터넷상에서 동일하게 회원탈퇴 및 개인정보 파기확인 절 차로써 확정짓기란 쉽지만은 않은 일이기 때문이다. 무엇보다 이러한 개 인정보의 파기는 개인정보자기결정권에서 파생된 정보주체의 권리 관점에 서 논의되어야 할 사항이기에 결국 개인정보취급자의 권리와 상호 조화 및 합리적 균형을 이루어야 한다. 263) 최근 개인정보의 수집 처리가 일반화되고 있는 상황과 개인정보 자체가 유통의 대상으로 범주화되고 있는 상황에 맞게 새로이 개인정보에 관한 권리를 개념화하여야 한다는 논의가 제기되고 있다. 개인정보에 관한 정 보주체의 권리란 자신에 관한 정보를 관리 통제할 수 있는 권리를 말하 는바, 자기 정보에 대하여 정보주체 스스로가 보유하는 자율적 결정 권능 이 여기서 도출된다고 보고 이를 정보자기결정권( 情報自己決定權 ; Recht auf informationelle Selbstbestimmung)이라 부를 수 있다. 이는 일정한 범 위 내에서 자신에 관한 정보를 제공할 것인지 여부를 자유로이 결정할 권 한이 인간의 존중과 인격의 자유로운 전개에 해당하여 법적 보호를 필요 로 하는 것으로 파악하여 1983년 독일 연방헌법재판소의 인구조사판결 (BVerfGE 65, 1)에서 처음 인정된 개념으로, 자신에 대한 정보가 언제 어떻게 어느 범위까지 타인에게 전달 이용될 수 있는지를 자율적으로 결정할 수 있는 미국에서 논의되는 정보프라이버시(information privacy) 와 동일한 개념이라 볼 것이다. 다만 그 용어에 있어서는 학자에 따라 개 인정보통제권 개인정보자기결정권 자기정보통제권 자기정보관리통제권 등 다양한 표현을 사용하고 있으나, 그 내용은 크게 다르지 아니하다. 우리 헌법재판소의 결정에 따르면 개인정보자기결정권의 헌법상 근거는 개별 기본권 규정들뿐만 아니라 헌법상의 자유민주적 기본질서 및 각종 기본원리도 포함되는 것이며, 264) 이 헌법상 근거에 대한 설명은 그것이 263) 특히 위 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제30조제3항 참조

281 독자적인 기본권으로서 인정받기 위한 이념적 기초, 즉 그것이 열거되지 아니한 기본권의 하나라는 논거였다. 정리컨대, 독자적 기본권으로 헌법에 열거되지 아니한 기본권의 헌법상 근거를 찾는다는 것은, 이를 규정하고 있는 개별 기본권 조항을 찾는 것이 아니고 왜 그것이 헌법상 권리로 보 호되어야 하는지에 대한 헌법상 근거를 말하는 것이다. 개별 기본권 조항 이라고 해봐야 헌법 제10조제1문(모든 국민은 인간으로서의 존엄과 가치 를 가지며, 행복을 추구할 권리를 가진다.)나 제37조제1항(국민의 자유와 권리는 헌법에 열거되지 아니한 이유로 경시되지 아니한다.) 정도를 언급 하는 게 고작인데다, 그것으로 왜 개인정보자기결정권이 헌법상 권리여야 하는지를 설명할 수 없고, 단지 새로운 독자적 기본권이 있을 수 있다는 것만 설명해 줄 뿐이기 때문이다. 따라서 헌법재판소가 개인정보자기결정 권의 헌법상 근거로서 기본권 규정뿐만 아니라 헌법상 자유민주적 기본질 서나 국민주권주의, 민주주의원리 등 헌법상 기본원리에 관한 규정을 언 급한 것은 오히려 당연한 것이다. 여하튼 개인정보자기결정권은 소극적인 방어권으로서 권리뿐만 아니라 타인이 보유하고 있는 자신의 정보에 대하 여 열람 삭제 정정 및 차단을 할 수 있고 잘못된 정보로 야기된 결과의 제거를 요구할 수 있는 적극적인 권리로서의 참여권적 성질을 갖는다. 265) 이와 같이 볼 때 개인정보 흔적의 삭제에 관한 선택적 권리는 참여권 성질에서 자신의 정보에 대하여 열람 삭제 정정 및 차단을 할 수 있고 잘 못된 정보로 야기된 결과의 제거를 요구할 수 있는 적극적인 권리로서 개 인정보자기결정권에 포섭될 수 있는 파생적 권리로 이해할 수 있다. 환원 하자면, 정보주체가 고의나 중과실로 개인정보의 보유를 방치케 하고 업 무수행을 방해할 여지가 있는 자기 정보의 삭제를 요청한다면 개인정보취 급자의 일반적 권리와 충돌되는 만큼 적절한 조치가 필요하겠지만, 경과 실에 기인한 개인정보 보유상태의 유지는 철회권 행사와 유사하게 보편적 264) 헌법재판소 헌마 헌마190(병합) 결정, 판례집 17-1, 668, ; 헌법재판 소 헌마 (병합) 결정, 판례집 17-2, 81, ) 이에 관한 상세는 이상명, 개인정보자기결정권의 헌법적 근거에 관한 고찰, 공법연구 제36권 제3호, 한국공법학회, 2008, 225~248쪽 참조

282 으로 받아들여질 수 있는 부분이라 할 것이다. 따라서 개인정보취급자에 대한 적극적 파기의무와는 상대적으로 정보주체의 개인정보 삭제권을 인 정하는 것은 당연히 개인정보자기결정권의 보장 차원에서 가늠되어져야 할 사안이라 볼 것이다. 이러한 논의는 다음과 같이 현행법상 위치정보의 보호 및 이용 등에 관한 법률 관련법령에서도 확인할 수 있는 대목이다. 위치정보의 보호 및 이용 등에 관한 법률 제8조 (위치정보사업의 휴 지 폐지 등) 1 위치정보사업자가 사업의 전부 또는 일부를 휴지하고 자 하는 때에는 휴지기간을 정하여 방송통신위원회의 승인을 얻어 휴 지하고자 하는 날의 30일 전까지 이를 개인위치정보주체에게 통보하여 야 한다. 이 경우 휴지기간은 6월을 초과할 수 없으며, 휴지와 동시에 개인위치정보(사업의 일부를 휴지하는 경우에는 휴지하는 사업의 개인 위치정보에 한한다)를 파기하여야 한다. 2 위치정보사업자가 사업의 전부 또는 일부를 폐지하고자 하는 때에 는 방송통신위원회의 승인을 얻어 폐지하고자 하는 날의 30일 전까지 이를 개인위치정보주체에게 통보하고, 폐지와 동시에 개인위치정보 및 위치정보 수집사실 확인자료(사업의 일부를 폐지하는 경우에는 폐지하 는 사업의 개인위치정보 및 위치정보 수집사실 확인자료에 한한다)를 파기하여야 한다. 3 제1항 및 제2항의 규정에 의한 위치정보사업의 휴지 또는 폐지의 승인 및 개인위치정보 등의 파기 등에 관하여 필요한 사항은 대통령령 으로 정한다. 위치정보의 보호 및 이용 등에 관한 법률 제11조 (위치기반서비스사 업의 휴지 폐지 등) 1 위치기반서비스사업자가 사업의 전부 또는 일 부를 휴지하고자 하는 때에는 휴지기간을 정하여 휴지하고자 하는 날 의 30일 전까지 이를 개인위치정보주체에게 통보하고 방송통신위원회 에 신고하여야 한다. 이 경우 휴지기간은 6월을 초과할 수 없으며, 휴

283 지와 동시에 개인위치정보(사업의 일부를 휴지하는 경우에는 휴지하는 사업의 개인위치정보에 한한다)를 파기하여야 한다. 2 위치기반서비스사업자가 사업의 전부 또는 일부를 폐지하고자 하는 때에는 폐지하고자 하는 날의 30일 전까지 이를 개인위치정보주체에게 통보하고 방송통신위원회에 신고하여야 한다. 이 경우 폐지와 동시에 개인위치정보 및 위치정보 이용 제공사실 확인자료(사업의 일부를 폐 지하는 경우에는 폐지하는 사업의 개인위치정보 및 위치정보 이용 제 공사실 확인자료에 한한다)를 파기하여야 한다. 3 제1항 및 제2항의 규정에 의한 위치기반서비스사업의 휴지 또는 폐 지의 신고 및 개인위치정보 등의 파기 등에 관하여 필요한 사항은 대 통령령으로 정한다. 위치정보의 보호 및 이용 등에 관한 법률 제23조 (개인위치정보의 파기 등) 위치정보사업자등은 개인위치정보의 수집, 이용 또는 제공목 적을 달성한 때에는 제16조제2항의 규정에 의하여 기록 보존하여야 하 는 위치정보 수집 이용 제공사실 확인자료 외의 개인위치정보는 즉시 파기하여야 한다. 위치정보의 보호 및 이용 등에 관한 법률 제24조 (개인위치정보주체 의 권리 등) 4위치정보사업자등은 개인위치정보주체가 제1항의 규정 에 의하여 동의의 전부 또는 일부를 철회한 경우에는 지체없이 수집된 개인위치정보 및 위치정보 수집 이용 제공사실 확인자료(동의의 일부 를 철회하는 경우에는 철회하는 부분의 개인위치정보 및 위치정보 이 용 제공사실 확인자료에 한한다)를 파기하여야 한다. 위치정보의 보호 및 이용 등에 관한 법률 제41조 (벌칙) 다음 각 호 의 1에 해당하는 자는 1년 이하의 징역 또는 2천만원 이하의 벌금에 처한다

284 1. 제8조제1항 제2항, 제11조제1항 제2항, 제23조 또는 제24조제4항의 규정을 위반하여 개인위치정보를 파기하지 아니한 자 위치정보의 보호 및 이용 등에 관한 법률 시행령 제8조의2 (위치정 보사업의 휴지 폐지 시 개인위치정보 등의 파기) 법 제8조제1항 및 제 2항에 따라 개인위치정보 또는 위치정보 수집사실 확인자료를 파기하 는 때에는 해당 기록을 재생할 수 없는 기술적 방법을 사용하여 삭제 하거나 분쇄 소각하는 등의 조치를 하여야 한다. 위치정보의 보호 및 이용 등에 관한 법률 시행령 제12조(위치기반서 비스사업의 휴지 폐지의 신고) 2 법 제11조제1항 및 제2항에 따라 위 치기반서비스사업의 전부 또는 일부를 휴지하거나 폐지하려는 경우의 휴지 또는 폐지 사실의 통지 및 개인위치정보 등의 파기에 관하여는 제8조 및 제8조의2를 준용한다. 이 경우 "위치정보 수집사실 확인자료" 는 "위치정보 이용 제공사실 확인자료"로 본다. 위치정보의 보호 및 이용 등에 관한 법률 시행령 제20조 (위치정보 의 관리적 기술적 보호조치) 1 법 제16조제1항에 따른 관리적 조치에 는 다음 각 호의 내용이 포함되어야 한다. 1. 위치정보관리책임자의 지정 2. 위치정보의 수집 이용 제공 파기 등 각 단계별 접근 권한자 지정 및 권한의 제한 3. 위치정보 취급자의 의무와 책임을 규정한 취급 관리 절차 및 지침 마련 4. 위치정보 제공사실 등을 기록한 취급대장의 운영 관리 5. 위치정보 보호조치에 대한 정기적인 자체 감사의 실시 한편, 여기서 지체 없이 는 시간적 즉시성이 강하게 요구되지만 정당한

285 또는 합리적인 이유에 대한 지체는 허용된다고 해석하고 다만 사정이 허 락하는 한 가장 신속하게 하여야 한다는 것을 뜻하는 반면, 즉시 는 곧 바로 라는 의미로 시간적 즉시성이 보다 강한 것이라 할 수 있다. 대법원 은 '즉시 의 의미는 상당한 이유 없이 장시간 지체하지 않을 것을 의미 한다고 해석함이 상당하다. 라고 판시하고 있으나, 266) 개인정보에 관한 권 리침해의 위험성을 방지하기 위하여 곧바로 파기하는 것이 즉시 파기 라 면 지체 없이 파기 라 함은 상당한 이유로 즉시 행하지는 못하더라도 사 정이 허락하는 한 가장 신속히 개인정보의 파기를 이행하는 것을 뜻한다 고 보아야 할 것이다. 따라서 이 같은 근소한 해석차보다는 예외적으로 파기하지 않아도 되는 영역을 통해 현행 법체계에서의 개인정보 파기시점 의 현실화를 논의할 필요가 있다고 하겠다. 더욱이 지체 없이 혹은 즉시 파기 원칙에도 불구하고 개별법에 따른 예 외는 상존하는 실정이며, 이처럼 일관성 없는 보존연한은 오히려 개인정 보보호에 부정적 영향을 미친다고 할 수 있다. 그 예를 들어보면 다음과 같다. 건설폐기물의 재활용촉진에 관한 법률 제19조 3 환경부장관은 전산 정보가 입력된 날부터 3년간 전산정보를 보존하여야 한다. 농약관리법 제23조의2 1 제조업자 수입업자 판매업자는 독성이 높은 농약 등 대통령령으로 정하는 농약을 구매한 구매자의 이름 주소 품목 명 수량 등을 장부(전자화된 장부를 포함한다)에 기재하고 이를 3년간 보존하여야 한다. 신용정보의 이용 및 보호에 관한 법률 제20조 2 신용정보회사 등은 다음 각 호의 사항에 대한 기록을 3년간 보존하여야 한다. 1. 의뢰인의 주소와 성명 또는 정보제공 교환기관의 주소와 이름 2. 의뢰받은 업무 내용 및 의뢰받은 날짜 3. 의뢰받은 업무의 처리 내용 또는 제공한 신용정보의 내용과 제공한 266) 대법원 선고 2006다32132 판결

286 날짜 4. 그 밖에 대통령령으로 정하는 사항 폐기물의 국가간 이동 및 그 처리에 관한 법률 제11조의3 4 환경부 장관은 전자정보처리프로그램에 입력된 수입폐기물의 인계 인수에 관 한 내용을 3년간 보존하여야 한다. 국세기본법 제85조의3 2 제1항에 따른 장부 및 증거서류는 그 거래 사실이 속하는 과세기간에 대한 해당 국세의 법정신고기한이 지난 날 부터 5년간 보존하여야 한다. 특정 금융거래정보의 보고 및 이용 등에 관한 법률 제4조 4 금융기 관등은 제1항 또는 제2항의 규정에 의하여 보고를 한 때에는 대통령령 이 정하는 바에 따라 당해 보고와 관련된 다음 각호의 자료를 보고한 날부터 5년간 보존하여야 한다. 1. 금융거래 상대방의 실지명의를 확인할 수 있는 자료 2. 제1항 또는 제2항의 규정에 의한 보고대상이 된 금융거래 자료 3. 금융기관 등이 의심되는 합당한 근거를 기록한 자료 통신비밀보호법 제13조 7 전기통신사업자는 검사, 사법경찰관 또는 정보수사기관의 장에게 통신사실 확인자료를 제공한 때에는 자료제공 현황 등을 연 2회 방송통신위원회에 보고하고, 당해 통신사실 확인자료 제공사실등 필요한 사항을 기재한 대장과 통신사실 확인자료제공요청 서 등 관련자료를 통신사실확인자료를 제공한 날부터 7년간 비치하여 야 한다. 상법 제33조 1 상인은 10년간 상업장부와 영업에 관한 중요서류를 보존하여야 한다. 다만, 전표 또는 이와 유사한 서류는 5년간 이를 보 존하여야 한다. 상속세 및 증여세법 제51조 2 제1항에 따른 장부와 중요한 증명서 류는 해당 공익법인 등의 소득세 과세기간 또는 법인세 사업연도의 종 료일부터 10년간 보존하여야 한다. 성폭력범죄의 처벌 등에 관한 특례법 제35조 1 법무부장관은 등록

287 정보를 최초 등록일(등록대상자에게 통지한 등록일을 말한다)부터 10년 간 보존 관리하여야 한다. 아동 청소년의 성보호에 관한 법률 제36조 1 여성가족부장관은 등 록정보를 최초 등록일(등록대상자에게 통지한 등록일을 말한다)부터 20 년간 보존 관리하여야 한다. 전자상거래 등에서의 소비자보호에 관한 법률 시행령 제6조 1 법 제6조제3항의 규정에 의하여 사업자가 보존하여야 할 거래기록의 대상 범위 및 기간은 다음 각호와 같다. 다만, 통신판매중개자는 자신의 정 보처리시스템을 통하여 처리한 기록의 범위 내에서 다음 각호의 거래 기록을 보존하여야 한다. 1. 표시 광고에 관한 기록 : 6월 2. 계약 또는 청약철회 등에 관한 기록 : 5년 3. 대금결제 및 재화등의 공급에 관한 기록 : 5년 4. 소비자의 불만 또는 분쟁처리에 관한 기록 : 3년 판단컨대, 이렇게 일관성 없는 보존연한의 설정은 개별법의 정립에 있 어 민법 제162조 이하의 소멸시효가 20년, 10년, 3년, 1년 등으로 세분 화되어 있는 점을 차용하거나 민법 제246조제2항에 따라 선의 무과실의 점유로 인한 동산소유권 취득기간이 5년이라는 점을 원용하는 등 정보의 특성이나 가치와는 무관하게 오프라인 패러다임의 관점에서 이루어진 것 으로 여겨진다. 하지만 정보통신기술의 발달로 거래기간이 단축돼가고 국 제거래의 증대로 다른 나라 법률과의 형평성을 고려해야할 것이므로 조율 되어야할 소멸시효에 비추어 볼 때 보존연한은 조정되어야 할 것이며, 해 당 개인정보가 민감정보에 해당하지 않는다면 보존연한은 일원화하는 것 이 정보의 특성과 가치에 부합한다고 볼 수 있을 것이다. 이와 같은 맥락 에서 일원화된 보존연한은 개인정보 파기 예외로서 일반법에 명시됨이 바 람직하다고 본다. 다시 말하자면, 보존기간의 타당성 및 법률간 조화를 위하여 보존하는 자료의 중요성, 보존해야 하는 이유 등을 검토할 필요가 있으며, 개별법마

288 다 자료보관의 기간이나 기준이 상이한 부분에 대한 일관성 제고가 요청 된다고 할 것이다. 왜냐 하면, 현대 사회에서 사업자들은 저장해야 하는 문서나 기록이 점차 증가함에 따라 사업자의 비용이 증가하게 되고 보존 의무기간 이후의 보존 여부에 대한 불명확성으로 인한 장기보존에 따른 손실이 발생하므로 정보보존의무에 따른 사업자의 부담이 가중된다는 점 이 작용하기 때문이다. 이에 따라 보존 대상이 동일한 경우 적용되는 법 률을 비교하여 합리적인 수준으로 일원화하고 보존기간에 대한 법률 사이 의 균형성을 제고할 필요성이 제기되는 것이다. 아울러 저렴한 비용으로 전자문서를 보관할 수 있도록 제도를 정비하고, 오프라인에서 생성된 문 서나 기록은 전자화하여 보관할 수 있도록 명확화하며, 자료보존기간 경 과 후 조치에 대하여 명확히 규정함으로써 보관기간 경과 후의 조치를 명 확하게 할 뿐만 아니라, 장기 보존의 필요성이 없는 경우에 자동적으로 자료를 폐기하도록 규정하여 전자문서보관제도의 개편방안을 포함하는 사 업자의 부담경감을 위한 법제도적 대응의 모색에 경주해야 할 것으로 본 다. 나. 정보보존(data retention) 준수 원래 정보보존(data retention)이라 함은 법제도적인 자료기록보관 요구 를 충족하기 위한 지속적인 정보관리정책을 가리킨다. 267) 그렇기에 정보 보존정책은 보존기간과 기록원칙 및 자료서식을 허용되는 저장 접근 및 암호화에 부합하도록 어떻게 결정할 것인지 여부에 관한 수요와 경제적 효율성에 비추어 법적 그리고 개인정보보호 측면에서의 쟁점을 따져 본 267) 정보보존이란 원래 심각한 범죄나 테러에 대응하기 위한 방편으로 트래픽 데이터, 즉 정보보존량의 일정한 기간을 정보통신서비스제공자에게 저장하도록 요구하는 것을 말한다; Ronald Leenes, Bert-Jaap Koops, and Paul De Hert, Constitutional Rights and New Technologies: A Comparative Study, Hague: T M C Asser Press, 2008, p.278; See generally European Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC available at < lex.europa.eu/lexuriserv/lexuriserv.do?uri=oj:l:2006:105:0054:0063:en:pdf>

289 다. 268) 여기서 논의하려는 저장정보의 보존은 클라우드 서비스 운영자가 파산이나 폐업 등으로 해당 클라우드컴퓨팅 서비스를 중단하게 되는 경우 클라우드 서비스 이용자의 요청에 따라 저장정보를 이전 폐기할 수 있는 방안을 역으로 개념화하여 원칙적으로 해당 정보를 보호하는 구조를 가리 킨다. 그런데 해당 정보가 개인정보에 해당하지 않을 경우 저장정보에 대한 권리가 개인정보에 대한 정보주체의 관계와는 달리 이용자만의 것으로 귀 속된다고 할 수 없는 형국이 된다. 가령 특허출원에 관한 기술정보에의 권리나 표현에 있어서 창작에 관한 저작인격권의 예와 같이 클라우드 서 비스 이용자의 관여가 있는 것뿐만 아니라 클라우드 서비스 운영자의 개 발에 의한 것도 개별적으로 포섭될 수 있는 저장정보에 있어서 권리의무 관계를 위시한 법률관계의 획정을 위한 조치가 요구되는 한편 일정한 요 건에 부합하는 경우 이를 이전하거나 폐기하는 것이 실질적으로 미연에 분쟁을 방지하면서 분쟁해결에 실익을 준다는 점에서 중요하다는 점에서, 개인정보자기결정권과 같은 개인정보에 대한 정보주체의 권리 역시 정보 가 지니는 속성으로 말미암아 물권변동의 법리를 그대로 투영하지 못하는 법현실에서 저장정보에 대한 보존을 법리적인 방편으로 도출할 수 있을지 에 관한 실증적 모색이 요구된다. 주지하는 바와 같이, 우리 민법 은 제98조에서 물건을 유체물 및 전기 기타 관리할 수 있는 자연력 으로 규정하고 있다. 여기서 유체물( 有體物 ) 이란 공간의 일부를 차지하고 사람의 오감에 의하여 지각할 수 있는 형 태를 가진 물질 을 뜻하며, 관리할 수 있는 자연력이라 함은 전기나 그밖 에 기타 열, 가스, 냉기, 에너지 등의 관리 가능한 자연 을 말한다. 그러나 이와 같은 민법상의 물건개념이 초기부터 이와 같은 형태로 확정된 것은 아니며, 당초에는 물건=유체물 이라는 인식 아래 원칙적으로 물건의 개념 을 유체물에 한정하고 있었다. 이처럼 물건을 유체물로만 한정지은 것은 물건의 효력범위와 관련이 깊은데, 즉 물건의 공간적 지배가 가능한 것으 268)

290 로 한정하기 위해서는 유형을 확인할 수 있는 있어야 하며 그렇게 해야 물권의 효력이 미치는 범위를 객관적으로 한정지어 가치파악을 보다 확실 히 할 수 있다는 사고가 지배하였기 때문이다. 하지만 오늘날 과학의 발 전에 따라 배타적 지배는 이제 더 이상 단순 유형물만이 아니라 무형물도 가능하게 되었고 더구나 자연력인 에너지의 배타적 지배의 필요성이 생기 게 되었다. 이에 따라 인력으로 관리할 수 있는 자연력도 거래의 대상이 되었으며, 이러한 현실에 입각하여 민법 에서 기존 유체물 에 한정했던 소유권의 보호대상인 물건의 범위가 유체물 및 전기 기타 관리할 수 있 는 자연력 에까지 확장되어 무형물까지 포함되기에 이르렀다. 이는 곧 오 늘날 재산거래의 현실적 필요에 따른 요청으로서 긍정적으로 평가받고 있 는 부분인바, 나아가 이제는 자연력만이 아닌 정보도 또한 정보력으로 불 릴 만큼 경쟁력의 요소로 부각되고 있다. 위와 같이 정보의 개념을 규범적 특성에 부합하도록 의미를 부여하고 범위를 설정하는 데 있어서는 그것이 유형적인 물체도 아니지만 에너지와 같은 것으로 파악되지도 않으므로 이제까지의 기본단위와는 다른 성격의 고유성을 지닌다는 점을 인식하여야 한다. 그리고 정보의 고유성에 주목 하는 오늘날 지배적 견해는 정보를 물질이나 에너지와는 구별되어 일종의 조직(Organisation)이나 질서체계(Ordnung) 등으로 표현될 수 있는 제3의 기본단위(Grundgröße)로 이해하기 때문에, 이와 같은 정보의 고유성을 법 적으로 제대로 파악하기 위해서는 기존 법체계에 머물지 않고 새로운 법 개념과 법원리를 개발할 수밖에 없다. 269) 여하튼 이와 같은 관점에서는 정보에 대한 물건 또는 재물적 특성을 사안별로 적용할 수 있을 것이고 그 판단기준은 당해 정보의 가치로 새겨질 것이다. 269) 이것이 바로 고유한 정보 개념에 따라 형성되는 독자적 정보법이라 할 것이다. 이러한 정보 개 념은 문화기술적 도구로서 정보기술의 발전에 따라 경제적 가치를 보유한 산업적 요소로 그 중요성을 갖추기 때문에, 경제적 가치에 유념하여 법적 판단이 이루어져야 함은 자명한 논리귀 결이라 하겠다. 다만 실제로 과학기술의 발달로 인하여 무체물에 대하여도 금전거래가 이뤄지 고 있으며, 경제적 가치 개념이 상대성을 지니므로 그 주관적 가치 범위까지 포섭하는 것으로 이해함으로써 그 재물성에 대한 새로운 해석이 요청되고 있는 상황임은 주의를 요한다 할 것 이다

291 한편, 일반적으로 재산권은 재산을 소유자가 원하는 방식으로 이용하거 나 처분할 수 있는 권리, 재산권의 전부 또는 일부를 타인에게 교환을 통 해 양도하거나 증여할 수 있는 권리, 재산을 이용해 소득을 전유할 수 있 는 권리 등으로 구성된다. 개인정보에 재산권을 부여하게 되면 개인정보 를 본인의 명시적 혹은 묵시적 동의 없이 제3자에게 판매하는 것은 불법 적인 것이 되며, 승낙이 이루어진 경우에도 판매대금의 지분에 해당하는 권리는 개인에게 귀속될 것이다. 재산권 부여방식은 프라이버시 침해에 대한 적절한 보상청구권을 보장해주며, 적정 수준의 개인정보 유통을 유 지시켜 줄 것이다. 270) 일신존속권적 성격의 인격권으로서의 프라이버시가 아니라, 계약자유의 원칙에 따른 거래의 대상으로 보면서도 그 활용이 갖 는 경제적 효용을 고려하면서 합리적 개인정보 유통의 최저기준으로서 권 리의 객체를 보호하려는 재산권적 접근은 정책논리의 내재적 결함에도 불 구하고 정보환경에 대한 균형감각을 지닌 시야를 가져다주는 계기를 마련 했다고 평가할 수 있다. 이는 정보 자체가 재산적 가치가 있거나 또는 정보의 이용을 통하여 재 산적 가치를 획득할 수 있다는 것을 전제로 하여 정보의 귀속관계를 살펴 보아 개인정보 관련 권리침해의 경우 사법상 구제수단을 확보할 것을 예 정한 법률관계를 물권법적 측면에서 접근하여 기존의 지적재산권과 같은 배타적인 권리를 인정하여야 한다는 전제에서 출발한 것이다. 하지만 개 인정보보호를 위해 특별법적 보호방안을 마련하여 배타적인 권리로 승격 할 만한 특성을 지니고 있지 아니하다. 왜냐하면 동산소유자는 자신의 물 건을 자유롭게 처분할 수 있는 권능을 가지고 처분할 때 물건을 인도하여 점유를 잃게 되지만, 정보주체는 개인정보를 처분할 수 없을 뿐만 아니라 일응 처분과 같은 법적 효과를 가져오는 법률관계를 맺는 것으로 볼 수도 없기 때문이다. 271) 결국 정보주체는 자신의 개인정보를 타인에게 이용케 270) 조연상 김기영 박종찬, 기업 경영자원으로서의 개인정보 이용 및 보호방안 연구, 개인정보연구 00-03, 한국정보보호센터, 2000, 66~68쪽. 271) Richard S. Murphy, Property Rights in Personal Information: An Economic Defense of Privacy, 84 Geo. L. J. 2381, 2383 (1996); Lawrence Lessig, The Architecture of Privacy, 1 Vand. J. Ent. L. & Prac. 56, (1999)

292 하는 것과 함께 계속적으로 이용할 수 있으므로 타인의 이용에 따른 일정 한 제한을 받지 않으며, 이 점에서 개인정보는 물권법상 동산의 물권변동 에 관한 법리로써 규율될 수 없는 대상이라 하겠다. 이와 같이 물권변동의 법리 적용이 곤란한 한계성을 극복하여 개인정보 에 관한 거래실제를 반영하여 고찰하는 것이 요구되는바, 이것이 바로 계 약법적 접근이라 할 것이다. 온라인상 영업주체가 타인의 개인정보를 정 보주체로부터 직접 수집하는 경우를 예로 들자면, 영업주체가 정보주체로 부터 개인정보에 대한 물권을 취득하지 못하므로 현실적으로 개인정보를 활용하는 이른바 이용계약(license)을 체결하여 정보주체로부터 얻어진 개 인정보를 취급한다. 영업주체는 정보주체의 개인정보를 직접적으로 지배 하는 법적 지위를 가지지 못하므로 정보제공자와의 계약내용에 따라 일정 한 범위에 한정하여 이용권을 행사할 수 있을 뿐이다. 이 때 수집된 정보 는 민법상의 물건과 구별되며, 여기서의 이용권은 물건에 대해 논의되는 소유권과 유사한 속성을 가지고 있지도 않다. 그리고 정보통신서비스 이 용계약의 체결에 있어서 정보주체의 동의는 이용계약체결에 관한 정보통 신서비스제공자의 청약( 請約 )에 대한 승낙( 承諾 )의 의사표시( 意思表示 )라 할 것이며, 개인정보의 수집 이용에 관한 동의의 철회는 정보주체의 일 방적인 의사표시로 인한 계약해지로 판단할 수 있는 것이다. 272) 이렇게 개인정보에 관한 계약법적 논리구성은 정보주체가 개인정보에 관한 자기 결정 혹은 자기통제를 통하여 스스로 정보제공 여부를 선택할 수 있도록 한다는 점에서 매우 중요한 논의가치를 가진다. 273) 결국 거래법적 관점에 서 개인정보에 접근하게 되면 그것이 개인을 식별하는 신원사항일 뿐만 아니라 재산상태와 인격적인 가치도 함께 가지고 있는 것으로 파악하게 되므로 경제적 가치만을 중시하는 종래 지적재산권의 일반적 성질과 구별 되지만, 인간의 신체 자유 명예 초상 정조 등과는 구별되는 것으로 272) 배대헌, 정보의 귀속 유통에 관한 민사법적 접근 On-Line상 개인정보의 보호를 중심으로, 비 교사법 통권 제15호, 한국비교사법학회, 2001, 274~276쪽. 273) Steven A. Bibas, A Contractual Approach to Data Privacy, 17 Harv. J. L. & Pub. Pol'y 591, 609 (1994)

293 그 보호대상이 순수하게 인격적인 이익만은 아니라는 것을 알 수 있다. 그리고 이러한 개인정보의 법적 성질은 실제로 개인정보가 이용되는 거래 계의 현실을 돌아 볼 때, 개인정보 활용으로 빚어지는 문제가 재산적 불 이익과 매우 밀접히 연관되어 있음에서도 읽을 수 있는 것이다. 이와 같이 본다면, 클라우드 서비스 운영자와 이용자가 저장정보에 관 한 이용계약을 체결하여 종국적으로 클라우드 서비스 운영자가 이를 취급 하는 구조 아래서 법률상 클라우드 서비스 이용자의 권리를 명시하고 이 로써 저장정보의 보존원칙에 따른 클라우드 서비스 운영자의 의무가 지정 되는 한도 내에서 예외적으로 클라우드 서비스 운영자인 기업이 폐업 또 는 파산하는 경우에 최종 일반이용자(end user)가 클라우드 서비스 운영 자의 이용권을 대위하여 해당 정보의 열람 이전 제공 및 삭제 등을 청 구할 수 있는 권한을 부여하는 방안을 고려할 수 있을 것으로 본다. 4. 물리적 관리적 기술적 보안 가. 클라우드컴퓨팅 보안 이슈 클라우드컴퓨팅은 IT 자원을 소유하지 않고 일부 또는 모두를 아웃소싱 하는 형태이다. 이런 경우는 필연적으로 보안문제가 제기될 수밖에 없는 데, 다음은 이를 잘 대변해 준다

294 자료 : IDC Enterprise Panel, August 2008, n=244 [그림7-1] IT Cloud 서비스의 해결 과제 이는 시장 조사기관인 IDC에서 244명의 IT 관련 임원들에게 IT cloud 서비스에 관하여 그들의 견해와 활용에 대하여 조사한 것 중의 하나로, 보안을 해결해야 할 첫 번째 과제로 꼽고 있다. 클라우드컴퓨팅의 보안 이슈는 두 가지 소비자 영역으로 나누어서 생각 해 볼 수 있다. 첫 번째는 개인 사용자 관점의 보안이다. 개인 사용자는 이메일, 블로그, 동호회, 사진 및 파일 저장과 공유 서비스를 주로 이용하 며, 무료로 제공하는 서비스를 선호하는 특성을 갖는다. 다음 <표7-3>에 서의 웹 기반 서비스들이 주로 이들을 위한 것이다

295 <표7-3> 시장별 서비스 유형과 주요 사업자 자료 : 정제호, 클라우드 컴퓨팅의 현재와 미래 그리고 시장 전략, SW insight 정책리포트 제37호, 한국소프트웨어진흥원, 2008, 66쪽. 개인 사용자 관점에서 우려하는 보안 문제를 열거하면 다음과 같다. 개인정보 노출 개인에 대한 감시 개인 데이터에 대한 상업적 목적의 가공 두 번째는 기업 사용자 관점을 들 수 있다. 기업 사용자는 자신이 소유 하던 IT 자산을 클라우드 형태로 제공받기를 원하지만, 자신의 데이터가 타인과 공유되기를 원하지 않는다. 위 <표7-3>에서 웹 기반 서비스를 제 외한 다른 서비스들이 기업 사용자를 위한 것이다. 기업 사용자는 안정성 과 안전성을 제공하면 비용을 지불할 의사가 있으며, 때에 따라서는 local cloud와 같이 자신이 직접 운영하기도 한다. 기업 사용자 입장에서 우려 하는 보안 문제를 열거하면 다음과 같다

296 서비스 중단 기업 정보 훼손 기업 정보 유출 고객 정보 유출 법/규제 준수 e-discovery 대응 이와 같이 개인 사용자와 기업 사용자는 클라우드컴퓨팅에 대한 보안 요구사항이 다르다. 개인 사용자는 익명성 보장에 중점을 두는 반면, 기업 사용자는 컴플라이언스에 중점을 두는 경향이 있다. 기업 사용자의 보안 고려사항은 Cloud Security Alliance에서 가이드로 제시한 것을 참고해 볼 수 있다. Cloud Security Alliance는 클라우드컴퓨 팅의 안전성 증진과 사용자 교육을 목적으로 만든 비영리 기관으로, 다음 과 같은 보안 고려사항을 제시하고 있다. 274) 1 Governance and Enterprise Risk Management 2 Legal Discovery 3 Electronic Discovery 4 Compliance and Auit 5 Information Lifecycle Management 6 Portability and Interoperability 7 Traditional Security, Business Continuity, & Disaster Recovery 나. 클라우드컴퓨팅 보안 기술 클라우드컴퓨팅에서 보안 기술은 아직 확립된 것이 없다. 그러나 클라 우드컴퓨팅이 완전히 새로운 기술이 아니고 기존 IT 기술의 연장선상에 있는 것이므로 보안 역시 이와 같은 맥락에서 기존 보안기술들 중 클라우 드컴퓨팅 구성 요소별로 구분하여 적용할 수 있다. 275) 274) CSA, Security Guidance for Critical Areas of Focus in Cloud Computing, Cloud Security Alliance, 2009, pp.30~51. < 275) 이하 은성경 조남수 김영호 최대선, 클라우드 컴퓨팅 보안 기술, 전자통신동향분석 제24권 제4 호, 한국전자통신연구원, 2009, 82~87쪽

297 (1) 플랫폼 플랫폼에 사용되는 보안기술로는 접근제어와 사용자 인증 기술이 가장 대표적이다. 접근제어는 운영체제상의 한 프로세스가 다른 프로세스의 영 역(파일 혹은 메모리)에 접근하는 것을 통제하는 기술로 DAC, MAC, RBAC 등이 대표적이다. DAC는 사용자가 자신이 소유한 자원에 대한 접근 권한을 임의로 설정 하는 것을 말하며, 대표적인 것으로 UNIX의 파일 permission을 들 수가 있다. MAC는 자원에 대한 보안 등급과 영역을 기준으로 수직과 수평적 접근규칙을 시스템 차원에서 설정하여 사용하는 것을 말하는바, 주로 군 이나 정부기관 등 보안 정보를 다루는 기관에서 사용한다. RBAC은 사용 자의 조직상에서의 역할을 기반으로 접근권한을 특정사용자가 아닌 해당 역할을 가진 사용자 그룹에게 부여하는 방식이며, 상업적인 조직에 잘 맞 아 널리 사용되고 있다. 한편, 사용자 인증을 위해 사용되는 기술로 대표적인 것들은 아래와 같 다. Id, password: 대표적 인증수단으로 암기만으로 사용할 수 있지만, 일정 수 준 이상의 복잡성과 주기적 갱신만이 보안성을 담보할 수 있다. PKI: 공개키 암호기법을 이용한 인증 수단으로 사전에 공유된 비밀 정보가 없이도 인증서에 기반을 두어 상대방을 인증할 수 있다. Multi-factor 인증: 보안강도를 높이기 위해 몇 가지 인증 수단을 조합해서 사용하는 기법이다. Id, password 이외에 지문, 홍채 등과 같은 생체인식, 인증서, OTP 등이 사용된다. SSO: 한 곳에서 인증 후 인증확인 정보의 전달을 통해 다른 곳은 인증 절 차 없이 통과하는 것으로 인증확인정보(assertion)의 대표적 표준은 SAML 이 있다. i-pin: 현재 한국에서 인터넷 이용 시 본인확인을 위해 사용되는 기술로, 직접 본인확인을 수행한 기관에서 확인정보를 발급해주는 방식으로 동작한 다. 네트워크상에서의 사용자 인증은 다음의 4가지 형태로 발전되어 왔다

