방송통신정상화와공공성확대를위한제안 국정원과클라우드컴퓨팅법안, 무엇이문제인가? 일시 : 2014 년 9월 29일 ( 월 ) 오전 10시 장소 : 국회의원회관 9간담회실 주최 : 경제정의실천시민연합소비자정의센터, 언론개혁시민연대, 진보네트워크센터, 천주교인권위원회, 함께하는시민행동 주관 : 새정치민주연합정책위원회, 민주정책연구원 사회 : 추혜선 ( 언론개혁시민연대사무총장 ) 발제 : 오길영 ( 신경대학교경찰행정학과교수 ) 패널 : 장유식 ( 변호사 / 참여연대행정감시센터소장 ), 이기웅 ( 경실련소비자정의센터팀장 ), 김지성 ( 진보네트워크센터운영위원, 한국뉴욕주립대컴퓨터과학과박사과정 ), 이창범박사 ( 녹색소비자연대이사 ), 서성일 ( 미래창조과학부소프트웨어융합과장 )
소위 클라우드컴퓨팅발전법안 의 검토와비판 오길영 < 목차 > I. 들어가며 Ⅱ. 쟁점사항의검토 1. 개념설정의분석 2. 보호정책의분석 3. 규제내용의분석 III. 나오며 I. 들어가며 외국공항에서어렵사리와이파이접속을얻어서쌓여있던메일을확인하다가, 난데없이날아온메신저로일을덮어쓰게되었다. 바로이 클라우드컴퓨팅 법안 1) 에대한검토가그것이다. 이세상어디를가건이렇듯실시간으로대화가가능한것이진정인간의삶을윤택하고행복하게하는것인지의문이다. 그러나부정할수없는한가지사실은, 잠시라도네트워크를벗어나있으면이내네트워크를갈구하게된다는점이다. 즉우리는이미고도로발달된네트워크세상속에살고있으며, 세상을등지겠다는매우큰용기를내지않은이상이를벗어나기가곤란하다는것을부인할수가없다. 거절을못한바보라는자책을하며비행기에오르던필자는, 이륙한비행기의창을통해아름다운구름들을보게되었다. 말그대로 클라우드 (Cloud) 2) 이었다. 햇살이투영되는구 * 신경대학교교수, 정보통신법. 1) 2013 년 10 월 16 일정부에의해제출된 클라우드컴퓨팅발전및이용자보호에관한법률안 을말한다. 편의상 클라우드컴퓨팅발전법안 으로칭하기로한다. 2) 클라우드컴퓨팅에서의 클라우드 라는표현에관하여는, 어느하나의대형서버에소프트웨어나데이터가저장되는것이아니라네트워크로연결되어마치구름처럼고정된형태가없는가상세계의서버에저장된다는의미 인것으로파악하는견해 ( 고영하, 클라우드컴퓨팅발전법의주요내용및개선방향에관한소고, Internet & Security Focus( 한국인터넷진흥원, 2014)) 와, 인터넷에대한은유적표현으로통신망위치 (Topologie) 를묘사할때인터넷을구름으로설명하는것에근거하고있다 는견해 ( 박종수, 클라우드컴퓨팅과정보보호, 법제연구제 46 호 ( 한국법제연구원, 2014)), 구름과같이무형의형태로존재하는하드웨어 소프트웨어등의컴퓨팅자원을자신이필요한만큼빌려쓰고이에대한사용요금을지급하는방식의컴퓨팅서비스 로파악하는견해 ( 조인성, 공공행정에서클라우드컴퓨팅에관한법적문제, 홍익법학제 11 권 - 2 -
름을멍하니바라보다문득, 좀전공항에서 클라우드서비스 를이용하다가 클라우드법안 의검토를의뢰받았다는점을깨닫게되었다. 웹메일서비스가가장고전적이고보편화되어있는클라우드서비스의개념이기때문이다. 3) 아마도다들, 웹메일서비스가클라우드모델과의첫만남이었을것이라생각한다. 덕분에클라우드컴퓨팅 4) 을이해하기란그리어렵지않다. 웹메일서비스의이전과그이후를생각해보면매우간단하기까지하다. 웹메일서비스가나오기이전우리는, 각자의컴퓨터에메일을송수신하는전용프로그램을하나씩운용하고있었다. 메일을받아열람하거나작성하여송신하기위해서는프로그램을구해서깔아야했고그운용에는내컴퓨터의자원들이사용된다. 그러나웹메일서비스를사용하면서부터내컴퓨터가하는일이라고는, 그저서버로부터날아오는정보들을내가켜놓은웹브라우저화면에다현출시키는일뿐이다. 메일을열거나쓰거나메일함을편집하거나하는모든작업들은, 나의명령을받게되는웹메일서버가그자원을운용하여실행하게된다. 즉일은웹메일서버가하고내컴퓨터로는지시하고지켜보기만하면되는것이다. 따라서메일을송수신하기위해프로그램을구할필요도없고, 메일을보관하기위해내하드디스크의일정부분을할당하지않아도된다. 결국메일의운용에있어우리는소유하고있는하드웨어나소프트웨어를사용하는것이아니라, 웹서버가제공하는서비스와자원을빌려쓰고있는것이다. 5) 이것이바로클라우드컴퓨팅의간략한면모이다. 이러한소유가아닌임대, 자동차로말하자면렌트카의사용은적지않은이점을가지고있다. 큰돈들여구매하지않아도되니경제적이고, 매번골치가아픈수리며관리를직접하지않아도되며, 업그레이드를해야할시기가와도다른차로갈아타면그만이니별다른고민이필요없다. 예를들어수많은기업과공공기관에서각각구매하여사용해오던오피스환경을생각해보라. 이를오피스서비스를제공하는클라우드컴퓨팅으로해결한다면그얼마나경제적이고효율적이겠는가? 그냥사용만하면족하다. 이러한이유덕분에, 세상은지금클라우드컴퓨팅의열풍에휩싸여있다. 스마트폰을사용하는수많은개인들로부터굵직굵직한기업은물론한나라의정부 6) 나심지어정보기관인 제 3 호 ( 홍익대학교법학연구소, 2010)) 등이있다. 3) 그렇다고하여웹메일서비스가본고에서논의하는클라우드컴퓨팅서비스라고말하는것은아니다. 웹메일서비스는뒤에서상술하는바와같은클라우드컴퓨팅의여러요소들을결하고있다. 따라서이러한표현는어디까지나클라우드컴퓨팅의개념을쉽게설명하기위한편의적차용에불과하다. 4) 클라우드컴퓨팅이라는개념이본격화되기시작한것은대략 2006 년즈음으로확인된다. 클라우드컴퓨팅발생의계기가되었다고들하는아마존 (Amazon) 의 AWS(Amazon Web Service) 는 2002 년부터시작되었으나, 개인에게가상서버나스토리지를서비스 (Elastic Computer Cloud, Simple Stroage Service) 하기시작하면서본격적인클라우드컴퓨팅의면모를가지기시작한것은 2006 년에이르러서였고, 클라우드컴퓨팅의개념을최초로제시한바있는구글 (Google) 또한이를실천한구글앱스 (Google Apps) 를상용화하기시작한것이 2006 년부터이기때문이다. 한편마이크로소프트 (Mic rosoft) 의경우에는 2 년후인 2008 년에와서야 Window Azure 라는클라우드컴퓨팅서비스를시범서비스의형태로선보여다소늦은감이없지않으나, 이서비스는개발자를위한플랫폼을제공하는형태로서클라우드컴퓨팅의새로운영역을개척하였다는점에서는남다른의미가있다. 이들 3 인방은현재까지도여전히클라우드컴퓨팅의세계에서그주도적인입지를확고히다지고있다. 5) 일반적으로클라우드컴퓨팅이용자들은물리적인 IT 인프라를보유하지않는대신에제 3 자로부터 IT 인프라를빌려사용한다 : 이창범, 클라우드컴퓨팅의안전한이용과활성화를위한법적과제, 정보보호학회지제 20 권제 2 호 ( 한국정보보호학회, 2010), 34 쪽. - 3 -