298 통합 인증서버: Microsoft.Net Passport(LiveID) 서비스가 대표적으로, 전 세계에 하나의 인증서버를 두고 여기에 등록해서 id를 만든 뒤 그 id를 이용 해서 passport 서비스에 가맹한 사이트를 모두 이용하는 방식이다. ID 연계 기반: ETRI의 EIDMS가 대표적으로, 인증대행 및 사용자 정보를 제공하는 IDP가 있고, IDP와 ID 연계를 통해 인터넷 ID 서비스를 이용하는 가맹 웹사이트인 SP에 SSO를 이용할 수도 있고, IDP나 타 SP에 저장된 사 용자 정보를 서로 교환하는 방식이다. url 기반: OpenID가 대표적으로 누구나 인증서비스 제공자가 될 수 있고 인증서비스제공자를 찾기 위해 id에 url을 붙여서 id를 만든다. 웹사이트에 방문해서 url이 포함된 id를 입력하면, 웹사이트는 url을 이용, 해당 인증서 비스 제공자를 찾아가서 인증확인을 요청한다. User-centric: Microsoft Cardspace Client 기반 솔루션은 웹사이트에 등 록된 id와 password를 클라이언트마다 저장해 두고 로그인시 자동 입력해주 는 방식으로 로그인 및 패스워드 관리문제를 해결하고, 개인정보도 저장해 두었다가 자동 입력한다. [그림7-2] Enterprise IAM 구조 자료 : Mike Neuenschwander, Enterprise Identity Management, Burton Group, 기업 환경의 사용자 인증 및 접근제어는 Enterprise IAM(Identity and Access Management) 기술로 패키지화되어 있다. 위 [그림7-2]는 IAM의 구조를 보여준다

299 (2) 스토리지 스토리지에 대한 대표적인 보안 기술로 검색 가능 암호시스템 과 PPDM 기술을 들 수 있다. 검색 가능 암호 시스템은 기존의 암호 기술 과 같이 암호화된 정보에 대한 기밀성을 보장하면서 동시에 특정 키워드 를 포함하는 정보를 검색할 수 있도록 고안된 암호 기술이다. 이를 위해 서 [그림7-3]에서처럼, 검색 가능 암호 시스템에서는 암호화된 데이터 외 에 검색에 사용할 인덱스(index)를 추가로 생성하여 저장한다. 사용자가 특정 키워드를 포함하는 자료를 검색하고자 할 때는, 키워드와 비밀키를 사용하여 키워드의 정보를 포함한 트랩도어(trapdoor)를 생성한다. 서버는 사용자가 전해준 트랩도어와 저장된 인덱스를 이용하여 검색을 수행하여 검색의 결과를 사용자에 전달한다. 이 과정에서 인덱스와 트랩도어로부터 저장된 자료 또는 사용자가 검색한 키워드에 대한 정보의 유출을 최소화 하는 것이 검색 가능 암호 시스템의 기본 요구조건으로 볼 수 있다. 기본 적인 검색 이외에도 범위 검색, 결합 키워드 검색 등의 다양한 검색 기능 을 제공하는 검색 가능 암호 시스템도 존재한다. [그림7-3] 검색 가능 암호시스템 암호화 단계에서 키를 생성한 사용자만 자료를 암호화할 수 있는 시스 템을 대칭키 기반 검색 가능 암호 시스템이라 부르고 공개키 방식의 암호

300 시스템을 이용하여 사용자 이외의 다른 제공자가 암호문 및 인덱스를 생 성할 수 있는 시스템을 공개키 기반 검색 가능 암호 시스템이라 부른다. 공개키 기반 검색 가능 암호 시스템은 공개키 암호 시스템을 바탕으로 설 계된 검색 가능 암호 시스템으로 높은 안전성, 특히 증명 가능한 안전성 을 제공하며, 공개키 암호 시스템의 특성을 활용하여 다양한 검색 기능을 제공할 수 있다. 하지만, 많은 공개키 기반 연산을 사용하여 효율적이지 못하다. 반면, 대칭키 기반 검색 가능 암호 시스템은 높은 효율성을 지니 고 있어 대용량의 자료에 적용하기 용이하다. 이외에도, 암호학에 기반하 지 않은 방법을 사용하여 더 낮은 안전성을 제공하는 대신 효율성을 극대 화 하고 기존 데이터베이스와의 연계성을 높인 검색 가능 암호 시스템도 제안되고 있다. 데이터 마이닝(data mining)은 많은 양의 데이터에 함축적으로 들어 있 는 지식이나 패턴을 찾아내는 기술이다. 데이터 마이닝은 1983년 IBM Almaden 연구소를 중심으로 Quest 데이터 마이닝 프로젝트가 시작된 이 후로 활발하게 연구가 진행되고 있다. 데이터를 모으고 이를 여러 가지 방법으로 분석하는 과정에서 프라이버시와 관련된 문제는 자연스럽게 대 두된다. 특히, 데이터 마이닝이 전자상거래나 마케팅과 같은 분야에 주로 활용되면서, 개인프라이버시 침해 이외에도 경쟁 회사들 사이에 이윤추구 를 위해 협력하는 경우 개별 회사가 수집한 정보의 노출이 문제시 되었 다. 데이터 소유자의 프라이버시를 침해하지 않으면서 유용한 정보를 추 출해내는 것은 정보를 공유하는 것과 프라이버시를 유지하고자 하는 것의 취사선택(trade-off)에 대한 문제로 볼 수 있으며, 이를 해결하고자 프라이 버시 보존형 데이터 마이닝(PPDM)에 대한 연구가 시작되었다고 한다. [그림7-4]는 PPDM 시스템의 구조를 보여준다

301 [그림7-4] PPDM 시스템 구조 PPDM 관련 연구는 크게 두 가지로 대별된다. 먼저 우리가 일반적으로 실용적인 프라이버시 보존형 데이터 마이닝이라 일컫는 방법으로, 원래의 데이터에 노이즈를 더해주거나 다른 종류의 랜덤화를 적용시키는 것이다. 이 방법은 실용적으로 다양한 통계적 데이터를 위해서 널리 사용되었으 나, 높은 안전성을 요하는 응용에는 적절하지 못하다. 두 번째 방법은 데 이터 마이닝에 SMC 기술이 적용된 것으로, 이 경우의 모든 개체는 자신 의 입력과 계산 결과 이외에는 어떠한 정보도 얻을 수 없다. SMC를 사용 한 PPDM은 데이터 변형이 전혀 없는 것으로 가정되기 때문에 데이터 송 신 전 단계에서 데이터를 변형시키는 첫 번째 방법에서 발생할 수 있는 정확성 문제는 발생하지 않는다. 그러나 SMC 기반 PPDM 기술은 계산 효율성이 매우 낮기 때문에 아직까지 실용적이지 못하다는 한계를 지닌 다. 현재 상용 데이터 마이닝 소프트웨어에서 제공되는 알고리즘 중에서 최근 개발된 중요한 기술로는 연관 규칙(association rules), 분류(classification), 순 차 패턴(sequential patterns), 군집화(clustering) 등이 있다. 각각에 대해 간략 히 살펴보면 다음과 같다. 연관 규칙은 데이터 마이닝을 소개할 때 대표적으로 언급되는 기술로서 여러 데이터 사이의 연관성을 찾아내는 것이다. 일례로 미국의 대형 편의 점에 연관 규칙 기술을 적용한 결과 일회용 기저귀를 사는 사람은 맥주도

302 같이 산다는 연관 규칙을 발견한 것을 들 수 있다. 분류는 주어진 데이터와 각각의 데이터에 대한 클래스가 주어진 경우, 그것을 이용하여 각각의 클래스를 갖는 데이터들은 어떤 특징이 있는지 분류 모델을 만들고, 새로운 데이터가 있을 때, 그 데이터가 어느 클래스 에 속하는지를 예측하는 것을 의미한다. 연관 규칙은 물건을 한 번에 살 때 같이 구매한 것들을 이용해 규칙을 찾는 것인 반면, 순차 패턴 발견은 순서대로 일어난 데이터를 분석해 빈 도수가 높은 순차 패턴을 찾아내는 기술을 말한다. 군집화 기술은 주어진 데이터를 몇몇 그룹으로 나누는 것을 말한다. 분 류와 다른 점은 각 클래스에 해당되는 정보가 제공되지 않고 단지 데이터 들 사이의 유사성만을 바탕으로 여러 그룹으로 나눈다는 점이다. (3) 네트워크 네트워크 보안 기술은 인터넷의 발전과 함께 해왔다. 대표적인 기술로 통신상의 기밀성을 보장하는 SSL과 IPsec 기술, 그리고 네트워크를 통한 공격을 차단하는 application firewall과 DDoS 방지 기술을 들 수 있다. SSL 네트워크 계층에서 보안성을 제공해 주는 IPsec이 만들어지기 전에 사용하 던 것으로, Internet Protocol 위에서 인증서에 의한 상대방 인증, 기밀성과 무결성을 제공한다. SSL은 표준화되기 이전의 이름으로, 표준화된 명칭은 TLS이다. 276) 오랫동안 사용된 관계로 인터넷 브라우저 등을 비롯하여 널리 채용되고 있다. 웹에 기반을 둔 작업이 많아지면서 전용 하드웨어 가속 장비 도 개발되어 사용되고 있다. IPsec 네트워크 계층인 Internet Protocol에서 보안성을 제공해 주는 표준화된 기 술이다. 277) 상대방 인증, 기밀성, 무결성 등을 제공한다. IPv4에서는 옵션으 로, IPv6에서는 필수로 제공하도록 되어 있다. Application Firewall 276) T. Dierks, RFC5246 Transport Layer Security(TLS) Protocol Version 1.2, IETF, ) S. Kent et al., RFC4301 Security Architecture for the Internet Protocol, IETF, Dec

303 기존 firewall이 IP 주소와 port 번호를 기반으로 통신의 허용과 금지를 설 정했으나, 허용된 주소와 port 번호를 통한 공격에는 효과적이지 않아 응용 계층의 메시지까지 분석하여 공격을 차단하는 것을 application firewall이라 한다. 웹 서버 보호를 위한 web firewall과 DBMS 보호를 위한 DB firewall 이 많이 사용된다. DDoS 방지 프로토콜 상의 약점이나 구현상의 허점을 이용하여 서버를 서비스 불능상태 로 만드는 서비스거부 공격(DDoS)에 대한 방어기술이다. Scanning 방지, 흔 하지 않은 option 사용, 정상범위를 벗어난 폭주 패킷의 차단 기술이 사용된 다. 고속 처리가 필요하여 전용장비로 개발되어 사용되고 있다. (4) 단말 단말 보안 기술들은 대부분 암호학적 이론에 근거한 알고리즘 및 프로 토콜 기반으로 동작되기 때문에 단말 인식 및 인증 기법, 암호학적 프리 미티브에 대한 안전성 보장 기법 등에 관한 연구방향으로 꾸준히 진행되 고 있다. 이중에서 하드웨어를 이용하여 암호학적 프리미티브를 물리적으 로 보호하는 기술들은 현재까지 가장 안전한 기술로 여겨지고 있다. 여기 에 해당되는 대표적인 상용 기술로는 TCG의 TPM, 278) Discretix의 CryptoCell, 279) SafeNet의 SafeXcel IP-Trusted Module 280) 기술 등이 있다. TPM은 TCG의 신뢰 플랫폼(trusted platform)을 구현하기 위한 핵심 기 술로서 디바이스에 대한 식별 및 신용 정보를 별도의 하드웨어 모듈로 관 리한다. TPM 내부에는 키 생성, 암호 엔진, 해시 함수, 난수 생성기 등을 포함하고 있으며 물리적인 보호장치를 통해 외부로부터의 조작을 방지한 다. 특히 TPM에 저장된 키는 외부로 노출되지 않기 때문에 디바이스 인 증 및 디스크 암호화 등의 응용 분야에 사용되고 있다. [그림7-5]은 TPM 의 구조를 보여준다. 278) 279) 280)

304 [그림7-5] TPM Component 구조 자료 : TCG Specification Architecture Overview Revision 1.2 CryptoCell은 Discretix사의 모바일 단말 보안용 칩셋 기술로서 TCG의 TPM과 유사한 형태의 기능을 제공한다. 특히 CryptoCell은 모바일 단말 환경을 고려해서 성능, 전력 소비, 칩 공간 등의 민감한 조건들을 개선시 켰으며 부채널 공격을 방지하기 위한 Attack-Resistant Cryptographic Core 기술도 탑재하고 있다. 대표적인 응용 분야는 Mobile TV, FOTA, VPN 등이 있다. [그림7-6]은 Crypto-Cell의 구조를 보여준다. SafeXcel IP-Trusted Module은 단말의 안전한 실행 환경(trusted execution environment)을 위 한 SafeNet사의 Silicon IP 솔루션으로서 신뢰 모듈(trusted module) 내부 에 하드웨어 가속기와 로컬 메모리를 탑재하여 보안 기능 추가로 제기되 던 성능상의 문제점을 극복하고 있다. 이 기술은 라이선스를 통해 TI AMD 및 ARM 등의 다양한 벤더에서 출시되는 칩에 적용되고 있다. [그림7-6] CryptoCell의 구조 자료 : 최근 단말 보안에서는 외부로부터의 공격을 원천적으로 막기 위한 방어

305 기술뿐만 아니라, 사후 관리(risk management) 차원에서의 단말 보안 기 술이 활발히 진행되고 있다. 이중에서 가상화 281) 와 재생화를 이용한 보안 기술에 대해서 살펴보면 다음과 같다. Virtualization Security 현재 가장 많이 사용되는 단말인 이동 통신 단말에서 가장 큰 위협 중 하나 는 서비스 중단 및 불법사용이다. 우리나라의 경우 폐쇄적인 단말 환경으로 인해 웜이나 바이러스와 같은 악성 코드에 의한 피해 사례가 보고되지는 않 았지만, 실제로 유럽에서는 몇몇 바이러스와 그의 변종들이 보고되고 있다. 이와 같은 이동 통신 단말에서 기존의 보안 기술인 방화벽과 백신을 이용하 는 것뿐만 아니라 악의적인 공격에 노출되더라도 통신 서비스를 안전하게 유 지하기 위한 것은 방어 못지않게 매우 중요한 문제로 부각되고 있다. 최근 제안된 가상화 기술들은 통신 서비스와 사용자 개인 서비스를 서로 다른 도 메인으로 분리시켜 공격에 쉽게 노출되는 사용자 개인 서비스로부터 통신 서 비스를 격리하는 역할을 수행한다. Renewable Security 최근 IPTV 셋톱박스를 포함하는 많은 단말들이 인터넷 또는 이동통신 망을 이용하여 사업자의 서버와 온라인 상태를 유지할 수 있는 인프라를 구축하고 있다. 과거 콘텐츠 또는 서비스를 일방적으로 제공받는 단방향 통신에서 상 호 작용이 가능한 양방향 통신 환경으로의 변화는 단말 보안에 대한 새로운 접근방향을 제시하고 있다. 이러한 양방향 통신을 통해 원격에서 단말에 대 한 무결성을 검증하거나 최근 발견된 위협에 대응할 수 있는 보안 업데이트 를 수행함으로써 단말의 보안성을 높이는 서비스가 최근 제안되고 있다. 다. 클라우드컴퓨팅 보안 법제 정보는 기업 운영에 있어서 중요한 자산일 뿐만 아니라 기업의 존폐를 결정짓는 요인이 될 수도 있다. 특히 개인정보의 경우 그동안 관련된 권 281) 가상화(Virtualization)라 함은 ICT자원(서버, 스토리지, 네트워크) 활용을 높이거나 최적화하기 위해서 컴퓨팅자원(CPU, 메모리)을 분할 또는 공유할 수 있게 하는 기술을 말한다. 다시 말해서 클라우드 컴퓨팅의 주요특성인 사용자 요구에 따른 ICT자원의 동적 자원할당, 온-디맨드 서비스 를 가능하게 하는 주요 기반기술인바, 클라우드 컴퓨팅 기술을 도입하여 ICT자원의 낮은 이용률 로 인한 운영 유지비 증가, 에너지 낭비 등을 개선할 수 있는 대안기술로 부상하고 있다; 박선주 윤미영 이윤희 정승호, 범국가 차원의 ICT 신기술 패러다임 : 클라우드 컴퓨팅 활성화 전략, CIO Report Vol.17, 한국정보화진흥원, 2009, 10쪽

306 리관계를 논할 때 대개 프라이버시라는 개념으로 포괄하여 접근하는 것이 일반적인 경향이었으나, 수집된 개인정보를 영업자산이라고 간주할 수 있 는 측면 282) 이 존재하므로 이러한 관점에서 제기되는 접근방법 중의 하나 는 개인정보에 대하여 재산권을 부여하는 것이다. 하지만 정보주체는 자 신의 개인정보를 타인에게 이용케 하는 것과 함께 계속적으로 이용할 수 있으므로 타인의 이용에 따른 일정한 제한을 받지 않으며, 이 점에서 개 인정보는 물권법상 동산의 물권변동에 관한 법리로써 규율될 수 없는 대 상이라 하겠다. 그럼에도 불구하고 개인정보의 경제적 가치와 개인적 가 치는 정보재( 情報財 )라고 하는 권리객체를 통해 향수할 수 있는 보호법익 ( 保護法益 )으로서 재산권적 권익과 인격권적 권익을 그 특유의 속성에 연 결하여 표현한 것이지만, 하나의 정보재에 특정 개인의 재산적 이익과 인 격적 이익이 중첩적으로 관련됨으로써 경제적 가치와 개인적 가치가 상존 한다는 점은 정보가 지니는 특유의 성질이라고 할 수 있다. 283) 정보사회 의 핵심인 정보의 가치는 경제적 혹은 상업적 가치, 개인적 가치, 공공적 가치 등으로 나누어 볼 수 있는바, 284) 그러므로 개인정보에 있어서도 그 영리적 가치가 강조되고 생산활동에 있어서의 역할 증대를 기대할 수 있 는 것이다. 개인정보 보호 부문에 대해서도 일정한 표준기관이 정의한 기 준에 따라 개인정보 보호 체제를 갖추어 운영하고 있다는 것을 인증기관 으로부터 심사 및 보증 받는 인증제도가 존재한다면 이용자인 개인정보 주체는 인증을 받은 기업 혹은 시스템에 대하여 신뢰하고 자신의 개인정 보를 제공할 수 있고, 공급자인 기업 역시 개인정보 보호를 위한 자원의 효율적 투자 및 사고 발생 시 아무런 노력도 하지 않았다는 비판에 반박 할 근거를 확보할 수 있을 것이다. 282) 이러한 시각은 프라이버시에 관한 종래의 논의가 인격권에 국한되었던 한계를 벗어나 재산권 적 측면을 도외시하지 않아왔음에서도 읽을 수 있는 대목이다. 즉, 기업의 입장에서 보면 개인 정보가 중요한 경영자원으로 등장하고 있지만 소비자 입장에서 보면 개인정보의 주체인 개인 의 프라이버시를 심각하게 침해할 수 있다는 점에서 프라이버시 보호에 대한 적절한 대책이 요구되는바, 개인정보에 재산권을 부여하게 되면 개인정보를 본인의 명시적 혹은 묵시적 동의 없이 제3자에게 판매하는 것은 불법적인 것이 될 것이다. 283) 松本恒雄, 情報の保護, ジュリスト第 1126 号, 有斐各, 1998, 193~200 面. 284) 정보의 가치에 대하여는 전석호, 정보화와 뉴미디어, 태영출판사, 2004, 25~27쪽 참조

307 그 대표적인 것으로 ISO와 IEC(International Electrotechnical Commission) 에 의해 지난 2005년 10월 발행된 ISMS 표준인 ISO/IEC 인증을 들 수 있겠는바, 이는 정보보호 관리체계(Information Security Management System; ISMS)의 요구사항을 정의하며 적합한 정보보호관리체계를 선택할 수 있도록 고안되었다. 285) 표7-4 ISO27001의 11개 분야 여기서 인증(certification)이란 국제표준화기구기술위원회[Technical Committee 285) 따라서 정보 자산을 보호하고 관련 주체, 특히 고객에게 신뢰를 주는 데 도움이 되는바, 이 표 준은 ISMS의 도입, 실행, 운영, 모니터링, 검토, 유지관리 및 개선을 위한 프로세스별 접근법을 기반으로 하고 있다. 원래 ISO 인증은 개인정보 보호에 한정하지 않고 정보보호 관리체 계 전반에 대한 인증이다. 그러나 최근 개인정보 보호의 사회적 쟁점화에 따라 개인정보 보호 부문의 정보보호 관리체계 인증이라는 범위를 한정하여 인증서비스를 제공하고 있고, 최근 주 요 포털서비스업체에서 그 인증을 받았다. Daum은 2006년 노르웨이 DNV(Det Norske Veritas) 인증원으로부터 정보보호 관리체계에 대한 국제 최상위 보안 표준규격인 ISO/IEC 인증을 획득하였다. 한편, NHN의 경우 2007년 네이버를 비롯하여 모든 서비스에 걸쳐 BSI-Korea 인증원으로부터 ISO/IEC 인증을 획득하였다. ISO/IEC 27001은 전사 개인정 보보호부문으로 인증범위를 시스템운영, 고객지원센터 등 특정범위로 한정하지 않고 인터넷서 비스를 위한 인프라 운영부문과 고객의 개인정보를 관리하는 자회사를 포함하여 본사 내의 정 보관리에 대한 모든 활동에 대해 국제표준의 요구사항을 만족하고 있다는 의미를 갖는다

308 of ISO(International Organization for Standardization)]에서 정의한 공급자와 구 매자 사이의 기준을 바탕으로 자사 체질에 맞게 신뢰할 수 있는 제품과 서비스 공급 체제를 갖추어 운영하고 있다는 것을 제3의 인증기관으로부터 심사 및 보 증 받는 제도 이다. 286) 한편, 정보보호 관리체계(ISMS; Information Security Management System)라 함은 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차 와 과정을 체계적으로 수립 문서화하고 지속적으로 관리 운영하는 시스템 및 프로세스를 말한다. [그림7-7] ISMS의 구성 ISMS라는 관용구는 원래 ISO/IEC 27001에서 유래한 것이며, 그 핵심 3 요소로 1 조직 구성, 보안 정책 지침 규정 절차 수립, 보안 프로세스 정 286) 최근 개인정보보호에 대한 사회적 관심의 증대에 따라 기업들도 자신들이 보유하고 있는 개인 정보를 보호하기 위해 다양한 활동을 전개하고 있으며, 정보주체 역시 특정 서비스를 이용하기 위해 자신의 정보를 기업 혹은 특정 시스템에 제공하면서도 제공된 개인정보가 안전한 것인지 주의를 기울이게 되었다. 개인정보보호활동의 문제 중 하나는 어떤 기업 혹은 시스템에 대해 개인정보 보호 수준이 어떠한지 평가할 명확한 기준이 없다는 점이다. 물론 기업은 개인정보 수집시 이용약관 혹은 홈페이지에 개인정보보호에 관한 내용을 제시하고 있다. 하지만 이용자 중 이를 제대로 읽어 보거나 그대로 지켜질 것이라 믿는 이용자는 거의 없는 것으로 보인다. 즉, 정보주체는 불안하지만 서비스의 이용을 위해 어쩔 수 없이 자신의 개인정보를 제공할 수 밖에 없는 것이 현실이다. 기업 역시 개인정보보호를 해야 하는데 그 명확한 기준이 없어 답답한 실 정이다. 열심히 비용과 인력을 투입해 개인정보보호를 위한 나름대로의 노력을 쏟았다고 하더라도 사고 가 발생하면 그간의 노력을 증명할 방법이 없다. 일반적으로 이러한 고민을 동시에 해결할 방법으로 가 장 많이 사용되는 것이 인증제도이다; -

309 립을 내용으로 하는 관리적 보안, 2 출입통제, 천재지변 자연재해에 대비 한 비상 대책을 내용으로 하는 물리적 보안 및 3 보안 솔루션 도입 등을 내용으로 하는 기술적 보안을 들 수 있다. 그 구축절차는 이른바 PDCA(Plan-Do-Check-Act) 기반의 과정인바, 1 ISMS 구축에 요구되는 조직 체계 구성, 2 관련 자료 수집 및 구성된 조 직에 대한 교육 실시, 3 구축을 위한 범위 설정, 4 정보 자산에 대한 위 험 평가 실시 및 문제점 도출, 5 대응책을 체계적으로 구성하여 관련 보 안 프로세스 수립, 6 인증절차에 따른 인증 취득으로 이루어진다. ISMS 를 위한 주요 표준이 바로 ISO 27001이며, 완성모형으로 ISM3(Information Security Management Maturity Model)을 들 수 있는데 이 역시 ISO 27001을 기반으로 만들어진다. IT기술과 공격기법의 급속한 변화와 다양화가 만들어 내는 복합적인 IT 서 비스 환경에서 각 기업이 정보자산을 안전하게 보호하고 관리하기 위해서는 지속적인 정보보호 대응체계를 기대할 수 있는 종합적인 ISMS를 수립함으로 써 가능하다. 우리나라에 널리 쓰이는 인증제도는 국제표준인 ISO 27001(2005) 와 한국인터넷진흥원(KISA)에서 정립하여 발표된 KISA-ISMS(2002)가 있다. KISA-ISMS는 한국인터넷진흥원이 정립하고 발표하였으며 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조에 근거를 두고 있지만, 287) 이는 의무사항은 아니며 대상기관이 자율적으로 신청하도록 되어 있다. KISA-ISMS는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위해 수 287) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조 (정보보호 관리체계의 인증) 1 정 보통신망의 안정성 및 신뢰성을 확보하기 위하여 기술적 물리적 보호조치를 포함한 종합적 관 리체계(이하 정보보호 관리체계 라 한다)를 수립 운영하고 있는 자는 정보보호 관리체계가 제 2항에 따라 방송통신위원회가 고시한 기준에 적합한지에 관하여 방송통신위원회나 보호진흥원 이 지정하는 기관(이하 정보보호 관리체계 인증기관 이라 한다)으로부터 인증을 받을 수 있 다. 2 방송통신위원회는 제1항에 따른 인증에 관한 정보보호 관리기준 등 필요한 기준을 정하여 고시할 수 있다. 3 제1항에 따라 정보보호 관리체계의 인증을 받은 자는 대통령령으로 정하는 바에 따라 인증 의 내용을 표시하거나 홍보할 수 있다. 4 제1항에 따른 인증의 방법 절차와 그 밖에 필요한 사항은 대통령령으로 정한다. 5 정보보호 관리체계 인증기관 지정의 기준 절차 유효기간 등에 필요한 사항은 대통령령으로 정한 다

310 립 운영하고 있는 기술적 물리적 관리적 조직적 보호조치와 통제사항 을 포함한다. 우리나라의 경우 앞서 언급한 바와 마찬가지로 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조에 따른 정보보호 관리체계의 인증이 존재하는바, 정보통신망의 안정성 및 신뢰성을 확보하기 위하여 기술적 물리적 보호조치를 포함한 종합적 관리체계인 정보보호 관리체계를 수립 운영하고 있는 자는 정보보호 관리체계가 방송통신위원회가 고시하는 인 증에 관한 정보보호 관리기준 등 필요한 기준에 적합한지에 관하여 방송 통신위원회나 한국인터넷진흥원이 지정하는 정보보호 관리체계 인증기관 으로부터 인증을 받을 수 있고 이에 따라 정보보호 관리체계의 인증을 받 은 자는 인증의 내용을 표시하거나 홍보할 수 있다. 288) 이러한 정보보호 관리체계의 인증은 임의적 선택적 사항이지만 ISMS를 견지한 것과 같은 효과를 가져오고 그 기준에 따른 인증은 정보통신망의 안정성 및 정보 신 뢰성을 확보하기 위해 수립 운영하고 있는 기술적 물리적 관리적 조 직적 보호조치와 통제사항을 포함하므로 KISA-ISMS로 일컬어지고 있다. 또한 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제46조의3에 규정된 안전진단 역시 인증에 준하게 논의될 수 있다. 지난 2003년 1 25 인터넷 대란 이후 국가적 차원에서 정보시스템을 개선하기 위해 도입된 정보보호 안전진단은 정보통신서비스 제공자의 정보보호 수준을 점검함으 로써 안전기준의 이행 실효성을 확보하고 해당 사업자의 정보보호 수준을 강화하는 데 그 취지가 있다. 289) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제46조의3 (정보 보호 안전진단) 1다음 각 호의 어느 하나에 해당하는 자는 방송통신위 원회가 안전진단을 수행할 수 있다고 인정한 자(이하 안전진단 수행기 관 이라 한다)로부터 자신의 정보통신망 또는 집적정보통신시설에 대하 여 매년 정보보호지침에 따른 정보보호 안전진단을 받아야 한다. 이 경 288) 그 구체적인 절차적 사항은 위임입법된 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시 행령 제47조에서 제53조까지 참조

311 우 안전진단 수행기관은 15명 이상의 정보보호 기술인력을 보유하고 최 근 3년 이내에 정보보호컨설팅을 수행한 실적이 있는 법인이어야 한다. 1. 전기통신사업법 제2조제1항제1호에 따른 전기통신사업자로서 전국적으로 정보통신망서비스를 제공하는 자(이하 주요정보통신서비스 제공자 라 한다) 2. 집적정보통신시설 사업자 3. 정보통신서비스 제공자로서 매출액, 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 자 2제1항에 따라 정보보호 안전진단을 받는 사업자는 관련 정보의 제공 및 시설 장소에의 출입 허용 등 안전진단 수행기관의 정보보호 안전진 단 업무에 협력하고, 대통령령으로 정하는 바에 따라 정보보호 안전진 단의 결과를 방송통신위원회에 제출하여야 한다. 3제1항에 따라 정보보호 안전진단을 받아야 하는 사업자가 정보통신기 반 보호법 제9조에 따라 취약점의 분석 평가를 받거나 제47조에 따른 정보보호 관리체계의 인증을 받으면 그 분석 평가를 받거나 인증을 받은 해당 연도에는 제1항에 따른 정보보호 안전진단을 받은 것으로 본다. 4안전진단 수행기관은 제1항에 따른 정보보호 안전진단을 받은 사업자 에게 안전진단의 결과에 따라 정보보호조치의 개선을 권고할 수 있다. 5안전진단 수행기관은 제4항에 따라 정보보호조치의 개선을 권고하였 으면 그 권고내용 및 처리 결과를 방송통신위원회에 통보하여야 한다. 6방송통신위원회는 제2항에 따라 제출된 정보보호 안전진단의 결과와 제5항에 따른 통보내용에 따라 필요하면 정보보호 안전진단을 받은 사 업자에게 정보보호조치에 관한 개선명령을 할 수 있다. 7제1항에 따른 정보보호 안전진단의 방법 절차 수수료, 안전진단 수행 기관의 인정절차, 정보보호 기술인력의 자격기준, 정보보호컨설팅 수행 실적, 그 밖에 필요한 사항은 대통령령으로 정한다. 8방송통신위원회는 제1항제3호의 요건에 해당하는지를 확인하기 위하여 필요하면 관계 행정기관, 관련 자료 보유기관 또는 정보통신서비스 제공 자에 대하여 필요한 자료의 제공 또는 사실의 확인을 요청할 수 있다

312 일반적으로 정보자산의 신뢰성 및 안정적 서비스 확보, 인증 획득을 통 한 고객 신뢰성 확보 및 회사의 홍보 효과, 보안수준에 대한 객관적인 현 황파악 및 중장기 사업계획 수립, 정보보호관리체계 구축 운영 과정을 통 해 조직원들의 정보보호 수준과 인식을 제고함으로써 내부자료 및 개인정 보 유출과 오 남용 등의 부작용을 예방하는 것이 ISMS 인증을 받고자 하 는 기관의 인증 추진 목적이 될 수 있다. 현행 ISMS 인증제도의 목표는 정보통신망의 안정성 및 신뢰성을 확보 하기 위하여 기술적 물리적 보호조치를 포함한 종합적 관리체계를 수립 및 운영하도록 하여 국내 정보보호 수준을 향상 시키고자 하는 것인바, 인증은 정보보호 관리과정, 문서화, 정보보호 대책 3부분으로 구성되어 있 다. 정보보호 관리과정은 5단계, 14가지의 통제사항으로 구성되고, 문서화 과정은 3개의 통제사항으로 구성되며, 정보보호 대책은 15분야, 120개 통 제사항으로 구성된다. 관리체계 인증을 받는다는 의미는 정보보호 정책 수립, 관리체계의 범위설정, 위험관리, 구현, 사후 관리, 문서화, 정보보호 를 위한 실질적인 자산의 분류, 조직구성, 교육 훈련, 접근통제 등 기술적 내용을 모두 포함하는 대책을 갖추고 있음을 인정받는다는 것이다. 289)

313 표7-5 정보보호 관리체계 인증 통제항목 및 클라우드컴퓨팅 적용 시 미흡항목 그런데 정보보호가 업무 연속성의 확보 및 사회적 책무와 더불어 기업 이미지 하락과 대고객 신뢰도 상실 등의 측면이 부각됨에 따라 중요 서비 스에 대한 정보보호 관리체계의 확립이 더욱 강조될 것인바, 발전적이고 효율적인 정보보호 관리체계의 수립 및 운영을 위해 급속히 변화하는 IT 기술의 변화 반영, 기관의 규모나 업무 특성의 고려한 제도의 운영 및 ISMS 제도의 의무화 추진 등을 고려해 볼 수 있을 것이다. 더욱이 정보 보호 관리체계 인증제도 역시 보안항목이나 적용대상이 클라우드컴퓨팅 환경에는 적용되기 어려운 문제점이 있다. 현재 시행 중인 안전진단 제도 의 대상은 ISP 및 IDC 등에 제한되어 있으므로 클라우드컴퓨팅 서비스 대상자들은 이 제도에 포함되는 경우도 있고 그렇지 않은 경우도 있기 때 문이다. 5. 기업의 영업비밀보호 영업비밀(trade secrets)은 기업의 영업상 비밀로 관리하고 있어 경제적 가치가 있는 기술상 또는 경영상 정보를 말한다. 일찍이 10세기부터 영미

314 의 보통법(common law)으로 확립된 개념인 영업비밀은 기업 등 사업주 체가 영업활동을 함에 있어 경쟁상의 우위를 확보하기 위하여 비밀로 관 리하고 있는 생산방법 판매방법 및 그 밖의 사업활동에 유용한 기술상 또 는 경영상 정보로서 공공연히 알려져 있지 않은 것에 대한 개념으로 사용 된다. 290) 이러한 영업비밀은 나라마다 서로 다른 배경과 이유 등으로 기 업기밀, 산업비결, 영업비밀, 재산적 정보, 비공개정보, 비밀영업정보 및 know-how 등의 다양한 용어로 불리고 있으나, 그 엄격한 의미에 있어 약간의 차이가 있을 뿐 모두 영업비밀에 관하여 쓰이고 있다. 영업비밀의 성립요건으로 첫째 비공지성( 非公知性 )을 들 수 있는바, 이 는 어떤 정보가 영업비밀로서 보호되기 위해서는 우선 그것이 공연히 알 려져 있지 않은 상태임을 요구한다는 것을 말한다. 여기서 공연히 알려져 있지 않아야 한다. 라고 함은 그 정보가 간행물 등의 매체에 실리는 등 불 특정 다수인에게 알려져 있지 않기 때문에 보유자를 통하지 아니하고는 그 정보를 입수할 수 없는 것을 말한다. 291) 환원하자면, 비공지성이란 전 체로서 또는 그 구성요소의 정밀한 배열 및 조합의 형태로서 당해 정보의 종류를 통상적으로 다루고 있는 업계의 사람들에게 일반적으로 알려져 있 지 않거나 쉽게 접근할 수 없다는 의미에서 비밀인 것이며, 기업이 엄중 히 관리하고 있는 정보라 할지라도 이미 일반적으로 알려져 있는 것에 대 하여는 법률상 보호가치가 없다고 할 것이다. 둘째, 영업비밀은 당해 정보가 현실적으로 또는 적어도 잠재적으로 영 업활동에 가치 있는 정보이어야 한다는 의미에서 경제적 유용성을 성립요 건으로 요구한다. 또한 생산 판매활동 및 연구활동 등의 사업활동에 구체 적으로 도움이 되는 정보이어야 하는 것으로서 이러한 경제적 유용성은 사업자 본인의 주관적인 판단만으로는 부족하며 객관적으로 가치성이 인 정되지 않으면 안 된다. 이렇듯 경제적 유용성은 건전한 거래질서 유지를 위한 법의 목적에 부합하여 사회 일반의 입장에서 객관적으로 판단되어야 290) 황의창, 부정경쟁방지 및 영업비밀보호법, 세창출판사, 2007, 153쪽. 291) 대법원 선고 2002다60610 판결, 공 [213], 1693)