CIA 7) 까지도클라우드컴퓨팅을본격활용하는시대가되었다. 그러나필자는이렇듯많은장점에좋은조건을제공하는신뢰할만한렌트카서비스를두고도선뜻맘이내키지않는것이사실이다. 그합리성에쉬이수긍을하면서도, 가슴속은무언가허전하고머릿속은여전히불안하기때문이다. 8) Ⅱ. 쟁점사항의검토 앞서살펴본바와같이클라우드는새로운형태의컴퓨팅기술로서, 그고유한특성으 로인하여새로운법적이슈를야기한다. 법학계에서는이미오래전부터이문제에대하 여심도깊은논의를진행해온바있으며, 실무계에서도그대안을제시하기위하여적 지않은토론과연구물을편찬한바있다. 이러한논의에서가장많은주목을받는것은 1 개인정보보호의문제 9) 와 2 정보의국외이전문제 10) 로파악되며이는곧 3 사법관 할권의문제 11) 로귀착된다. 한편새로운사업형태와관련해서는 4 사업자의법적지위 설정의문제 12) 와 5 서비스이용계약과인증관련의문제 13) 등이있고, 산업의파급효과 와관련된문제로는 6 경쟁법적인문제 14) 와 7 저작권법적인문제 15) 등으로분류해볼 6) 정부차원또는공공부문에서클라우드컴퓨팅을활용하고있거나활용할계획이있는국가로는미국, 영국, 일본, 중국, 싱가포르, 호주등이있다. 물론우리나라도본법안에서보듯이에해당한다. 이에대한상세는신선영 / 송석현, 국내공공클라우드서비스적용우선순위도출에관한연구 : 해외공공부문클라우드사례의 SRM 매핑을통해, Internet & Information Security 제 3 권제 3 호 ( 한국인터넷진흥원, 2012), 68-75 쪽. 7) 아마존의 AWS 에의해 60 억달러의규모로개발된, CIA 와산하 17 개기관을위한맞춤형클라우드서비스가올해부터가동됨을알리고있는기사를어렵지않게찾을수있다 : The Atlantic, The Details About the CIA s Deal With Amazon, 2014.7.17 자, <http://www.theatlantic.com/techn ology/archive/2014/07/the-details-about-the-cias-deal-with-amazon/374632/> 검색일 : 2014.9.2 5. 8) 이러한회의적시각은최근에새로이등장한것도아니고비단필자혼자만의고민도아니다. 이미클라우드컴퓨팅이태동할시점부터이러한논의가있어왔으며디지털세계를이끌고있는유력한인사들또한적지않은걱정들을해온것이사실이다. 예를들어 The Guardian, Cloud com puting is a trap, warns GNU founder Richard Stallman, 2008.9.29. 자 <http://www.theguardia n.com/technology/2008/sep/29/cloud.computing.richard.stallman> 검색일 : 2014.9.25; PCWorld, US Lawmakers Question Cloud Security, 2011.10.6. 자 <http://www.pcworld.com/article/2413 35/us_lawmakers_question_cloud_security.html> 검색일 : 2014.9.25. 등. 9) 윤혜선 /Anne S. Y. Cheung/Ricci Leong/K. P. Chow/Rolf H. Weber, 클라우드컴퓨팅환경에서개인정보보호에제기되는도전, 경제규제와법제 6 권제 1 호 ( 서울대학교공익산업법센터, 2013), 134-145 쪽. 10) 박완규, 클라우드컴퓨팅환경에서의개인정보의미국이전에따른문제점및대응방안연구, 법학논고제 38 집 ( 경북대학교법학연구원, 2012), 460-475 쪽. 11) 오병철, 클라우드컴퓨팅에서의사법관할권, IT 와법연구제 7 집 ( 경북대학교 IT 와법연구소, 2013), 100-111 쪽. 12) 김병일 / 서광규, 클라우드컴퓨팅과관련된법적쟁점에관한고찰, Internet & Information Security 제 3 권제 3 호 ( 한국인터넷진흥원, 2012), 56-59 쪽. 13) 조흥재 / 민영기, 클라우드관련법 제도고찰및발전방향에대한제언 - 클라우드서비스인증제를중심으로, 정보보호학회지제 22 권제 7 호 ( 한국정보보호학회, 2012), 39-44 쪽. 14) 박영규, 클라우드컴퓨팅 (Cloud Computing) 의법적문제에관한고찰, 법조제 61 권제 8 호 ( 법조협회, 2012), 198-200 쪽. 15) 박인회, 클라우드컴퓨팅의저작권법적문제에관한소고, 법과정책연구제 12 권제 2 호 ( 한국법정책학회, 2012), 678-687 쪽. - 4 -
수있다. 본고는이론적논의를위한글은아니므로위에서언급한모든이슈들을본법 안과비교 검토할수는없겠으나, 주요한쟁점사항에대한검토에있어가능한한상기의 논의들을기반으로분석을진행해보기로한다. 1. 개념설정의분석 1.1. 클라우드컴퓨팅의정의규정먼저법안제2조의정의규정부터살펴보기로하자. 클라우드컴퓨팅발전법안제2조의제1호내지제3호는, 클라우드컴퓨팅과클라우드컴퓨팅기술그리고클라우드컴퓨팅서비스등클라우드컴퓨팅과관련된개념에관하여규정하고있다. 클라우드컴퓨팅 에관하여는 직접 공유된정보통신기기, 정보통신설비, 소프트웨어등정보통신자원을이용자의요구나수요변화에따라정보통신망을통하여신축적으로이용할수있도록하는정보처리체계 16) 라고정의하고, 클라우드컴퓨팅기술 에대하여는 클라우드컴퓨팅의구축및이용에관한정보통신기술 17) 로간략히규정하고있다. 클라우드컴퓨팅에관한이러한방식의정의는, 동법안의원형이되는 2012년방송통신위원회의입법안에서찾아볼수있다. 18) 그러나약간의차이가존재하며, 특히당시에존재하였던 논리적인분할또는결합을통해 라는표현이현재의법안에서는생략되었음을확인할수있다. 