315 하며, 당해 정보의 종류 내용 및 성질만이 아니라 그 정보가 어떤 방식으 로 형성 또는 수집되었고 어떻게 사용되고 있으며 사용될 수 있는가 등이 종합적으로 고려되어 판단되어야 한다. 셋째, 영업비밀은 상당한 노력에 의하여 비밀로 유지된 정보이어야 한 다는 의미에서 비밀유지성 혹은 비밀관리성이 요구된다. 따라서 단순히 영업비밀 보유자가 비밀이라고 생각하고 주장하는 것만으로는 영업비밀이 되지 않으며, 반드시 영업비밀이라고 객관적으로 인식할 수 있는 상태로 유지 관리되어야 하므로 비밀관리의 의사가 존재해야 하고 그 의사를 실 천해 온 관리노력이 인정되어야 한다. 만일 비밀유지의 노력이 없다면 정 보에 접근하는 입장에서는 누구에게나 공개되어 자유롭게 쓸 수 있는 정 보라는 인식을 부여할 확률이 높고 단순히 비밀관리 의사만 있었거나 비 밀로는 관리했지만 객관적으로 접근을 통제하고 있다고 인정할 수 있을 정도의 관리노력이 없는 상태의 정보까지 보호한다면 무엇보다도 거래의 안전을 해치기 때문이다. 292) 그런데 영업비밀보호제도는 영업비밀 보유자에게 어떠한 권리를 부여하 여 보호하는 것이 아니라, 그 영업비밀이 비밀로서 유지 관리되는 동안 은 사실상의 재산적 가치를 가지는 것으로 파악하여 부정한 수단에 의해 침해행위를 규제함으로써 반사적으로 영업비밀을 보호하는 제도이며, 기 업의 연구개발을 촉진하여 기업경쟁력을 제고하고 산업발전을 유도한다는 긍정적인 면과 아울러 그 보호가 너무 강력한 경우에는 부당한 경쟁제한 을 초래하고 자유로운 영업비밀의 양도를 제한하여 오히려 산업발전을 저 해할 수 있는 부정적인 면도 동시에 지니고 있다. 여하튼 이러한 영업비밀 가운데 고객명부, 고객관리방법, 대리점명부, 재료나 상품의 구입처, 거래선 루트, 판매가격표, 원가계산표, 판매계획, 판매지침서, 경영관리기법, 광고 홍보계획, 제품할인시스템, 재무관리기법 및 비공개 사업계획 등 경쟁업체에 대하여 우위를 확보하기 위한 생산 판 매전략 등 경영정보가 포함되는바, 293) 클라우드 서비스 운영자의 영업비 292) 사법연수원, 부정경쟁방지법; 해설 및 판례, 사법연수원, 2007, 106쪽

316 밀의 경우에도 현행법상 보호범주에 해당할 것이다. 하지만 클라우드 서 비스 사용자인 기업의 영업비밀에 대하여는 해당 침해행위에 대한 현행법 상의 구제를 제외하고는 클라우드 서비스 운영자의 법적 책임은 일반법상 의 민사상 불법행위나 채무불이행에 따른 손해배상론에 귀결되는 데 그친 다는 맹점을 안고 있다. 주지하는 바와 마찬가지로 클라우드컴퓨팅 서비스로의 전환 시 PC 및 자체 서버를 사용하던 방식에서 인터넷과 연결된 클라우드를 활용함에 따 라 해킹 등으로 인한 기업정보 및 데이터 유출 등 보안 우려가 확대되고 있기 때문에 기업의 영업비밀 혹은 지적재산권 및 대외비와 같은 민감한 기업 정보 유출 시 그 피해는 매우 클 수 있다. 특히 서비스 제공 사업자 의 파산 시 서버의 소유권에 책임소재가 불분명해지는 상황에서 기업의 핵심 데이터에 대한 접근이 어려울 수 있으며, 이는 자칫 이용자 기업들 의 연쇄적인 파산이나 비즈니스 수행 불능상황을 야기할 수 있다. 294) 그 러므로 이용자가 자신의 데이터가 어디에 보관되고 어떻게 관리되고 있는 지 알기 어려운 클라우드컴퓨팅 서비스의 특성 상 클라우드 서비스 사용 자 기업의 기업 정보보호를 위한 제도적 보완도 시급하다고 할 것이다. 이를 위해 클라우드 서비스 운영자의 영업비밀 유출방지를 위한 의무조항 을 설정하고 이에 대한 법적 책임기준을 마련할 필요가 있다. 부정경쟁방지 및 영업비밀보호에 관한 법률 제2조 (정의) 이 법에 서 사용하는 용어의 뜻은 다음과 같다. 2. 영업비밀 이란 공공연히 알려져 있지 아니하고 독립된 경제적 가 치를 가지는 것으로서, 상당한 노력에 의하여 비밀로 유지된 생산방 법, 판매방법, 그 밖에 영업활동에 유용한 기술상 또는 경영상의 정 보를 말한다. 부정경쟁방지 및 영업비밀보호에 관한 법률 제10조 (영업비밀 침해 293) 기술 및 경영에 관한 비밀정보는 그 자체뿐만 아니라 비밀정보가 처리되는 과정도 비밀로 유 지되고 있고 경제적 가치가 있는 것이라면 영업비밀로 보호 될 수 있을 것이다; E.I. Du Pont de Nemours & Co., Inc. v. Christopher et. al., 166 U.S.P.Q. 422 (5th Cir. 1970). 294) 정제호 김수동 국신욱 민영기 손승우 신수정 양희동 이종화, 같은 책( 註 59), 23쪽

317 행위에 대한 금지청구권 등) 1 영업비밀의 보유자는 영업비밀 침해 행위를 하거나 하려는 자에 대하여 그 행위에 의하여 영업상의 이익 이 침해되거나 침해될 우려가 있는 경우에는 법원에 그 행위의 금지 또는 예방을 청구할 수 있다. 2 영업비밀 보유자가 제1항에 따른 청구를 할 때에는 침해행위를 조 성한 물건의 폐기, 침해행위에 제공된 설비의 제거, 그 밖에 침해행위 의 금지 예방을 위하여 필요한 조치를 함께 청구할 수 있다. 부정경쟁방지 및 영업비밀보호에 관한 법률 제11조 (영업비밀 침해에 대한 손해배상책임) 고의 또는 과실에 의한 영업비밀 침해행위로 영업비밀 보유자 의 영업상 이익을 침해하여 손해를 입힌 자는 그 손해를 배상할 책임을 진다. 부정경쟁방지 및 영업비밀보호에 관한 법률 제14조 (시효) 제10조 제1항에 따라 영업비밀 침해행위의 금지 또는 예방을 청구할 수 있는 권리는 영업비밀 침해행위가 계속되는 경우에 영업비밀 보유자가 그 침해행위에 의하여 영업상의 이익이 침해되거나 침해될 우려가 있다 는 사실 및 침해행위자를 안 날부터 3년간 행사하지 아니하면 시효 ( 時效 )로 소멸한다. 그 침해행위가 시작된 날부터 10년이 지난 때에도 또한 같다. 부정경쟁방지 및 영업비밀보호에 관한 법률 제18조 (벌칙) 1 부정 한 이익을 얻거나 기업에 손해를 입힐 목적으로 그 기업에 유용한 영 업비밀을 외국에서 사용하거나 외국에서 사용될 것임을 알면서 취득 사용 또는 제3자에게 누설한 자는 10년 이하의 징역 또는 그 재산상 이득액의 2 이상 10배 이하에 상당하는 벌금에 처한다. 2 부정한 이익을 얻거나 기업에 손해를 입힐 목적으로 그 기업에 유용 한 영업비밀을 취득 사용하거나 제3자에게 누설한 자는 5년 이하의 징역 또는 그 재산상 이득액의 2 이상 10배 이하에 상당하는 벌금에 처한다

318 위와 같이 부정경쟁방지 및 영업비밀보호에 관한 법률 에 따라 공공연 히 알려져 있지 아니하고 독립된 경제적 가치를 가지는 것으로서 상당한 노력에 의하여 비밀로 유지된 생산방법, 판매방법, 그 밖에 영업활동에 유 용한 기술상 또는 경영상의 정보인 영업비밀의 침해행위에 있어서 영업비 밀의 보유자인 클라우드 서비스 이용자는 영업비밀 침해행위를 하거나 하 려는 자에 대하여 그 행위에 의하여 영업상의 이익이 침해되거나 침해될 우려가 있는 경우에는 법원에 그 행위의 금지 또는 예방을 청구할 수 있 으며, 이 경우 침해행위를 조성한 물건의 폐기, 침해행위에 제공된 설비의 제거, 그 밖에 침해행위의 금지 예방을 위하여 필요한 조치를 함께 청구 할 수 있다. 하지만 고의 또는 과실에 의한 영업비밀 침해행위로 영업비 밀 보유자의 영업상 이익을 침해하여 손해를 입힌 자는 그 손해를 배상할 책임을 지는 데 그칠 뿐이고 다만 부정한 이익을 얻거나 기업에 손해를 입힐 목적으로 구성요건에 해당하는 영업비밀 침해행위를 한 자에 국한하 여 형사처벌이 이루어질 뿐인 까닭에 클라우드 서비스 사용자가 보유하는 영업비밀에 대한 보호에 있어 클라우드 서비스의 특성에 부합하는 제도적 방안을 모색할 필요가 있다는 것이다. 다른 한편으로 정보통신서비스 제공자인 클라우드 서비스 운영자 혹은 클라우드컴퓨팅 사업자는 이용자의 개인정보를 보호하여야 하지만, 295) 개 인정보는 생존하는 개인에 관한 정보로서 성명 주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호 문자 음성 음향 및 영상 등의 정보(다 른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함)이므 로 법인정보는 해당하지 않아 기업이 클라우드 서비스 사용자인 경우 개 인정보보호와 별도 법리를 적용하는 법규 마련의 검토가 필요하다고 볼 295) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제3조제1항은 정보통신서비스 제공자 및 이용자의 책무와 관련하여 정보통신서비스 제공자는 이용자의 개인정보를 보호하고 건전하고 안전한 정보통신서비스를 제공하여 이용자의 권익보호와 정보이용능력의 향상에 이바지하여야 한다. 라고 규정하고 있다. 이에 따라 개인정보에 해당하지 않는 클라우드 서비스 사용자의 법 인정보에 있어서 영업비밀보호 차원에서 재구성하는 시도가 필요한 것이다. 다만, 이를 클라우 드 서비스 운영자와 클라우드 서비스 사용자간 체결하는 영업비밀보호에 관한 계약에 있어 계 약법적 논의를 꾀할 수 있겠으나 상대적으로 클라우드 서비스 운영자가 우월한 지위에 위치한 정보환경 현실을 고려할 때 적절한 보호장치로 기대하기 어려운 부분이 존재한다고 볼 것이다

319 것이다. 다만, 해당 정보가 중요 정보에 해당할 경우 다음과 같이 정보통 신서비스 제공자 또는 이용자에 대한 정부의 조치명령이 이루어질 수 있 는 영역은 존재한다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제51조 (중요 정보의 국외유출 제한 등) 1 정부는 국내의 산업 경제 및 과학기 술 등에 관한 중요 정보가 정보통신망을 통하여 국외로 유출되는 것을 방지하기 위하여 정보통신서비스 제공자 또는 이용자에게 필 요한 조치를 하도록 할 수 있다. 2 제1항에 따른 중요 정보의 범위는 다음 각 호와 같다. 1. 국가안전보장과 관련된 보안정보 및 주요 정책에 관한 정보 2. 국내에서 개발된 첨단과학 기술 또는 기기의 내용에 관한 정보 3 정부는 제2항 각 호에 따른 정보를 취급하는 정보통신서비스 제 공자에게 다음 각 호의 조치를 하도록 할 수 있다. 1. 정보통신망의 부당한 이용을 방지할 수 있는 제도적 기술적 장치 의 설정 2. 정보의 불법파괴 또는 불법조작을 방지할 수 있는 제도적 기술적 조치 3. 정보통신서비스 제공자가 취급 중 알게 된 중요 정보의 누출을 방지할 수 있는 조치 6. 데이터에 대한 침해통지 가. 서론 기업이나 정부 등은 사업의 목적상 또는 대국민서비스를 위하여 개인정 보를 수집할 수밖에 없다. 그런데 정보화시대에는 이러한 개인정보가 디 지털화되어 있어서 내부자에 의하여 대량으로 유출되거나 외부의 해킹 공

320 격 등에 의하여 개인정보가 외부로 공개되고 범죄에 악용되거나 그 개인 정보의 소유자에게 상업적인 손해를 끼칠 수도 있게 된다. 곧 정보화시대 에서는 개인정보의 보호가 매우 중요해지는데, 이를 위하여서는 먼저 개 인정보가 외부로 유출되지 않도록 하기 위한 조치를 취하여야 할 것이다. 한국의 정보통신망 이용촉진 및 개인정보보호에 관한 법률이나 공공기관 의 개인정보보호에 관한 법률 등이 바로 개인정보를 보호하는 것을 목적 으로 한다. 그런데 일단 개인정보가 외부로 유출되었을 경우 유출로 인한 2차적인 피해를 막기 위한 조치도 필요하게 된다. 이러한 조치의 대표적 인 것으로서 유출된 개인정보의 해당 개인에게 유출에 관한 사실을 통보 함으로써 그 개인이 유출로 인한 피해가 발생하는 것을 막도록 하는 것이 가능하게 된다. 미국은 개인정보가 유출되었을 경우, 곧 개인정보를 포함하고 있는 데 이터 보안이 침해되었을 경우, 이를 통지하도록 하는 법(데이터 침해통지 법, data security breach notification law)을 제정하여 시행하고 있다. 2002년 캘리포니아 주가 입법을 한 이후 미국의 40여개 주 이상이 이 법 을 제정하여 시행하고 있다. 296) 나. 미국의 데이터침해 통지제도 (1) 미국의 입법배경 2005년 미국에서 소비자들의 개인정보 절취로 인하여 기업과 소비자에 게 발생한 손실은 560억 달러였다. 297) 이 중에서 약 30%가 기업의 데이터 침해에 기인하는 것이었다. 데이터침해(data breach)는 성명, 사회보장번 호(social security number), 신용카드번호 등과 같은 개인정보가 유출되는 296) 2009년 5월 현재, 미국의 44개 주, DC, 푸에르토리코, 버진아일랜드가 데이터침해통지법을 제 정하여 시행하고 있다. 297) Sasha Romanosky, Rahul Telang & Alessandro Acquisti, Do Data Breach Disclosure Laws Reduce Identity Theft? 1 (

321 경우에 발생한다. 이러한 데이터침해로 인하여 개인의 신원이 노출되고 범죄로 연결된다. 이러한 범죄를 예방하기 위하여 미국의 많은 주들은 데 이터침해 공개법을 입법하였는데, 이에 의하여 기업이 보유하고 있는 개 인정보가 손상되었을 경우 그 기업은 개인에게 이를 통지하여야 한다. 데이터침해 통지법(data breach notification law)은 기업의 열악한 보안 관리에 초점을 맞춤으로써 모든 기업으로 하여금 보안관리를 개선하도록 하고 이에 따라 열악한 보완관리 관행을 개선할 동기를 제공하기 위한 것 이다. 298) 이러한 법에 의하여 기업들은 통지편지나 고객지원센터 등을 통 하여 침해로 인하여 발생하는 비용을 내부화(internalize)하게 된다. 또한 데이터침해 통지법은 개인으로 하여금 피해를 막기 위한 대책을 세울 수 있도록 한다. 소비자들은 기업이 자신들의 정보를 사용하거나 남용할 경 우 이에 대하여 통지받을 권리를 가지는데, 자신의 개인정보 유출을 통지 받은 소비자들은 개인정보절취를 방지하기 위한 적절한 조치를 취할 수 있게 된다. 예컨대 개인정보를 유출당한 소비자들은 은행이나 신용카드회 사, 그리고 법집행기관에 알릴 수 있으며, 은행구좌를 폐쇄하는 등의 조치 를 취할 수 있다. 또한 통지에 의하여 법집행기관이나 정책 당국기관은 어느 기업이, 어느 분야가 개인정보를 잘 보호하는지 이해할 수 있게 된 다. 장래 발생할 수 있는 침해의 가능성을 감소시키고 소비자들의 신뢰를 회복하기 위하여 기업들이 자신들의 개인정보 보호관행을 실제로 개선시 키는 동기를 제공할 수 있는 것은 입법에 의할 수밖에 없다. 미국의 캘리포니아 주를 비롯하여 약 44개 주에서 실시하고 있는 데이 터침해 통지제도(data breach notification)는 영업을 하고 있거나 개인정 보를 포함하고 있는 컴퓨터 데이터를 소유하는 자나 기업 또는 정부기관 으로 하여금, 개인정보가 권원이 없는 자에 의하여 획득되었다고 믿어지 는 경우, 그 데이터침해를 공개하도록 하는 제도이다. 이러한 제도로 인하 여 미국에서 데이터침해가 공개된 대표적인 예가 2005년도에 Choicepoint 298) Sasha Romanosky, Rahul Telang & Alessandro Acquisti, Do Data Breach Disclosure Laws Reduce Identity Theft? 1 (

322 가 14만 5천명의 개인 데이터를 판매하고 캘리포니아 주 법에 따라 이를 공개한 것이다. 현재 미국은 44개 주, DC, 푸에르토리코, 버진 아일랜드, 뉴욕시 등이 데이터침해 공개에 관하여 입법하고 있다. 아직 몇 개 주가 이에 대한 입법을 가지고 있지 않거나 입법을 하고 있는 중이며, 주마다 입법의 내용이 다르며, 연방 차원에서 침해를 공개토록 요구하는 것은 여 러 개별 입법에 흩어져 있다. 따라서 데이터침해 사실을 공개토록 요구하 는 것은 미국에서는 다소 혼란스러운 상태에 있다고 할 수 있다. (2) 적용범위 2003년 7월 1일 발효된 캘리포니아 주의 데이터침해통지법 299) 은 개인정 보를 포함하고 있는 데이터의 안전성이 침해된 경우 기업으로 하여금 주 민들에게 통지하도록 하는 일반적인 의무를 부과한 첫 입법이다. 이 법은 캘리포니아 주에서 영업을 하고 개인정보를 포함하는 컴퓨터화된 데이터 를 소유하거나 이용허락받은 개인이나 기업에 적용된다[Cal. Civ. Code (a)]. 데이터 침해통지법이 적용되는 범위와 관련하여 미국의 대부 분의 주들은 캘리포니아 주의 바로 이 규정에 바탕을 두어 입법함으로써 그 적용범위가 유사하다. 그러나 아칸소 주와 같이 주에서 영업한다는 요 건을 삭제하고 주민의 개인정보를 통제하는 모든 단체에게 적용하도록 함 으로써 그 적용범위를 훨씬 더 광범위하게 하는 몇 몇 입법도 존재하고 있다[Ark. Code Ann (a)(1)]. 이와 반대로 캘리포니아 주보다 그 적용범위를 협소하게 하는 주도 있는데, 오클라호마 주의 경우 주 정 부기관, 평의회, 위원회, 기타 주 정부의 부서 및 하위 부서에 대해서만 적용된다(Okla. Stat. tit. 74, ). 또한 조지아 주의 법은 영리를 위 하여 또는 업무의 성격상 개인정보를 수집하는 단체인 정보 브로커 (information broker) 에 대해서만 적용된다[Ga. Code Ann (2)]. 299) 이 법은 캘리포니아 민법전(Cal Civ Code) , , , 에 규정되어 있 다

323 메인 주의 경우 정보 브로커만에 대해서는 다른 단체보다 더 강화된 기준 을 적용하고 있다[Me. Rev. Stat. Ann. tit 10, 1348]. (3) 보호되는 개인정보 대부분의 주들은 침해통지법에 따라 보호되는 개인정보를 정의하고 있 다. 예컨대 캘리포니아 주는 개인정보를 1 사회보장번호, 2 운전면허번 호 또는 캘리포니아 신분증카드번호, 3 개인의 금융계좌에 접근할 수 있 도록 하는 보안코드, 접근코드 또는 비밀번호와 함께, 계좌번호, 신용카드 번호 또는 직불카드번호, 4 의료정보, 5 의료보험정보 중 1개 이상의 데 이터 요소와 함께 사용되는 성명이나 성명의 알파벳 첫 글자 및 성(성명 이나 데이터 요소들이 암호화되지 않은 경우)으로 정의하고 있다. 300) 캘리 포니아 주에서의 개인정보에는 본 규정에서 개인정보 는 연방, 주 또는 지방정부 기록에 의하여 일반 공중이 적법하게 이용할 수 있는 공개정보 는 포함하지 않는다. 301) 노스캐롤라이나 주는 신원을 확인하는 여러 유형의 데이터를 개인정보 에 포함시키고 있다. 곧 당좌예금 계좌번호(checking account No.), 저축 예금 계좌번호(savings account No.), 개인 신원번호, 전자적인 신원번호, 디지털 서명, 생체학적 데이터[지문, DNA 신원, 망막, 홍채, 서명 및 필체 분석, 장문( 掌紋 ) 및 손금, 성문( 聲紋 ), 얼굴 인식, 안면열상(facial thermogram), 실루엣 신원확인(silhouette identification), 걸음거리 등], 지 문, 계좌 비밀번호, 부모의 결혼 전 법적 성 등이 포함된다. 여러 주들이 개인정보로 분류하고 있는 것으로는 고용자 신원번호, 생일, 의료정보, 교 통부가 발행한 사진이 있는 신원번호 등이 있다. (4) 데이터 보안 침해의 정의 300) Cal. Civ. Code (e). 301) Cal. Civ. Code (f)(2)

324 캘리포니아 데이터 침해통지법은 시스템 보안침해(breach of the security of the system) 을 개인정보의 보안, 비밀성 및 무결성(integrity) 을 손상하는 컴퓨터화된 데이터를 권원에 의하지 않고 획득하는 것으로 정의하고 있다[Cal. Civ. Code (d)]. 대부분의 주들은 캘리포니아 주의 이러한 정의를 따르고 있다. 다만 몇 몇 주들은 컴퓨터화된 데이터 (computerized data) 에 권원 없이 접근하는 것을 달리 취급할 이유가 없 다고 판단하여 캘리포니아 주와 달리 입법하고 있다. 예컨대 인디애나 주 는, 다른 종류의 매체로 전환된 데이터가 더 이상 컴퓨터화된 포맷으로 되어 있지 않더라도, 종이나 마이크로필름 또는 이와 유사한 매체로 전환 된 컴퓨터 데이터도 포함하고 있다. 이와 유사하게 미네소타 주는 캘리포 니아 주의 정의를 따르고 있지만 컴퓨터화된 이라는 용어를 포함시키지 않고 있다. 플로리다 주는 권원 없이 접근함으로써 개인적인 데이터의 보안이 중대 하게 손상된 경우에만 통지를 하도록 규정하고 있다[Fla. Stat (4)]. 다만 적절히 조사한 후 또는 법집행을 하는 연방, 주 및 지 방정부기관과 협의한 후 개인정보가 획득되고 접근되어 피해를 입을 수 있는 개인에게 침해로 인하여 피해가 발생하지 않았거나 발생할 가능성이 없다고 합리적으로 결정한 경우에는 통지의무가 발생하지 않는다. 노스캐 롤라이나 주는 정보를 불법적으로 사용할 합리적 가능성이 있거나 정보를 권원에 의하지 않고 획득함으로써 소비자에 대하여 해를 끼칠 중대한 위 험이 야기된 경우에 한하여 통지할 것이 요구된다[N.C. Gen. Stat ]. 인디애나 주는 데이터 보안침해에 개인정보가 저장되어 있는 휴대용 전 자기기를 권원 없이 획득하는 것을 포함시키지 않고 있는데, 다만 만약 공개되지 않은 암호에 의하여 그 기기에 대한 접근이 보호되는 경우에 한 정된다. 또한 인디애나 주법에 의하면, 종업원의 휴대용 기기가 분실되거 나 절취된 경우, 그 기기가 로그인을 위하여 암호를 요구한다면, 침해를

325 보고할 의무가 존재하지 않는다. 인디애나 주의 이러한 규정은 암호화되 었거나 편집되었거나 기타 접근할 수 없는 데이터를 권원 없이 획득하는 것에 의하여서는 통지할 의무가 발생하지 않는다는 기본적인 원칙과 일치 한다. 기업은 캘리포니아 주법의 정의에 따라 이러한 유형의 공개에 대해 서는 통지가 요구되지 않는다고 주장할 수도 있으며, 암호에 의하여 보호 되는 휴대용 기기를 멸실하였다고 하여 개인정보의 보안이나 비밀성 또는 무결성이 손상 받았다고 믿을만한 이유가 없다고 주장할 수도 있다. (5) 통지 캘리포니아 주법은 침해를 발견하거나 통지받은 후 해당 개인에게 불 합리할 정도로 지체하지 않고(without unreasonable delay) 시스템 보안 이 침해된 것을 통지할 것을 규정하고 있다[Cal. Civ. Code (a)]. 따라서 만약 기업이 침해를 발견하지 못하였거나 침해의 통지를 받지 못 하여 해당 개인에게 통지하지 못하였을 경우 그 기업은 책임을 지지 않는 다. 기업이 일단 침해를 발견하였거나 침해의 통지를 받았다고 한다면, 통 지의무는 발생한다. 몇 몇 주들은 침해를 발견하거나 통지를 받은 후 합 리적인 지체가 되는 한도로서 45일을 규정하고 있다[Fla. Stat. Ann (1)(a); Ohio Rev. Code Ann (B)(2); Wis. Stat (3)(a)]. 캘리포니아 주의 통지법에 따르면, 통지는 원칙적으로 서면에 의하여 이루어져야 하며, 다만 전자서명법에 따라 통지를 서면으로 받겠다는 동 의를 받은 경우에는 서면에 의하지 않아도 된다[Cal. Civ. Code (g)(1)-(2)]. 전자적으로 데이터 침해를 통지하도록 한 이 규정은 통 지의 비용을 감소시키고 통지를 더욱 더 편리하게 할 것으로 보일 수도 있으나, 비용을 오히려 증가시킬 수도 있다. 곧 이 규정에 의하여 전자적 인 통지를 하기 위하여서는 전자서명법에 따른 동의를 받아야 하는데 이 러한 동의를 받는 것이 기업에게는 매우 부담스러운 것이 될 수 있고 따 라서 일반 우편에 의하여 통지하여야 하며 결국 통지비용이 증가하게 된

326 다. 따라서 미국의 여러 주들은 캘리포니아 주보다 보다 더 완화된 통지 방법을 허용하고 있는데, 예컨대 애리조나 주, 콜로라도 주 및 뉴햄프셔 주의 경우 기업과 해당 개인 간의 통신이 전자우편이 주된 수단인 경우에 는 전자우편에 의한 통지를 허용하고 있다[Ariz. Rev. Stat (D)(2); Col. Rev. Stat (1)(C)(III) (same); NH Stat. 359-C:20(III)(b) (same)]. (6) 통지시간 데이터가 침해되었다는 것을 신속하게 통지하면 데이터 침해로 인하여 피해를 받을 수 있는 개인이 사기를 당하는 등 범죄행위를 방지할 가능성 도 높아지게 된다. 신원정보를 절취한 자가 기망행위를 하기 위해서는 신 용카드 회사나 일반 기업체가 허위의 신원정보를 진실한 것으로 받아들이 도록 하기 위하여 이들 기업의 협력을 필요로 하게 되고 따라서 기망행위 등을 성공시키기 위해서는 일정한 시간을 필요로 한다. 따라서 피해를 입 을 수 있는 개인이 신속하게 통지를 받는다면 이들은 손해가 발생하기 전 에 소비자기구, 은행 및 기타 금융기관에 대하여 주의를 환기시킬 수 있 는 기회를 가지게 된다. 또한 개인들은 자신들이 정규적으로 거래하는 기 업과 접촉하여 손상된 신원정보나 진정성확인 자료들을 수정할 수 있게 된다. 따라서 데이터 침해통지법이 통지시간을 엄격하게 정해놓는 것은 매우 중요하다. 다른 대부분의 주와 마찬가지로 캘리포니아 주법도 공개는, 법집행의 정당한 필요성과 침해의 범위를 결정하고 데이터 시스템의 합리적인 안전 성을 복구하기 위하여 필요한 조치에 따라서, 가능한 한 가장 신속하게 그리고 불합리하게 지체되지 않게, 이루어져야 한다. 고 규정하고 있다 [Cal. Civ. Code (a)]. 이 규정은 하여금 범죄조사가 시작되는 동 안에 법집행기관으로 하여금 통지를 지연시킬 수 있도록 함으로써 범죄자 가 흔적을 없애지 않도록 하고 있다. 그런데 합리적인 지연을 허용하면서 가능한 한 가장 신속하게 공개토록 하는 것은 모호하거나 불명확하다

327 플로리다 주법은 통지시간을 주관적으로 정하는 접근방식을 취하는 캘 리포니아 주와 다르며 침해를 발견한 이후 45일 이내에 통지할 것을 규정 하고 있다[Fla. Stat (1)(a)]. 물론 플로리다 주법도 법집행을 위 한 통지연기를 규정하고 있지만, 기업들은 명확한 기간에 따라 통지법을 준수하면 된다. 물론 플로리다 주법의 경우에도 연기를 위하여 최대한 허 용될 수 있는 시간이 통지기간을 사실상 확장시키는 결과를 낳을 수 있다 는 결점이 있다. 따라서 기업은 좀 더 일찍 침해를 발견할 수 있었을 경 우에도 연기된 기간이 종료하는 시점까지 통지를 연기시킬 수 있다. 침해통지의 기간은 해당 개인에게 매우 중요한 의미를 지니고 해당 기 업에게도 명확한 기간을 지침으로 제공함으로써 개인과 한편으로는 침해 로 인한 혜택을 받고 다른 한편으로는 기업도 일정한 명확한 기간 내에 통지를 하게 할 필요성이 있다. 따라서 캘리포니아 주가 취하는 가능한 한 가장 신속하게 라고 하는 다소 주관적인 기준에 의한 접근방법과 플로 리다 주처럼 45일 이내 라는 접근방법을 통합한다면, 개인이나 기업에게 모두 도움이 될 수 있다. 예컨대 가능한 한 가장 신속하게 통지를 하여야 하지만 아무리 늦어도 침해를 발견한 이후 45일 이내라는 접근방법은 매 우 타당하게 된다. 이에 의하여 기업은 명확한 통지기간이라는 지침을 가 지게 되고 개인은 가능한 한 신속하게 통지를 받게 된다. (7) 통지의무 위반에 대한 책임 데이터의 보안성이 침해된 경우 그 침해사실을 해당 개인에게 통지를 하고 그 개인에게 발생할 수 있는 피해를 최소화하거나 예방하여야 하고, 따라서 통지를 하도록 의무를 부과하게 된다. 그런데 이러한 통지의무를 실제로 이루어질 수 있는가, 곧 통지를 하도록 하는 시스템이 효과적인 것으로 만드는 것은 통지를 하지 않았을 경우 이에 대하여 제재를 가하는 것이다. 대부분의 데이터 침해통지법들은 주 검찰총장이나 이와 유사한 기관에 의한 집행과 위반 시마다 일정한 벌금을 가하는 것을 규정하고 있

328 고, 많은 주들이 위반을 기만적인 상행위로 규정하고 있다. 또한 개인이 소송을 제기할 수 있는 여지가 없는 것이 대부분이며, 몇 몇 주들은 위반 행위에 대한 민사소송 자체를 명시적으로 배제하고 있다[Ariz. Rev. Stat (H)]. 몇 몇 소수의 주의 데이터 침해통지법은 민사소송에 의한 집행을 규정 하고 있다. 민사소송을 제기할 권리를 규정한 주로서는 캘리포니아, 하와 이, 일리노이, 루이지애나, 네바다, 뉴햄프셔 등 10여개 주이다. 캘리포니 아 주법은 본 법을 위반함으로써 피해를 입은 고객은 손해를 회복하기 위하여 민사소송을 제기할 수 있다 고 규정하고 있다[Cal. Civ. Code (b)]. 플로리다 주의 침해통지법을 위반하는 단체는 45일간의 기간을 초과한 이후 통지하지 않는 일당 1,000달러의 행정벌이 가하여진다[Fla. Stat (1)(b)(1)]. 45일 경과 후 공개하지 않는 기간이 30일을 초과하는 경우, 이후 30일당 5만 달러로 인상되며 최대한 50만 달러까지 부과될 수 있다[ Id (1)(b)(1)-(2)]. 이 같은 벌금에 의하여 데이터 침해를 숨길 것인지 아니면 공개할 것인지를 두고 고민하는 단체는 공개하도록 유도되지만, 침해를 공개하지 않음으로써 피해를 입을 수 있는 개인은 비 공개로 인하여 소송을 제기할 자격이 주어지지 않는다. 이에 반하여 캘리 포니아 주법은 데이터 침해통지법 위반으로 인하여 피해를 입은 개인이 손해를 배상받고 금지명령을 받을 수 있는 민사소송을 제기할 수 있도록 하고 있다. 곧 (i) 법을 위반함으로써 피해를 입은 고객은 손해를 회복하 기 위하여 민사소송을 제기할 수 있으며[Cal. Civ. Code (b)], (ii) 고의적이고 의도적이며 무모하게 조를 위반한 경우, 고객은 매 위 반시마다 3,000 달러를 초과하지 않는 민사벌을 청구할 수 있고, 그렇지 않은 경우 매 위반시마다 500달러까지 민사벌을 청구할 수 있으며[Cal. Civ. Code (c)], (iii) 법을 위반하거나 위반할 것을 제안하거나 위반하였던 기업은 위반행위가 금지될 수 있으며[Cal. Civ. Code (e)], (iv) 소송에서 승소한 원고는 자신의 변호사비용을 청구할 수

329 있다[[Cal. Civ. Code (e)]. 다. 한국의 데이터침해통지 한국에서는 데이터가 유출되었을 경우 이를 통지하도록 하는 입법이 아 직 존재하지 않는다. 그러나 최근 국회의 상임위원회(행정안전위회)를 통 과한 개인정보보호법안과 변재일의원의 개인정보보호법안은 데이터침해 통지제도를 도입하는 것을 포함하고 있다. 개인정보보호법안(정부안) 제32조(개인정보 유출 통지) 1 개인정보처리자는 개인정보가 유출되었 음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다. 1. 유출된 개인정보의 항목 2. 유출된 시점과 그 경위 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해구제절차 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부 서 및 연락처 2 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위 한 대책을 마련하고 필요한 조치를 하여야 한다. 3 제1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다. 제64조(과태료) 2 다음 각 호의 어느 하나에 해당하는 자에게는 3천만

330 원 이하의 과태료를 부과한다. 7. 제32조제1항을 위반하여 정보주체에게 같은 항 각 호의 사실을 알리 지 아니한 자 제48조(적용의 일부 제외) 2 영상정보처리기기 운영자의 경우에는 제15조ㆍ제21조ㆍ제26조제1항 및 제2항ㆍ제32조 및 제35조를 적용하지 아니한다. 정부의 개인정보보호법안은 (i) 개인정보처리자는 개인정보 유출 사실을 인지하였을 경우 지체 없이 해당 정보주체에게 관련 사실을 통지하도록 하고 피해의 최소화를 위해 필요한 조치를 하고, (ii) 개인정보 유출로 인 한 피해의 확산 방지를 위한 신속한 조치 및 정보주체의 효과적 권리 구 제 등에 기여할 수 있을 것으로 제안 이유를 밝히고 있다. 이 법안은 개 인정보를 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포 함) 로 정의하고 있다(안 2). 통지하여야 하는 사항으로서 (i) 유출된 개인 정보의 항목, (ii) 유출된 시점과 그 경위, (iii) 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보, (iv) 개인정보처리자의 대응조치 및 피해구제절차, (v) 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처를 정 하고 있지만, 통지의 시기, 방법 및 절차 등에 관한 사항을 대통령령으로 정하게 하고 있다. 의무의 집행은 3천만 원 이하의 과태료로 함으로써 미 국보다는 일반적으로 미약한 것으로 보인다. 개인정보보호법안(변재일 의원안)

331 제25조(개인정보 누출시의 통보 및 신고의무) 1 개인정보처리자는 개인 정보가 누출 분실 공개 도용(이하 누출등 이라 한다)된 사실을 안 때에 는 지체없이 피해를 최소화하기 위한 조치를 취하고 누출등 된 개인정 보의 항목, 누출등의 일시, 피해예방 및 확산방지 방법, 피해구제절차 등 을 대통령령으로 정하는 바에 따라 해당 정보주체에게 알려야 한다. 2 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 누출 등 된 경우에는 제1항의 조치결과를 지체없이 개인정보보호위원회에 신 고하여야 한다. 이 경우 개인정보보호위원회는 피해확산방지, 피해복구 등을 위한 기술을 지원할 수 있다. 3 개인정보보호위원회는 누출등의 원인을 조사하거나 피해확산을 방지 하기 위하여 필요한 경우에는 개인정보처리자 등에 대하여 자료 등의 제출을 요청할 수 있고 영업장 등을 방문하여 조사할 수 있다. 4 개인정보처리자가 제1항 및 제2항의 통지 신고 의무를 성실히 이행 한 경우에는 손해배상책임을 감경할 수 있다. 제74조(적용의 전부 또는 일부 제외) 2 개인정보처리자가 국가안전보장을 위하여 개인정보를 일시적으로 처 리하는 경우에는 제7조부터 제10조까지, 제11조, 제12조, 제14조, 제16조, 제18조, 제19조 및 제25부터 제27조까지를 적용하지 아니한다. 제84조(벌칙) 1 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다. 5. 제25조제1항을 위반하여 개인정보의 누출등 등을 정보주체에게 알리 지 아니하거나 제25조제2항을 위반하여 개인정보보호위원회 등에 신고 하지 아니한 자 위의 개인정보보호법안은 개인정보를 생존하는 개인에 관한 정보로서 해당 정보에 의하여 개인을 식별할 수 있는 것 으로 정의하면서, 해당 정