생략된부분은클라우드컴퓨터의특성을묘사하고있는구절인데, 이를삭제하고난지금의정의규정은논리적뿐만이아니라단순히물리적인경우도포함하게되므로 2012년입법안의표현이클라우드컴퓨팅의정의규정으로서는더욱적합하다고할수있겠다. 수규자의범위와지위를확정하기위한초석으로기능하는정의규정의취지를생각해볼때, 법기술상으로특별한문제가되지않은이상가급적이면명확한표현이바람직함은너무나당연하다. 클라우드컴퓨팅의개념설정과그특징에관하여가장널리인용되는것은미국상무성 (U.S. Department of Commerce) 산하의국립표준기술원 (National Institute of Standards and Technology, 이하 NIST) 이발간한문서이다 19). 이에의하면클라우딩컴퓨팅이란 최소한의관리노력과서비스제공자와의최소한의상호작용으로도신속하게제공될수있는설정가능한컴퓨터자원 ( 예를들어네트워크, 서버, 스토리지, 어플리케이션그리고서비스등 ) 이공유된풀 (Pool) 에, 언제어디서나편리하게수요자의요구에부응하는네트워크접속을가능하게하는모델 이다. 20) 이는본래기술문서이기 16) 동법안제 2 조제 1 호. 17) 동법안제 2 조제 2 호. 18) 2012 년방송통신위원회의 클라우드컴퓨팅발전및이용자보호에관한법률 입법안제 2 조제 1 호 : 클라우드컴퓨팅 이란논리적인분할또는결합을통해집적 공유된정보통신기기 설비, 소프트웨어등정보통신자원을필요에따라정보통신망을통해신축적으로제공함으로써정보통신자원의이용효율을극대화하는컴퓨팅을말한다. 당해입법안은다음의주소에서열람할수있다 : <http://old.kcc.go.kr/download.do;jsessionid=wem9esxokehno1qkff5narleuwisr1ijnseoga3c 2jtJrsQbqkK0IaaF5MbLgR1C.hmpwas01_servlet_engine4?fileSeq=35300>, 검색일 : 2014.9.25. 19) Peter Mell/Timothy Grance, The NIST Definition of Cloud Computing(NIST, 2011), <http://csr c.nist.gov/publications/nistpubs/800-145/sp800-145.pdf> 검색일 : 2014.9.25. 20) Peter Mell/Timothy Grance, 앞의문서, 2 쪽 ; 번역은필자가임의로한것임을밝힌다. - 5 -
때문에우리법안의법문상표현보다는자유로울수있겠으나, 클라우드컴퓨팅의정의로는매우훌륭하고적절한표현임을숨길수없다. 특히이러한개념설정을뒷받침하기위하여클라우드컴퓨팅의특징 5가지 21) 를들어개념의범주를획정하고있다는점은참으로본받을만한것이다. 즉 1 서비스제공자의개입없이이용자스스로가자신의수요판단에따라필요한자원을적절히증감시킬수있고 (On-demand self-service), 2 네트워크에의접속은다양한종류의접속장비에도대응할수있어야하며 (Broad network access), 3 이용자의탄력적인수요에부응하기위하여서비스제공자는동적인전산자원 -풀을구성 운영하고 (Resource pooling), 4 그서비스는이용자의수요증감요청에신속하게또는자동적으로반응해야하며 (Rapid elasticity), 5 각종유형의서비스에대하여자동적으로조절되고최적화된자원을분배하는것 (Measured service) 등이그것이다. 클라우드컴퓨팅기술에관하여너무나간략히정의하고있는동법안의내용과는큰차이가있다. 이에관하여동법안의정의규정이이러한 5가지의기술적요소를이미포함하고있다고파악하는견해 22) 가있으나, 이에는동의하기가곤란하다. 이견해에의하면 직접 공유된정보통신기기, 정보통신설비, 소프트웨어등정보통신자원 은 3, 이용자의요구나수요변화에따라 는 1, 정보통신망을통하여 는 2, 신축적으로 는 4, 이용할수있도록하는 이라는부분은 5를의미한다는것인데, 아무래도양자의의미차이가너무나크다. 동법안의법문을최대한확장해석을한다고하여도 NIST의설명을담고있다고보기는힘들기때문이다. 이러한기술적특징에대한규정의마련은실제수규대상이되는클라우드컴퓨팅의 구성요건 으로기능하게된다. 따라서이를별도로명정하는것이필요하다고판단되므로최소한동법안이제2조제2호에서밝히는바와같이대통령령의내용으로라도정해지는것이바람직할것이다. 1.2. 클라우드서비스의범위앞서살핀바와같이클라우드컴퓨팅의개념을규정한다는것이그리쉬운일이아니다. 기술자체가새로운것이고그응용의형태가다양함은물론서비스의형태또한무한한확장가능성을가지고있기때문에, 자칫잘못하면말그대로 뜬구름잡는소리 가될수있기때문이다. 무엇보다중요한사실은이러한정의규정은수규대상을확정짓는역할을한다는점이다. 따라서기술적요소들을법문으로표현한다는것에많은장애가발생할것이나그럼에도불구하고가능한한명확하게규정하는입법태도가필요하다. 특히직접적인수규대상을규정하는사업자의범위, 즉규율대상서비스를획정하는것은매우중요하다. 예를들어단순한웹하드서비스나웹메일서비스, 또는각종미디어의스트리밍서비스등이동법안의규율대상에포함된다면부당하기때문이다. 그러나현재의법안은그러한가능성이없지않아보인다. 왜냐하면앞서살핀바와같이클라우드컴퓨팅과그기술에대한정의규정의내용이클라우드컴퓨팅을제대로 21) Essential Characteristics: Peter Mell/Timothy Grance, 앞의문서, 2 쪽 ; 번역은필자가임의로한것임을밝힌다. 22) 고영하, 앞의글, 14 쪽. - 6 -
설명하고있다고보기힘들고, 나아가연이어 클라우드컴퓨팅서비스 를정의하면서 클라우드컴퓨팅을활용하여상용으로타인에게정보통신자원을이용하게하는서비스 23) 로만규정하여구체적인사항은대통령령에위임하고있기때문에그해당여부를동법안만가지고서는도대체짐작해낼방도가없기때문이다. 기술적인조예가없는일반인들의시각을가지고, 웹하드서비스등을상기정의규정에대입해보라. 아마도많은이들이웹하드서비스등이동법안의대상에해당된다고판단할것이다. 이는결국그규율대상이되는서비스를직접적으로획정하는것이필요하다는것을의미한다. 즉기술에대한묘사가힘든만큼규정의내용은정교해야한다는것이다. 한편앞서밝힌 2012년의방송통신위원회입법안에서는, 이러한서비스모델에대한직접적인규정이존재하였던것을확인할수있다. 당해법안제2조제3호 가목 에서는 서버, 스토리지, 네트워크등을이용하게하는서비스 라고하여 NIST가정의한 IaaS (Infrastructure as a Service) 를, 나목 에서는 응용프로그램등소프트웨어의개발 운영등을위한도구환경을이용하게하는서비스 라고하여 NIST가정의한 PaaS (Platform as a Service) 를, 다목 에서는 응용프로그램등소프트웨어를이용하게하는서비스 라고하여 NIST가정의한 SaaS (Software as a Service) 를규정함과동시에, 24) 라목 에서는추후새로이생성되는서비스모델을대비하여 그밖에이에준하는서비스로서방송통신위원회가고시로정하는서비스 라고규정하고있었다. 그러나 2년뒤인지금의법안에서는서비스모델을유형화하는이내용들이사라져버렸다. 이러한삭제의이유를확인할수는없었으나, 아마도클라우드서비스가급속히팽창하는현상황에서발생하는다양한서비스모델을모두표현해내기위해서는법률보다는대통령령이더욱타당하다는입법정책적고려가있었지않았나하고짐작해본다. 그러나이러한양상들을꼼꼼히분석해보면결국은 IaaS PaaS SaaS 가서로결합하거나분화하는형태로진행되고있다는점에서, 이러한기본적인유형화의내용은대통령령보다는 25) 오히려법률의형태로규정되어야한다고생각한다. 왜냐하면이러한서비스모델의유형화는결국규율대상을확정하기위한것이기때문에, 그성격상위임입법이그다지바람직하지않기때문이다. 상기의 라목 과같은정도의융통성을마련한다면, 새로이발생할어떠한서비스의경우에도적절히포함할수있을것이라생각한다. 2. 보호정책의분석 보호정책, 다시말해정보의보호와권리의실현을위한이용자의법적지위설정과이 를위한사업자의의무와책임에관한부분이클라우드컴퓨팅과관련하여가장많은연 구가진행되어온부분이다. 즉개인정보보호의문제와이를위한보안이슈가가장큰 23) 동법안제 2 조제 3 호. 24) Peter Mell/Timothy Grance, 앞의문서, 2-3 쪽 ; 물론그설명의정도에있어서는많은차이가있기는하나기본적인개념은동일하다. 25) 동법안의법문에는이러한서비스모델의유형화가전혀없다는점에서, 최소한대통령령으로라도반드시포함해야한다는견해로는고영하, 앞의글, 15 쪽. - 7 -
쟁점사항이라는것이다. 2008년 NIST의조사에따르면응답자 244명중 74.6% 가클라우드도입에있어보안이가장큰이슈임을지적한바있으며, 2010년일본경제산업성의클라우드서비스조사보고서에따르면응답자 500명중 58% 가클라우드서비스의가장큰우려사항으로서비스제공자의보안대책에대한정보부족이라고답했다고한다. 또한 2011년가트너에의하면기업의최고정보책임자 (CIO) 는클라우드컴퓨팅환경에서보안및프라이버시에대하여가장높은관심을가지고있다고조사된바있다. 26) 결국클라우드컴퓨팅산업에있어서는그성패의여부를판가름짓는핵심적인요건이바로이보호정책에관한부분이라고할수있다. 2.1. 이용자정보에관한검토먼저개념설정을살펴보기로하자. 동법안은제2조제4호에서 이용자정보 를 클라우드컴퓨팅서비스이용관계에서생성되어클라우드컴퓨팅서비스를제공하는자 27) 의정보통신자원에저장된정보 ( 국가정보화기본법 제3조제1호에따른정보 28) 를말한다 ) 로서클라우드컴퓨팅서비스이용자가소유또는관리하는정보 라고규정하고있다. 법문상의표현에의하면 이용자 가 소유또는관리 하는 모든정보 로서서비스제공자의자원에 저장 된것을말한다. 2.1.1. 이용자의개념설정먼저이용자가불분명하다는문제가있다. 예를들어개인이스마트폰을사용하면서자신의통신회사가제공하는클라우드스토리지에 셀카사진 을백업한다면, 그통신회사는서비스제공자이고개인은이용자에해당될것이니매우간명하다. 그러나구글의클라우드플랫폼을사용하는 온라인사진인화사업자 가개인의사진인화의뢰를받은경우는어떠한가? 이럴경우법리적으로는 2명의이용자 29) 와 2명의서비스제공자가존재하는셈이된다. 30) 즉사진인화계약을중심으로바라보면사진인화사업자 ( 제1제공자 ) 와소비자 ( 제1이용자 ) 가각각서비스제공자와이용자가될것이나, 그서비스가운용되는플랫폼을중심으로바라보면사진인화사업자는이용자의지위 ( 제2이용자 ) 를구글은서비스제공자 ( 제2제공자 ) 의지위를가진다. 여기서제1이용자인개인이자신의정보보호에관하여제1제공자인사진인화사업자를넘어제2제공자인구글에게도, 후술하는바와같은이용자로서의권리를가지는지가쟁점이된다. 즉동법안에서상정하고있는 26) 박대하 / 한근희, 클라우드서비스환경의개인정보위탁을위한개인정보보호관리체계통제연구, 정보보호학회지제 23 권제 6 호 ( 한국정보보호학회, 2013), 1268 쪽. 27) 서술의편의상, 이하에서는서비스제공자로칭하기로한다. 28) 정보 란특정목적을위하여광 ( 光 ) 또는전자적방식으로처리되어부호, 문자, 음성, 음향및영상등으로표현된모든종류의자료또는지식을말한다. 29) 이러한이유로클라우드서비스를사적으로이용하는개인 (End User) 을소비자 (Consumer) 로칭하고, 사적인목적이아닌다른목적으로클라우드서비스를이용하는자 ( 사진인화사업자 ) 를이용자 (Users) 또는고객 (Customers) 으로구분하여칭하는경우도있다 : 윤혜선 /Anne S. Y. Cheung/Ricci Leong/K. P. Chow/Rolf H. Weber, 앞의글, 131 쪽. 30) 이러한문제는동법안에서이러한정보의취급위탁에관한부분에대하여함구하고있기때문에발생한다. - 8 -
이용자 로서의지위가미치는범위에관한문제이다. 동법안의일반적해석으로는제1이용자의귄리행사는오직제1제공자에게만미칠뿐이다. 즉제2이용자가제2제공자에대하여행사가능한이용자로서의권리는차치하고, 제1이용자가제2제공자에게직접행사가능한법적지위의구성을찾아볼수가없다. 31) 이러한법리구성이이용자의보호라는법안의목적에비추어볼때타당한지의문이다. 정보통신부문의일반법으로통칭되고있는 정보통신망이용촉진및정보보호등에관한법률 ( 이하정보통신망법 ) 에의하면사진인화사업자와구글의관계는동법제25조가규정하고있는 취급위탁 관계에해당하고, 32) 이럴경우제1이용자는제2제공자에대하여도일정한권리를행사 33) 하며제2제공자는제1제공자에준하는규제 34) 를받게된다. 법적지위를바라보자면결국이용자와대립되는사업자들 ( 여기서는사진인화사업자와구글 ) 로구성되어있다는것이다. 왜냐하면정보주체의입장에서바라본다면, 자신의정보를취급하는사업자가몇단계를거치건불문하고자기결정권실현의대상이되는동일한사업자들일뿐이기때문이다. 