332 보만으로는 개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 개인정보에 해당하는 것으로 규정하고 있다(안 2). 따라서 정부안보다 개인정보의 범위가 넓다. 위 법안은 첫째, 통지의무를 위반하는 경우 3년 이하의 징역이나 3천만 원 이하의 벌금에 처함으로써 정부안보다 엄격하게 제안하고 있으며, 둘째, 개인정보처리자로 하여금 일 정한 정한 규모 이상의 개인정보가 누출된 경우에는 통지를 하였다는 조 치결과를 지체없이 개인정보보호위원회에 신고하도록 하고 있으며, 셋째, 개인정보보호위원회가 누출의 원인을 조사하거나 피해확산을 방지하기 위 하여 필요한 경우에는 개인정보처리자 등에 대하여 자료 등의 제출을 요 청할 수 있고 영업장 등을 방문하여 조사할 권리를 부여하고 있으며, 넷 째, 통지 신고 의무를 성실히 이행한 경우에는 손해배상책임을 감경할 수 있도록 하는 점에서 정부안과 차이가 있다. 라. 클라우드컴퓨팅과 데이터침해 클라우드컴퓨팅 환경하에서도 데이터는 당연히 침해될 수 있으며, 개인 정보와 같은 데이터가 침해된 경우 해당 개인에게 이를 통지할 필요가 있 다. 클라우드컴퓨팅 서비스제공자가 보유하고 있는 개인정보가 유출되었 을 경우 그 서비스 제공자가 데이터침해 통지제도에 따라 통지하는 것은 개인정보 소유자가 해당 개인에게 통지하는 것과 하등의 차이가 있을 수 없고, 한국에서 개인정보보호법이 발효하면 이에 대하여 당연히 적용될 것이다. 그런데 앞서 언급한 바와 같이 클라우드컴퓨팅에서는 이러한 데 이터 유출과는 다른 형태로 데이터가 유출될 수 있다. 클라우드컴퓨팅에서 데이터를 클라우드컴퓨팅 서비스 이용자만이 안전 하게 이용할 수 있도록 하는 것은 매우 중요한 의미를 가진다. 클라우드 컴퓨팅 서비스를 이용한다는 것은 첫째, 서비스 이용자가 보유하고 있던 데이터가 이용자로부터 멀리 떨어진 곳에 저장된다는 것과 둘째, 이용자 단독으로 보유하는 것으로부터 여러 이용자가 함께 사용하는 설비를 통하

333 여 보유하는 것을 의미한다. 바로 두 번째의 경우에 데이터 침해가 발생 할 수 있다. 302) 데이터가 유출된다는 것은 데이터를 보유하고 있던 자의 설비에서 다른 자의 설비로 옮겨졌다는 것을 의미하는데, 다른 자의 설비 로 옮겨짐으로써 데이터는 악용될 가능성이 있고 이를 방지하기 위하여 개인정보 등의 해당자에게 통지하도록 하는 데이터침해 통지제도가 시행 된다. 많은 이용자들이 이용하는 클라우드컴퓨팅 환경, 특히 공공 클라우 드컴퓨팅에 있어서 각 이용자들은 자신의 데이터에 대해서만 접근할 수 있어야 하는 것이며 다른 이용자의 데이터에 접근할 수 있다면 데이터가 침해되거나 유출되어 데이터 해당자에게 피해가 발생할 수 있다. 클라우드컴퓨팅에서 데이터가 유출되는 것은 어느 이용자가 자신의 드 라이브를 삭제하였는데 다른 이용자가 새로운 드라이브를 만드는 경우이 다. 303) 삭제된 드라이브와 새로이 만들어진 드라이브는 겹칠 수 있고 이 과정에서 과거의 드라이브에 있었던 데이터가 새로이 만들어진 드라이브 에 남게 되어 데이터가 유출될 수 있다. 이러한 데이터 유출을 해결하기 위하여 다음과 같은 2가지 해결책이 제 시되고 있다. 304) 첫째, 비밀 데이터를 운영체제 내에서 암호화하여 저장하 거나 모든 운영체제나 파일구조 자체를 완전히 암호화하는 것이다. 클라 우드컴퓨팅에서의 데이터 유출이 어느 이용자의 데이터가 그 이용자의 설 비(드라이브 등 그 이용자가 접근하는 설비) 등에서 다른 이용자의 설비 로 옮겨진다는 것을 의미한다면, 데이터를 암호화하더라도 데이터가 다른 이용자에게 유출되는 것은 차이가 없다. 그러나 데이터를 암호화하는 경 우 유출된 데이터의 암호를 풀 수 없다면, 그 데이터는 그 다른 이용자에 게 아무런 의미 없는 데이터에 해당하게 되고 그 이용자로부터 추가적으 로 유출될 수 없게 된다. 암호화하는 방법에 의한 데이터 유출의 방지는 다음과 같은 2가지 단점이 지적되고 있다. 305) 첫째, 암호화는 서비스이용 302) Patrick Baillie, Security in a Public IaaS Cloud Part 3: Data Storage. 303) Id. 304) Id. 305) Id

334 자에 의하여 적극적으로 이루어져야 하는데, 서버가 매우 자주 새로이 생 성되고 없어지는 동적인 클라우드컴퓨팅 환경하에서 암호화하는 것이 그 리 쉽지 않다는 점이다. 둘째, 암호화에 의하여 데이터의 유출을 방지하고 있다면, 만약 서버에 문제가 생겨서 서버를 재부팅하는 경우 이용자가 암 호화된 데이터에 접근하기 위하여 비밀번호 등을 수동적으로 입력하여야 하는데 대부분의 이용자들에게 이 같은 작업은 매우 번거로울 수밖에 없 으며 따라서 클라우드컴퓨팅 이용을 방해하는 결과를 야기할 수 있다. 둘째, 서비스제공자의 단계에서 가상의 하드 드라이브를 완전히 암호화 하는 것이다. 드라이브는 시스템 내에서 완전히 암호화되고 암호화되어 저장된 데이터는 이용자의 서버를 통하여 이용자가 접근하고자 하는 경우 접근을 가능하게 한다. 이러한 방법을 사용한다면 이용자가 번거롭게 개 입하지 않아도 되는데, 서비스제공자는 이용자가 서비스를 이용하는 경우 데이터를 암호화할 것인지 여부를 선택하게 하는 서비스를 제공할 수 있다. 제 3 절 법제 개선방안 최근 IT 영역에서 가장 각광받고 있는 분야 중 하나가 클라우드 컴퓨팅 이다. 망의 고도화와 가상화 기술의 발전, 경제위기에 따른 IT비용 절감 압력, 그린 IT 트렌드와 맞물려 클라우드 컴퓨팅에 대한 관심이 크게 늘 어나고 있다

335 그림7-8 IDC는 향후 5년간 클라우드컴퓨팅 서비스에 대한 지출이 급증해 2013 년 442억 달러에 이를 것으로 전망하고 있다. IT시장에서 차지하는 비율 도 2008년 9%에서 2012년 25%로 크게 높아질 것으로 예측된다. 하지만 국내에서 클라우드컴퓨팅이 본격적인 성장단계로 진입하기 위해서는 먼저 사용자들이 갖고 있는 몇 가지 우려를 해소시키는 과제가 남아 있다는 것 이 전문가들의 지적이다. 306) 306) 클라우드 컴퓨팅에 대해 사용자들이 가진 우려는 서비스 안정성 여부, 정보에 대한 불안감, 서 비스 전환의 어려움으로 요약할 수 있다. 아마존의 서버 및 스토리지 컴퓨팅 서비스인 `S3 서 비스'가 2008년 2월 15일 2시간가량 중단되면서 수천 개의 기업, 30여만 명의 사용자가 피해를 입었다. 사고는 2시간에 불과했지만, 은행과 같이 중요한 업무를 수행하는 기업은 피해가 매우 클 수 있다. 이같은 사례를 보면서 사용자들은 서비스의 안정성에 우려를 느낄 수밖에 없다. 두 번째는 클라우드 속에 던져진 자료와 정보에 대한 불안감이다. 사용자들은 자신의 핵심 데 이터와 정보를 외부 서버에 저장하는데 우려를 갖고 있다. 분산 컴퓨팅과 가상화를 통해 IT자 원의 효율성을 극대화시키는 특성상 사용자는 자신의 핵심적인 데이터가 어디에 저장돼 있고,

336 클라우드컴퓨팅은 개인 혹은 기업 사용자가 기존에 개별적으로 보유하 던 시스템, 콘텐츠, 네트워크, 소프트웨어 등의 IT 자원을 인터넷환경으로 서 제3의 영역인 클라우드에 두고 클라우드컴퓨팅 사용자가 언제 어디서 나 인터넷으로 접속해 필요한 만큼 사용하는 형태의 개념이라 할 수 있 다. 다시 말해서 마치 대형 전력회사에서 전기를 받아쓰듯 중앙 집중화된 빌려 쓰는 것, 즉 IT 자원을 구매하거나 소유할 필요 없이 필요한 만큼 사용료를 주고 사용하는 개념이 바로 클라우드컴퓨팅이라고 할 수 있 다. 307) 여전히 기술적으로나 개념적으로 지속적으로 진화하고 있으며 아 직 보편적인 개념 정의가 이루어지지 않고 있는 게 사실이지만, 클라우드 컴퓨팅은 일반적으로 개인 혹은 기업이 지금까지 개별적으로 보유하던 시스템, 네트워크, 소프트웨어, 콘텐츠 등 컴퓨팅 자원을 제3 영역 즉, 컴 퓨팅기능이 내포된 인터넷환경인 클라우드 영역에 두고 이용자가 언제 어 디서나 인터넷으로 접속해서 필요한 만큼 사용하는 형태의 서비스 로 이 해되고 있는 실정이다. 이러한 클라우드컴퓨팅에서 정보보호 관련 현행법의 적용 여부를 검토 하면 다음과 같다. 표7-6 정리 1. 서비스 2. 제공방식 운영자의 5. 지위 사용자의 지위 12. 개인 13. 영리를 목적으로 8. public cloud 9. private cloud 10. 클라우드 컴퓨팅 사업자 14. 정보보호법 규율 공백 15. (사용자 규율 보완 요) 11. 클라우드 서비스 사용자 16. 정보보호법 적용 불가 17. (운영자 규율상 입법공백) 어떻게 관리되고 있는지 알 수 없다. 또 하나는 낮은 표준화에 따른 서비스 전환의 어려움이 다. 대부분의 클라우드 사업자는 자체 플랫폼을 통해 서비스를 제공하고 있다. 개발자들은 사 업자가 제공하는 개발환경에서 이들이 제공하는 가이드라인과 룰에 따라 애플리케이션을 개발 하며, 한 클라우드에 속한 사용자들은 다른 클라우드로 전환이 어렵다. 사용자 입장에서는 중 장기적으로 하나의 클라우드 사업자에 종속될 수 있다는 우려가 있다; 디지털타임스 2010년 5 월 14일 6면 기사. 307) See generally Nicholas G. Carr, IT Doesn"ft Matter, HBR,

337 18. 정보통신서비스 20. 정보보호법 적용 21. 정보보호법 적용 19. 제공자 등인 대상 대상 기업 24. 정보보호법 규율 26. 정보보호법 적용 22. 정보통신서비스 공백 대상 23. 제공자 등이 25. (사용자 규율 보완 27. (운영자는 아닌 기업 정보통신서비스 요) 제공자로 전환됨) 30. 개인정보법 적용 32. 개인정보법 적용 28. 공공기관 가(사용자) 대상 29. (공공금융기관 31. 정보보호법 적용 33. 정보보호법 적용 제외) 가(운영자) 불가 34. 신용정보회사 등 35. 신용정보법 적용 가(사용자) 36. 정보보호법 적용 가(운영자) 37. 정보보호법 적용 가능 38. 신용정보법 적용 가능 운영자: 정보통신서비스 제공자 / public cloud의 경우 개인정보 처리수탁자 보보호법상 처리위탁에 해당하지 않음 사용자: 개인정보 취급자 정 이와 같은 측면에서 다음과 같이 클라우드컴퓨팅 서비스 관련 법제도적 보완이 요구된다. 첫째, 정보보호와 관련하여 클라우드 서비스 사용자가 정보통신서비스 제공자 등에 해당하지 않는다 하더라도 개인정보 취급에 관한 법적 의무 와 책임이 규정되어야 할 것이며, 클라우드 서비스 운영자의 경우 정보 통신망 이용촉진 및 정보보호 등에 관한 법률 및 신용정보의 이용 및 보호에 관한 법률 의 적용이 가능하지만 클라우드 서비스 운영자가 공공 기관의 개인정보보호에 관한 법률 에 따른 공공기관에 해당하는 때는 예 컨대 정보보호 안전진단이나 정보보호 관리체계 인증 등 정보보안에 미약 한 부분이 존재하므로 이를 메울 법규 마련이 요구된다. 둘째, 정보의 물리적 위치에 따른 관할권의 경우 현실적으로 큰 혼란을 야기할 수 있는 문제이지만 법리적으로는 재판관할 자체의 문제라기보다 는 실효성 확보를 위한 집행의 문제라 할 것이므로 다른 나라와의 공조를

338 구할 수 있는 협력체제의 법제적 모색이 요청된다고 여겨진다. 셋째, 규범적으로는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 에 국외 개인정보 이전에의 제한 및 개인정보 보호조치 의무가 설정되어 있으므로 이로써 클라우드 서비스 운영자의 개인정보 국외 이전은 규율될 수 있겠으나, 정보통신서비스 제공자 등에 해당하지 않는 클라우드 서비 스 사용자 기업에 대하여는 이를 적용할 수 없는 까닭에 클라우드 서비스 사용자에 관한 개인정보 보호의무의 설정과 이에 따른 개인정보의 국외이 전에 관한 제한을 규율하는 것이 필요하다고 판단된다. 넷째, 정보의 보존 복구 및 폐기에 있어 보존기간의 타당성 및 법률간 조화를 위하여 보존하는 자료의 중요성, 보존해야 하는 이유 등을 검토할 필요가 있으며, 개별법마다 자료보관의 기간이나 기준이 상이한 부분에 대한 일관성 제고가 요청된다고 할 것이다. 또한 법률상 클라우드 서비스 이용자의 권리를 명시하고 이로써 저장정보의 보존원칙에 따른 클라우드 서비스 운영자의 의무가 지정되는 한도 내에서 예외적으로 그 폐업 파산 시 최종 이용자가 클라우드 서비스 운영자의 이용권을 대위하여 해당 정 보의 열람 이전 제공 및 삭제 등을 청구할 수 있는 권한을 부여하는 방안 을 도출해볼 수 있을 것이다. 다섯째, 현재의 KISA 정보보호 관리체계(ISMS) 인증 제도를 보완하여 활용하는 방안과 별도의 독립적인 보안 인증 제도를 수립하는 방안이 고 려될 수 있겠으나, 각 장 단점이 존재하므로 컴퓨팅 서비스의 품질을 포 함한 주요 영역을 다루는 포괄적인 인증체계를 도입하고 보안을 그 중 하 나의 요소로 고려하는 방안이 고려될 수 있다고 본다. 여섯째, 이용자가 자신의 데이터가 어디에 보관되고 어떻게 관리되고 있는지 알기 어려운 클라우드컴퓨팅 서비스의 특성 상 클라우드 서비스 사용자 기업의 기업 정보보호를 위한 제도적 보완도 시급하다고 할 것이 다. 이를 위해 클라우드 서비스 운영자의 영업비밀 유출방지를 위한 의무 조항을 설정하고 이에 대한 법적 책임기준을 마련할 입법수요가 존재한다 는 점을 고려해야 할 것이다

339 일곱째, 이러한 보완법규는 정보통신서비스 제공자와 이용자 상호간의 법적 규율을 다루는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 에 수용하기에는 분명히 내적 한계가 있는 측면이라는 점을 고려하여 클 라우드컴퓨팅 서비스 전반에 관하여 산업적으로 지원하고 장려하는 차원 에서의 조성행정적 조장행정적 규율과 아울러 법적 책무의 근거와 이행 확보수단의 강구 등을 규정하는 입법정책적 대응을 적절한 제도적 논의로 이어가야 할 사항이라 생각한다. 물리적인 한계 자원을 논리적으로 분할 하여 사용하거나 물리적으로 다른 여러 자원을 논리적으로 통합하는 가상 화 개념이 클라우드컴퓨팅의 핵심기술이므로 이를 통해 복잡한 IT 인프라 구조를 가상시스템환경으로 단순화하고 이로써 클라우드컴퓨팅 기술을 이 용하여 IT융합으로 에너지자원의 효율적 이용을 극대화하고 저탄소 사회 전환을 촉진하며 실시간 환경감시 및 조기 재난대응체계를 마련하여 기후 변화 대응력을 강화하는 Green IT 구현이 가능하기 때문이다. 살피건대, 이와 같은 관점에서 입법적 대응은 정보프라이버시에 관한 클라우드컴퓨 팅 규제에 함몰되지 않으면서 산업진흥과 기술촉진에 관한 사항을 아우르 는 법제적 현실을 구축하고 이를 바탕으로 새로운 정보환경을 선도하는 기틀을 삼아야할 것이다

340 제8장 클라우드컴퓨팅 서비스의 저작권 이슈 제1절 서론 클라우드컴퓨팅(cloud computing)에 소프트웨어를 사용하는 것이 그 중 심에 있으며 이러한 사용에 기초하여 많은 정보 내지 콘텐츠가 서비스 제 공자의 서버에 올려지며 이러한 정보들은 또 다른 이용자들에게 제공된 다. 또한 클라우드컴퓨팅 서비스를 이용하거나 제공하는 과정에서 특허를 받을 수 있는 일정한 방법이 사용될 수 있고, 타인의 상표를 이용한 서비 스 이용이나 제공이 있을 수 있다. 따라서 클라우드컴퓨팅에 있어서는 지 적재산권 문제가 발생할 수밖에 없는데, 가장 빈도가 높은 것은 저작권이 될 수밖에 없다. 가장 일반적인 저작권 문제는 SaaS를 중심으로 발생하는 소프트웨어 저작권 문제가 될 것이다. 클라우드컴퓨팅, 특히 SaaS는 이용 자들이 희망하는 소프트웨어를 언제 어디서나 이용할 수 있도록 하기 위 한 것이고 이를 위해서는 소프트웨어가 다운로드 형태가 아닌 스트리밍 형태 등으로 제공될 수밖에 없고, 이 과정에서 소프트웨어를 이용자 컴퓨 터 RAM에 일시적으로 복제하게 된다. 클라우드컴퓨팅에서는 서비스 제공자도 현행 저작권법이 정의하고 있는 OSP가 될 수 있고 저작권 침해책임을 부담할 수 있다. 서비스 이용자가 제공자의 서버에 저작권을 침해하는 자료를 올려놓았을 경우 서비스 제공 자는 저작권법이 요구하고 있는 OSP의 의무를 이행하여야 침해책임을 감 경받거나 면제받을 수 있게 될 것이다. 클라우드컴퓨터 서비스 제공자도 OSP가 될 수 있지만, 현재의 OSP와는 다른 성격을 가지는 서비스 제공 자도 존재할 수 있으므로, 클라우드컴퓨팅을 진작시키기 위해서는 OSP로 서의 책임감면을 보다 확대하는 정책적인 노력이 요구된다. 클라우드컴퓨팅에서 빈번하게 발생할 것으로 예상되는 저작권 쟁점 중

341 의 하나는 서비스 제공자의 서버에서 운영되거나 저장되어 있는 저작물에 대하여 누가 저작권을 가지는가의 문제가 될 것으로 예상된다. 서비스 이 용자는 서비스 제공자의 서버에서 소프트웨어를 운용하거나 일정한 저작 물을 올려놓는 것이 일반적일 것인데, 서비스 제공자가 서비스 제공의 특 성상 이러한 소프트웨어나 저작물에 대하여 일정한 변형을 가하는 경우가 있을 수 있다. 요컨대 서비스 제공자의 서버에 올라가 있는 저작물이나 서비스 제공자가 변형을 가한 저작물(개작물 내지 2차적 저작물)에 대하 여, 누가 저작권을 가지는가에 대하여 당사자들이 합의(계약)에 의하여 정 하지 않았다면, 창작자 원칙 및 판례에 따라 결정될 것이다. 클라우드컴퓨팅에 있어서 발생할 수 있는 지적재산권 쟁점은 저작권에 한정되는 것은 아니며 상표법, 영업비밀, 특허법 영역에서도 발생할 수 있 다. 곧 서비스 제공과정에서 상표를 키워드(key word)로 검색한 경우 상 표권자와 경쟁하는 자의 광고가 배너형태로 나타나는 경우에는 상표권 침 해여부가 문제된다. 클라우드컴퓨팅 서비스 이용자가 자신이 소유하는 영 업비밀을 서비스 제공자의 서버에 올려놓는 경우 영업비밀의 지위를 상실 한 것인지 여부가 문제된다. 또한 클라우드컴퓨팅 서비스를 제공하거나 이 용하는 과정에서 특정한 방법이 사용될 수 있는데, 인터넷이나 컴퓨터 이용 등과 관련하여 사용되는 방법이 특허요건을 충족한 경우, BM(business method) 특허 문제가 발생할 수 있다. BM 특허는 클라우드컴퓨팅에 한정 하여 발생하는 문제는 아니므로, BM 특허를 제외한 나머지 쟁점들을 살펴 보기로 한다. 제2절 SaaS와 저작권 1. 서론

342 SaaS(Software as a Service)는 웹에 바탕을 둔 서비스로서 원거리에서 소프트웨어와 소프트웨어가 제공하는 기능에 접근하도록 하는 일종의 소 프트웨어 제공방법이다. 308) 여기에 해당하는 것으로서 Facebook, YouTube, 웹메일, Amazon.com 등을 들 수 있다. 여기에 있어서는 이용자가 인터넷 을 통하여 온라인상의 서비스를 쌍방향적으로 이용하며 서비스제공자는 이용자가 필요로 하는 소프트웨어를 제공하며 데이터를 저장할 수 있게 한다. 여기에 저장될 수 있는 것으로는 이용자가 작성하는 서류, 이용자 개인 신상에 관한 사항, 신용카드번호와 같은 이용자의 금융정보 등이 있 을 수 있다. 309) 이용자는 직접 SaaS 서비스를 이용하기 때문에 이용자와 서비스제공자 사이에 제3자가 존재하지 않으며 서비스제공자가 이용자가 필요로 하는 응용소프트웨어를 소유하고 작동시키며 이용자의 요구에 따라 언제든지 이용할 수 있는 상태로 제공한다. SaaS에 있어서는 응용 소프트웨어가 인 터넷상에서 이용자의 요청(on demand)에 따라 인터넷상에서 언제든지, 어디서든지 제공되며, 이용자는 소프트웨어에 대한 이용허락을 받거나 업 데이트(최신화) 등 이를 유지하기 위한 노력을 기울일 필요가 없다. 2. 접근통제 클라우드컴퓨팅 서비스에 있어서 이용자는 자신이 필요로 하는 응용 프 로그램을 언제든지 어디서든지 이용할 수 있으며, 서비스제공자는 이러한 이용자를 위하여 언제든지 응용 프로그램을 이용할 수 있는 상태에 있게 한다. 또한 이용자는 자신이 필요한 만큼 기술을 이용하고 이용한 만큼에 대해서만 이용료를 지급하게 된다. 이용자는 서비스를 이용하기 위하여 서비스제공자에 대하여 일정한 계정을 만들고 이 계정에 의하여 일정한 아이디나 비밀번호를 입력함으로써 서비스를 이용하게 되는데, 여기에 관 308) Webopeia, 309) Martin,

343 계되는 저작권법 쟁점 중의 하나가 바로 접근통제(access control)이다. 서비스에 접근하도록 하기 위하여 요구하는 아이디나 비밀번호는 가장 대표적인 접근통제적 기술적 보호조치(technological measure)에 해당한 다. 기술적 보호조치는 1 저작권을 보호하기 위한 것(권리통제 또는 이 용통제, copy control, use control)과 2 접근을 통제하기 위한 것(접근통 제, access control)으로 분류된다. 기술적 보호조치도 어디까지나 기술이 고 기술을 무력화(회피, 우회, 제거, 손상, 변경 등 포함)시키는 것이 가능 하고 따라서 기술적 보호조치에 관한 입법은 디지털환경에서 저작물을 보 호하기 위하여 기술적 보호조치를 무력화시키는 것을 금지하는 것을 내용 으로 한다. 기술적 보호조치 입법은 저작권을 보호하거나 접근을 통제하 기 위한 기술적 보호조치를 무력화시키는 것 자체를 불법화시키거나 이러 한 무력화행위의 예비적 행위로서 무력화행위를 가능하게 하는 도구 등의 거래를 불법화시키는 것을 내용으로 한다. 한국의 저작권법은 저작권을 보호하기 위한 기술적 보호조치를 무력화 시킬 수 있는 도구의 거래 만을 금지하고 있다. 곧 기술적 보호조치는 저 작권 그 밖에 이 법에 따라 보호되는 권리에 대한 침해 행위를 효과적으 로 방지 또는 억제하기 위하여 그 권리자나 권리자의 동의를 얻은 자가 적용하는 기술적 조치로 정의되어 있고(저 2 xxviii), 정당한 권리 없이 저작권 그 밖에 이 법에 따라 보호되는 권리의 기술적 보호조치를 제거 변경 우회하는 등 무력화하는 것을 주된 목적으로 하는 기술 서비스 제품 장치 또는 그 주요 부품을 제공 제조 수입 양도 대여 또는 전 송하는 행위는 저작권 그 밖에 이 법에 따라 보호되는 권리의 침해로 본 다( 124 II). 저작권법 제2조 (정의) 28. "기술적보호조치"는 저작권 그 밖에 이 법에 따라 보호되는 권리에 대한 침해 행위를 효과적으로 방지 또는 억제하기 위하여 그 권리자나 권리자의 동의를 얻은 자가 적용하는 기술적 조치를 말한다

344 제124조 (침해로 보는 행위) 2정당한 권리 없이 저작권 그 밖에 이 법에 따라 보호되는 권리의 기 술적 보호조치를 제거 변경 우회하는 등 무력화하는 것을 주된 목적으 로 하는 기술 서비스 제품 장치 또는 그 주요 부품을 제공 제조 수입 양 도 대여 또는 전송하는 행위는 저작권 그 밖에 이 법에 따라 보호되는 권리의 침해로 본다. 예컨대 영화라는 콘텐츠가 복제되지 못하도록 콘텐츠에 기술이 적용되 어 있는 경우 복제를 가능하게 하는, 곧 기술적 보호조치를 무력화시킬 수 있는 소프트웨어를 제공하는 행위 등은 저작권 침해로 간주되며, 이러 한 소프트웨어를 이용하여 콘텐츠를 복제하는 행위 자체는 저작권 침해가 인정되거나 부인될 수 있다. IaaS에 의한 서비스를 제공하기 위한 아이디 나 비밀번호 등이 접근통제적 기술적 보호조치 에 해당하고 이러한 기술 적 보호조치를 무력화하거나 이러한 무력화를 가능하게 하는 소프트웨어 나 기술을 제공하는 행위 등은 현행 저작권법의 규율대상이 되지 않는다. 접근통제는 정보에 대한 독점적 권리의 창조(정보의 독점화), 저작권 제 한규정의 무력화, 경쟁 및 혁신의 억제 등의 문제점을 불러오는 반면에, 저작권자의 보호, 가격차별화, 거래비용의 감소, 자동화된 권리관리체계의 실행, 저작물 이용행위의 통제 등 디지털환경에서 중요한 역할을 수행한 다. SaaS에서 볼 수 있다시피 접근통제는 디지털경제에서 핵심적인 역할 을 할 수 있다. 다만 접근통제기술이 통제하는 것은 저작권에 의하여 보 호되는 콘텐츠 내지 저작물이라기보다는 응용 프로그램인 경우가 일반적 이지만, SaaS 서비스 이용자가 다른 이용자에게 콘텐츠를 제공하기 위하 여 SaaS 서비스를 이용하는 경우와 같이 저작물에 대한 접근을 통제하는 기술적 보호조치일 경우도 얼마든지 존재할 수 있다. 현행 저작권법은 권리통제적 기술적 보호조치의 무력화에 대해서만 규 정하고 있지만 한미자유무역협정(KORUS FTA)은 접근통제적 기술적 보 호조치의 무력화도 금지하고 있다. 곧 권리통제적 기술적 보호조치를 무

345 력화시킬 수 있는 도구의 거래금지 이외에 접근통제적 기술적 보호조치를 무력화시키는 행위와 무력화시키기 위하여 사용되는 도구의 거래를 금지 하고 있다. KORUS FTA (a) In order to provide adequate legal protection and effective legal remedies against the circumvention of effective technological measures that authors, performers, and producers of phonograms use in connection with the exercise of their rights and that restrict unauthorized acts in respect of their works, performances, and phonograms, each Party shall provide that any person who: (i) knowingly, or having reasonable grounds to know, circumvents without authority any effective technological measure that controls access to a protected work, performance, phonogram, or other subject matter; or... shall be liable and subject to the remedies set out in Article XX (f) Effective technological measure means any technology, device, or component that, in the normal course of its operation, controls access to a protected work, performance, phonogram, or other protected subject matter, or protects any copyright or any rights related to copyright. 저작권법 개정안 제2조 (정의) 28. 기술적 보호조치 는 다음 각 목의 어느 하나에 해당하는 조치를 말 한다. 가. 저작권 그 밖에 이 법에 따라 보호되는 권리에 의하여 보호되는 저

346 작물 등에의 접근을 효과적으로 통제하기 위하여 그 권리자나 권리자의 동의를 얻은 자가 적용하는 기술 장치 또는 부품 나. 저작권 그 밖에 이 법에 따라 보호되는 권리에 대한 침해 행위를 효 과적으로 방지 억제하기 위하여 그 권리자나 권리자의 동의를 얻은 자 가 적용하는 기술 장치 또는 부품 제104조의2(기술적 보호조치 무력화 등의 금지) 1 누구든지 정당한 권 한없이 고의 또는 과실에 의하여 제2조제28호 가목의 규정에 따른 기술 적 보호조치를 제거 변경 우회하는 등 무력화하여서는 아니된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다 누구든지 정당한 권한없이 기술적 보호조치를 무력화하는 것을 주된 목적으로 하는 기술 서비스 제품 장치 또는 그 주요부품을 제공 제조 수 입 양도 대여 또는 전송하는 행위를 하여서는 아니 된다. KORUS FTA를 이행하기 위하여 제출되었던 저작권법 개정안(2007년 10월 제출)에 의하면 정당한 권한 없이 고의 또는 과실에 의하여 접근통 제적 기술적 보호조치(저작권 그 밖에 이 법에 따라 보호되는 권리에 의 하여 보호되는 저작물 등에의 접근을 효과적으로 통제하기 위하여 그 권 리자나 권리자의 동의를 얻은 자가 적용하는 기술, 장치 또는 부품)와 권 리통제적 기술적 보호조치(저작권 그 밖에 이 법에 따라 보호되는 권리에 대한 침해 행위를 효과적으로 방지 억제하기 위하여 그 권리자나 권리자 의 동의를 얻은 자가 적용하는 기술, 장치 또는 부품)을 제거, 변경, 우회 하는 등 무력화하는 행위는 금지되며, 정당한 권한 없이 기술적 보호조치 를 무력화하는 것을 주된 목적으로 하는 기술, 서비스, 제품, 장치 또는 그 주요부품을 제공, 제조, 수입, 양도, 대여 또는 전송하는 행위를 금지하 고 있다(개정안 2 xxviii, 104조의 2). 따라서 KORUS FTA가 비준되어 이행되면 IaaS 서비스에 적용되는 접근통제적 기술적 보호조치를 무력화

347 시키거나 무력화시키는데 사용되는 소프트웨어 등을 거래하는 행위는 금 지된다. 물론 이러한 금지에 대해서는 일정한 예외가 인정되고 있다. 3. 클라우드컴퓨팅과 일시적 복제 SaaS는 웹상에서 이용자가 자신이 원하는 시간과 장소에서 응용 프로 그램을 이용하는 것을 기본적인 내용으로 하는 것으로서, 이용자가 소프 트웨어를 이용자의 PC에 저장하지 않고서도 이를 이용할 수 있도록 한 다. 이용자는 웹상 제공되는 응용 소프트웨어를 이용하여 문서를 작성하 는 등의 작업을 한 후 작업결과를 클라우드컴퓨팅 서비스제공자의 서버 (곧 클라우드)에 저장할 수도 있다. 여기서 문제되는 것이 소프트웨어의 일시적 복제이다. 일시적 복제는 일반적으로 컴퓨터 RAM에 복제되는 것을 의미한다. RAM에 저장되어 있는 자료는 새로운 자료로 신속하게 대체되거나 RAM 에 공급되는 전원이 끊어지는 경우 사라지기 때문에, RAM에 저장된 것 은 보통 일시적인 것이 된다. 컴퓨터는 프로그램을 하드웨어에 복제한 이 후 프로그램을 이용할 때마다 프로그램을 RAM에 복제한다. 컴퓨터프로 그램 복제물의 정당한 소유자가 컴퓨터프로그램을 이용하는 과정에서 컴 퓨터가 RAM에 프로그램을 일시적으로 저장하는 것은 저작권자의 경제적 이익을 손상하는 것이 되지 않으며 현재의 기술로는 프로그램을 RAM에 올려서 이용할 수밖에 없다. 따라서 컴퓨터 프로그램의 소유자가 하드웨 어에 저장되어 있는 프로그램을 RAM에 일시적으로 복제하여 사용하는 것은 아무런 문제가 되지 않는다. 그러나 다른 컴퓨터로부터 컴퓨터프로그램을 특정 컴퓨터의 RAM으로 가져와서 이용하는 경우는 사정이 전혀 다르게 된다. 이용자가 컴퓨터 프 로그램을 다른 컴퓨터에서 자신의 컴퓨터 RAM으로 가져와서 사용하는 것과 컴퓨터프로그램을 자신의 PC에 저장하여 RAM으로 가져와서 사용 하는 것은, 이용자의 입장에서 보면, 그 기능적인 측면에서 사실상 아무런

348 차이가 없다. 다른 컴퓨터에서 프로그램을 자신의 컴퓨터 RAM으로 스트 리밍(streaming)의 형태로 가져와서 사용하는 것은 얼마든지 가능하며 소 프트웨어를 이러한 형태로 이용하는 것을 소프트웨어 스트리밍이라고 한 다. 스트리밍은 다운로딩과 달리 모든 파일이 이용자의 컴퓨터에 전송되 지 않더라도 재생이 가능하며 재생된 이후에 이용자의 컴퓨터에 파일이 남아있지 않게 된다. SaaS와 같은 클라우드컴퓨팅에 있어서 이용자는 서 비스제공자가 제공하는 응용 프로그램을 이용하는데, 이용자가 이러한 응 용 프로그램을 이용하는 것은 스트리밍의 형태에 의한 것이 된다. 이 때 응용 프로그램 내지 소프트웨어는 이용자의 컴퓨터의 RAM에 저장되는 것이고 RAM에 저장되는 소프트웨어는 컴퓨터를 끄게 되면 사라지므로 SaaS에서는 일시적 복제의 문제가 발생할 수밖에 없다. 일시적 복제 문제는 1990년대 말부터 한국에서 상당히 많은 논란이 이 루어져 왔으나, 한미 FTA가 일시적 복제도 복제의 개념에 포함되는 것으 로 규정함으로써[ ] 더 이상 논란이 되지 않는다. KORUS FTA Each Party shall provide that authors, performers, and producers of phonograms have the right to authorize or prohibit all reproductions of their works, performances, and phonograms, in any manner or form, permanent or temporary (including temporary storage in electronic form). 310) 일시적 복제도 복제의 개념에 포함된다는 것은 저작권자가 일시적 복 310) Each Party shall confine limitations or exceptions to the right described in this paragraph to certain special cases that do not conflict with a normal exploitation of the work, performance, or phonogram, and do not unreasonably prejudice the legitimate interests of the right holder. For greater certainty, each Party may adopt or maintain limitations or exceptions to the right described in this paragraph for fair use, as long as any such limitation or exception is confined as stated in the previous sentence

349 제에 대해서도 통제할 수 있다는 것으로서 저작권의 확대 강화를 의미한 다. 일시적 복제의 인정 여부에 대해서는 더 이상 논의할 필요가 없으나, 앞으로 일시적 복제와 관련되는 쟁점은 일시적 복제의 인정으로 발생할 수 있는 문제점을 어떻게 해결하는가 여부이다. 예컨대 SaaS에서 소프트 웨어를 웹상에서 제공한다면 서비스 제공자는 소프트웨어에 대한 저작권 자이거나 최소한 자신의 서버에 소프트웨어를 복제하거나 전송을 위하여 이용허락을 받았을 것이고 이에 기초하여 클라우드컴퓨팅 서비스 이용자 에게 과금을 하게 될 것이다. 그런데 전송권자와 복제권자가 각기 다른 경우, 전송권자는 서비스제공자로부터 전송하는 것에 대하여 이용료를 징 수할 것이고, 복제권자는 서비스 제공자의 서버 복제행위에 대하여 이용 료를 징수할 수 있을 뿐만 아니라 이용자의 일시적 복제행위에 대해서도 이용료를 징수할 수 있게 된다. 클라우드컴퓨팅 서비스 이용자의 입장에 서 보면 전송에 대하여 이용료를 지급할 뿐만 아니라 이러한 전송행위에 부수하여 이루어지는 일시적 복제행위에 대해서도 이용료를 지급하는 것 이 되어 이중( 二重 )의 이용료 지급이 있게 된다. 물론 복제권과 전송권은 별개의 것이므로 이론적으로는 이중의 지급이 아니지만 위의 사례에 있어 서는 사실상 이중의 이용료 지급이 이루어지는 것이다. 클라우드컴퓨팅 서비스가 광범위하게 이루어지고 복제권자와 전송권자가 서로 다르다면 이러한 현상이 일어날 가능성이 매우 높다. 따라서 일시적 복제에 있어서 는 일시적 복제권을 어떻게 제한할 것인가가 중요한 쟁점이 된다. 한미 FTA를 반영하기 위하여 상정되었던 저작권법 개정안은 복제를 인쇄 사 진촬영 복사 녹음 녹화 그 밖의 방법에 의하여, 일시적 또는 영구적으 로 유형물에 고정하거나 유형물로 다시 제작하는 것 이라고 하여 일시적 복제를 인정하면서(개정안 2 xxii), 다른 한편으로는 컴퓨터 등을 통하여 정당하게 저작물을 이용하는 기술적 과정의 일부로서 복제물이 만들어지 는 것이 필수적으로 요청되는 경우에는 이를 일시적으로 복제할 수 있다. 다만, 불법 복제물로부터 일시적 복제가 일어나는 경우에는 그러하지 아니 하다 고 규정함으로써( 35조의 2), 적법한 서비스에 부수하여 이루어지는