이러한입법정책은각종의정보침해및유출사고에서살필수있듯이, 현실적인피해자이자보호의대상자가결국은정보주체인최종이용자이라는점과도정합성을가진다. 따라서취급위탁, 즉정보의임치에관한규정을가지고있었던 2012년의입법안규정 35) 을부활하는것이간명한해결책으로판단된다. 2.1.2. 정보자체의개념설정법문의표현에서보듯, 동법안에서의이용자정보는비단개인정보에국한되지않는다. 클라우드컴퓨팅에서오직개인정보만저장되는것이아니기때문이다. 따라서개인정보보호법이나정보통신망법이규정하고있는개인정보의개념보다넓은개념으로파악해야한다. 이러한해석을두고보면여기서몇가지의물음표가발생한다. 먼저, 동법안상의정보보호관련규정은개인정보보호법이나정보통신망법에비하면그야말로간소하기그지없는바, 클라우드컴퓨팅으로생성되는개인정보들의보호는어찌되는가하는문제가그것이다. 동법안을개인정보보호법이나정보통신망법의특별법으로해석 36) 한다면큰문제는없을것으로판단된다. 1차적으로개인정보에관한모법으로기능하고있는개인정보보호법상의보호에다, 그개인정보들가운데인터넷등의정보통신망에서의개인정보에관하여별도로규제하고있는정보통신망법상의보호가더해지고, 31) 제 21 조의반대해석으로이용자의동의권이있다는해석할수있으나, 이는어디까지나정보의제 3 자제공에대한내용이고본격적인정보임치에관한내용이아님은자명하다. 32) 클라우드컴퓨팅에있어서의취급위탁에관한법리적분석에관하여는김병일 / 서광규, 앞의글 56-58 쪽 ; 그위험성에대한기술적분석에관하여는신경아 / 이상진. 클라우드컴퓨팅서비스에관한정보보호관리체계, 정보보호학회지제 22 권제 1 호 ( 한국정보호보학회, 2012), 156-157 쪽. 33) 정보통신망법제 25 조제 1 항및제 5 항 : 수탁자와수탁업무의내용등에관한고지수령권과동의권, 그리고손해의발생시에수탁자를서비스제공자의소속직원으로보게되므로직접적인손해배상청구권행사의대상이된다. 34) 정보통신망법제 25 조제 3 항및제 4 항등. 35) 제 29 조 ( 이용자정보의임치 ) 1 클라우드컴퓨팅서비스제공자와이용자는전문인력과설비등을갖춘기관으로서대통령령으로정하는자 ( 이하 수치인 이라한다 ) 와서로합의하여이용자의정보, 소프트웨어등을수치인에게임치할수있다. 2 클라우드컴퓨팅서비스제공자또는이용자는제 1 항에따른합의에서정한사유가발생한때에수치인에게정보의제공을요구할수있다. 36) 동일한견해로는고영하, 앞의글, 15 쪽및 21 쪽. - 9 -
다시금정보통신망에서의다양한서비스가운데특히클라우드컴퓨팅으로생성되는개인 정보에관하여는동법안상의보호를한겹더받게된다고생각하면제법마음이든든 해진다. 그러나동법안의성격이특별법인지는사법부의판단을받기이전에는확실하 지않은바, 이러한특별법의지위를확정하기위해매우간단한규정의마련이있으면 어떨까한다. 흔히목격되는 기타이법률에서규정되지않은개인정보보호와관련된 내용은개인정보보호법과정보통신망법에의한다 라는정도만으로도충분할것이다. 다음으로, 그렇다면개인정보에해당하지않은정보들의운명은어찌되는가하는점이 다. 개인정보가아니므로중요치않아동법안의열악한보호환경을견뎌야하는것이 숙명이라는것인가? 개인정보보호법과정보통신망법이규정하고있는개인정보에서의 개인 은자연인만을의미한다. 37) 따라서자연인에관한정보가아닌이상개인정보에 해당할수없다. 예컨대기업의회계장부나전략회의록등의영업비밀은개인정보에해 당되지않는대표적인경우이나그정보의성격상보호의필요성은결코개인정보에비 해뒤지지않는다. 또한현재의시장상황을보건대, 일반개인사용자가주류를이루는 소위 공공 (Public) 클라우드서비스 못지않게기업이나정부등법인사용자가주류 를이루는소위 사설 (Private) 클라우드서비스 의시장이성장해있다는점 38) 을고 려해볼때동법안의이러한맹점은참으로심각한것이아닐수없다. 나아가개인정 보성을상실한개인정보, 즉익명처리되거나필명으로작성된정보또는암호화되었거 나조각난정보등의운명도마찬가지이다. 이러한개인정보의비개인화또는탈개인화 의문제 39) 는정보의집적및관리기술이진보할수록심각해질수밖에없다. 기술적으로 법적제한을뛰어넘는것이성공한디지털사업의공통적인경험인데다, 특히클라우드 컴퓨팅서비스가빅데이터사업의일환으로자리매김해가는현재의동향을고려해보면이 러한정보들에대한타당한보호정책을마련해야하는때는바로지금의시점일것이다. 마지막으로법문의표현이가져오는혼돈에대하여간략히언급하고자한다. 동법안 의대상정보는클라우드컴퓨팅서비스이용관계에서 생성 되고클라우드컴퓨팅서 비스를제공하는자의정보통신자원에 저장 된정보만을의미하는데, 이는또한클라 우드컴퓨팅서비스이용자가 소유또는관리 하는정보이어야한다. 대단히엄격한 규정이라평가할수있다. 굳이이러한표현을사용한이유를알수는없으나, 이러한 법문은다소의혼란을야기한다. 먼저클라우드이용관계에서생성되지않은정보가다 른경로로클라우드서비스제공자의자원에저장되면어떠한가? 특별한이유로인해고 전적인업로드방식으로클라우드스토리지에저장했다고가정해보자. 추후이파일을 클라우드환경에서열람하더라도이는보호의대상이되지못한다. 또한반드시 저 장 된정보만을보호하는이유는무엇인가? 저장이되지않은채로전송중이거나처리 중인데이터가그보호에서제외되는이유가무엇인지알길이없다. 개인정보보호법이 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 37) 개인정보보호법제 2 조제 1 호는 개인정보란살아있는개인에관한정보로서 라고규정하고있고, 정보통신망법제 2 조제 6 호는 개인정보 " 란생존하는개인에관한정보로서 라고규정하고있다. 38) 클라우드서비스의종류에관하여는 Peter Mell/Timothy Grance, 앞의문서, 3 쪽 ; 손승우, 클라우드서비스와 SaaS 의법적이슈, 정보법학제 14 권제 2 호 ( 한국정보법학회, 2011), 3 쪽. 39) 윤혜선 /Anne S. Y. Cheung/Ricci Leong/K. P. Chow/Rolf H. Weber, 앞의글, 135 쪽. - 10 -