350 일시적 복제에 대한 저작권 침해책임을 부정하고 있다. 클라우드 컴퓨팅 서비스 제공에 있어서는 일시적 복제에 대한 이러한 예외가 인정되더라도 저작권 쟁점이 상당히 많이 발생할 수 있을 것으로 예상된다. 저작권법 개정안 제2조 (정의) 22. 복제 는 인쇄 사진촬영 복사 녹음 녹화 그 밖의 방법에 의하 여, 일시적 또는 영구적으로 유형물에 고정하거나 유형물로 다시 제작하 는 것을 말하며, 건축물의 경우에는 그 건축을 위한 모형 또는 설계도서 에 따라 이를 시공하는 것을 포함한다. 제35조의2(저작물 이용과정의 일시적 복제) 컴퓨터 등을 통하여 정당하게 저작물을 이용하는 기술적 과정의 일부로 서 복제물이 만들어지는 것이 필수적으로 요청되는 경우에는 이를 일시 적으로 복제할 수 있다. 다만, 불법 복제물로부터 일시적 복제가 일어나 는 경우에는 그러하지 아니하다. 4. 소프트웨어 스트리밍과 전송권 클라우드컴퓨팅에 있어서 소프트웨어 스트리밍은 웹을 통하여 이용자 자신이 희망하는 시간과 장소에서 서비스를 이용하는 것을 가능하게 한 다. 이를 가능하게 하기 위하여 서비스제공자는 공중의 구성원이 개별적 으로 선택한 시간과 장소에서 접근할 수 있도록 저작물 등을 이용에 제 공 하여야 하므로(저 2 x), 스트리밍에 의하여 소프트웨어를 제공하는 것 은 저작권법상 전송에 해당한다. 일정한 비용을 지급하는 자에게만 서비 스를 제공하거나 아이디나 비밀번호를 입력하여야만 서비스가 제공되더라 도 전송이 되는 것에는 아무런 차이가 없다

351 전송이 되기 위해서는 공중 의 구성원이 저작물을 이용할 수 있도록 하여야 하고 공중은 불특정 다수인(특정 다수인을 포함)으로 정의된다( 2 xxxii). 비용과 같은 일정한 조건을 요구하거나 하지 않거나에 관계없이 클라우드컴퓨팅 서비스가 웹을 통하여 특정 다수인이나 불특정 다수인을 상대로 제공된다면 그 서비스 제공행위는 전송행위가 된다. 여기서 문제 가 될 수 있는 것은 인트라넷상에서의 서비스제공이다. 인트라넷(intranet) 상에서 클라우드컴퓨팅에 의하여 소프트웨어가 스트리밍의 형태로 제공된 다면 일반적으로 전송이 이루어진다. 인트라넷은 인터넷 기술과 통신규약 을 이용하여 조직내부의 업무를 통합하는 정보시스템 으로 인터넷 관련기 술과 통신규약을 이용하여 조직내부 업무를 통합하는 정보시스템이다. 인 트라넷은 이러한 사전상의 의미와 관계없이 일반 공중이 누구나 접속할 수 있는 인터넷과 달리 일정한 조직의 구성원만이 접속할 수 있는 것이라 할 수 있다. 따라서 인트라넷 상에서 소프트웨어를 스트리밍의 형태로 제 공하는 것은 1명에게 이용 제공하는 것과 인터넷상에서 제공하는 소프트 웨어를 제공하는 것 간의 중간 형태가 된다. 예컨대 1,000여 대의 컴퓨터 가 하나의 네트워크를 구성하고 있고 이 네트워크 내에서 클라우드컴퓨팅 에 의하여 소프트웨어를 제공하는 것은 전송행위에 해당하게 된다. 따라 서 인트라넷 상에서 클라우드컴퓨팅 서비스가 제공되는 경우, 전송행위를 구성하는가 여부는 인트라넷을 구성하고 있는 컴퓨터 내지 이용자가 공중 의 정의를 충족하는가 여부에 따라 결정된다. 인트라넷은 불특정 다수인 으로 구성되지는 않겠지만 특정 다수인 으로 구성되는 것이 일반적일 것 이고 이러한 특정 다수인들이 자신들이 선택하는 시간과 장소에서 이용할 수 있도록 소프트웨어를 스트리밍 형식으로 이용 제공하는 것은 당연히 전송이 된다. 5. 서비스제공자와 복제권 소프트웨어를 스트리밍으로 제공함에 있어서 이용자가 소프트웨어를 이

352 용하는 과정에서 이루어지는 복제가 일시적 복제의 형태로 일어나게 되는 데, SaaS와 같이 서비스 제공자가 소프트웨어를 제공하기 위해서는 일단 자신의 서버에 소프트웨어를 복제하여야 하고 여기에서 복제권 문제가 일 어나게 된다. 스트리밍 서비스를 제공하기 위하여서는 서비스 제공자의 서버에 콘텐츠가 복제될 수밖에 없다. 어떠한 콘텐츠를 스트리밍의 형태 로 제공하기 위하여서는 그 콘텐츠가 스트림(stream) 으로 변환될 수 있 도록 컴퓨터에 저장되어야 한다. 이 콘텐츠는 스트림으로 코딩된 후 스트 리밍의 형태로 제공될 수 있게 된다. 저작권법상 복제는 인쇄ㆍ사진촬영ㆍ복사ㆍ녹음ㆍ녹화 그 밖의 방법에 의하여 유형물에 고정하거나 유형물로 다시 제작하는 것 (저 2 xxii)으로 정의되는데, 복제는 창작성을 추가하지 않고 원 저작물을 있는 그대로 다 시 제작하는 것으로서, 창작성을 더한다면 2차적 저작물 내지 개작물이 된다. 컴퓨터에 저장된다는 것은 컴퓨터 프로그램이라는 것이 컴퓨터의 하드 디스크와 같은 전자적 기록매체, 곧 유형물 에 고정되는 것이고 따 라서 복제가 행하여진다. 따라서 스트림으로 코딩되기 위하여 소프트웨어 가 서버에 저장됨으로써 그 소프트웨어의 복제가 이루어지게 된다. 음악 을 스트리밍의 형태로 제공한 벅스뮤직 사건에서도, 법원은 스트리밍의 형태로 서비스를 제공하기 위하여 서버에 저장하는 것을 복제권 침해라고 인정하였다. 311) SaaS와 같이 서비스제공자가 웹상에서 제공하기 위하여 소프트웨어를 서버에 저장하는 경우에는 복제가 이루어지게 되는데, 서비스 제공자의 복제는 인터넷상에서 제공하는 경우와 인트라넷상에서 제공하는 경우로 나누어볼 수 있다. 소프트웨어를 웹상에서 제공하는 경우는 사적복제가 될 여지가 전혀 없다. 인트라넷상에서 제공하는 경우에는 이론상 사적복 제가 될 여지가 있으나 SaaS에 의한 소프트웨어의 제공이 개인적으로 이 용하거나 가정 및 이에 준하는 한정된 범위에서의 이용 이 될 수가 없으 므로 역시 사적복제가 될 수가 없다. 311) 서울지방법원, 2003카합2151 음반복제등금지가처분 (2003)

353 클라우드컴퓨팅에서의 소프트웨어 서비스 제공은 소프트웨어 스트리밍 에서 발생하는 저작권법적 성격은 동일하지만 상황이 전혀 다를 수 있다. 소프트웨어 스트리밍에서는 일반적으로 서비스 제공자가 타인이 저작권을 가지는 소프트웨어를 스트리밍의 형태로 제공함으로써 서비스 제공자와 소프트웨어 저작권자 간의 저작권 분쟁 등이 발생한다. 클라우드컴퓨팅 서비스에 있어서는 두 가지 형태로 분류할 수 있다. 우선 첫째, 최소한 현 재까지는, 서비스 제공자가 자신의 소프트웨어를 이용하여 서비스를 제공 하는 것이 일반적인 형태이고 따라서 서비스 제공자와 저작권자 간의 저 작권 분쟁의 소지가 거의 없다는 것이다. 예컨대 Google Docs와 같이 서 비스 제공자는 자신의 소프트웨어를 서비스 제공하거나 소프트웨어를 사 용하는 것에 대하여 최소한 사용할 권원을 가지는 것이 일반적인 형태이 다. 둘째, 클라우드컴퓨팅에서도 소프트웨어 스트리밍과 동일한 문제가 발 생할 수 있다는 점이다. SaaS의 경우 서비스를 제공하기 위하여 소프트웨 어 사용에 대한 권리를 가지는 것이 일반적일 수 있으나, IaaS나 PaaS에 기반을 둔 서비스가 전개됨에 따라 타인의 소프트웨어를 이용하여 서비스 를 제공하는 경우가 얼마든지 존재할 수 있다. 이 경우에는 서비스를 제 공하기 위하여 타인의 소프트웨어를 서버에 복제할 수밖에 없으므로 저작 권 문제가 발생할 수밖에 없을 것이다. 지금까지 소프트웨어 스트리밍 문 제는 인터넷에 기반을 두어 소프트웨어를 제공하는 과정에서 발생한 것이 아니라 인트라넷상에서 문제가 되어 왔다. 그런데 소프트웨어 스트리밍이 나 SaaS와 같은 클라우드컴퓨팅은 이용자들이 자신의 컴퓨터에 소프트웨 어 등을 저장할 필요 없이, 언제 어디서나 소프트웨어를 이용하고자 하는 수요를 충족시키고자 하는 것임을 고려한다면, 클라우드컴퓨팅의 형태로 소프트웨어를 사용하고자 하는 수요는 더욱 더 증가할 것이다. 따라서 소 프트웨어 저작권자만이 서비스를 제공하는 것이 아니라 전문적인 서비스 제공자가 타인의 소프트웨어를 이용하여 서비스를 제공하는 비즈니스 모 델이 등장할 수 있다. 이 경우에는 현재의 소프트웨어 스트리밍과 마찬가 지의 저작권 문제가 발생하게 된다

354 제3절 OSP로서의 책임 1. 클라우드컴퓨팅과 OSP 클라우드컴퓨팅은 서비스 제공자가 이용자에게 소프트웨어, 플랫폼, 기 반시설(infrastructure)을 제공하는 것을 내용으로 하고 있다. 클라우드컴퓨 팅에 있어서는 위의 어떤 서비스인가에 관계없이 서비스 이용자가 타인의 저작권을 침해하는 자료를 서비스 제공자의 서버에 올려놓는 일이 발생할 수밖에 없다. 인터넷상에서의 저작권 침해에는 일반적으로 서비스 제공자, 서비스 이용자(가입자, subscriber), 권리자 등 세 주체를 상정하게 된다. 여기서의 권리자는 저작권자, 명예를 훼손당하거나 프라이버시를 침해받 을 수 있는 주체이다. 서비스 이용자는 정보검색, 이메일, 블로그, 카페 등 서비스 제공자의 여러 서비스를 이용하게 되고 바로 이러한 인터넷 이용 이 인터넷의 필수적인 기능을 이루게 되며, 이러한 상황에서는 저작권 침 해, 명예나 프라이버시 침해 등의 문제를 논할 여지가 없다. 그러나 이용 자가 타인의 저작권을 침해하거나 명예를 훼손하는 정보를 올려놓게 되는 데, 저작권자나 피해자는 이러한 이용자를 상대로 권리를 집행하여야 하 는 것이 정상이다. 그러나 이용자들의 숫자는 매우 많으며 전 세계적으로 산재( 散在 )해 있고, 권리자가 이용자의 신원(identity)을 확인하는 것이 사 실상 불가능하여 이용자를 상대로 책임을 묻는 것이 비현실적이거나 사실 상 불가능하다. 따라서 권리자 내지 피해자는 저작권을 침해하거나 명예 를 훼손하는 정보가 서비스제공자의 서버에 올라가 있으므로(복제 및 전 송이 이루어져 있으므로)서비스 제공자를 상대로 책임을 묻고자 저작권 침해책임이나 명예훼손 책임을 묻고자 하게 된다. 그러나 서비스 제공자 가 직접 권리를 침해한 것이 아니라 이용자가 침해한 것에 불과하고 서비 스 제공자가 이용자의 침해행위를 모두 감시하는 것은 불가능하며, 이러 한 서비스 제공자가 존재하지 않는다면 인터넷 자체는 사실상 존재할 수

355 없다. 여기에서 한편으로는 이용자의 침해에 대하여 서비스 제공자의 책 임을 면제시키거나 감경시킬 필요성이 있고, 다른 한편으로는 권리침해가 발생하는 곳은 서비스 제공자의 네트워크상이어서 서비스제공자가 침해를 예방하거나 중단할 수 있는 지위에 있는 것을 고려하여, 저작권법은 일정 한 요건을 충족한 경우에 서비스제공자의 책임을 면제하거나 감경하고 있 다. 저작권법은 서비스 제공자로서 온라인서비스제공자(OSP)라는 용어를 사용하고 있는데, OSP는 다른 사람들이 정보통신망을 통하여 저작물 등 을 복제 또는 전송할 수 있도록 하는 서비스를 제공하는 자 로 정의되어 있다. 클라우드컴퓨팅에 있어서 OSP 쟁점은 두 가지로 나누어 분석할 필요성 이 있다. 첫째, 클라우드컴퓨팅에 있어서도 서비스 제공자가 저작권법상의 일반적인 OSP의 지위를 가지고 있는 경우이다. 둘째, PaaS나 IaaS에 있어 서는 클라우드컴퓨팅 서비스제공자가 일반적인 OSP와는 다를 수밖에 없 으므로 OSP와 달리 분석하여야 필요성이 있다. 이 경우에는 클라우드컴 퓨팅 서비스제공자, 클라우드컴퓨팅 서비스 이용자, 클라우드컴퓨팅 서비 스 이용자의 서비스를 이용하는 자(end user)의 세 주체에 저작권자 등의 주체가 있게 된다. 2. 저작권법상의 OSP 저작권법은 OSP와 관련하여 다음과 같은 세 가지 측면에서 규율하고 있다. 첫째, OSP가 자신의 네트워크상에서 이용자의 저작권 침해를 인식 한 경우 침해를 중단시킨 경우 침해책임을 감경 또는 면제받을 수 있으 며, 중단시키고자 하였으나 기술적으로 불가능한 경우에는 책임 자체가 면제된다( 102). 저작권법 제102조 (온라인서비스제공자의 책임 제한) 1 온라인서비스제공자가 저

356 작물등의 복제 전송과 관련된 서비스를 제공하는 것과 관련하여 다른 사람에 의한 저작물등의 복제 전송으로 인하여 그 저작권 그 밖에 이 법에 따라 보호되는 권리가 침해된다는 사실을 알고 당해 복제 전송을 방지하거나 중단시킨 경우에는 다른 사람에 의한 저작권 그 밖에 이 법 에 따라 보호되는 권리의 침해에 관한 온라인서비스제공자의 책임을 감 경 또는 면제할 수 있다. 2 온라인서비스제공자가 저작물등의 복제 전송과 관련된 서비스를 제 공하는 것과 관련하여 다른 사람에 의한 저작물등의 복제 전송으로 인 하여 그 저작권 그 밖에 이 법에 따라 보호되는 권리가 침해된다는 사 실을 알고 당해 복제 전송을 방지하거나 중단시키고자 하였으나 기술적 으로 불가능한 경우에는 그 다른 사람에 의한 저작권 그 밖에 이 법에 따라 보호되는 권리의 침해에 관한 온라인서비스제공자의 책임은 면제 된다. 둘째, OSP가 저작권 침해와 관련하여 통지 및 삭제절차(notice and takedown procedure)를 준수한 경우 책임을 면제한다( 103). 곧 OSP에 대한 저작권자(권리주장자)의 침해 통지 OSP의 침해 저작물의 삭제 및 자료 탑재자(침해혐의자)에 대한 통지 침해혐의자 자료 탑재 재개요구 통지 OSP의 자료 탑재 및 권리주장자에 대한 통지라는 절차를 준수한다 면, 저작권 침해가 인정된 경우 침해 자료의 탑재로 인하여 저작권자에게 침해로 발생한 손해 또는 저작권 침해가 인정되지 않은 경우 자료를 삭제 함으로써 탑재자에게 발생한 손해에 대하여 OSP는 책임을 부담하지 않는 다. 저작권법 제103조 (복제 전송의 중단) 1온라인서비스제공자의 서비스를 이용한 저작물등의 복제 전송에 따라 저작권 그 밖에 이 법에 따라 보호되는 자신의 권리가 침해됨을 주장하는 자(이하 이 조에서 "권리주장자"라 한

357 다)는 그 사실을 소명하여 온라인서비스제공자에게 그 저작물등의 복제 전송을 중단시킬 것을 요구할 수 있다. 2온라인서비스제공자는 제1항의 규정에 따른 복제 전송의 중단요구가 있는 경우에는 즉시 그 저작물등의 복제 전송을 중단시키고 당해 저작 물등을 복제 전송하는 자(이하 "복제 전송자"라 한다) 및 권리주장자에게 그 사실을 통보하여야 한다. 3제2항의 규정에 따른 통보를 받은 복제 전송자가 자신의 복제 전송이 정당한 권리에 의한 것임을 소명하여 그 복제 전송의 재개를 요구하는 경우 온라인서비스제공자는 재개요구사실 및 재개예정일을 권리주장자 에게 지체 없이 통보하고 그 예정일에 복제 전송을 재개시켜야 한다. 4온라인서비스제공자는 제1항 및 제3항의 규정에 따른 복제 전송의 중 단 및 그 재개의 요구를 받을 자(이하 이 조에서 "수령인"이라 한다)를 지정하여 자신의 설비 또는 서비스를 이용하는 자들이 쉽게 알 수 있도 록 공지하여야 한다. 5온라인서비스제공자가 제4항의 규정에 따른 공지를 하고 제2항 및 제 3항의 규정에 따라 그 저작물등의 복제 전송을 중단시키거나 재개시킨 경우에는 다른 사람에 의한 저작권 그 밖에 이 법에 따라 보호되는 권 리의 침해에 대한 온라인서비스제공자의 책임 및 복제 전송자에게 발생 하는 손해에 대한 온라인서비스제공자의 책임을 감경 또는 면제할 수 있다. 다만, 이 항의 규정은 온라인서비스제공자가 다른 사람에 의한 저 작물등의 복제 전송으로 인하여 그 저작권 그 밖에 이 법에 따라 보호 되는 권리가 침해된다는 사실을 안 때부터 제1항의 규정에 따른 중단을 요구받기 전까지 발생한 책임에는 적용하지 아니한다. 6정당한 권리 없이 제1항 및 제3항의 규정에 따른 그 저작물등의 복 제 전송의 중단이나 재개를 요구하는 자는 그로 인하여 발생하는 손해 를 배상하여야 한다. 셋째, 다른 사람들 상호 간에 컴퓨터를 이용하여 저작물 등을 전송하도

358 록 하는 것을 주된 목적으로 하는 특수한 유형의 OSP 는 권리자의 요청 이 있는 경우 해당 저작물 등의 불법적인 전송을 차단하는 기술적인 조치 등 필요한 조치를 하여야 한다( 104). 곧 저작권자의 요구에 따라 저작권 침해를 차단하기 위한 기술을 적용시켜야 한다(filtering 의무). 저작권법 제104조 (특수한 유형의 온라인 서비스제공자의 의무 등) 1 다른 사람 들 상호 간에 컴퓨터를 이용하여 저작물등을 전송하도록 하는 것을 주 된 목적으로 하는 온라인서비스제공자(이하 "특수한 유형의 온라인서비 스제공자"라 한다)는 권리자의 요청이 있는 경우 해당 저작물등의 불법 적인 전송을 차단하는 기술적인 조치 등 필요한 조치를 하여야 한다. 이 경우 권리자의 요청 및 필요한 조치에 관한 사항은 대통령령으로 정한 다. 넷째, OSP는 문화체육관광부(이하 문화부) 장관의 시정명령을 준수할 의무가 있으며 한국저작권위원회의 시정권고를 받을 수 있다. 곧 문화부 장관은 OSP에게 (i) 불법 복제물의 복제 전송자에 대하여 경고를 하고 불법 복제물의 삭제나 전송을 중단하도록 명령하고, (ii) 불법복제물 등의 복제 전송으로 인하여 3회 이상 경고 받은 복제 전송자가 불법복제물 등을 또 다시 전송한 경우 그 복제 전송자의 계정을 6개월 이내의 기간 동안 정지할 것을 명령하고, (iii) OSP의 정보통신망에 개설된 게시판 중 불법복제물 등의 삭제 또는 전송 중단 명령이 3회 이상 내려진 게시판으 로서, 해당 게시판의 형태, 게시되는 복제물의 양이나 성격 등에 비추어, 해당 게시판이 저작권 등의 이용질서를 심각하게 훼손한다고 판단되는 경 우, 한국저작권위원회의 심의를 거쳐 OSP에 대하여 6개월 이내의 기간을 정하여 해당 게시판 서비스의 전부 또는 일부의 정지를 명할 수 있다 ( 133의 2)

359 저작권법 제133조의2 (정보통신망을 통한 불법복제물등의 삭제명령 등) 1 문화체 육관광부장관은 정보통신망을 통하여 저작권이나 그 밖에 이 법에 따라 보호되는 권리를 침해하는 복제물 또는 정보, 기술적 보호조치를 무력하 게 하는 프로그램 또는 정보(이하 "불법복제물등"이라 한다)가 전송되는 경우에 위원회의 심의를 거쳐 대통령령으로 정하는 바에 따라 온라인서 비스제공자에게 다음 각 호의 조치를 할 것을 명할 수 있다. 1. 불법복제물등의 복제 전송자에 대한 경고 2. 불법복제물등의 삭제 또는 전송 중단 2 문화체육관광부장관은 제1항제1호에 따른 경고를 3회 이상 받은 복 제 전송자가 불법복제물등을 전송한 경우에 위원회의 심의를 거쳐 대통 령령으로 정하는 바에 따라 온라인서비스제공자에게 6개월 이내의 기간 을 정하여 해당 복제 전송자의 계정[온라인서비스제공자가 이용자를 식 별 관리하기 위하여 사용하는 이용권한 계좌(이메일 전용계정은 제외한 다)를 말하며, 해당 온라인서비스제공자가 부여한 다른 계정을 포함한 다]을 정지할 것을 명할 수 있다. 3 제2항에 따른 명령을 받은 온라인서비스제공자는 해당 복제 전송자 의 계정을 정지하기 7일 전에 대통령령으로 정하는 바에 따라 해당 계 정이 정지된다는 사실을 해당 복제 전송자에게 통지하여야 한다. 4 문화체육관광부장관은 온라인서비스제공자의 정보통신망에 개설된 게시판( 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조제1 항 제9호의 게시판 중 상업적 이익 또는 이용 편의를 제공하는 게시판 을 말한다. 이하 같다) 중 제1항 제2호에 따른 명령이 3회 이상 내려진 게시판으로서 해당 게시판의 형태, 게시되는 복제물의 양이나 성격 등에 비추어 해당 게시판이 저작권 등의 이용질서를 심각하게 훼손한다고 판 단되는 경우에는 위원회의 심의를 거쳐 대통령령으로 정하는 바에 따라 온라인서비스제공자에게 6개월 이내의 기간을 정하여 해당 게시판 서비 스의 전부 또는 일부의 정지를 명할 수 있다

360 5 제4항에 따른 명령을 받은 온라인서비스제공자는 해당 게시판의 서 비스를 정지하기 10일 전부터 대통령령으로 정하는 바에 따라 해당 게 시판의 서비스가 정지된다는 사실을 해당 온라인서비스제공자의 인터넷 홈페이지 및 해당 게시판에 게시하여야 한다. 6 온라인서비스제공자는 제1항에 따른 명령을 받은 경우에는 명령을 받은 날부터 5일 이내에, 제2항에 따른 명령을 받은 경우에는 명령을 받 은 날부터 10일 이내에, 제4항에 따른 명령을 받은 경우에는 명령을 받 은 날부터 15일 이내에 그 조치결과를 대통령령으로 정하는 바에 따라 문화체육관광부장관에게 통보하여야 한다. 7 문화체육관광부장관은 제1항, 제2항 및 제4항의 명령의 대상이 되는 온라인서비스제공자와 제2항에 따른 명령과 직접적인 이해관계가 있는 복제 전송자 및 제4항에 따른 게시판의 운영자에게 사전에 의견제출의 기회를 주어야 한다. 이 경우 행정절차법 제22조제4항부터 제6항까 지 및 제27조를 의견제출에 관하여 준용한다.... 또한 한국저작권위원회는, OSP의 정보통신망을 조사하여 불법복제물 등이 전송된 사실을 발견한 경우, 이를 심의하여 OSP로 하여금 (i) 불법 복제물 등의 복제ㆍ전송자에 대한 경고, (ii) 불법복제물 등의 삭제 또는 전송 중단, (iii) 반복적으로 불법복제물 등을 전송한 복제 전송자의 계정 정지라는 시정 조치를 권고할 수 있다( 133의 3 I). OSP가 권고를 따르지 않는 경우, 한국저작권위원회는 문화관광체육부장관으로 하여금 시정권고 사항을 명령하여 줄 것을 요청할 수 있다( 133의 3 III). 시정권고를 이행 하지 않는 것 자체에 대해서는 제재가 가하여지지 않지만, 결국 한국저작 권위원회의 이러한 요청이 제재가 된다. 제133조의3 (시정권고 등) 1 위원회는 온라인서비스제공자의 정보통신 망을 조사하여 불법복제물등이 전송된 사실을 발견한 경우에는 이를 심

361 의하여 온라인서비스제공자에 대하여 다음 각 호에 해당하는 시정 조치 를 권고할 수 있다. 1. 불법복제물등의 복제 전송자에 대한 경고 2. 불법복제물등의 삭제 또는 전송 중단 3. 반복적으로 불법복제물등을 전송한 복제 전송자의 계정 정지 2 온라인서비스제공자는 제1항제1호 및 제2호에 따른 권고를 받은 경 우에는 권고를 받은 날부터 5일 이내에, 제1항제3호의 권고를 받은 경우 에는 권고를 받은 날부터 10일 이내에 그 조치결과를 위원회에 통보하 여야 한다. 3 위원회는 온라인서비스제공자가 제1항에 따른 권고에 따르지 아니하 는 경우에는 문화체육관광부장관에게 제133조의2제1항 및 제2항에 따른 명령을 하여 줄 것을 요청할 수 있다. 4 제3항에 따라 문화체육관광부장관이 제133조의2제1항 및 제2항에 따 른 명령을 하는 경우에는 위원회의 심의를 요하지 아니한다. OSP는 다른 사람들이 정보통신망을 통하여 저작물 등을 복제 또는 전 송할 수 있도록 하는 서비스를 제공하는 자 로 정의되어 있고(저 2 xxx), 클라우드컴퓨팅 서비스 제공자는 이미 저작권법상의 이러한 요건을 충족 하는 자에 해당하는 서비스를 제공하고 있으며 앞으로 클라우드 서비스가 확대되면 저작권법상의 정의에 해당하는 OSP는 더욱 증가할 것이다. 또 한 클라우드컴퓨팅 서비스에 있어서도 서비스 제공자가 이용자에게 일정 한 공간을 제공하고 이용자가 이러한 공간에 저작권을 침해하는 자료를 올려놓는 일은 당연히 발생하므로, 저작권법상의 OSP 규정이 클라우드컴 퓨팅 서비스를 제공하는 주체에게도 당연히 적용된다. 3. 한미 FTA와 OSP 저작권법이 제102조 내지 제104조, 제133조의2 및 제133조의3 등을 통

362 하여 OSP의 책임을 규율하고 있는데, 한미FTA는 OSP의 책임과 관련하여 현행 저작권법보다 광범위하게 규율할 것을 규정하고 있다. 곧 첫째, 한미 FTA는 OSP의 책임이 제한되는 네 가지의 개별적인 사유(콘텐츠를 수정 하지 않고 자료를 전송, 전송연결, 연결제공하거나, 이러한 전송 등의 과 정에서 자료를 중간적이고 일시적으로 저장하는 경우, 자동적인 과정으로 이루어지는 캐싱, OSP가 통제하거나 운영하는 시스템에 존재하는 자료를 이용자의 지시에 따라 저장하는 경우, 정보검색도구를 이용하여 온라인상 의 일정한 위치에 이용자를 전송시키거나 연결시키는 경우)로 유형화하고 각 유형에 대하여 일정한 책임제한 요건을 규정하고 있다[ (b)(i)]. 둘째, 저작권자가 OSP로부터 침해자의 신원에 관한 정보를 확보할 수 있는 절차를 그 내용으로 하고 있다[ (b)(xi)]. KORUS FTA 30(b) (xi) Each Party shall establish an administrative or judicial procedure enabling copyright owners who have given effective notification of claimed infringement to obtain expeditiously from a service provider information in its possession identifying the alleged infringer. 저작권법 개정안 제103조의2(서비스이용자에 대한 정보 제공 청구) 1 권리주장자는 자신 의 권리를 보호하기 위하여 제103조제1항에 따른 통지사실을 소명하여 문화관광부장관에게 민 형사상의 소제기를 위한 복제 전송자에 관한 정보(성명, 주소 등 최소한의 정보를 말한다)의 제공을 청구할 수 있다. 2 문화관광부장관은 제1항에 따른 청구가 있는 경우에 저작권위원회의 심의를 거쳐 온라인서비스제공자에게 해당 이용자의 정보를 제공하도록 명할 수 있다

363 3 제1항 및 제2항의 규정에 따라 해당 이용자의 정보를 제공받은 자는 해당 이용자의 정보를 자신의 권리를 보호하기 위한 목적 외로 사용하 여서는 아니된다. 4 그 밖에 서비스이용자의 정보 제공 청구에 관하여 필요한 사항은 대 통령령으로 정한다. 이러한 규정은 저작권자가 OSP의 가입자들을 상대로 책임을 묻기 위하 여 가입자들에 관한 정보를 필요로 하므로 이러한 정보를 가지고 있는 OSP로부터 정보를 획득하도록 하기 위한 것이다. 정보통신망 이용촉진 및 개인정보 보호에 관한 법률은 명예훼손을 당한 피해자가 침해자의 신 원을 제공할 것을 요구할 수 있도록 하고 있다( 44조의 6). 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제44조의6 (이용자 정보의 제공청구) 1 특정한 이용자에 의한 정보의 게재나 유통으로 사생활 침해 또는 명예훼손 등 권리를 침해당하였다고 주장하는 자는 민ㆍ형사상의 소를 제기하기 위하여 침해사실을 소명하 여 제44조의10에 따른 명예훼손 분쟁조정부에 해당 정보통신서비스 제 공자가 보유하고 있는 해당 이용자의 정보(민ㆍ형사상의 소를 제기하기 위한 성명ㆍ주소 등 대통령령으로 정하는 최소한의 정보를 말한다)를 제공하도록 청구할 수 있다. 2 명예훼손 분쟁조정부는 제1항에 따른 청구를 받으면 해당 이용자와 연락할 수 없는 등의 특별한 사정이 있는 경우 외에는 그 이용자의 의 견을 들어 정보제공 여부를 결정하여야 한다. 3 제1항에 따라 해당 이용자의 정보를 제공받은 자는 해당 이용자의 정보를 민ㆍ형사상의 소를 제기하기 위한 목적 외의 목적으로 사용하여 서는 아니 된다. 4 그 밖의 이용자 정보 제공청구의 내용과 절차에 필요한 사항은 대통 령령으로 정한다

364 저작권법상의 OSP 규정이 클라우드컴퓨팅 서비스 제공자에게 적용될 수 있는 바와 같이 한미 FTA의 OSP 규정이 적용되는 것도 당연한 것이 다. 그런데 한미 FTA는 현행 저작권법상의 OSP와는 약간 다른 기능을 수행하는 OSP를 상정하고 있다. 바로 위에서 언급한 네 가지 유형의 면 책행위 유형 중 콘텐츠를 수정하지 않고 자료를 전송, 전송연결, 연결제 공하거나, 이러한 전송 등의 과정에서 자료를 중간적이고 일시적으로 저 장하는 경우 가 여기에 해당한다. 이 기능은 인터넷상에서 송신이 이루어 지는 과정을 나타내는 것으로서 소위 패킷스위칭(packet switching)을 상 정한다. 패킷스위칭 과정에서는 발신 컴퓨터와 수신 컴퓨터 간에 많은 컴 퓨터들이 존재하고 정보가 송수신되는 과정에서 패킷으로 분리된 정보들 이 이러한 중간과정의 컴퓨터에 일시적으로 저장된다. 이러한 저장과정에 서 복제문제가 발생하고 이러한 저장은 인터넷이 운용되기 위하여 필수적 인 것이고 이러한 기능을 수행하는 OSP에 대해서는 최소한의 요건만 충 족하면 책임을 면제하기 위한 것이다. 현행 저작권법상의 OSP는 그 개념 이 비교적 광범위하게 정의되어 있어서 패킷스위칭의 기능을 수행하는 OSP도 포함하는 것으로 해석할 수 있지만, OSP 책임에 관한 제102조 내 지 제104조, 제133조의 2조 및 3조 등은 특정한 웹사이트를 운영하는 주 체에 해당하는 것이다. 곧 현재까지 한국 저작권법상의 OSP 규율은 주로 웹사이트를 위주로 하는 OSP에 해당하는 것이었다면, 한미 FTA는 패킷 스위칭과 관계되는 OSP도 상정하고 있는데 클라우드컴퓨팅에 있어서는 일반적인 OSP 이외에 패킷스위칭과 관계되는 OSP가 증가할 것으로 예상 된다. 4. IP 추적에 의한 침해자의 신원정보 획득 인터넷상에서 저작권을 집행함에 있어서 침해자의 신원을 확보하는 것 은 매우 중요한 의미를 지닌다. 침해자의 신원을 확인하는 방법은 OSP로

365 부터 확인하는 방법과 침해자의 IP 주소를 추적하는 방법에 의할 수 있 다. 그러나 저작권자가 IP주소를 추적하여 침해자의 신원정보를 획득하는 것은 사실상 불가능하다. 통신비밀보호법은 통신 및 대화의 비밀과 자유 를 제한함에 있어서 그 대상을 한정하고 엄격한 법적 절차를 거치도록 함 으로써 통신비밀을 보호하고 통신의 자유를 신장하기 위한 법률이다( 1). 통신 은 우편물 및 전기통신으로, 전기통신 은 전화 전자우편 회원제정 보서비스 모사전송 무선호출 등과 같이 유선 무선 광선 및 기타의 전 자적 방식에 의하여 모든 종류의 음향 문언 부호 또는 영상을 송신하거 나 수신하는 것으로 정의된다( 2). 회원제정보서비스는 특정의 회원이나 계약자에게 제공하는 정보서비스 또는 그와 같은 네트워크의 방식으로 정 의된다( 2). 또한 통신사실확인자료는 (i) 가입자의 전기통신일시, (ii) 전기 통신개시, 종료시간, (iii) 발, 착신 통신번호 등 상대방의 가입자번호, (v) 사용도수, (v) 컴퓨터통신 또는 인터넷의 사용자가 전기통신역무를 이용한 사실에 관한 컴퓨터통신 또는 인터넷의 로그기록자료, (vi) 정보통신망에 접속된 정보통신기기의 위치를 확인할 수 있는 발신기지국의 위치추적자 료, (vii) 컴퓨터통신 또는 인터넷사용자가 정보통신망에 접속하기 위하여 사용하는 정보통신기기의 위치를 확인할 수 있는 접속지의 추적자료로 정 의하고 있다( 2). 이러한 통신사실확인자료에 의하면 저작권 침해자의 신 원을 어느 정도 파악할 수 있으므로, 이러한 자료에 기초하면 특정 저작 권 침해자를 상대로 경고를 하거나 기타 저작권을 집행할 수 있다. 문제는 누구든지 이 법과 형사소송법 또는 군사법원법의 규정에 의하 지 아니하고는 우편물의 검열, 전기통신의 감청 또는 통신사실확인자료의 제공을 하거나 공개되지 아니한 타인간의 대화를 녹음 또는 청취하지 못 한다 는 것이다( 3 I). 예외적으로 통신비밀보호법은 검사 또는 사법경찰 관은 수사 또는 형의 집행을 위하여 필요한 경우 전기통신사업법에 의한 전기통신사업자에게 통신사실 확인자료의 열람이나 제출을 요청할 수 있 다 고 규정하고 이러한 자료의 제공을 요청하는 경우에는 법원의 허가를 얻도록 하고 있다(13 I, II). 결국 법원의 허가 없이는 저작권자가 저작권