이용, 제공, 공개, 파기, 그밖에이와유사한행위 라는열거적표현을사용하고있는것 40) 이, 법전의지면이여유로와서 가아니다. 나아가컴퓨팅서비스이용자가 소유또는관리 하는정보이어야하는점도마찬가지이다. 앞서살핀바와같이, 클라우드컴퓨팅의가장큰장점중의하나가바로정보의소유와관리를위탁 41) 함으로써얻게되는편리이다. 이러한표현은클라우드컴퓨팅의특성을제대로반영하고있지않거나상충하는부분이므로수정이필요하다. 2.2. 구체적인권리설정에관한검토동법안에서이용자가가지는구체적인권리를정리하자면다음과같다. 먼저이용자는 1 침해사고가생기거나정보가유출되는경우또는서비스가중단되는경우에서비스제공자로부터이러한사실을통지받을수있다. 42) 또한이용자는 2 서비스제공자에게이용자정보가저장되는국가의명칭 43) 을알려달라고요구해볼수있다. 44) 앞서언급한사진인화사례에서 3 제1이용자인개인은제1제공자인사진인화사업자에게그사진인화서비스가클라우드컴퓨팅을활용하고있는것인지물어볼수있고, 만약그렇다면자신의정보 ( 사진데이터 ) 가저장되는국가의명칭을알려달라고요구해볼수있다. 45) 그런데 2와 3의요청에도불구하고서비스제공자가공개를거부하면이용자는 4 이러한상황을용케알아내고그부당성을깨달은미래창조과학부장관이서비스제공자에게그정보의공개를권고하는것을기다려볼수있다. 46) 일단여기까지를살피건대, 참으로어이가없다. 이러한내용을두고 권리 라고인정할수있을까? 이용자의입장에서는죄다요청해볼수있는정도에불과하고. 직접실행하거나강제할수있는권리는깡그리박탈되어있다. 또한멀고도먼미래창조과학부장관님께그부당성을알리는구체적인방법이나절차도찾아볼수없어그실행가능성이요원하거니와, 그장관님또한공감하신다한들그저 권고 만을해볼수있을뿐이다. 이러한규정들을굳이왜마련하고자했는지알수없다. 법전만두꺼워질뿐이므로그냥싹다지우는쪽이여러모로나을것이다. 정보보호와자기결정권의실효성이그어느나라보다도중요한우리네사정을고려해볼때, 이렇듯전형적인장식적규정들을비판하지않을수없 40) 개인정보보호법제 2 조제 2 호. 41) 정보의임치, 즉취급위탁계약의내용에따라그구체적인권한의분배가있게될것이므로서비스이용자가소유또는관리하는경우도있을수있다. 그러나이러한정보의임치가진행되는것이일반적일수밖에없는클라우드컴퓨팅의속성을고려할때, 이렇듯만연히 1 차원적으로만표현하고있는동법안의내용이적절하다고할수는없다. 42) 동법안제 19 조. 43) 이렇듯저장되는국가의명칭을요청하는것은, 분산파일시스템 (Distributed File System) 과가상화기술 (Virtualization Tech) 을핵심으로하는클라우드컴퓨팅의특성상정보가저장되는물리적위치를파악하기가매우곤란하기때문이다. 따라서국가의명칭을알아내는것도쉽지않으며, 설사이를알아낸다고한들기술의특성상비용의문제가발생하므로실제로크게달라질것도없다. 결국필요성에의해보관되는국가를지정하거나사법관할권의문제를피하기위해국내저장으로제한하기위해서는, 이렇듯사후적문의가아니라서비스의계약단계에서사전적협의를해야만할것이다. 44) 동법안제 20 조제 1 항. 45) 동법안제 21 조제 2 항. 46) 동법안제 21 조제 3 항. - 11 -
다. 다음으로이용자는 5 서비스제공자가이용자정보를제3자에게제공하려고할때꼭필요한동의를해줄수있다. 47) 또한 6 계약이종료되면이용자정보를반환받게되나이용자가원하지않거나반환이불가능한경우에는파기 48) 하게된다. 49) 7 이러한이용자정보의반환이나파기는서비스제공자가사업을종료할경우에도동일하다. 50) 그러나 8 이러한이용자정보의반환또는파기에관한내용은서비스계약의내용으로다르게정할수있으며그러한경우에는계약의내용대로진행된다. 51) 마지막으로 9 만약동법안의위반으로손해가발생하면서비스제공자에게손해배상을청구할수있는데, 그면책을위한입증책임은서비스제공자가부담한다. 52) 다시금여기까지를살피자면, 이부분또한허무함을감출수없다. 이론적으로는 5의동의권이나 6과 7 등의권리를가진다고해봐야, 실제에있어서는아무의미가없기때문이다. 다들수없이목격한바와같이클릭을안하고는안되는우리네온라인약관의현실이바로그이유이며, 동법안은아예이러한관행을공공연히인정하고있다. 즉 8의내용이바로그것이다. 요컨대 5에서 8까지의내용은이용자의현실에비추어볼때그리큰도움이못된다. 한편손해배상에관한부분은의미가있다. 물론손해배상이가능함은각종개인정보유출의악몽을겪어온우리에게는상식과마찬가지이겠으나, 9의후단에서보듯그입증책임이전환되어있다는점은의미가있다. 요컨대동법안에서규정하고있는이용자의보호정책가운데실제로유의미한것은사고시통지를받을권리와, 제3자제공시에동의를해줄수있는권리, 그리고소송에서입증책임을면하고있는혜택이전부이다. 참으로큰감동이아닐수없다. 3. 규제내용의분석 동법안이입법이되면, 아마도세계적으로최초의클라우드컴퓨팅입법이될것이다. 주지하는바와같이현재로서는세계어디를가보아도클라우트컴퓨팅에대하여별도로규제하는국가는없다. 공공부문에클라우드컴퓨팅을도입하고있다는국가들조차입법이없는것이사실이다. 다들서비스수준협약 (Service Level Agreement, SLA) 53) 나서비스인증 (Service Authorization) 제도 54) 등자율적인규제책을활용하여입법을대 47) 동법안제 21 조제 1 항. 48) 클라우드컴퓨팅에있어서는삭제와파기와관련하여중요하고도새로운문제가발생한다. 대용량의스토리지를운용하게되는클라우드컴퓨팅의특성상데이터의저장은단한곳에만진행되는것이아니다. 불측의사고에대비하여백업장비를구축하거나미러링서버를운영하는것이일반적인데, 문제는이러한보조적설비들이동일한국가에있어야하는원칙이없다는것이다. 따라서설사동조항의적용으로메인스토리지상의정보를삭제하거나파기한다고하여도, 외국어딘가에있게되는보조적설비들상의해당정보는여전히살아숨쉬게된다. 이에대한사례의상세는윤혜선 /Anne S. Y. Cheung/Ricci Leong/K. P. Chow/Rolf H. Weber, 앞의글, 139-140 쪽. 49) 동법안제 21 조제 2 항. 50) 동법안제 21 조제 3 항. 51) 동법안제 21 조제 4 항. 52) 동법안제 22 조. 53) 이에관한상세는송석현, 클라우드컴퓨팅 SLA 에대한고려사항, TTA 저널제 139 호 ( 한국정보통신기술협회, 2012), 56-60 쪽. - 12 -
신하고있다. 그러나우리나라는특이하게도입법을하고자한다. 이유서에서는그이유에관하여 클라우드컴퓨팅의경제적기회를충분히활용할수있도록하기위하여클라우드컴퓨팅의발전및이용을촉진하기위한각종시책의추진근거를마련하고클라우드컴퓨팅서비스를안전하게이용할수있는환경을조성하 기위해서라고밝히고있다. 이하에서는동법안의내용이이러한입법취지에제대로부합하는지를검토하고자한다. 즉실제로는산업에대한규제가아닌가하는의문의답을검토해보자는것이다. 3.1. 법안내용의분석과평가부칙을제외하면총 22개의조문으로구성되어있는동법안은제3조부터제16조까지많은진흥정책을규정하고있다. 이가운데가장핵심적인사항은바로공공기관이클라우드컴퓨팅서비스를이용하는것이가능함을규정하고있는제14조 55) 이다. 사실이조문하나때문에동법안이생겼음은, 클라우드컴퓨팅을주목하고있는이라면누구나아는사실이다. 즉과거국가정보원이보안에대한우려로, 공공기관이클라우드컴퓨팅서비스를사용하는것을금지했기때문이다. 56) 따라서동법안의많은진흥책가운데가장의미있는진흥책은바로공공기관의클라우드사용을풀어주는당해조항이라하겠다. 국가의입장에서는비용절감등의경제적효과발생이, 산업의입장에서는대규모의수요창출이발생할것이므로그야말로가장현실적인진흥책일것임은분명해보인다. 57) 그런데서비스제공자는 1 국가기관과계약을하기위해서는대통령령이정하는바에따라 국가정보원장 이정하는기준에적합한서비스만을해야한다. 58) 또한 2 그적합성의여부를확인하기위한기준과절차및방법은대통령령이정하는바에따라국가정보원장이정하며, 사고가발생할때의조치등도마찬가지로대통령령이정하는바에따라국가정보원장이정한다. 59) 다음으로공공 민간부문의서비스를아울러, 서비스제공자는 3 상호운용성 ( 즉호환및가용성 ) 의확보를위해미래창조과학부장관으로부터권고를받을수있고, 60) 4 서비스의수준에관하여미래창조과학부장관이고시한내용을주목해야하고이를준수할것을권고받을수있으며, 61) 5 계약의내용에관하여도공정거래위원회위원장이마련한표준계약서를주목해야하고이를준수할것을권고받을수있다. 62) 여기까지살피건대, 지속적으로등장하는 권고 는본래권고가아니라인증이었다 54) 이에관한상세는조흥재 / 민영기, 앞의글, 38-39 쪽. 55) 제 14 조 ( 공공기관의클라우드컴퓨팅서비스이용 ) 1 국가기관등중대통령령으로정하는공공기관은업무를위하여클라우드컴퓨팅서비스제공자의클라우드컴퓨팅서비스를이용할수있다. 56) 고영하, 앞의글, 18 쪽 ; 디지털데일리, 국내클라우드활성화 정부에달렸다?, 2013.11.25. 자, <http://www.ddaily.co.kr/cloud/news/article.html?no=111290>, 검색일 : 2014.9.25. 57) 그이외의규정내용들도전혀의미가없는것은아니겠으나, 이미여러법규에서종종목격할수있는내용인바특별한의미를가진다고하기는힘들어보인다. 다만법령으로적정한전산시설의구비할것이요건인경우클라우드컴퓨팅으로대체할수있다는내용을규정하고있는제 15 조는진흥책으로서상당한의미가있다고할것이다. 58) 동법안제 14 조제 2 항. 59) 동법안제 14 조제 3 항. 60) 동법안제 16 조. 61) 동법안제 17 조제 2 항. 62) 동법안제 18 조. - 13 -
는점을주목해야한다. 즉 2012년의방송통신위원회입법안에는 정부가수행하는정보보호인증제도 가명시적으로존재했음을확인할수있다. 63) 즉원안에서는우리도외국에서와같은서비스인증제도를상정하고있었던것이다. 그랬던것이, 이러한인증제도가진입장벽이될수있다는관련업계의주장에의해권고로수정된것으로파악된다. 64) 그러면서공공부문에새로이등장한분이바로국가정보원장님이다. 외국의사례에서보듯인증제도도입의경우에는그인증기준의설정을두고관련업계에서유기적인수준조율이라도가능하겠으나, 동법안의내용은사실상국가정보원의강제만이존재할뿐협약이나조율의가능성은철저히배제된다. 이러한내용변화가과연규제의완화일지의문이다. 또한이미주도권을가지고있는외국계클라우드기업의경우동법안의수규대상이되기가쉽지않다는점도문제이다. 사실상강제할방법이없기때문이다. 따라서이러한규제는현실적으로우리나라기업에게만부과되는 덤터기 가될가능성이높다. 마지막으로표준계약서에대해서언급하고자한다. 법문에서살피듯이이또한권고에불과하다. 사실상강제력을가지고있지않기때문에유효한이용자보호책이라고보기가힘들뿐만아니라, 반대로서비스제공자의입장에서는실효하지도않은고시를준수하라는정부의압박을견뎌내야한다. 누구를위한입법태도인지모호하기그지없다. 3.2. 국정원의등장과그타당성국가정보원장님의등장을목격한필자는, 참으로많은고민을하게되었다. 그등장의이유가보안문제이므로, 보안에취약하다는클라우드컴퓨팅의속성을알아내기위해많은기술문서들과프라이버시관련글들을읽어보기도하였다. 그리고보안문제라는본질적이슈와클라우드산업의가속화및이용자보호책의강구라는현실적인이슈, 이양자의경중을두고많은검토의시간을가졌다. 이렇듯나름의고민끝에내린결론은, 동법안에국가정보원의등장은결코타당하지못하다는것이다. 그이유는다음과같다. 먼저제19조제3항의규정이문제이다. 당해규정에의하면공공부문의클라우드컴퓨팅서비스에서침해사고가나면서비스제공자는즉시국가정보원장에게통지하도록규정되어있다. 법문의내용대로라면민간부문의클라우드컴퓨팅서비스는문제없는것으로해석할수도있으나, 사실은그리간단하지가않다. 민간부문은 공공 (Public) 클라우드서비스 를, 공공부문은 사설 (Private) 클라우드서비스 를사용한다는이분법식원칙이없기때문이다. 즉민간부문이필요에따라 사설클라우드서비스 를사용할수있는것과마찬가지로, 공공부문역시용도에따라서는 공공클라우드서비스 를사용할수도있다. 또한한서비스제공자가 공공클라우드서비스 와 사설클라우드서비스 를동시에제공할수도있으며, 65) 실제로많은클라우드서비스가그리운용 63) 2012 년방송통신위원회입법안제 16 조, 제 19 조, 제 20 조. 64) 아이뉴스 24, 클라우드법추진논란여전 무엇이문제일까, 2013.6.19. 자, <http://news.inews24.com/php/news_view.php?g_serial=753218&g_menu=020100&rrf=nv>, 검색일 : 2014.9.25. 65) 이를 복합 (Hybrid) 클라우드서비스 라고한다. 이에대한상세는 Peter Mell/Timothy - 14 -