366 침해자 IP를 추적할 수 없으며 침해자의 신원정보를 보유하고 있는 OSP 로부터 요구할 수 없는 것이 된다. 또한 OSP 가입자의 신원정보는 개인정보로서 수집이나 이용 또는 제3 자에 대한 제공에 대하여 엄격한 규제를 받는다. 정보통신서비스 제공자 는 자신이 수집한 개인정보를 1 이용자로부터 동의 받은 목적이나 2 (i) 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보 로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란 한 경우, (ii) 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경 우, (iii) 정보통신망법 또는 다른 법률에 특별한 규정이 있는 경우와 다른 목적으로 이용하는 것이 금지된다(정보통신망법 24). 또한 정보통신서비 스 제공자가 이용자의 개인정보를 제3자에게 제공하기 위해서는, (i) 정보 통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우, (ii) 정보통신 망법 또는 다른 법률에 특별한 규정이 있는 경우 외에는, (i) 개인정보를 제공받는 자, (ii) 개인정보를 제공받는 자의 개인정보 이용 목적, (iii) 제 공하는 개인정보의 항목을 모두 알리고 동의를 받아야 한다( 24조의 2). 개인정보는 생존하는 개인에 관한 정보로서 성명ㆍ주민등록번호 등에 의 하여 특정한 개인을 알아볼 수 있는 부호ㆍ문자ㆍ음성ㆍ음향 및 영상 등 의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함) 로 정의된다( 2). 회원으로 가입할 때 OSP에 제공하는 정보는 개인정보로서, 정보통신서비 스제공자인 OSP가 개인정보를 사용하거나 제3자에게 제공하는 것은 엄격 히 규제된다. 결국 저작권위원회나 문화관광부 또는 저작권자가 OSP로부 터 저작권 침해자인 가입자의 신원정보를 획득하기 위해서는 다른 법률에 특별한 규정이 있는 경우에 한정되는 셈이다. 전기통신사업법은 전기통신사업자가 취급 중에 있는 통신의 비밀을 침 해하거나 누설하는 것과 전기통신업무에 종사하는 자 또는 종사하였던 자 가 그 재직 중에 통신에 관하여 알게 된 타인의 비밀을 누설하는 것을 금 지하고 있다( 54 I, II). 전기통신사업자는 법원, 검사 또는 수사관서의 장

367 (군 수사기관의 장, 국세청장 및 지방국세청장을 포함), 정보수사기관의 장으로부터 재판, 수사(조세범 처벌법 제10조제1항, 제3항 및 제4항의 범 죄 중 전화, 인터넷 등을 이용한 범칙사건의 조사를 포함), 형의 집행 또 는 국가안전보장에 대한 위해를 방지하기 위한 정보수집을 위하여 (i) 이 용자의 성명, (ii) 이용자의 주민등록번호, (iii) 이용자의 주소, (iv) 이용자 의 전화번호, (v) 아이디(컴퓨터시스템이나 통신망의 정당한 이용자를 식 별하기 위한 이용자 식별부호), (vi) 이용자의 가입 또는 해지 일자의 열 람이나 제출(통신자료제공)을 요청받은 때에 이에 응할 수 있다( 54 III). 따라서 저작권자가 고소를 하여 수사기관이 수사를 하지 않는 한, 저작권 침해에 대한 민형사상 책임을 묻기 위하여 저작권자가 OSP 가입자의 신 원정보를 획득하는 것은 불가능하다. 저작권자가 저작권 침해에 대한 민 형사상 책임을 묻기 위하여 필요로 하는 것은 IP 추적결과에 따른 신원정보나 기타 OSP가 보유하는 신원정 보를 가져야 한다. 그런데 IP 추적결과인 통신사실확인자료는 법원의 허 가가 없으면 획득할 수 없으며, OSP가 신원정보를 저작권자에게 제공하 도록 하는 법률규정이 존재하지 않으며 가입자가 제공하는 것에 대하여 동의할 이유도 없으며, 수사 등에 의하여 수사기관이 OSP로부터 가입자 의 신원정보를 획득하는 것 외에 저작권자가 획득하는 것은 불가능하다. 저작권자가 IP 추적을 하거나 OSP로부터 신원정보를 획득하는 것은 클 라우드컴퓨팅 환경하에서는 더욱 어려워질 수 있을 것으로 예상된다. 클 라우드컴퓨팅 서비스제공자, 서비스이용자, 최종 사용자 간의 관계나 서비 스를 이용하는 구조가 복잡해지기 때문이다. KORUS FTA가 발효하여 저 작권자가 OSP로부터 신원정보를 제공받을 수 있다면, 저작권자는 기본적 으로 서비스이용자로부터 신원정보를 획득하여야 하지만 서비스제공자로 부터 신원정보를 제공받는 방법도 있을 것이다. 그러나 서비스제공자와 서비스이용자의 관계에 따라, 제공되는 서비스 유형에 따라 서비스제공자 가 최종 사용자의 신원정보를 가지지 않을 수도 있을 것이다

368 5. OSP로서의 서비스제공자 및 서비스이용자 클라우드컴퓨팅 서비스제공자도 현행 저작권법상 OSP가 된다면, 클라 우드컴퓨팅, 특히 IaaS나 PaaS에 있어서는 2중( 重 )의 OSP가 있을 수 있는 지 여부, 곧 이들이 OSP로서 책임을 질 것이냐의 여부이다. 개별 이용자 들(end users)로 하여금 콘텐츠를 업로딩 및 다운로딩할 수 있도록 하는 서비스를 제공하려는 주체가 클라우드컴퓨팅 서비스를 이용하는 경우를 들 수 있다. 예컨대 A가 개별 이용자들로 하여금 콘텐츠를 업로딩 및 다 운로딩할 수 있도록 하는 서비스를 제공하기 위하여 클라우드컴퓨팅 서비 스 제공자인 B의 서비스를 이용하는 경우이다. 이 경우 이용자들이 업로 딩하는 자료는 결국 B의 설비(서버)에 존재하게 되는데, 기술적인 측면에 서 본다면 개별적인 이용자가 업로딩한 저작권 침해 자료는 B의 서버에 존재한다. 그러나 B는 사업자로서 A에게 설비 등을 A에게 제공한 것에 불과하며 실제로 이용자들로 하여금 콘텐츠를 업로딩하고 다운로딩하도록 한 주체는 A이다. 이 경우 A가 OSP인가, 아니면 B도 OSP가 될 수 있는 가 여부가 문제된다. 개별 이용자가 저작권을 침해하는 자료를 인터넷에 올림으로써 저작권이 침해되는 것을 방지하기 위하여 저작권법은 OSP가 일정한 절차를 따르는 경우에는 책임을 감경하고 있다. 개별적으로 발생 하는 쟁점을 살펴보기로 하자. 첫째, 위의 예에서 클라우드 서비스 제공자 인 B도 OSP가 될 수 있는가 문제된다. 저작권법은 OSP를 다른 사람들 이 정보통신망을 통하여 저작물 등을 복제 또는 전송할 수 있도록 하는 서비스를 제공하는 자 라고 정의하고 있는데( 2), 서비스 제공자가 기술적 으로 이 개념을 충족하는지, 만약 충족한다면 OSP 책임을 감면하는 저작 권법의 정책방침이 서비스 제공자에게도 해당하거나 적합한 것인지 여부 가 문제될 수 있다. 콘텐츠를 업로딩하거나 다운로딩하는 개별 이용자의 입장에서 본다면 콘텐츠가 A의 서버에 있거나 B의 서버에 있는가 여부는 중요하지 않으며, 이를 알 수도 없다. 위의 사례에서 B가 OSP에 해당하는 것은 분명하다. 그런데 저작권법 제102조 내지 제104조 규정의 취지는, 저

369 작권을 침해하는 것은 OSP가 아니라 OSP의 서비스를 이용하는 개별 이 용자(가입자)이므로 OSP가 이에 대하여 책임을 부담할 이유가 없지만, OSP가 저작권 침해를 중단하고 예방할 수 있는 지위에 있으므로 일정한 절차상의 의무를 부과하고 이러한 의무를 이행하는 경우에는 책임을 감면 하기 위한 것이다. 그렇다면 위의 예에서 A와 개별 이용자 간에는 이러한 관계가 성립하지만, B와 A의 개별 이용자(가입자) 간에 이러한 관계가 성 립하는가가 문제될 수 있다. B는 A에게 서비스를 제공하는 것이지 A의 가입자에게 직접 서비스를 제공하는 것이 아니다. B는 저작권법상의 OSP 정의를 충족할 수 있지만 B의 이용자인 A와 같은 OSP들에게 컴퓨팅 자 원을 제공하는 것에 불과하고 A와 같은 OSP들이 콘텐츠를 업로딩하고 다운로딩하도록 하는 서비스를 제공하는 것은 아니다. 따라서 서비스제공 자인 B는 기술적으로는 저작권법상의 OSP에 해당할 수 있으나, OSP 책 임을 감면하는 정책목표적인 측면에서는 OSP가 되기 어려운 점도 있게 된다. 둘째, 저작권법 제102조는 OSP가 자신의 네트워크상에서 이용자의 저 작권 침해를 인식한 경우 침해를 중단시킨 경우 침해책임을 감경 또는 면 제받을 수 있으며, 중단시키고자 하였으나 기술적으로 불가능한 경우에는 책임 자체를 면제시키고 있는데, 이 경우 위에서 든 예에서 A와 B가 침 해를 중단하거나 방지하는 것이 현재의 저작권법이 상정하고 있는 상황과 는 분명한 차이가 존재한다. 상황에 따라서는 A가 침해를 중단하거나 예 방하지 못하는 경우가 있을 수 있고 B가 중단하거나 예방하지 못하는 경 우가 있을 수 있다. 셋째, 제103조, 제104조, 제133조의 2 및 3도 OSP에 대하여 일정한 의 무를 부과하고 있는데, 클라우드컴퓨팅에서는 제102조와 마찬가지의 문제 가 발생할 수 있다. 예컨대 제102조에 따라 저작권 침해를 통지하여야 하 는 저작권자는 A와 B 중에서 누구에게 통지하여야 하는가, 예컨대 B에게 통지한 경우에도 제103조에 따른 유효한 통지가 될 수 있는가의 문제가 발생한다. 또한 제104조의 적용에 있어서도 저작권자가 불법적인 저작물

370 유통을 차단하기 위한 기술적 조치(필터링 기술)를 A에게 할 것인가, B에 게 할 것인가 문제된다. 제133조의 2 및 3을 적용할 경우에는 더욱 큰 문 제점이 발생할 수 있다. 예컨대 문화체육관광부장관은 OSP로 하여금 OSP의 이용자(가입자)인 반복적인 침해자에게 저작권 침해에 대한 경고 를 하도록 명령할 수 있는데, 역시 A 및 B에게 모두 명령할 수 있는가 문제된다. 침해에 대한 경고를 하기 위해서는 가입자에 대한 일정한 정보 를 가지고 있어야 하는데, 위의 예에서 서비스 제공자인 B가 A의 가입자 를 모르거나 알 수 없는 경우, B에게 침해에 대한 경고를 하도록 명령하 는 것은 적절하지 않다. OSP의 게시판을 전부 또는 일부 서비스를 정지 토록 하는 경우에도 마찬가지이다. 넷째, 후술하는 바와 같이 OSP에게는 자신의 시스템이나 네트워크상에 서 저작권 침해를 방지하도록 하는 일정한 주의의무가 판례에 의하여 부 과되고 있는데, 위의 예에서 A가 이 같은 의무를 부담하는 것은 문제될 수 없으나 클라우드 서비스 제공자인 B에게도 주의의무를 부과할 수 있 는가 문제된다. B에게 주의의무를 부과하는 것이 적절한가, 과연 주의의 무를 부담할 정도의 지위에 있거나 능력이 있는가, 주의의무를 부과한다 면 A와 동일한 정도로 부과할 것인가 문제될 수 있다. 제4절 서비스제공자의 책임 1. 미국법상의 OSP의 간접책임 저작권 침해에 대한 간접책임(indirect liability)은 미국의 판례법상 인정 되는 것으로서 기여침해(contributory infringement) 및 대위침해(vicarious infringement)에 기하여 인정되는 것이다. 기여침해 및 대위침해는 직접침 해(direct infringement)에 대응하는 것으로서, 주로 BBS 운영자나 온라인

371 서비스제공자(OSP)에게 책임을 지우기 위한 것이다. 간접책임이 인정되기 위해서는 제3자에 의한 직접침해의 인정이 전제되어야 하는데, 클라우드 컴퓨팅에 있어서 서비스제공자와 서비스이용자간에 간접책임과 직접책임 이 문제될 수 있다. 기여침해가 성립되기 위해서는 피고가 타인에 의한 침해사실을 인지하 고서, 타인의 침해행위를 유도 또는 야기하거나 중대하게(materially) 기여 하여야 한다. 또한 주된 침해자의 행위에 대하여 피고의 대위책임을 인정 하기 위해서는, 피고가 (i) 침해자의 행위를 통제하는 권리나 능력을 가지 고 있어야 하며, (ii) 침해로부터 직접적인 금융이익(direct financial benefit)을 받아야 한다. 클라우드컴퓨팅에서의 관계는 (i) 서비스제공자, (ii) 서비스이용자, (iii) 최종사용자라는 3중의 관계를 전제할 수 있다. OSP의 책임에 대한 논란은 최종 사용자(end user, OSP 서비스의 가입자) 가 OSP에 저작권 침해 자료를 올려놓는 것에서 시작된다. 최종 사용자의 입장에서 보면 자신이 올리는 자료가 클라우드컴퓨팅 서비스제공자의 서 버에 있는가, 아니면 서비스이용자에 있는가는 아무런 상관이 없지만, OSP의 간접책임을 논의함에 있어서는 상당히 문제가 될 수 있다. 곧 서 비스제공자가 미국 판례법상 인정되는 기여책임이나 간접책임을 부담할 수 있는가, 부담하여야 하는 지위에 있는가가 문제될 수 있다. 이러한 논 의는 미국법상 이루어지는 것이지만, 한국의 법원에 의하여서도 주의의무 위반에 따른 방조책임이 인정되는 점에서 동일한 것이다. 2. OSP의 감시의무와 판례상의 주의의무 OSP가 자신의 서버나 네트워크상에서 발생하고 있는 저작권 침해나 명 예훼손을 감시하는 것은 이론적, 물리적으로 가능하지만, 사실상 불가능하 다. 엄청나게 많은 정보들이 OSP의 서버를 통하여 송수신되고 저장되며 이러한 과정들은 모두 기계적, 자동적으로 이루어지므로 정보가 저작권을 침해하는지 여부를 판단하는 것은 불가능할 뿐만 아니라 엄청난 거래비용

372 이 소요될 수밖에 없다. 따라서 OSP에 관하여 책임을 규정하고 있는 미 국 저작권법이나 유럽연합의 전자상거래지침은 명시적으로 OSP의 책임제 한이 OSP의 감시의무를 조건으로 할 수 없는 것으로 규정하고 있다. 한 미 FTA를 이행하기 위한 저작권법 개정안도 OSP가 서비스를 감시하거나 침해행위에 관하여 적극적으로 조사할 의무를 부담하지 않도록 하고 있다 (개정안 102 II). KORUS FTA 30(b) (vii) Eligibility for the limitations in this subparagraph may not be conditioned on the service provider monitoring its service, or affirmatively seeking facts indicating infringing activity, except to the extent consistent with such technical measures. KORUS FTA 이행 저작권법 개정안 제102조(온라인서비스제공자의 책임 제한) 2 온라인서비스제공자는 제1항 제1호 라목의 표준적인 기술조치를 준 수하는 경우, 자신의 서비스를 감시하거나 침해행위에 관하여 적극적으 로 조사할 의무를 부담하지 아니한다. 이와 같이 OSP는 자신의 네트워크상에서 발생하는 저작권 침해를 감시 할 의무를 부담하지는 않지만, 클라우드컴퓨팅 업체가 이러한 규정(한미 FTA가 비준을 받고 이행되는 것을 전제로 하여)을 전적으로 믿어서는 안 된다. 첫째, 한미 FTA 이행 저작권법 개정안에는 삭제되어 있고 한미 FTA가 이행되면 삭제될 것으로 예상되지만, 현행 저작권법 제102조는 OSP에게 일정한 의무를 부과하고 있다. 제102조는 OSP에게 침해를 감시 할 의무를 부담시키지는 않지만, 침해를 인지한 경우에는 일정한 조치를

373 취한다면 책임을 감면하고 있다. 곧 침해를 감시할 의무를 부담하지는 않 지만, 침해를 인지한 경우 침해를 중단시킨 경우에는 책임이 감면되며 중 단시키는 것이 기술적 불가능한 경우에는 책임이 면제된다. 곧 OSP가 침 해를 인지했다면, 침해를 중단시키는 것이 기술적 불가능하지 않다면, 침 해를 중단시켜야 책임이 감경되거나 면제될 수 있다. 따라서 저작권자가 통지하는 방법에 의하여 침해를 인지하는 등 인지하였는가 여부는 OSP에 게 매우 중요할 수 있다. 클라우드컴퓨팅 서비스제공자도 자신의 네트워 크상에서 저작권 침해를 감시할 의무는 없지만 침해를 인지하는 것이 인 정될 객관적 정황은 얼마든지 존재할 수 있다. 따라서 감시의무가 객관적 으로 부정되더라도 현행 저작권법 제102조에 의하여 클라우드컴퓨팅 서비 스 제공자는 침해의 인지에 대한 일정한 의무를 부담할 가능성이 있다. 둘째, 성문 입법에 의하여 OSP의 감시의무가 공식적으로 부인되더라도 판례에 의하여 저작권 침해를 방지하여야 할 일정한 주의의무가 부과되고 있다. 현재 OSP의 책임을 논의한 한국의 판례는 OSP에게 모두 이러한 의무를 부과하고 있으며 이러한 의무를 위반하는 경우 방조책임을 인정하 고 있다. 판례 나. 방조행위 성립 여부 (1) 민법 제760조 제3항의 방조 라 함은 불법행위를 용이하게 하는 직 접 간접의 모든 행위를 가리키는 것으로서 형법과 달리 손해의 전보를 목적으로 하여 과실을 원칙적으로 고의와 동일시하는 민법의 해석으로 서는 과실에 의한 방조도 가능하다고 할 것이며, 이 경우의 과실의 내용 은 불법행위에 도움을 주지 않아야 할 주의의무가 있음을 전제로 하여 이 의무에 위반하는 것을 말한다(대법원 선고 2002다35850 판결 등 참조). 일반적으로 P2P 방식에 의한 파일공유 시스템(이하 P2P 시스템 이라 한다)에서는 이용자들에 의한 디지털 형태의 저작복제물 무단 유통이

374 발생할 개연성이 있다고 할 것이나, 그렇다 하더라도 모든 형태의 P2P 시스템 운영자들이 획일적으로 이용자들의 저작인접권 등 침해행위에 대하여 방조책임을 부담한다고 단정할 수는 없고, 운영자가 서버를 운영 하면서 그 서버를 통하여 이용자들의 파일공유 및 교환 행위에 관여하 고 있는 정도, 운영자의 개입이 없이도 이용자들이 자체적으로 파일공유 등 행위를 할 수 있는지 여부, 저작인접권 등 침해행위를 하는 이용자가 있는 경우 운영자가 이를 발견하고 그에 대하여 서비스 이용을 제한할 수 있는지 여부, P2P 시스템이 파일공유 기능 자체 외에 이용자들의 저 작인접권 등 침해행위를 용이하게 할 수 있는 다른 기능을 제공하고 있 는지 여부, 운영자가 이용자들의 저작인접권 침해행위로부터 이익을 얻 을 목적이 있거나 향후 이익을 얻을 가능성의 정도 등 구체적 사정을 살펴보아, 운영자가 이용자들의 파일공유 등으로 인한 저작인접권 등 침 해행위를 미필적이로나마 인식하고서도 이를 용이하게 할 수 있도록 도 와주거나, 이러한 침해행위에 도움을 주지 않아야 할 주의의무가 있음에 도 이를 위반하는 경우라고 평가되는 경우에만 방조책임을 인정하여야 할 것이P2P 방식에 의한 MP3파일 공유 및 교환 기능을 수행하는 소리 바다 프로그램을 개발하고 이를 이용한 소리바다 서비스를 운영하는 채 무자들로서는, 소리바다 서비스를 통하여 이용자들에 의한 이 사건 음반 제작자들을 포함한 다수의 음반제작자들의 저작인접권 침해행위가 발생 하리라는 사정을 미필적으로 인식하였거나 충분히 예견할 수 있었다고 볼 것임에도, 채무자들은 소리바다 프로그램 설치 화면상에 경고문을 고 지하는 이외에는 이용자들의 저작인접권 침해행위를 방지할 만한 아무 런 조치를 취하지 아니한 채 소리바다 프로그램을 개발하고 MP3파일 공유 및 교환을 하는데 필수적인 서버를 운영하여 MP3파일 공유 서비 스를 제공함으로써 이용자들의 저작인접권 침해행위를 용이하게 하였으 므로, 이용자들의 이 사건 음반제작자들 저작인접권 침해행위에 대한 방 조책임을 부담한다.... <중략>

375 P2P 방식에 의한 MP3파일 공유 및 교환 기능을 수행하는 소리바다 프로그램을 개발하고 이를 이용한 소리바다 서비스를 운영하는 채무자 들로서는, 소리바다 서비스를 통하여 이용자들에 의한 이 사건 음반제작 자들을 포함한 다수의 음반제작자들의 저작인접권 침해행위가 발생하리 라는 사정을 미필적으로 인식하였거나 충분히 예견할 수 있었다고 볼 것임에도, 채무자들은 소리바다 프로그램 설치 화면상에 경고문을 고지 하는 이외에는 이용자들의 저작인접권 침해행위를 방지할 만한 아무런 조치를 취하지 아니한 채 소리바다 프로그램을 개발하고 MP3파일 공유 및 교환을 하는데 필수적인 서버를 운영하여 MP3파일 공유 서비스를 제공함으로써 이용자들의 저작인접권 침해행위를 용이하게 하였으므로, 이용자들의 이 사건 음반제작자들 저작인접권 침해행위에 대한 방조책 임을 부담한다 ) 따라서 저작권 침해를 감시할 성문법상의 의무는 부인되지만, OSP는 자신의 네트워크상에서 침해를 방지하여야 하는 주의의무를 부담하는 셈 이다. 클라우드컴퓨팅 서비스 제공자도 자신의 네트워크상에서 저작권 침 해를 방지하여야 하는 판례상의 의무를 부담하며 이러한 의무를 위반하는 경우 민사상의 방조책임을 부담하여 형사상으로는 방조범 성립이 인정될 수 있다. 판례 피고인들에게 저작권 침해행위를 방지할 작위의무가 있는지 여부 (1) 법령과 법률행위, 선행행위 등에 의한 작위의무의 발생여부 (가) 먼저, 정범들의 복제행위 당시의 저작권법 등 관련 법령을 살펴보 더라도 피고인들에게 그들이 개발한 소리바다 프로그램을 인터넷상에서 무료로 불특정 다수인들에게 제공한 행위로 인하여 초래된 복제권 침해 312) 서울고등법원 가처분이의( ). 313) 서울중앙지방법원 2003노4296( )

376 행위의 발생을 방지해야 할 법적인 의무를 부과하고 있는 근거를 찾을 수는 없다(다만, 법률 제6881호로 개정되어 부터 시행되는 개정 저작권법의 제77조 이하에서는 온라인서비스제공자의 책 임면제 및 그 주의의무위반과 관련하여, 저작권자, 온라인서비스제공자, 인터넷 사용자 상호간의 통지절차를 자세하게 규정하고 있다). 그리고, 피고인들과 음반제작회사들 사이에 어떠한 법률행위도 존재하지 아니하 는 이상, 이로부터 법익침해의 결과발생을 방지할 작위의무를 도출할 수 는 없다 할 것이다. (나) 다음으로, 피고인들이 개발한 소리바다 프로그램이 앞서 본 바와 같이 복제권 침해행위에 이용될 목적만으로 개발된 불법도구에 해당하 지 않는 이상, 피고인들이 위 프로그램을 인터넷상에서 불특정 다수인들 에게 무료로 배포하였다는 이유만으로 피고인들에게 당연히 복제권 침 해행위를 방지할 작위의무가 발생한다고도 할 수 없다. 313) 판례 피고인들의 저작재산권 침해방지에 관한 책임 비록 온라인서비스제공자에게 일반적인 감시 검색의무를 인정할 수는 없으나, 앞서 본 바와 같이 이 사건 각 사이트에서 저작재산권 침해행 위가 빈번하게 이루어지고 있고, 그 운영자들인 피고인들도 이를 충분 히 인식 예견하고 있다는 점에다, 이 사건 각 사이트에서 제공하는 서 비스는 공유형 웹스토리지 서비스로서, 현실적으로 그 주요한 기능 목 적은 다른 사람들 상호 간에 인터넷을 이용하여 저작물을 전송 공유하 도록 하는 데 있다고 볼 것인데, 이와 같이 저작물을 전송 공유하도록 하는 것을 주요한 기능 목적으로 하는 이른바 특수한 유형의 온라인 서비스 에서는 단순히 저작물의 복제 전송이 가능한 정도에 그치는 보 통의 온라인서비스에 비하여 저작재산권 침해행위가 발생할 위험성이 훨씬 높고, 이 사건 각 사이트가 저작재산권 침해의 위험성이 높은 서

377 비스를 스스로 제공하여 수익을 얻고 있으며, 나아가 서비스 제공자가 중앙서버를 관리하고 있어 효과적인 기술적 통제수단의 적용이 가능하 므로, 이 사건 각 사이트의 운영자들은 그 서비스를 통해 저작재산권 침해행위가 발생하지 않도록 하여야 할 높은 수준의 법적 의무가 있다 고 할 것이다. 314) 3. 클라우드컴퓨팅 진작과 OSP 책임 저작권법은 OSP의 책임과 관련하여 OSP에 대하여 책임을 부과하려는 것이 아니라 책임을 감경 내지 면제하는 것에 초점을 맞추고 있다. 곧 OSP 자체가 저작권을 침해하는 것이 아니며, OSP가 이용자에게 인터넷 을 이용토록 하는 서비스를 제공하는 과정에서 이용자가 저작권을 침해하 며, OSP는 인터넷 운용에 있어서 필수적인 존재로서 OSP가 없는 인터넷 은 존재할 수 없는 것이고, 다만 저작권 침해가 OSP의 서버에서 이루어 지고 침해를 예방하거나 중지시킬 수 있는 지위를 고려하여, 일정한 요건 을 충족한다면 책임을 감경하거나 면제하기 위한 것이다. 저작권법의 이 러한 원칙은 PaaS나 IaaS에서는 보다 더 강력하게 인정되거나 오히려 OSP의 책임을 상당하게 완화시키는 것이 필요하다. 클라우드컴퓨팅 서비 스 제공자도 OSP가 될 수 있는데, 현재에는 OSP가 일반적으로 웹사이트 운영자에 가까운 것으로서 OSP가 자신의 서버에서 이루어지는 저작권 침 해를 예방할 수 있는 지위에 있고 침해저작물을 삭제할 수도 있으며 저작 권을 침해한 자에 대하여 일정한 조치를 할 능력을 가지게 된다. 그런데 PaaS나 IaaS에 있어서 OSP는 웹사이트 운영자가 아니라 일종의 기반( 基盤 ) 자체를 제공하는 것이기 때문에, 저작권을 침해하는 자료가 자신의 서버에 올라오더라도 이를 통제할 능력이 상당히 떨어지게 되며 통제를 하게 할 필요성도 약해진다. PaaS나 IaaS와 같은 클라우드컴퓨팅에 있어 서는, 이용자에게 일정한 서비스를 제공하고 이용자들이 콘텐츠를 제공자 314) 서울중앙지방법원 2008고단3683,

378 의 서버에 올리는 것이라기보다는, 일종의 물건을 빌려주듯이 서비스 이 용자에게 설비 내지 기반을 빌려주는 것과 마찬가지이다. 따라서 PaaS나 IaaS 서비스 제공자에 대해서는 현재와 같은 OSP 책임구조를 그대로 적 용하는 것이 불합리해질 수 있다. 따라서 클라우드컴퓨팅에 있어서는 서 비스 제공의 유형이나 정도에 따라 OSP 책임 부과나 면제에 대하여 현재 의 저작권법 체제가 취하는 것과 다른 접근방법을 취할 필요성이 있다. 곧 클라우드컴퓨팅을 진작시키기 위해서는 PaaS나 IaaS 서비스 제공자에 대해서는 OSP의 책임을 상당히 완화시킬 필요가 있다. 제5절 클라우드 컴퓨팅 환경에서 제작되는 창작물 IaaS나 PaaS를 이용하는 경우 이용자가 응용 프로그램을 운영할 수 있고 서비스 제공자가 데이터나 정보를 복제하거나 배열을 새롭게 하여 새로운 형태로 가공할 수 있는데, 누가 변형된 정보에 대하여 저작권을 가지는가 가 문제될 수 있다. 누가 저작권을 가지는가에 대하여 클라우드컴퓨팅 서 비스 제공자와 이용자 간에 사전에 계약 등의 형태로 정해 놓지 않는다면 분쟁이 발생할 수밖에 없다. 이러한 형태의 분쟁은 서비스이용자가 제공 자의 플랫폼이나 기반시설에서 일정한 응용 프로그램을 구동하거나, 응용 프로그램을 개발하여 다른 이용자에게 제공하거나, 서비스제공자가 이용 자의 정보를 변형하는 것에서 발생할 수 있다. 저작자는 저작물을 창작한 자로 정의되고( 2 ii), 저작자에게는 저작재산 권과 저작인격권이 부여된다( 11-22). 따라서 클라우드컴퓨팅 서비스 제 공자와 이용자 간에 저작권의 소유에 대하여 특별한 약정이 존재하지 않 는다면, 클라우드컴퓨팅 환경 여부에 관계없이 저작물을 작성한 자가 저 작권을 가지게 된다. IaaS나 PaaS를 이용하여 서비스 이용자가 운영하는 응용 프로그램이나 서비스 이용자가 작성한 저작물은, 그 저작물이 저장

379 되어 있는 매개체(서버)가 서비스 제공자가 소유한 것 여부와 관계없이, 서비스 이용자의 소유가 된다. IaaS나 PaaS 서비스 이용자가 저작물을 작성하였는데 서비스 제공자가 이에 변형을 가한 경우, 변형이 가하여진 새로운 저작물에 대해서는 누가 저작권을 가지는가가 문제될 수 있다. 저작자가 가지는 저작재산권 중에 는 2차적 저작물을 작성할 권리를 가지는데( 22), 2차적 저작물은 원저작 물에 번역 편곡 변형 각색 영상제작 그 밖의 방법으로 작성한 창작물 을 의미하며 독자적인 저작물로서 보호받는다( 5). 2차적 저작물 작성자가 가지는 저작권은 원저작물에 자신이 가미한 창작성에 대하여 보호받는데, 2차적 저작물을 작성하고자 하는 자는 저작권자의 2차적 저작물 작성에 대하여 이용허락을 받아야 한다. 2차적 저작물로 인정되기 위해서는 원저 작물에 창작성을 가미하여야 하므로, 첫째, 클라우드컴퓨팅 서비스 이용자 의 저작물을 서비스 제공자가 변형하였지만 창작성이 전혀 가미되지 않은 경우에는 2차적 저작물 자체가 작성된 것이라 할 수 없다. 원저작물의 지 엽적인 부분만을 변형하거나 순서를 변경하는 것 등은 원저작물의 복제에 해당하는 것이지 창작성이 가미된 것이라 할 수 없고 따라서 이를 수행한 서비스 제공자는 2차적 저작물을 작성한 것이 되지 않는다. 둘째, 서비스 제공자가 변형한 부분이 창작성이 있고 서비스 이용자로부터 2차적 저작 물 작성에 대하여 이용허락을 받은 경우, 서비스 제공자는 자신이 가미한 창작성에 대하여 저작권을 주장할 수 있다. 셋째, 서비스 제공자가 변형한 부분이 창작성이 있고 서비스 이용자로부터 2차적 저작물 작성에 대하여 이용허락을 받지 않은 경우, 서비스 제공자는 이용자의 2차적 저작물 작 성권을 침해하는 것이 된다. 서비스 제공자의 2차적 저작물 작성권 침해 가 인정되는 것은 당연한데 문제는 서비스 제공자가 가미한 창작성 부분 에 대하여 누가 저작권을 가지는가 여부이다. 이에 대하여 우리 법원이 취하고 있는 입장은, 2차적 저작물 작성자의 저작권(곧 원저작물 저작자 의 2차적 저작물 작성권)을 침해하는 것은 별론으로 하더라도, 창작된 부 분에 대하여 권리를 가지는 것은 2차적 저작물 작성자가 가진다는 것이

380 다. 따라서 서비스 제공자의 서버에 올라와 있는 서비스 이용자의 저작물 물을 서비스 제공자가 변형을 가하여 2차적 저작물을 작성한 경우, 서비 스 제공자는 이용자의 2차적 저작물 작성권을 침해하는 것이 되고, 이러 한 침해 여부와 관계없이 제공자가 가미한 부분에 대한 저작권은 서비스 제공자가 가지게 된다. 만약 제3자가 이러한 2차적 저작물을 아무런 권원 없이 이용하였다면, 제3자는 원저작물 저작자인 서비스 이용자의 저작권 을 침해한 것이 될 뿐만 아니라(2차적저작물의 보호는 그 원저작물의 저 작자의 권리에 영향을 미치지 않는다, 5 II) 서비스 제공자가 2차적 저작 물에 대하여 가지는 저작권까지 침해하는 것이 된다. 제6절 키워드 광고 클라우드컴퓨팅에서는 상표가 검색 키워드로 사용되는 경우에 상표권자 와 경쟁하는 자가 배너 등의 형태로 광고되는 경우가 있을 수 있다. 곧 X 가 소유하는 A라는 상표를 키워드로 사용하여 검색하였는데 A와 관련되 는 검색 결과와 함께 X와 경쟁하는 Y의 광고가 배너형태로 나타나게 할 수 있다. 상표를 이용한 이러한 키워드 검색광고는 현재에서도 발생하고 있는 문제이지만, 더욱 많은 이용자들이 클라우드컴퓨팅 서비스를 이용하 게 될 것이라는 것을 고려한다면 클라우드컴퓨팅에서는 그 빈도가 높아질 수 있다. 위의 사례에 있어서 A에 대하여 상표권을 가지는 X, A를 검색 용어로 사용하였을 경우 Y의 광고가 배너로 나타나도록 하는 서비스제공 자, X와 경쟁하는 Y 등 3자 간에는 상표권 분쟁이 발생할 수밖에 없다. 특정 상표를 검색어로 사용하였을 경우 배너광고가 나타나게 하는 것 외 에도 팝업(pop-up), 팝다운(pop-down) 광고가 나타나게 하는 것도 마찬가 지가 된다. 키워드를 이용하여 배너광고나 팝업광고가 나타나도록 하는 것이 상표

381 권 침해가 되는가 여부와 관련하여 논의되는 이론이 판매전 혼동이론 (initial interest confusion theory)이다. 판매전 혼동이론은, 타인의 상표를 부당하게 사용함으로써, 소비자가 상품이나 서비스를 구매하기 전의 시점 에서는 혼동하지만, 구매하는 시점에는 혼동하지 않는 경우에도 상표권의 침해를 인정하는 이론이다. 곧 소비자가 일단 혼동에 빠졌다면 그 이후 구매하는 순간에는 혼동에 빠지지 않더라도 상표권 침해로 인한 책임을 물을 수 있도록 하는 것이다. 판매전 혼동이론은 미국의 법원들이 인터넷 과 관련하여 그 적용을 확대해오고 있는데, 어떠한 상표와 동일하거나 유 사한 도메인이름을 사용하여 그 상표권자와 경쟁하거나 상표권자를 비판 하는 웹사이트로 이용자를 끌어들이는 경우, 타인의 상표가 메타택 (metatag)으로 사용된 경우, 팝업(pop-up) 광고나 배너(banner) 광고를 나 타나도록 하기 위하여 타인의 상표를 키워드로 사용하는 경우 등에 적용 되고 있다. 상표를 키워드로 이용하여 검색하였을 때 경쟁자가 배너에 의하여 광고 를 하고 이용자가 이 배너광고를 클릭하여 상품이나 서비스를 이용하였을 경우 상표권 침해를 인정하는 미국의 판례가 나온 상태이다. Playboy Enterprises v. Netscape Communications 케이스[354 F.3d 1020 (9th Cir. 2004)]에 서 이용자들이 원고의 상표 등록한 단어를 검색어로 사용하면 검색결과와 함께 원고와 경쟁하는 자의 배너광고가 나타났다. 원고의 사이트를 찾고 자 하는 이용자 중에는 원고와 배너광고가 원고의 사이트와 관계가 있다 고 생각하고 배너광고를 클릭하면 접속하게 되는 피고의 사이트가 원고와 는 아무런 관계가 없다는 것을 알게 된다. 원고의 사이트를 찾고자 했던 이용자들 중에는 원고와 경쟁하는 배너광고에 의하여 광고된 사이트에 만 족하여 이 사이트의 서비스를 이용할 수도 있다. 미국의 제9연방 항소법 원은 이용자들이 이 사이트에 접속하게 된 것은 피고가 원고의 상표를 이 용한 것에 기인하는 것이고 이러한 상표이용은 제소 가능한 것이라고 판 시하였다. 법원은 이용자들이 원고의 사이트로 연결된다고 믿고 배너광고 의 지시를 따를 수 있으며, 원고 경쟁자의 사이트에 도착한 직후 원고와

382 는 완전히 관계가 없는 사이트에 접속했다는 것을 인식하는 경우에도, 손 해는 이미 가하여졌다고 하였다. 곧 판매전 혼동에 의하여 경쟁자는 원고 가 상표에 축적해 온 업무상 신용을 부당하게 이용함으로써 고객을 얻게 되었다는 것이다. 판매전 혼동이론이 사실상 인터넷상에서 적용되기 시작한 것은 미국의 제9연방 항소법원의 Brookfield Communications, Inc. v. West Coast Entertainment Corporation[174 F.3d 1036 (9th Cir. 1999)]이다. 이 케이스 가 나온 이후로 많은 법원이 인정할 것으로 예상되었지만 현재로서는 모 든 법원들이 이 이론을 받아들이고 있는 것은 아니다. 판매전 혼동이론의 적용 여부와 관계없이 클라우드컴퓨팅 서비스와 관련된 키보드 및 배너광 고 등에 의한 상표권 침해문제는 더욱 빈번하게 발생할 수 있을 것으로 보인다. 상표를 이용한 키워드로 검색하였을 때 검색결과와 함께 경쟁자 의 광고가 배너형태로 나타나는 경우, 이용자들이 이 배너광고를 클릭하 여 이용하더라도 실제로 혼동하는 것은 아니며 오히려 이용자들이 더 많 은 선택을 할 수 있는 정보를 제공하는 것이라고 주장될 수 있다. 그러나 실제로 상품이나 서비스를 구매하는 순간에는 이용자가 혼동에 빠지지 않 지만, 배너광고를 클릭함으로써 경쟁자의 사이트로 들어오게 하기까지의 과정에서 경쟁자는 상표가 가지는 명성을 이용한 것임에는 분명하다. 상 표법은 타인이 쌓아올린 굿윌(good will)에 무임승차하는 것을 방지하는 것을 목적으로 한다면 판매전 혼동이론이 적용되는 것도 합리적인 측면이 분명히 존재한다. 클라우드컴퓨팅 서비스가 보다 광범위하게 이용된다면 한국의 법원도 판매전 혼동이론을 적용할 가능성이 있게 된다. 제7절 영업비밀 클라우드컴퓨팅에 있어서는 서비스 이용자가 자신이 소유하는 정보를

383 서비스 제공자의 서버에 올리게 되는데, 이러한 정보가 영업비밀에 의하 여 보호되는 것이라면, 서비스 제공자의 서버에 올림으로써 영업비밀의 지위가 어떻게 되는가가 문제될 수 있다. 물론 서비스 이용자의 입장에서 는 영업비밀의 지위를 상실하지 않기 위하여 정보의 비밀을 유지할 수 있 도록 서비스 제공자와 일정한 조치를 취하여야 할 것이다. 영업비밀로 인 정되기 위해서는 일정한 요건을 갖추어야 하는데 그 중의 하나가 비밀성 이다. 곧 영업비밀로 인정되기 위해서는 그 소유자가 합리적인 노력을 기 울여야 하는데, 클라우드컴퓨팅 서비스 제공자의 서버에 올려놓음으로써 영업비밀성이라는 요건을 상실하는가가 문제될 수 있다. 서비스 이용자가 영업비밀에 해당하는 정보를 제공자의 서버에 올려놓 았을 경우에 발생하는 영업비밀의 쟁점은 다음의 두 가지 측면에서 분석 할 수 있다. 첫째, 서비스 제공자의 서버에 일반 공중이 접근할 수 있는 경우이다. 일정한 정보가 인터넷에 올라가는 경우에는 영업비밀로서의 지 위를 상실하게 된다. Religious Technology Center v. Netcom On-Line Communication Services, Inc. 케이스[923 F.Supp (N.D. Cal. 1995)] 에서 법원은 어떠한 인터넷 이용자라도, 심지어 신분을 보호하기 위하여 익명으로 인터넷을 사용하는 자라도 영업비밀을 인터넷에 올림으로써 영 업비밀의 지위를 상실한다고 판시하였다. 가장 가난한 개인까지도 수백만 의 독자들에게 공표를 할 수 있는 힘을 주는 인터넷의 특징은 지적재산권 의 가치를 손상할 수 있다는 것이다. 따라서 정보를 일반 공중이 접근할 수 있는 인터넷에 올리는 경우 그 정보는 이제 더 이상 영업비밀의 지위 를 유지할 수 없게 된다. 둘째, 일정한 제한적인 이용자들만이 서버에 올라가 있는 정보에 접근 할 수 있다면 영업비밀 지위의 유지 여부가 달라질 수 있다. 곧 제한적인 이용자들이 영업비밀을 보호할 의무가 있고 영업비밀 소유자가 영업비밀 의 지위를 유지하기 위하여 합리적인 노력을 기울였다고 한다면, 서비스 제공자의 서버에 정보를 올렸더라도 영업비밀의 지위를 상실하지 않게 될 것이다

384 제8절 데이터베이스 클라우드컴퓨팅 서비스 이용자가 제공자의 서버에 데이터를 저장하여 일반 이용자를 상대로 데이터베이스 서비스를 제공할 수 있다. 곧 클라우 드에 저장되어 있는 데이터베이스를 어떻게 보호할 것인가가 문제된다. 데이터베이스는 소재를 체계적으로 배열 또는 구성한 편집물로서 개별적 으로 그 소재에 접근하거나 그 소재를 검색할 수 있도록 한 것 으로 정의 된다(저 2 xix). 한국과 유럽연합(EU)은 데이터베이스의 보호에 관하여 2 원적인 접근방법(dual approach)을 취하고 있다. 첫째, 데이터베이스를 저 작권으로 보호하는 것이다. 저작권은 창작물에 대하여 인정되는 권리인데, 데이터베이스는 많은 소재로 구성되어 있고 따라서 데이터베이스가 저작 권에 의하여 보호되기 위해서는 편집저작물로 보호될 수밖에 없다. 편집 저작물은 편집물로서 그 소재의 선택 배열 또는 구성에 창작성이 있는 것 으로 정의되므로( 2 xviii), 데이터베이스가 편집저작물로 보호받기 위해 서는 데이터베이스를 구성하는 개별적인 소재의 선택 배열 또는 구성에 창 작성이 있어야 한다. 유럽연합의 데이터베이스지침[Commission Directive 96/9/EC of the European Parliament and of the Council of 11 March 1996 on the Legal Protection of Databases]도 데이터베이스의 내용을 선정 또는 배열하는 것이 저작자의 지적 창작을 구성하는 경우에는 저작권에 의 하여 보호하고 있다(제3조). 이와 같이 데이터베이스는 편집저작물로서 저 작권에 의하여 보호받을 수 있으나 문제는 데이터베이스가 그 소재의 선 택 배열 또는 구성에 창작성을 가지기 어려우며 사실상 불가능하다는데 있다. 곧 데이터베이스를 구축하는 데에는 상당한 인적 물적 자원이 투자 되어야 하는데 저작권에 의하여 보호하는 것은 사실상 불가능한 것이 될 수 있다. 둘째, 데이터베이스를 저작권에 의한 보호와는 독립하여 독자적으로 보 호하는 것이다. 데이터베이스의 제작 또는 그 소재의 갱신 검증 또는 보

385 충에 인적 또는 물적으로 상당한 투자를 한 자인 데이터베이스제작자는 데이터베이스의 전부 또는 상당한 부분을 복제 배포 방송 또는 전송할 권리를 가진다( 93 I). 유럽연합의 데이터베이스지침도 데이터베이스를 획 득하거나 유지하기 위하여 상당한 투자를 한 데이터베이스의 제작자에게 그 내용에 대하여 제작 완료 후 15년 동안 보호하고( 7, 10), 이러한 권 리는 데이터베이스의 내용에 추가적으로 상당한 투자를 함으로써 갱신될 수 있다( 10). 한국과 유럽연합이 데이터베이스를 저작권의 보호와 관계없 이 독자적으로 보호하는 것은 그 소재를 수집, 검토 그리고 표현하는데 있어서 질적으로나 양적으로 상당한 투자를 요하는 데이터베이스에 대하 여 이마의 땀의 원리(doctrine of sweat of brow) 를 인정한 것이다. 클라우드컴퓨팅 서비스 이용자나 제공자가 데이터베이스를 구축한 경우 한국과 유럽연합에서는 저작권에 의한 보호와는 관계없이 독자적으로 보 호받지만, 미국 등 많은 국가들이 보호하지 않고 있다는 것이 문제이다. 미국에서는 연방대법원이 Feist Publications, Inc., v. Rural Telephone Service Co., Inc. 케이스[499 U.S. 340(1991)]에서 이마의 땀의 원리 가 부 정된 이후 데이터베이스는 저작권에 의하여서만 보호받을 수 있으며 데이 터베이스를 창조하는데 소요된 노력, 시간, 자원 등은 데이터베이스가 저 작권에 의하여 보호받는지 여부를 결정하는데 있어서 아무런 관계가 없게 된다. Feist 케이스 이후 데이터베이스를 보호하기 위한 법안이 여러 차례 제출되었지만 성공하지 못하였고 앞으로도 성공할 것으로 예상되지는 않 는다. 이와 같이 데이터베이스를 보호하는 국가와 보호하지 않는 국가가 있으므로 클라우드컴퓨팅 서비스 이용에 있어서는 데이터베이스의 보호가 문제될 수 있다. 유럽연합은 유럽연합 이외 국가 국민의 데이터베이스가 그 국가가 유럽연합의 지침에 상응하는 법을 가지고 있는 경우에만 보호 된다고 함으로써 상호주의를 규정하고 있다( 11). 한국도 데이터베이스의 보호와 관련하여 그 보호대상을 대한민국 국민 과 대한민국이 가입 또는 체결한 조약에 따라 보호되는 외국인 을 원칙적으로 규정하지만 외국인의 데이터베이스라도 그 외국에서 대한민국 국민의 데이터베이스를 보호하지

386 아니하는 경우에는 그에 상응하게 조약 및 이 법에 의한 보호를 제한할 수 있다 고 함으로써( 91), 유럽연합과 같이 상호주의를 규정하고 있다. 클 라우드컴퓨팅에 있어서는 데이터베이스의 보호와 관련하여 상호주의 적용 문제가 빈번하게 발생할 것으로 예상된다. 제9절 클라우드컴퓨팅과 소프트웨어 라이선싱 1. 클라우드컴퓨팅 서비스 제공과 정품 소프트웨어 클라우드컴퓨팅 서비스가 본격적으로 제공되는 경우 서비스 이용자들이 정품 소프트웨어 사용으로 인한 부담이 증가할 것인가 여부가 문제된다. 한국에서의 소프트웨어 불법 복제율은 선진국의 20% 대에 비하여 높은 40% 대에 이른다. IaaS와 같은 클라우드컴퓨팅이 보다 더 광범위하게 이 용된다면 이용자들은 서비스 제공자들이 제공하는 소프트웨어를 이용하여 하므로 정품 소프트웨어를 사용하여야 하는 문제가 생긴다. 소프트웨어 불법 복제율이 40% 대에 이른다는 것은 선진국에 비하여 사실상 훨씬 더 높은 불법 복제가 이루어진다는 것을 의미하며 클라우드컴퓨팅 서비스를 이용하면 이러한 불법 복제가 허용되지 않으므로 정품을 사용하여야 한다 는 인식이 있을 수 있다. 정품 소프트웨어를 이용하는 것은 당연한 것이지 만 40% 대의 불법 복제가 한 순간에 모두 정품 소프트웨어를 사용하는 것 으로 한다면 소프트웨어 이용환경에 그리 이로운 것은 될 수 없을 것이다. 클라우드컴퓨팅 서비스로 인한 소프트웨어 정품 사용문제는 다음과 두 가지 측면에서 고려할 수 있다. 첫째, 앞서 일시적 복제에서 논의한 바와 같이 서비스 제공자가 타인의 소프트웨어를 일시적 복제의 형태로, 곧 소 프트웨어 스트리밍의 형태로 이용자들에게 서비스를 제공할 수 있다. 그 런데 저작권자가 아닌 자가 저작권자의 소프트웨어를 스트리밍의 형태로

387 제공하는 서비스는 극히 예외적인 형태가 될 것으로 보인다. 우선 소프트 웨어 저작권자가 아닌 자가 소프트웨어를 클라우드컴퓨팅에서 제공하는 경우, 소프트웨어 저작권자는, 지금의 1PC/ 1License에서 누릴 수 있는 이익이 보장되지 않는 한, 서비스제공자에게 이용허락을 하지 않을 것이 다. 현재의 1PC/ 1License 만큼의 이익을 보장하는 소프트웨어 스트리밍 서비스를 제공하기 위해서는 저작권자에게 1PC/ 1License에서 얻을 수 있는 이익과 동일하거나 유사한 이익을 제공하여야 할 것이고, 그렇다면 서비스 제공자의 입장에서 보면 이러한 스트리밍 서비스를 제공할 실익이 없게 될 것이다. 결국 소프트웨어 스트리밍을 제공하려는 서비스 제공자 는 소프트웨어 스트리밍 서비스 제공을 포기하거나 불법적인 서비스를 하 는 것 중의 하나를 선택할 것이다. 따라서 소프트웨어 저작권자가 아닌 주체가 소프트웨어 스트리밍 서비스를 제공하는 것은 극히 예외적인 것이 될 수밖에 없게 된다. 둘째, 소프트웨어 저작권자가 소프트웨어를 제공하는 경우이다. SaaS와 같은 클라우드컴퓨팅에서는 소프트웨어를 제공하는 것에 대하여 불법과 정품 여부를 구별하는 것은 적절하지 않다. IaaS에서는 전체 소프트웨어 를 이용자의 컴퓨터로 가져와서 복제하는 것이 아니라 이용자 자신이 희 망하는 시간과 장소에서 소프트웨어를 컴퓨터의 RAM으로 가져와서 이용 토록 하는 것이다. 이용자 컴퓨터의 RAM에 일시적으로 복제되는 소프트 웨어 자체가 정품이냐, 불법 복제품이냐를 구별하기보다는, 소프트웨어 스 트리밍 서비스, 곧 클라우드컴퓨팅 서비스 제공 자체가 적법인가, 아니면 불법인가를 살펴보아야 한다. 위에서 언급한 첫째의 경우에 소프트웨어 저작권자가 아닌 주체가 저작권자의 이용허락을 받지 않고 소프트웨어 스 트리밍 서비스를 제공한다면, 스트리밍 서비스 제공자나 이용자는 소프트 웨어를 불법적으로 이용하는 것이 된다. 또한 소프트웨어 저작권자가 클 라우드컴퓨팅 서비스에 의하여 소프트웨어를 제공하는 경우, 서비스를 이 용할 정당한 권원 없이 이 서비스를 이용하는 것도 소프트웨어를 불법적 으로 이용하는 것이 된다. 예컨대 일정한 이용료를 지급한 이용자만이 소

388 프트웨어를 이용토록 하고 이러한 이용자에게는 아이디 및 비밀번호를 입 력하도록 요구하였는데, 이러한 아이디 및 비밀번호의 요구를 무력화하여, 곧 기술적 보호조치를 무력화하여 이용한다면, 기술적 보호조치 규정의 위반뿐만 아니라 소프트웨어를 불법적으로 이용하는 것이 된다. 클라우드컴퓨팅 서비스는 주로 소프트웨어 저작권자에 의하여 제공될 것이므로 이용자들은 지금의 기준에 의한다면 정품을 사용하여야 하는 것 이 될 것이다. 클라우드컴퓨팅에서는 현재와 같이 소프트웨어를 컴퓨터 하드웨어에 저장하여 사용하는 것은 줄어들 수밖에 없고 많은 이용자들이 소프트웨어 스트리밍 등의 형태로 소프트웨어를 이용하게 될 것이다. 소 프트웨어 저작권자로부터 서비스를 이용한다면 현재와 같이 일종의 정품 을 사용하는 것이 되는데, 클라우드컴퓨팅에서의 스트리밍에 의한 소프트 웨어 이용료는 현재보다 보다 더 저렴하게 부과될 가능성이 있다. 어떤 방식으로 비즈니스 모델이 형성될지 예측할 수는 없지만 서비스 제공자 및 이용자가 모두 만족하는 비즈니스 모델이 만들어질 것이다. 2. 클라우드컴퓨팅에서의 소프트웨어 이용 가. 라이선싱 대상으로서의 소프트웨어 클라우드컴퓨팅에서의 소프트웨어 이용은, 이용자들이 상품 내지 제품 으로서 소프트웨어를 이용하는 것을 의미하는 것이 아니라, 서비스로서 소프트웨어를 이용하는 것을 의미한다. 곧 소프트웨어 산업이 탄생한 이 래로 소프트웨어에 대한 이용허락의 형태로 소프트웨어가 이용되는 모델 을 완전히 대체하게 된다. 인터넷이 사용되면서 CD 등의 형태로 소프트 웨어를 배포하는 것이 파일의 형태로 배포하는 방식으로 바뀌어 왔는데, 이러한 방식도 결국 소프트웨어 개발자(저작권자)가 이용자들로 하여금 소프트웨어를 이용할 수 있도록 하는 것을 이용허락(licensing)하는 것이 다. 클라우드컴퓨팅 환경에서는 라이선싱 방식에 의한 소프트웨어 이용모

389 델이 사라지게 된다. 우선 클라우드컴퓨팅 환경에서의 소프트웨어 이용을 보다 더 잘 이해하기 위하여 라이선싱 방식의 모델을 살펴보기로 하자. 미국에서 컴퓨터 프로그램의 저작권에 의한 보호가 공식적으로 인정된 것은 1980년도에 1976년 저작권법(Copyright Act of 1976)의 개정에 의한 것이었다. 저작권에 의한 보호가 인정되기 전인 1970년대에, 소프트웨어 생산업자들은 최종적인 소비자들에게 소프트웨어를 판매하기보다는 소프 트웨어의 이용허락을 선호하였다. 이러한 관행은 대부분 저작권법상의 최 초판매이론이 적용되는데 따른 결과를 회피하기 위한 것이었는데, 최초판 매이론이 적용되면, 저작물의 복제물을 판매하여 복제물에 대한 소유권을 이전한 저작권자는 그 복제물이 다시 배포되고 이전되는 것을 통제할 모 든 권리를 상실하게 된다. 저작권자는 이러한 소유권의 이전을 회피하고 자 하였고 이를 가능하게 하는 것이 이용허락이었다. 소프트웨어 개발자 들이 판매의 형태가 아니라 이용허락이라는 형태로 소프트웨어를 배포한 것은, 복제물에 대한 소유권이 구매자에게 이전됨으로써 그 복제물의 소 유자가 이를 다시 판매하거나 처분하는 것을 인정하는 최초판매이론을 회 피하는 것을 가능하게 하였다. 따라서 소프트웨어를 판매가 아니라 이용 허락을 하게 되면, 소프트웨어 생산업자는 프로그램에 담겨있는 무체적인 정보와 이러한 정보를 저장하고 있는 유형의 매개체(CD나 디스켓)에 대 한 소유와 통제를 상실하지 않으면서 배포하는 것을 가능하게 하였다. 저작권에 의하여 소프트웨어의 보호가 인정된 이후에도 이용허락의 관 행은 계속되었는데, 이용허락에 의하여 소프트웨어 생산업자들은 소프트 웨어의 이용에 관하여 일정한 제한을 가하였다. 이 같은 제한의 예로서는 프로그램을 수정한다던가 보존용의 복제물을 만든다든가 소프트웨어를 역 공정에 의하여 분석하는 것, 그리고 소프트웨어에 대하여 독립적인 제3자 로부터 서비스를 받는 것을 금지하는 것 등을 들 수 있다. 이러한 제한들 은 저작권법이 저작권자에게 인정하고 있는 배타적인 권한을 넘어서게 되 어 저작권법상의 공정이용을 잠식하고 일반인의 공유영역에 속하는 것을 박탈함에도 불구하고 이용허락의 관행은 지속되었다

390 1980년대에 들어오면서 컴퓨터가 광범위하게 이용되고 이에 따라 소프 트웨어에 대한 수요가 증가함으로써 소프트웨어는 대규모적으로[곧 대량 시장(mass market)에 의하여] 배포되기에 이르렀다. 따라서 소프트웨어의 복제물을 밀접하게 통제하거나 서비스를 제공하는 것이 적절하지 않게 되 었다. 또한 협상을 하기 위한 거래비용에 비하여 이용허락을 하고자 하는 소프트웨어의 비용이 상대적으로 낮기 때문에 소프트웨어에 대한 이용허 락을 개별적으로 협상하는 것이 비현실적인 것이 되었다. 따라서 소프트 웨어 생산업자들은 이용허락을 위한 표준적인 계약을 점차 이용하고자 하 였고, 결국 비닐로 포장된 소프트웨어 패키지에 표준적인 이용허락계약의 조건을 포함시키기에 이르렀는데, shrinkwrap license 라 불리는 것이 바 로 이것이다. 이외에도 소프트웨어 생산업자들이 소프트웨어의 사용에 대 한 책임이나 소프트웨어의 이용을 제한하거나 역공정을 금지하기 위하여, 또는 소프트웨어가 다시 이전되는 경우에 추가적인 수입을 얻기 위하여 shrinkwrap license를 이용하였다. 이용허락계약은 한 당사자(이용허락자, licensor)가 계약에 의하여 자신 의 재산이거나 자신이 통제하고 있는 정보를 다른 당사자(이용권자, licensee)가 사용할 수 있도록 허락하는 것이다. 곧 이용허락은, 정보를 포 함시키고 있는 유형의 매개체에 대한 소유권을 이전시키는 것과 관계없 이, 정보를 이용하는 것만을 허용하고 그 정보의 이용에 대하여 조건이나 제한을 과하는 계약이다. 나. 서비스 대상으로서의 소프트웨어 서비스에 바탕을 둔 컴퓨팅은 다음과 같은 네 가지 단계로 설명되고 있 는데, 315) 이러한 설명은 라이선싱 대상으로서의 소프트웨어와 서비스 내 지 이용대상으로서의 소프트웨어를 구별하는데 많은 도움을 제공한다. 첫 째 단계는 ASP(Application Service Provision)로서, 1990년대 중반 이후 315) Richard Kemp, The Legal Implications of the Cloud ICAEW, 24 Sep

391 인터넷 속도가 빨라지면서 가능해진 것이다. 여기에 있어서는 ASP 서비 스제공자가 관리하는 데이터 센터의 서버에 존재하는 소프트웨어가 이용 자의 컴퓨터 룸의 서버에 존재하는 소프트웨어를 대신하게 되고, 이용자 들은 인터넷에 쉽게 접근하고 이용자의 컴퓨터는 HTML에 바탕을 둔 웹 이용자환경을 이용하게 된다. 곧 소프트웨어 개발자가 많은 이용자들을 상대로 인터넷을 통하여 소프트웨어를 제공하게 된다. 그러나 ASP에 있 어서는 아직도 구성(configuration, 정보 처리 시스템이나 네트워크를 그 기능 단위의 개수, 성질, 상호 접속, 기본적인 특성에 따라 편성하는 것, 또는 그렇게 편성된 상태, 편성의 대상에 따라 하드웨어 구성, 소프트웨어 구성 등으로 분류, Naver 용어사전) 및 설치와 관련된 서비스와 소프트웨 어를 이용하는 서비스를 상당히 의존할 수밖에 없으며 이러한 서비스는 별도로 제공된다. 둘째, SaaS로서 웹상에서 소프트웨어를 배포하는 것으로서, 일정한 권 한을 가진 이용자만이 소프트웨어를 이용하고 이용료를 지급할 수 있도록 한다(per-seat/user 모델, 후술). SaaS에 있어서는 이용자가 자신이 희망하 는 서비스 및 저장 공간에 따라 소프트웨어를 이용할 수 있다(scalable). 이용자들은 자신의 컴퓨터에 설치하여 운영하기 위하여 소프트웨어를 구 매하거나 소프트웨어 개발자로부터 이용허락을 받을 필요가 없으며, 따라 서 서비스 이용자는 소프트웨어를 점검하거나 보수해가면서 유지할 필요 성이 없어지게 된다. 셋째 단계는 클라우드컴퓨팅 단계인데 여기서의 클라우드는 인터넷을 비유적으로 표현한 것으로서, 인터넷을 통하여 이용자가 필요로 하는 바 에 따라 컴퓨터 기술에 바탕을 둔 모든 범위의 자원을 서비스의 형태로 이용할 수 있게 한다. 넷째 단계는 유틸리티 컴퓨팅(utility computing)으로서 각기 다른 컴퓨 팅 자원을 이용량에 따라 공급할 수 있도록 이를 모두 합치거나 한데 묶 는 것을 의미한다. 곧 컴퓨팅 자원을 전기를 이용하는 것과 마찬가지로 제공하는 것이다

392 클라우드컴퓨팅에 있어서는 이용자가 자신이 희망하는 만큼, 이용하는 만큼 소프트웨어를 이용하는 것이고 서비스제공자로부터 소프트웨어에 대 한 이용허락을 받는 의미는 없어지거나 거의 상실하게 된다. 따라서 지금 까지 소프트웨어 개발자(저작권자)와 이용자 간에 이루어져 왔던 전형적 인 형태의 소프트웨어 이용허락계약은 의미가 없어지게 되며, 이용자가 당해 소프트웨어 제공서비스를 이용할 권리가 있는지 여부 또는 이러한 서비스를 이용하기 위한 계약에 초점이 맞추어지게 된다. 3. Per-seat License vs. Concurrent User License 클라우드컴퓨팅에서 소프트웨어를 사용함에 있어서는 일정한 권한을 가 진 이용자만이 소프트웨어를 이용하고 이용료를 지급할 수 있도록 하는 모델(per-seat/user 모델)이 적용된다고 언급되고 있다. 316) 소프트웨어에 대한 이용허락(license)의 형태는 매우 다양하다. 클라우드컴퓨팅과 관련하 여 1PC/1License, 동시사용 라이선스, 서버에 설치되어 서버에 접속하는 클라이언트가 이용할 수 있도록 하는 서버 라이선스(Server License), 서 버에 설치된 소프트웨어에 접근할 수 있는 라이선스인 CAL(Client Access License), 소프트웨어를 사용할 장소, 범위, 구성원 및 PC를 일정 한 범위 내로 정하고 이 범위 내에서 소프트웨어를 사용할 수 있도록 하 는 라이선스인 사이트 라이선스(Site License), 인증 이용자 라이선스 (Per-seat License) 등을 들 수 있다. 1PC/1License는 소프트웨어를 이용하 려는 모든 PC에 대하여 이용허락을 받도록 하는 것이다. Site License는 소프트웨어를 사용할 장소, 범위, 구성원 및 PC를 일정한 범위 내로 정하 고 이 범위 내에서 소프트웨어를 사용할 수 있도록 하는 라이선스로서, 구성원 전체가 사용할 수 있는 한글과컴퓨터사의 CLA(Campus License Agreement)나 MS사의 CA(Campus Agreement)를 들 수 있다. 인증 이용자 라이선스(Per-seat/user License)는 소프트웨어에 접근하는 316) Richard Kemp, The Legal Implications of the Cloud ICAEW, 24 Sep

393 개별 이용자의 숫자에 바탕을 둔 라이선스로서, 예컨대 50명 인증 라이선 스 의 경우, 50명의 개별적인 이용자까지 소프트웨어 접근할 수 있다는 것 을 의미한다. 317) 인증 이용자 라이선스는 특별한 전문가들이 사용하는 제 품에 대하여 흔히 사용되는 방식이다. 동시사용 라이선스(Concurrent User License)는 어떤 개별적 이용자가 사용하는가에 관계없이 소프트웨 어를 동시에 사용할 수 있는 이용자의 숫자에 바탕을 둔 라이선스이 다. 318) 예컨대 50명의 동시사용 라이선스 의 경우, 50명이 접속하여 소프 트웨어를 사용한다면 51명 째의 이용자는 소프트웨어를 사용할 수 없게 된다. 다음 Adobe의 동시사용 정책정의가 이러한 라이선스를 잘 설명하 고 있다. Adobe의 동시 사용 정책 정의 319) 자격 조건 교육 기관을 위한 CLP 4.5 프로그램 회원은 Adobe 제품을 연구소 또 는 관리용으로 사용하기 위해 동시 라이선스를 주문할 수 있습니다. 그 러나 이 옵션은 추가 비용이 발생할 수 있고 동시 라이선스의 실시간 사용을 추적 및 관리할 수 있는 라이선스 감사 및 사용 관리 툴을 유지 관리하고 사용해야 합니다. 동시 라이선스는 프로그램 회원이 소유한 컴퓨터에서만 설치하고 사용 할 수 있습니다. 예를 들어 학생이 소유한 컴퓨터에서는 동시 라이선스 를 설치하거나 액세스할 수 없습니다. 기술 요구 사항 Adobe 소프트웨어의 배포 및 액세스 관리를 제어하려면 프로그램 회 원은 최종 사용자 사용권 계약(EULA)에 정의된 프로그램 회원의 내부 317) Wikipedia. 318) Id

394 네트워크에 적합한 기술을 갖추고 있어야 합니다. 이 기술을 사용하면 인증 절차를 통해 개별 컴퓨터 및 건별로 Adobe 소프트웨어에 대한 액 세스를 허용하거나 차단할 수 있습니다. 위에서 설명한 이 기술은 프로그램 회원의 내부 네트워크에서 한 번에 Adobe 소프트웨어에 액세스하는 프로그램 회원의 컴퓨터 수가 프로그 램 회원이 소유한 전체 동시 라이선스의 수를 초과하지 않도록 보장하 기 위해 항상 사용됩니다. 인증 프로그램 회원은 (1) 지난 6개월 동안 Adobe 소프트웨어의 동시 라이 선스에 액세스한 컴퓨터, (2) 소유하고 있는 동시 라이선스의 수, (3) Adobe 소프트웨어 목록에 대한 정확한 기록을 유지 관리해야 합니다. 설치 "사용" 권한 학교의 컴퓨터 연구실 환경의 경우 모든 컴퓨터에 소프트웨어를 하나 씩 로드한 다음 일정 수를 넘는 소프트웨어의 작동을 방지하는 기술을 배포해야 합니다. 예를 들어 고객이 100대의 컴퓨터를 소유하고 있어도 45대를 초과하는 컴퓨터를 동시에 사용할 수 없습니다. 이 경우 모든 컴 퓨터에 제품을 로드할 수는 있지만 동시에 소프트웨어를 사용하는 사용 자가 45명 이하일 경우에만 45개의 동시 라이선스 규정을 준수하는 것 입니다. 동시 라이선스 수 결정 고객은 소프트웨어를 동시에 사용할 최대 컴퓨터 수만큼의 동시 라이 선스를 주문해야 합니다. Adobe Creative Suite 동시 라이선스 사용 Adobe Creative Suite 소프트웨어는 한 개의 라이선스로 취급되므

395 로 각기 다른 사용자가 개별 제품에 액세스하도록 "번들을 해제"할 수 없습니다. 따라서 동시 사용은 Creative Suite 내의 제품에 액세스하는 사용자의 수로 계산되어야 합니다. 예를 들어 Adobe Creative Suite 3 Web Premium 소프트웨어에 대해 10개의 동시 라이선스를 구매한 경 우, 한 명의 사용자가 현재 Creative Suite 3 Web Premium 내의 Adobe Photoshop CS3 소프트웨어를 사용하고 있고 또 다른 사용자가 Adobe Dreamweaver CS3 소프트웨어를 사용하고 있으면 이때 Creative Suite 3 Web Premium에서 사용할 수 있는 남아 있는 동시 라 이선스 수는 8개입니다. 동시 라이선스는 사이트 라이선스에 해당합니까? 아니오. 동시 라이선스는 사이트 라이선스와 다릅니다. 소프트웨어 애 플리케이션에 액세스할 수 있는 사용자 수가 애플리케이션에 동시 액세 스하는 사용자 수보다 많아야 동시 라이선스 규정을 준수하는 것입니다. 사이트 라이선스와 달리 동시 라이선스는 특정 동시 사용자 수와 관계 가 있습니다. 동시 사용은 "집에서 사용"하는 경우에도 해당됩니까? 아니오. 위에서와 같이 라이선스는 여러 가지로 분류되고 있으나 각 소프트웨어 개발자들이 적용하는 라이선스가 동일한 형태는 아니다. 이미 지적한 바 와 같이 클라우드컴퓨팅에 있어서는 이용자가 서비스제공자의 소프트웨어 를 사용하지만 이용자가 제공자로부터 소프트웨어 이용에 대한 허락을 받 아 이용한다기보다는, 이용자가 희망하는 소프트웨어를 희망하는 바에 따 라 사용할 수 있는 서비스를 이용하는 것이 된다. 따라서 기본적으로 라 이선스의 형태를 취하는 것이 아니므로 라이선스의 형태에 의한 지금까지 319)

396 의 소프트웨어 이용과는 의미가 다를 수밖에 없다. 또한 소프트웨어를 서 비스의 개념으로 이용하게 되므로, 이용자가 제공자로부터 개별적인 이용 허락보다는 제공자의 서비스를 이용할 수 있는지 여부, 곧 소프트웨어를 이용하기 위해서는 제공자의 사이트에 접속하여 해당 소프트웨어나 기타 콘텐츠를 이용할 수 있는 접근권이 중요한 의미를 가지게 된다. 제10절 클라우드컴퓨팅과 오픈소스 1. 클라우드컴퓨팅에서의 오픈소스 클라우드컴퓨팅을 발전시키는 중요한 원동력의 하나로서 OSS(open source software)를 들 수 있다. 이미 클라우드컴퓨팅 분야에서는 오픈소 스 소프트웨어 내지 기술이 널리 활용되고 있는데, 클라우드컴퓨팅의 특 성상 하드웨어와 소프트웨어, 플랫폼, 웹서비스 등 다양한 분야의 전문가 들이 에코시스템을 이루며 참여할 수 있다 는 것과 저가의 범용 서버를 기반으로 한 프로젝트가 대부분이어서 테스트와 적용이 비교적 용이하다 는 것 이 지적되고 있다. 320) 반면에 클라우드컴퓨팅에서 오픈소스 소프트 웨어를 활용하는 것은 일정한 독점적인 권리에 의하여 클라우드에서 빠져 나올 수 없게 되는 것이 된다거나 321) 보다 많은 사람들이 독점적인 권리 에 의하여 보호되는 체제에 갖히도록 하여 이들에게 더 많은 비용과 시간 이 소요되는 덫에 해당하는 것일 뿐 322) 이라고 비판받기도 한다. 클라우드 컴퓨팅에서 오픈소스에 의한 소프트웨어 활용은 두 가지 측면에서 논의할 수 있는데, 첫째, 오픈소스 소프트웨어를 활용하여 컴퓨팅 자원을 보다 더 320) 클라우드 컴퓨팅, 핵심기술은 오픈소스,, 플랫폼 분야 활용 활발, ) Tim O'Reilly, Open Source and Cloud Computing, O'Reilly radar, ) Cloud computing is a trap, warns GNU founder Richard Stallman, guardian.co.uk, Monday 29 September

397 잘 활용토록 하는 것이고, 둘째, 오픈소스에 따른 공개된 소스코드(source code)를 활용하여 클라우드컴퓨팅 툴을 활용하는 것이다. 오픈소스 소프트웨어(OSS)는 누구나 자유롭게 사용할 수 있는 S/W로서, 사용허락의 방식으로 배포되고 소스코드(source code)가 공개되고, 자유롭 게 복제, 수정, 사용 및 재배포가 가능한 소프트웨어를 의미한다. OSS는 소 프트웨어를 공유하는 정신, 소스코드를 공개하는 것, Open source license 를 이용한 프로그램의 배포와 사용, 수정 및 재배포의 자유보장 등을 요소 로 한다. 자유소프트웨어정의(free software)는 어떠한 목적을 위하여서라 도 프로그램을 실행시킬 자유(자유 0), 컴퓨터프로그램의 작동 원리를 연 구하고, 이를 자신이 희망하는 바에 따라 변경시킬 수 있는 자유(소스코 드에 대한 접근 필요)(자유 1), 이웃을 도울 수 있도록 컴퓨터프로그램의 복제물을 재배포할 수 있는 자유(자유 2), 수정된 컴퓨터프로그램의 복제 물을 타인에게 배포할 자유(자유 3)로 구성된다. 2. 클라우드컴퓨팅 환경하에서의 오픈소스의 법적 문제점 오픈소스 소프트웨어를 이용하는 것은 기본적으로 이용허락(licensing) 이라는 계약을 통하여 이루어진다. 소프트웨어 개발자(저작권자)는 자신의 소프트웨어를 오픈소스에 의하여 공개하고자 하고 소프트웨어를 이용하고 자 하는 자가 있는 경우, 양자는 소프트웨어를 이용하는 것에 대한 이용 허락계약을 체결하게 될 것이다. 그러나 양자가 계약을 체결함에 있어서 는 많은 거래비용(transaction)이 소요되므로 소프트웨어 개발자는 표준적 인 이용허락계약에 따라 소프트웨어를 공개하게 된다. 자유소프트웨어 이 용허락을 위한 표준적인 이용허락계약은 현재까지 70여 개가 넘을 정도로 많이 존재하지만, 표준적인 이용허락계약으로 가장 널리 알려져 있는 것 이 GNU General Public License(GNU GPL)이다. 가. 저작권 침해

398 오픈소스 라이선스(open source license)는 컴퓨터 소프트웨어에 대한 저작권법상의 이용허락계약을 의미한다. 자유소프트웨어(free software)라 고 하여 소프트웨어를 무료로 이용할 수 있다는 것을 의미하는 것은 아니 며 더군다나 저작권을 포기하는 것을 의미하는 것도 아니다. 이것은 다음 과 같이 GNU GPL의 FAQ에 의하여 다음과 같이 설명되고 있다. 323) 제가 만든 프로그램을 GPL에 따라 공표( 公表 - 공개적으로 발표함) 하 고자 하는데, 프로그램에 대한 저작권을 어떻게 인정받을 수 있습니까? 베른 협약에 따라서 모든 저작물은 창작과 동시에 자동으로 저작권을 인정받게 됩니다. 따라서 누군가가 저작권에 대한 문제를 제기해 오지 않는한, 여러분이 만든 프로그램에 대한 저작권을 인정받기 위해서 별도 로 취해야 할 절차는 없습니다. 한국의 경우에도 저작권법 제10조 2항에 따라서 ``저작권은 저작한 때부터 발생하며 어떠한 절차나 형식의 이행 을 필요로 하지 않는다.''라는 동일한 내용의 조항을 명기하고 있습니다. 왜 자유 소프트웨어 재단은 FSF가 저작권을 갖고 있는 프로그램에 기 여하고 있는 사람들에게, 저작권을 자유 소프트웨어 재단으로 양도하도 록 하고 있습니까? 제가 GPL 프로그램의 저작권자라면, 저 또한 저작권 을 자유 소프트웨어 재단으로 양도해야 합니까? 우리 변호사들의 자문에 따르면, 법정에서 GPL을 위반한 사람에 대해 서 우리가 가장 유리한 입장을 취할 수 있는 방법은 저작권 소유 문제 를 가능한 가장 단순하게 유지하는 것이라고 합니다. 그래서 우리는 기 여자들에게 그들이 기여한 부분에 대한 저작권을 자유 소프트웨어 재단 측에 양도하든지 아니면, 공개 프로그램(public domain)으로 만들어서 저작권을 포기하도록 요청하고 있습니다. 또한 우리는 각각의 기여자들에게 그들의 고용자들이 저작권을 주장할 수 없도록 저작권 포기에 동의한다는 약속을 받도록 요청하고 있습니다. 323)

399 물론, 모든 기여자들이 그들의 프로그램을 공개 프로그램으로 만들어서 저작권을 포기한다면 GPL을 강제할 수 있는 저작권 자체가 없어지는 것과 같습니다. 그래서 우리는 많은 양의 코드에 대해서는 저작권을 설 정하고, 오직 짧은 수정에 대한 부분만을 공개 프로그램으로 만들도록 사람들에게 말하고 있습니다. 소프트웨어에 대한 이용허락을 의미하므로 이용자(licensee)는 저작권자 로부터 허락받은 이용방법 및 조건의 범위 안에서 소프트웨어를 이용할 수 있다(저 46 II). 만약 저작권자가 허락한 이용방법이나 조건의 범위를 벗어난 소프트웨어의 이용은 저작권을 침해하는 결과가 된다. GNU GPL 은 오픈소스에 의하여 소프트웨어를 이용허락하는 자(licensor, 저작권자) 와 소프트웨어를 이용하려는 자(licensee) 간의 일종의 표준적인 이용허락 계약이므로, 저작권자가 GNU GPL에 의하여 소프트웨어를 배포한 경우 이 소프트웨어를 이용하는 자는 GNU GPL에 의하여 구속된다. 다만 GNU GPL 등에 의한 이용허락조건을 위반하여 소프트웨어를 이용하는 경우, 소프트웨어 저작권자가가 저작권을 집행하기 어렵다거나 집행하려 는 의지가 없는 것이 경향이라 할 수 있다. 이러한 문제점은 다음과 같이 GNU GPL의 FAQ의 설명을 보면 어느 정도 알 수 있다. 324) GPL 위반이라고 생각되는 일을 발견했을 때는 어떻게 해야 하나요? 신고해야 합니다! 먼저, 여러분이 할 수 있는 최선의 범위에서 GPL 위반 여부를 판단해 본 뒤에 그 사실을 해당 GPL 프로그램의 저작권자나 출판자에게 알려주 시기 바랍니다. 저작권자가 자유 소프트웨어 재단 즉, Free Software Foundation 으로 표시되어 있다면 앞으로 영문 메일을 주시기 바랍니다. 영어에 익숙하지 않다면 앞 으로 한국어 메일을 주시기 바랍니다. 저작권자를 명확히 알 수 없는 경 324)

400 우에는 프로그램의 메인테이너에게 연락하시면 됩니다. 대부분의 경우에 있어서 메인테이너는 저작권자 자신이거나 저작권자에게 연락할 수 있 는 방법을 알고 있는 사람입니다. GPL을 법률적으로 강제할 수 있는 사람은 누구입니까? GPL은 저작권에 관련된 라이선스이기 때문에 소프트웨어의 저작권자 가 GPL을 법률적으로 강제할 수 있는 사람 중 하나입니다. 만약 여러분 이 GPL 위반을 목격하게 되면 해당 소프트웨어의 개발자들에게 그 사 실을 알려주시기 바랍니다. 그들은 저작권자 자신이거나 저작권자와 연 락할 수 있는 사람들입니다. 오픈소스 라이선스에서도 이 같은 저작권 문제가 그대로 존재하며, 이 러한 문제로 인하여 다음과 같은 쟁점이 발생한다. 나. 영업비밀 오픈소스 라이선스는 오픈소스에 의한 소프트웨어의 이용허락으로서 기 본적으로 누구든지 사용할 수 있도록 소프트웨어의 소스코드(source code)를 공개하는 것을 내용으로 한다. 오픈소스 라이선스는 이용자들이 소스코드를 검토하고 수정(개작)하는 것을 허용하고, 개작된 소프트웨어를 재배포하거나 이용하는 것을 허용한다. 오픈소스 라이선스는 개작한 소프 트웨어를 배포할 경우 소스코드를 반드시 제공할 것을 요구하는 것이 일 반적이다. 이에 대하여 GNU GPL은 다음과 같이 설명하고 있다. 325) GPL이 사용자들에게 자신이 개작한 버전을 공표하는 것을 허용하는 이유는 무엇입니까? GPL은 개작된 버전 각각이 모두 공표되도록 규정하고 있지 않습니다. 만약 여러분이 GPL 프로그램을 개작한 뒤에 개인적인 목적으로 사용하 325)

401 고 있다면 개작된 소스 코드를 공개하지 않아도 무방합니다. 이것은 개 인뿐 아니라 단체나 법인, 기업에 대해서도 마찬가지입니다. 이 경우 해 당 단체나 법인, 기업은 개작한 프로그램을 외부로 공표하지 않고 오직 내부적으로만 사용해야 합니다. 그러나 만약 어떠한 방식으로든지 개작된 버전을 공표하고 있다면, 사 용자들이 개작된 버전의 소스 코드를 GPL에 따라 이용할 수 있도록 해 야만 합니다. 따라서 GPL은 개작한 프로그램을 GPL이 규정한 방식에 따라서 공표 할 수 있는 허가를 제공하는 것이며, 개작한 버전을 공표하느냐 마느냐 는 여러분 자신의 선택에 달려 있습니다. 위의 GNU GPL에서 볼 수 있다시피 개작된 소프트웨어를 공표한다면 소스코드도 함께 공표하여야 한다. 컴퓨터프로그램에는 일정한 영업비밀 이 존재할 수 있는데, 오브젝트코드(object code) 형태로 판매되는 컴퓨터 프로그램은 역분석(reverse enginnering)에 의하여 소스코드를 알아낼 수 있기 때문에 컴퓨터프로그램의 판매에 의하여 그 컴퓨터프로그램에 존재 하는 영업비밀은 더 이상 보호될 수 없다. 그렇다면 컴퓨터프로그램이 판 매되기까지는 영업비밀의 지위를 유지하여 보호될 수 있는데, 오픈소스에 서는 영업비밀의 지위가 유지될 수 있는가 문제된다. 클라우드컴퓨팅에 있어서 오픈소스에 의하여 공개된 소프트웨어가 이미 사용되고 있고 앞으 로 더욱 많이 사용될 것으로 예상되는데, 여기서 발생할 수 있는 쟁점이 바로 오픈소스와 영업비밀 간의 문제점이다. 이 쟁점은 다음과 같이 한국 의 법원에서도 다루어진 것인데, 클라우드컴퓨팅 환경에서 오픈소스와 영 업비밀 간의 문제점이 더욱 많이 발생할 것으로 예상된다. 판례 1. 피고인...,...의 판시 제1 범행에 관한 변호인의 주장 및 이에 대한 판단 가. 변호인은 이에 관하여 다음과 같은 주장을 한다

402 (1) 아래와 같은 이유로 ETUND 1.04는 비공지성과 경제적 유용성이 없어 영업비밀보호법 상의 영업비밀에 해당하지 않는다. (가) ETUND 1.04의 핵심인 다중회선을 이용한 전송시스템기술(IBT)은 이 사건 범행 이전에 이미 일본과 미국에서 특허등록이 되어 공개되어 있는 기술사항과 본질적으로 동일한 것이므로, 이미 공개된 것이다. (나) ETUND 1.04는 공개된 소프트웨어인 VTUND를 GNU GPL에 의 거하여 개작한 것으로서 GPL에 따라 ETUND의 자유로운 사용과 개발 을 일반인에게 허용하고 소스코드를 공개하여야 할 의무가 부여되어 있으므로, ETUND 1.04의 소스코드는 비공지성 및 경제적 유용성이 결 여되어 있다. 나. 이에 대하여 이 법원은 다음과 같이 판단한다. (가) Richard Stallman에 의하여 1984년 설립된 자유소프트웨어재단 (Free Software Foundation)에서 개발하여 무료로 배포하고 있는 유닉 스 운영 체계 호환 컴퓨터 프로그램의 총칭인 GNU(GNU s Not UNIX)는 일반공중사용허가서(GPL : General Public License)라는 협약 에 의해 배포되는데, GPL의 주된 내용은 GPL에 따라 공개된 소프트웨 어는 프로그램의 복제와 개작, 배포, 사용이 자유롭게 허용되고, GNU 소프트웨어 사용자는 그것을 개작할 수는 있으나 개작된 프로그램을 재배포하는 경우에는 GPL 상의 사용허가를 그대로 유지하는 조건하에 배포하여야 하고, GNU 소프트웨어를 배포하는 사람은 소스코드를 반 드시 제공해야 하며, 그렇지 않으면 소스코드를 어디에서 획득할 수 있 는지 알려 주어야 하는 것 등이다. (나) Maxim Krasnyansky는 linux 시스템 상에서 VPN(널리 이용되고 있는 초고속 인터넷망인 ADSL, VDSL을 이용하여 기존의 전용회선의 효율성을 대체할 수 있는 기술로, 일반공중망에 관련 장비와 소프트웨 어를 구동하면 통신사용자 사이에 가상의 전용선을 구축한 것과 같은 효과를 발휘해 주는 기술) 서비스를 가능하게 하는 구동프로그램인 VTUND를 창작하여, VTUND를 GPL의 조건을 붙여 공개하였다

403 비록 개작프로그램인 ETUND 1.04의 소스코드의 저작권자인 엘림넷 이 GPL을 위배하여 ETUND 1.04의 소스코드의 공개를 거부함으로써 원프로그램인 VTUND의 저작권자의 저작권을 침해하였다고 하더라도, 원프로그램인 VTUND에 대하여 사회통념상 별개의 컴퓨터프로그램저 작물이라고 할 정도의 창작성이 인정되는 ETUND 1.04의 소스코드에 대한 저작권은 [원고 회사]에게 귀속된다고 할 것이므로, [원고 회사]은 ETUND 1.04의 소스코드의 공개를 거부함으로써 GPL을 위배하였다고 하여 [원고 회사]이 VTUND의 저작권자에 대하여 손해배상책임 등을 지는 것은 별론으로 하고, ETUND 1.04의 소스코드에 대한 저작권자 및 영업비밀보유자로서의 지위를 상실하는 것은 아니라고 할 것이 다. 326) GNU 일반공중사용허가서(General Public License, 이하 GPL 이라 한 다)의 조건을 붙여 공개한 프로그램인 VTUND를 개작한 것인데, GPL 에 의하여 공개된 프로그램의 저작권자는 원 프로그램을 개작한 프로 그램의 작성자가 개작프로그램의 원시코드(source code)를 일반 공중에 게 공개하고 일반 공중의 사용을 허락할 것을 조건으로 개작프로그램 의 작성자에게 원 프로그램에 대한 개작권을 부여한 것이라 하더라도, ETUND 1.00, ETUND 1.04가 원 프로그램인 VTUND에 대하여 새로운 프로그램이라고 할 정도의 창작성이 인정되는 이상 ETUND 1.04의 저 작권자는 공소외 주식회사이므로, 비록 공소외 주식회사가 ETUND 1.04 원시코드의 공개를 거부함으로써 GPL을 위반하였다고 하더라도, 공소외 주식회사가 VTUND의 저작권자에 대하여 그로 인한 손해배상 책임 등을 부담하는 것은 별론으로 하고, ETUND 1.04의 원시코드가 공연히 알려져 있지 아니하고 독립된 경제적 가치를 가지며 상당한 노 력에 의하여 비밀로 유지된 이상 공소외 주식회사의 영업비밀에 해당 한다는 취지로 판단하였는바, 이러한 원심의 사실인정과 판단은 옳고, 구 부정경쟁방지법 제2조제2호호의 영업비밀에 관한 법리오해의 위법 이 없다. 327)

404 제9장 클라우드컴퓨팅 서비스와 소송 제1절 서론 재판의 전제가 되는 다툼이 있는 사실 을 확정하는 경우 법원이 자의 적 임의적으로 판단하는 것이 아니라 객관적 합리적으로 판단하여야 하고, 따라서 사실을 확정함에 있어서는 증거가 필수적인 것이 된다. 증거는 일 반적으로 법관이 판결을 함에 있어서 기초자료로 사용하는 것을 총칭하 며, 328) 증거는 판단의 기초로 사용됨에 있어서 증거방법으로서 증거조사 의 대상이 될 자격이 있는 유형물이어야 하며(증거능력) 요증사실의 인정 에 이바지하는 증거력이 있어야 한다. 증거방법으로는 증인, 감정인, 문서, 검증물, 당사자본인, 도면 사진 녹음테이프 비디오테이프 컴퓨터 자기 디스크 그 밖에 정보를 담기 위하여 만들어진 물건으로서 문서가 아닌 증 거 등을 들 수 있다. 서증은 문서를 열람하여 거기에 기재된 의미와 내용 을 증거자료로 하기 위한 증거조사로서, 문자가 발달 이용되는 현대사회 에 있어서 서증은 가장 확실한 증거로 평가된다. 329) 서증을 신청하는 방 법으로는 (i) 증거의 제출자가 문서를 직접 제출하는 방법(민소 343), (ii) 상대방 또는 제3자가 가지고 있는 제출의무 있는 문서에 관하여 그 소지 자에 대하여 문서제출명령을 신청하는 방법(민소 343), (iii) 소지자에게 제출의무는 없으나 그 협력을 받을 가능성이 있는 경우 문서송부촉탁을 신청하는 방법(민소 352), (iv) 소지자에 의한 송부촉탁이 어려운 경우 법 원의 문서소재 장소에서의 서증조사를 신청하는 방법(민소규칙 112) 등 326) 서울중앙지방법원 2005노3002, ) 대법원 선고 2006도 ) 정 영환, 신민사소송법 549 (2009). 329) Id. at

405 네 가지가 있다. 330) 문서제출명령은 당사자가 문서를 가진 상대방이나 제 3자에게 이를 제출하도록 하는 법원의 명령이며(민소 343), 문서가 있는 장소에서의 서증조사는 문서제출명령이나 문서송부촉탁의 방법에 의하여 서증으로 신청할 수 없거나 신청하기 어려운 사정이 있는 경우 법원이 그 문서가 있는 장소에서 서증의 신청을 받아 행하는 조사이다(민소규칙 112). 이 경우 문서를 가지고 있는 자는 정당한 사유가 없는 한 협력하 여야 한다(민소 352의 2). 서증의 대상이 되는 문서는 문자 그 밖의 기호에 의하여 사상을 표현한 종이 등 그 밖의 유형물을 지칭하는데, 331) 증거조사의 대상은 문서에 한 정되는 것이 아니라 도면 사진 녹음테이프 비디오테이프 컴퓨터용 자 기디스크 그 밖에 정보를 담기 위하여 만들어진 물건으로서 문서가 아닌 증거도 포함한다(민소 374). 클라우드컴퓨팅에 있어서는 문서 및 문서가 아닌 증거에 대한 조사가 특별한 의미를 가질 수밖에 없다. 예컨대 문서 를 가지고 있는 자는 정당한 사유가 없는 한 법원의 증거조사에 협력하여 야 하는데(민소 352의 2), 클라우드컴퓨팅 서비스제공자와 서비스이용자 가 어떻게 협력하여야 할 것인가 문제될 수밖에 없다. 제2절 증거보존과 클라우드컴퓨팅 1. 서론 클라우드컴퓨팅에 있어서 개별적인 이용자의 측면에서 보면 자료의 처 리나 저장이 그 개별 이용자의 노트북이나 PC에서 이루어지는 것이 아니 라 제3자가 운영하는 플랫폼에서 이루어진다. 데이터는 이용자 개인의 컴 330) Id. at ) Id. at

406 퓨터나 네트워크상에 저장되는 것이 아니라 클라우드에 있는 서버에 저장 되며 이러한 데이터는 개별 이용자가 희망하는 즉시 이용가능하다. 클라 우드컴퓨팅에 있어서 소송이 제기되고 법원에 의한 보존명령이 있는 경 우, 보존명령을 받은 주체가 클라우드컴퓨팅 서비스 이용자라면 해당 정 보를 어떻게 처리할 것인지 문제된다. 증거보전은 소송계속 전 또는 소송 계속 중에 특정의 증거를 미리 조사해 두었다가 본안소송에서 사실을 인 정하는 데 사용하기 위한 증거조사방법으로서, 미리 증거조사를 하지 아 니하면 그 증거를 사용하기 곤란할 사정이 있다고 인정한 때에는 당사자 의 신청에 따라 이루어지는 증거조사방법이다(민소 375). 곧 통상적인 증 거조사의 시기까지 기다리면 그 증거를 사용하기가 곤란하다고 인정되는 경우 법원이 당사자의 신청에 의해 본안소송의 절차와는 별개로 미리 증 거조사를 하는 절차를 의미한다. 332) 예를 들면 상대방이나 제3자가 갖고 있는 장부나 기타의 문서를 감추거나 소멸시켜 버릴 우려가 있어 미리 증 거를 확보해 두지 않으면 소송에서 증거를 이용할 수 없는 경우가 있기 때문에 증거의 확보를 위하여 미리 이용되는 것이 증거보전이라 할 수 있 다. 333) 미국의 소송에 있어서 보전명령(litigation hold, preservation orders, hold orders)은 소송에 관계될 수 있는 모든 데이터를 보존토록 하는 명 령인데 해당 데이터가 소송이 시작되기 전 증거발견절차에서 이용될 수 있도록 하기 위한 것이다. 소송이 계속되고 있거나 조만간 제기될 것을 예상하고 있는 주체(기업)는 기록이나 데이터를 보전하여야 하는데, 보전 명령은 증거의 인멸(spolitation, 증거의 파기, 변경, 삭제 등)을 방지하기 위한 것이다. 변호사가 증거보전서를 발행하거나 기업이 내부적으로 보전 명령을 내릴 수 있으며, 종이에 바탕을 둔 서류뿐만 아니라 전자적으로 저 장된 정보(전자저장정보, ESI, electronically-stored information)도 포함된 다. 그런데 클라우드컴퓨팅에 있어서 문서보전명령을 어떻게 이행할 것인 332) 위키백과. 333) Id

407 가가 문제된다. 문서보전명령을 이행하여야 하는 주체가 예컨대 클라우드 플랫폼을 이용하는 소프트웨어 제공자의 서비스를 이용하는 자라면, 데이 터를 보전하는 것이 쉬운 일이 아니다. 보전명령의 대상이 되는 데이터가 클라우드에 존재할 수 있고 따라서 위의 소프트웨어 제공자가 이 데이터 에 쉽게 접근하거나 보전할 수 없게 될 수 있다. 이에 관한 미국에서의 논의를 살펴보기로 하자. 2. 데이터의 소유 및 통제 클라우드컴퓨팅은 원거리에 있는 서비스제공자의 컴퓨팅 자원을 이용하 여 디지털 정보를 작성하고 저장하며, 서비스제공자와 이용자 간의 계약 에 의하여 이용자는 이러한 정보에 접근하고 이를 소유하거나 통제할 수 있다. 이와 같이 정보를 작성, 저장, 전송, 소유, 통제하거나 정보에 접근 할 수 있도록 하는 클라우드컴퓨팅은 소송에서의 증거발견절차에서 매우 복잡한 문제를 야기할 수 있다. 클라우드컴퓨팅에 있어서는 전자저장정보 가 서비스제공자인 제3자의 수중에 놓여 있고 보전하여야 하는 주체인 서 비스이용자는 이에 대하여 접근할 수 있다. 이 경우 미국에서는 보전하여 야 하는 주체가 전자저장정보가 어디에 위치하고 있는가, 누가 소유하고 있는가에 관계없이 전자저장정보를 제출하여야 한다. 334) 법원의 선례에 의하면, 이전의 종업원, ASP(application service provider), 회계사, 계열회 사, 자회사, 모회사 기타 일정한 제3자가 소유하고 있는 전자저장정보가 모두 보전명령 이행의 대상이 된다. 요컨대 보전할 의무가 있는 주체는, 정보를 물리적으로 소유하고 있지 않더라도, 정보를 실제로 획득할 수 있 거나 계약이나 기타 권리에 의하여 획득할 수 있다면, 정보를 보전하여야 한다. 334) Legal Implications of Cloud Computing -- Part 4.5 (Extending the Discussion of E-Discovery in the Cloud)

408 3. 정보에 대한 접근 미국의 연방민사소송규칙(Federal Rules of Civil Procedures)은 그 위치 나 출처로 인하여 합리적으로 접근하기에는 지나친 부담이나 비용이 소요 되는 정보를 제출하는 것에 대하여 일정한 면제를 인정하고 있다. 곧 첫 째, 합리적으로 접근하기에는 지나친 부담이나 비용이 소요되는 것으로 당사자가 지정한 출처로부터 전자저장정보를 제출할 필요성이 없다. 증거 발견이나 보전명령청구가 있는 경우, 청구에 응하여야 하는 당사자는 정 보가 지나친 부담이나 비용으로 인하여 접근할 수 없다는 것을 증명하여 야 한다[ 26(b)(2)(B), 45(d)(1)(D)]. 정보에 접근할 수 없다는 것은 클라우 드컴퓨팅에 특히 흔할 수 있는데 어느 정도의 부담이나 비용이 소요되어 야 지나친(undue) 것이 되어 보전의 의무가 면제될 수 있는지 불명확하 다. 4. 증거인멸 미국의 소송절차에서 보전명령을 받은 증거를 인멸(파기, 변경 등)한 당 사자는 소송에서 방어를 함에 있어서 치명적인 결함을 가지게 되어 거의 엄격책임에 가까운 책임을 부담하게 된다. 그런데 어느 시점에 이러한 의 무가 발생하는가 또는 증거가 인멸될 경우 어떠한 제재가 가하여지는가는 당사자의 과실, 악의, 능력, 의도 및 고의 등 매우 복잡한 구조에 따라 결 정된다. 335) 매우 드문 경우 증거가 실제로 인멸되었거나 인멸될 가능성이 높은 경우, 당사자는 전자저장정보가 존재하는 당사자의 하드웨어를 조사 하기 위한 법원의 명령을 획득할 수 있다. 따라서 클라우드컴퓨팅에 있어 서도 매우 드문 경우이지만 문서소환장(subpoena)에 의하여 클라우드 서 비스 제공자의 컴퓨터에 있는 상대방의 정보를 물리적으로 조사할 수 있 는 권리를 획득할 수 있을 것이다. 336) 335) Id

409 미국의 연방민사소송규칙은 예외적인 상황이 아닌 경우, 법원은 전자 정보시스템을 일상적이고 선의로 운영함으로써 멸실된 전자저장정보를 제 공하지 못한 당사자에 대하여 본 민사소송규칙에 따른 제재를 과할 수 없 다 고 규정하고 있다[ 37(e)]. 이러한 면책규정은 클라우드컴퓨팅 서비스 제공자의 서버에 존재하는 전자저장정보에 대하여서도 적용되는 것은 당 연하다. 5. 한국에 대한 시사점 한국은 미국과 같이 소송절차에서 증거발견(discovery) 절차를 공판이 시작되기 전에 실시(pretrial discovery)하지 않으며, 증거보전 의무의 불이 행에 대하여 미국과 같이 강력한 제재를 가하는 규정을 두고 있지 않고 있다. 당사자가 소제기 이후에 법원의 문서제출명령에 응하지 않는 경우 법원은 문서의 기재에 대한 상대방의 주장을 진실한 것으로 인정할 수 있 어서( 349) 일정한 불이익을 제공할 수 있다. 소제기 이전에 법원의 문서 제출명령에 응하지 않는 것에 대한 명문규정은 존재하지 않지만 소제기 이후 불이익을 가할 수 있을 뿐이다. 337) 따라서 명문규정에만 의한다면 보전명령을 불이행한 것에 대하여 한국의 민사소송법은 미국보다 훨씬 미 약한 제재만을 가하는 결과가 된다. 클라우드컴퓨팅 환경 하에서는 당사 자가 증거를 보전할 수 없거나 증거보전을 하지 않으려는 경향이 있을 것 으로 예상된다. 따라서 민사소송절차에서 증거보전에 대한 제재를 강화하 거나 재판진행과정에서 증거를 보전하지 않은 당사자에게 상당한 불이익 을 주는 방안이 고려되어야 할 것이다. 336) Id. 337) 정영환, at

410 제10장 법제 개선방안 지금까지 클라우드컴퓨팅 서비스의 법제현황, 클라우드컴퓨팅 서비스 계약 이슈, 정보보호에 관한 이슈, 지적재산권 이슈 등에 관하여 차례로 살펴보았다. 이를 정리하면 다음과 같다. 먼저, 클라우드컴퓨팅 서비스가 어떤 법률의 적용을 받는지 살펴보기 위해 클라우드컴퓨팅 서비스 제공자의 법적지위를 보면 자신이 보유하고 있는 전기통신회선설비를 갖고서 서버 스토리지 네트워크 등의 인프라 자원(IaaS)을 제공하게 되면 전기통신사업법 의 기간통신사업자로 되고 다른 한편 기간통신사업자의 전기통신회선설비를 이용하여 가상화된 환경 하에서 기간통신역무를 행하면서 서버 스토리지 네트워크 등의 인프라 자원(IaaS)을 제공하게 되면 전기통신사업법 의 별정통신사업자에 속하게 되며, 기간통신사업자의 전기통신회선설비를 임차하여 가상화된 환경 하 에서 기간통신역무 외의 플랫폼 서비스(PaaS)나 소프트웨어서비스(SaaS) 등을 하는 것은 전기통신사업법 의 부가통신사업자에 해당하게 된다. 또 한 정보통신망이용촉진 및 정보보호 등에 관한 법률 상의 정보통신서비 스제공자, 개인정보취급업무 수탁사업자의 지위를 가질 수 있으며, 전자금 융거래법 에 따른 전자금융보조자로서의 지위, 전자상거래 등에서의 소 비자 보호에 관한 법률 에 의거한 통신판매중개자로서의 지위를 거론할 수 있다. 이와 같이 클라우드컴퓨팅 서비스 제공사업자는 현행법 상 정보 통신서비스 제공자, 집적정보통신설비제공자, 개인정보취급업무 수탁자, 전기통신사업자, 전자금융보조자, 통신판매중개자 등에 포함될 수 있다. 따라서 각 법률에 따른 요건에 충족되어 사업자의 지위를 취득한다면 이 에 따라 해당 법률의 적용에서 배제될 수 없다. 즉 정보통신망법상의 개 인정보보호와 이용자보호, 진흥과 관련된 법 규정, 전기통신사업법 과 전자상거래 등에서의 소비자 보호법 상의 이용자보호 규정 등이 적용될 것이다. 또한 공공기관의 개인정보보호에 관한 법률 에 따른 개인정보보

411 호 규정이 적용 가능할 것이며, 정보통신산업진흥법 과 국가정보화 기 본법 상의 서비스 및 산업 진흥에 관한 규정이 적용된다. 이와 같이 클라 우드컴퓨팅 서비스는 현행법에 의하여 진흥, 개인정보보호, 이용자보호 등 의 사항에 대한 규제를 받을 것이나 기존의 정보통신망을 이용한 정보통 신서비스 제공자 및 전기통신사업법 상 전기통신사업자와는 다른 특성과 서비스를 제공함에 있어 제공자와 소비자의 2중구조가 아닌 제공자와 1차 소비자, 2차 소비자의 3중 구조를 가지고 있기 때문에 이에 대한 고려가 필요할 것으로 보인다. 따라서 기존 법제로서 클라우드컴퓨팅 서비스에 적용하여 규제 또는 진흥 할 수 있는 경우에는 그러한 법 규정을 따름에 문제가 없을 것이나 기존의 법 규정이 클라우드컴퓨팅 서비스의 특성을 고려하여 과도한 경우에는 이에 대한 완화가 이루어져야 할 것으로 여겨 진다. 둘째, 클라우드컴퓨팅 서비스 계약상 이슈는 우선 클라우드컴퓨팅 서비 스 계약의 법적성질을 파악하는 것이 우선적 과제일 것이다. 클라우드컴 퓨팅 서비스 제공자와 이용자 간의 계약의 법적 성격은 다수 계약이 하나 로 통합된 혼합계약이다. 즉 저장공간 등 하드웨어의 차용은 임대차 계약 의 성질이며, 정보의 수집, 저장, 관리, 보관 업무 등 대행은 위탁계약의 성질이고, 어플리케이션, 소프트웨어의 최적화를 구현이 목적이라면 도급 계약의 성질이 될 것이다. 그러나 주된 요소는 임대차로 볼 수 있다. 그러 므로 계약상 발생되는 손해배상, 담보책임, 입증책임의 문제는 기본적으로 임대차가 적용되어 해결 될 것이다. 클라우드컴퓨팅 서비스가 임대차계약 에 해당한다는 측면을 강조하게 되면 지속적으로 해당 서비스를 이용할 수 있는 상태를 유지할 의무를 서비스 제공자가 부담하는지가 문제된다. 실제로 이와 관련하여 서비스 제공자는 서비스 수준을 어느 범위에서 보 장해야 하는지를 이용자와 사이에서 구체적으로 정하지 않으면 분쟁이 발 생할 가능성이 크다. 왜냐하면 이용자들은 불완전하거나 중단된 서비스로 인하여 서비스 제공자에게 손해배상을 청구하려고 할 것이기 때문이다. 이를 방지하기 위해서 약관에 면책규정을 두거나 개별적인 협상된 계약내

412 용으로 그 수준을 정해야 한다. 실무에서는 이 문제를 해결하기 위하여 SLA(서비스레벨협정)를 통하여 해결하고 있다. 서비스의 제공수준의 문제 는 서비스 제공자가 클라우드컴퓨팅 서비스를 통하여 제공하는 급부의 내 용과 관련된 것이기 때문에 원칙적으로 약관의 내용통제의 대상이 되지 않는다. 그러나 이러한 서비스 내용을 약관에 두고 이에 관한 면책규정을 둔다면 면책규정 자체는 내용통제의 대상이 될 수 있으므로 다툼의 대상 이 될 수 있다. 이러한 분쟁을 사전에 예방하기 위해서 SLA를 통하여 서 비스 수준을 미리 개별적으로 합의도록 할 필요가 있는 것이다. 클라우드 컴퓨팅 서비스 제공자와 이용자 사이의 이용계약은 일반적으로 클라우드 컴퓨팅 서비스 이용약관에 의하여 규율되고, 이용자가 특별한 서비스를 이용하기 위하여 해당 서비스별 이용약관에 동의하게 되면 이러한 개별약 관도 계약의 내용이 된다. 클라우드컴퓨팅 서비스 약관은 전자약관으로서 의 형태적 특이성으로 인하여 서면형 약관이 아니라는 점, 새로운 사업유 형에 관한 약관으로서 아직 표준적인 규율내용이 알려져 있거나 마련되어 있지 않다는 점 등에서 이용자보호에 소홀할 수 있는 가능성을 안고 있 다. 따라서 표준약관의 필요성이 제기되는 바 약관규제법 제19조의2에 근거한 표준약관제도는 약관이 거래계에 유통되기 전에 이를 바로 잡을 수 있는 사전심사의 성격을 갖는 것으로서, 개별사업자가 약관을 스스로 작성하는데 드는 비용과 수고를 절감하고, 약관사용에 따르는 위험을 줄 이며, 고객도 표준약관을 믿고 안심하고 서비스를 이용할 수 있는 장점을 갖는다. 클라우드컴퓨팅 서비스에 대해 사업자나 이용자가 합리적인 이익 조정의 기준에 대하여 정확한 인식을 갖기 어려운 면이 있으므로, 본문에 서 예시한 것과 같은 표준약관(안)을 사업자단체나 정부가 도입하는 것도 충분히 고려할 가치가 있을 것이다. 셋째, 정보보호 관련 이슈를 정리하면 우선, 정보보호와 관련하여 클라 우드컴퓨팅 서비스 사용자가 정보통신서비스 제공자 등에 해당하지 않는 다 하더라도 개인정보 취급에 관한 법적 의무와 책임이 규정되어야 할 것 이며, 클라우드컴퓨팅 서비스 운영자의 경우 정보통신망 이용촉진 및 정

413 보보호 등에 관한 법률 및 신용정보의 이용 및 보호에 관한 법률 의 적 용이 가능하지만 클라우드컴퓨팅 서비스 운영자가 공공기관의 개인정보 보호에 관한 법률 에 따른 공공기관에 해당하는 때는 정보보호 안전진단 이나 정보보호 관리체계 인증 등 정보보안에 미약한 부분이 존재하므로 이를 메울 법규 마련이 요구된다. 정보의 물리적 위치에 따른 관할권의 경우 현실적으로 큰 혼란을 야기 할 수 있는 문제이지만 법리적으로는 재판관할 자체의 문제라기보다는 실 효성 확보를 위한 집행의 문제라 할 것이므로 다른 나라와의 공조를 구할 수 있는 협력체제의 법제적 모색이 요청된다고 여겨진다. 규범적으로는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 에 국 외 개인정보 이전에의 제한 및 개인정보 보호조치 의무가 설정되어 있으 므로 이로써 클라우드컴퓨팅 서비스 운영자의 개인정보 국외 이전은 규율 될 수 있겠으나, 정보통신서비스 제공자 등에 해당하지 않는 클라우드컴 퓨팅 서비스 사용자 기업에 대하여는 이를 적용할 수 없는 까닭에 클라우 드컴퓨팅 서비스 사용자에 관한 개인정보 보호의무의 설정과 이에 따른 개인정보의 국외이전에 관한 제한을 규율하는 것이 필요하다고 판단된다. 정보의 보존 복구 및 폐기에 있어 보존기간의 타당성 및 법률간 조화를 위하여 보존하는 자료의 중요성, 보존해야 하는 이유 등을 검토할 필요가 있으며, 개별법마다 자료보관의 기간이나 기준이 상이한 부분에 대한 일 관성 제고가 요청된다고 할 것이다. 또한 법률상 클라우드컴퓨팅 서비스 이용자의 권리를 명시하고 이로써 저장정보의 보존원칙에 따른 클라우드 컴퓨팅 서비스 운영자의 의무가 지정되는 한도 내에서 예외적으로 그 폐 업 파산 시 최종 이용자가 클라우드컴퓨팅 서비스 운영자의 이용권을 대 위하여 해당 정보의 열람 이전 제공 및 삭제 등을 청구할 수 있는 권한을 부여하는 방안을 도출해볼 수 있을 것이다. 현재의 KISA 정보보호 관리체계(ISMS) 인증 제도를 보완하여 활용하는 방안과 별도의 독립적인 보안 인증 제도를 수립하는 방안이 고려될 수 있 겠으나, 각 장 단점이 존재하므로 컴퓨팅 서비스의 품질을 포함한 주요

414 영역을 다루는 포괄적인 인증체계를 도입하고 보안을 그 중 하나의 요소 로 고려하는 방안이 고려될 수 있다고 본다. 이용자가 자신의 데이터가 어디에 보관되고 어떻게 관리되고 있는지 알 기 어려운 클라우드컴퓨팅 서비스의 특성 상 클라우드컴퓨팅 서비스 이용 자에 대한 정보보호를 위한 제도적 보완이 시급하다. 이를 위해 클라우드 컴퓨팅 서비스 운영자의 영업비밀 유출방지를 위한 의무조항을 설정하고 이에 대한 법적 책임기준을 마련할 필요가 있다. 넷째, 저작권 관련 이슈를 검토해보면 우선 클라우드컴퓨팅에서 빈번하 게 발생할 것으로 예상되는 저작권 쟁점 중의 하나는 서비스 제공자의 서 버에서 운영되거나 저장되어 있는 저작물에 대하여 누가 저작권을 가지는 가의 문제가 될 것이나 저작법상의 법리상 2차적 저작물로 인정되기 위해 서는 창작성과 저작권자의 이용허락이 있다면 2차적 저작물의 저작권자로 인정될 것이다. 클라우드컴퓨팅에서는 서비스 제공자도 현행 저작권법이 정의하고 있는 OSP가 될 수 있고 저작권 침해책임을 부담할 수 있으므로 클라우드컴퓨팅을 진작시키기 위해서는 PaaS나 IaaS 서비스 제공자에 대 해서는 OSP의 책임을 상당히 완화시킬 필요가 있다. 클라우드컴퓨팅 서비스는 그린IT, 스마트워크 등을 실현할 수 있는 차 세대 서비스로서 이용 활성화 정책이 필요함은 아무리 강조해도 지나치지 않는다. 따라서 이미 언급한 현행법상 서비스 활성화를 막는 법적인 장애 요인의 제거, 이용자 보호를 위한 법적 대책이 필요하다. 다만 방법론상으 로 현행법상으로 클라우드컴퓨팅 서비스 사업자는 부가통신사업자, 정보 통신서비스제공자, 개인정보취급업무수탁자 등의 지위를 가지고 있으므로 현재의 법규로 상당부분 규율이 가능하므로 기존의 법제를 보완 수정하 여 클라우드컴퓨팅 서비스를 규율하는 방법과 서비스 촉진 및 활성화 방 안 등의 대책을 포함한 클라우드컴퓨팅 서비스에 관한 일반법을 제정하여 규율하는 방법이 있을 것이다

415

416 클라우드컴퓨팅 이용활성화를 위한 법제도 개선 방안 연구 인 쇄 : 2010 년 12 월 발 행 : 2010 년 12 월 발행인 : 서 종 렬 발행처 : 한국인터넷진흥원(KISA, Korea Internet&Security Agency) 서울시 송파구 가락동 79-3 대동빌딩 Tel: (02) 인쇄처 : 한올 Tel: (02) <비매품> 1. 본 보고서의 판권은 한국인터넷진흥원이 소유하고 있으며, 당 진흥원의 허가 없이 무단 전재 및 복사를 금합니다. 2. 본 보고서의 내용은 연구자들의 개인적인 견해로서 한국인터넷진흥원의 공식 입장과는 무관합니다

모두 보기

........976 ........1121

........976 ........1121 KIS Credit Monitor 2012.11.26 16 17 Special Report KIS Credit Monitor 2012.11.26 18 19 1 SDS 3,952,470 350,021 10,989 2 LG CNS LG 2,300,255 42,441 6,545 3 SK C&C SK 1,619,101 175,461 3,819 4 IBM 1) - 1,206,124