되고있기도하다. 이럴경우당해조항은민간부문에대하여국가정보원이직접관여할수있는근거조항으로기능하게된다. 66) 즉민간부문에대한사고가발생하였다고하더라도, 만약그서비스제공자가공공부문에도서비스를제공하고있는상황이라면역시나당해조항에해당하여국가정보원장에게신고를해야만한다. 다음으로 신고를하면되지, 도대체무엇이문제이냐 하는점이다. 여기서의쟁점은신고를접수받게되는객체의설정이잘못되었다는것이다. 클라우드컴퓨팅서비스는네트워크를기반으로하는사업으로서그주무기관은미래창조과학부장관이지국가정보원장이아니다. 67) 또한유사한규정을가지고있는정보통신망법의경우에는그신고의대상은 미래창조과학부장관 이나 인터넷진흥원 으로규정되어있다. 68) 이렇게되면클라우드사업을하는기업들의주무기관이추가된다는의미도되고, 나아가클라우드컴퓨팅사업에만 2곳 69) 의주무기관이존재하게되므로다른인터넷사업과의형평성도맞지않게된다. 나아가국가정보원이나선다고해도현실적으로무언가를해볼수있는것을찾기도힘들다. 문제의데이터가전세계에어디에존재하는지조차불분명한것이클라우드컴퓨팅의고유한특성이기도하거니와, 설사각고의노력끝에그위치를알아낸다고하여도만약서비스제공자가외국기업이거나그위치가외국이라면현실적으로방도가없기때문이기도하다. 즉외국계기업과의형평성문제가또다시발생한다. 또한각종의침해사고나정보유출사고를겪어온바있는우리의경험을돌이켜볼때, 신고등이러한 사후약방문 은책임논란만을남길뿐별로효과적이지도않다. 결국동법안에서의국가정보원의등장은클라우드컴퓨팅산업의진흥을저해시키고위축효과 (Chilling Effect) 만을남기므로, 전혀타당하지못하다. Ⅲ. 나오며 비교적작은분량의법안을가지고이토록긴글을쓰게되었다. 사실무언가새로운주장을하거나대단한검토를한것도아니다. 정의개념이모호하여문제라는것과산업의진흥이아니라규제관행의답습이아니냐는문제제기는이미많은기사에서확인할수있는것이기도하다. 따라서글을마무리하면서다시금지금까지의내용을정리하지는않기로하겠다. 다만이글을쓰기위해공부를진행해오면서느끼게된몇가지의 Grance, 앞의문서, 3 쪽. 66) 국가정보원은국가안전보장에관련되는정보 보안및범죄수사에관한사무만을담당하고있다 ; 정부조직법제 17 조제 1 항 : 국가안전보장에관련되는정보 보안및범죄수사에관한사무를담당하기위하여대통령소속으로국가정보원을둔다. 67) 국가정보원이정보보안문제에직접관여할수있는것은행정기관에한한다 ; 전자정부법제 56 조제 3 항 : 행정기관의장은정보통신망을이용하여전자문서를보관 유통할때위조 변조 훼손또는유출을방지하기위하여국가정보원장이안전성을확인한보안조치를하여야하고, 국가정보원장은그이행여부를확인할수있다. 68) 정보통신망법제 48 조의 3 제 1 항. 69) 미래창조과학부와국가정보원을말하여, 이는곧인터넷진흥원을미래창조과학부의산하기관 ( 일환 ) 으로판단한다는의미이다. - 15 -
생각들에대하여이야기하면서, 글의결론에갈음하고자한다. 먼저, 클라우드를비롯한기타정보통신서비스들의기술수준은결국현실적인비용문제에제한된다는것이다. 예를들어클라우드컴퓨팅의가장큰장점으로꼽히는경제성은, 정보보안수준과는반비례하는그래프를그리게된다. 즉공공부문에클라우드서비스를도입하면불필요한세금낭비를막을수있다고들하지만, 실제공공부문이취급하는정보를고려한다면결국그정보의성격에맞추어사설클라우드를꾸리게될것이고이를위한스토리지영역도국내의특정지역으로제한되어야한다. 이는곧경제성을극대화할수없다는이야기이기도하다. 민간부문에있어서도동일한논리로, 보안수준이높은서비스를받는다면비쌀가능성이높아진다. 즉요금에상응하는서비스수준을가지게되므로, 이를비약적으로바라보자면 없는자는털리고. 있는자는즐긴다 는참으로씁쓸한결론이나온다. 다음으로, 클라우드서비스에서의사고는대형사고가될수밖에없다는것이다. 클라우드의특성상정보가임치되고이렇듯임치된정보는가장효율적이고경제적인스토리지공간을찾아분산저장된다. 즉이용자와데이터사이의간격은법리적으로나사실적으로나그만큼멀어지게되는것이다. 이러한상황에서발생하는사고는필연적으로, 감당할수없는규모의피해로, 그리고법 제도적으로쉬이치유할수없는형태로돌아온다. 아래의기사 70) 를보면충분히공감할수있을것이다. 지난 6월 20일일본에선클라우드대란이일어난바있습니다. 클라우드서비스업체 퍼스트서버 가초대형전산장애를낸것입니다. 퍼스트서버는야후재팬의자회사로, 일본내에서인기있는클라우드서비스였지만이날장애로무려 5698개기업의데이터를날려버렸습니다. 이회사는당시자사서비스의버그를해결하기위해대규모소프트웨어패치를진행하다가사고를냈습니다. 파일삭제명령의실행 정지를제어하고, 관리대상서버를지정하는기술에문제가있었다고합니다. 퍼스트서버는장애이후데이터복구소프트웨어를통해데이터를복원하고고객사들이자신들의데이터를내려받을수있도록노력했지만, 결국 3일만에데이터복구를포기한다고선언했습니다. 데이터복구자체는성공했지만, 각고객사별권한제한이불가능해남의회사데이터까지내려받을수있게됐기때문입니다. 지금까지네트워크오류나전력문제로클라우드서비스가중단되는문제는여러차례있었지만, 퍼스트서버처럼고객의데이터를분실하는사고는보기드문일입니다. 일본의 IT전문미디어들은이번사태를두고 미증유의사태 라고표현합니다. 마지막으로, 그러함에도불구하고우리나라의클라우드산업은전진해야만한다는것이 다. IT 강국 이라는말이무색해질수는없지않는가? - 감사합니다 - 70) 디지털데일리, 일본의클라우드대란에서얻는교훈. 2012.8.28. 자, <http://www.ddaily.co. kr/cloud/news/article.html?no=94571>, 검색일 : 2014.9.25. - 16 -
참고문헌 고영하, 클라우드컴퓨팅발전법의주요내용및개선방향에관한소고, Internet & Security Focus, 한국인터넷진흥원, 2014, 4-30 쪽. 김병일 / 서광규, 클라우드컴퓨팅과관련된법적쟁점에관한고찰, Internet & Information Security 제 3 권제 3 호, 한국인터넷진흥원, 2012, 49-66 쪽. 박대하 / 한근희, 클라우드서비스환경의개인정보위탁을위한개인정보보호관리체계통제연구, 정보보호학회지제 23 권제 6 호, 한국정보보호학회, 2013, 1267-1276 쪽. 박영규, 클라우드컴퓨팅 (Cloud Computing) 의법적문제에관한고찰, 법조제 61 권제 8 호, 법조협회, 2012, 185-222 쪽. 박인회, 클라우드컴퓨팅의저작권법적문제에관한소고, 법과정책연구제 12 권제 2 호, 한국법정책학회, 2012, 653-692 쪽. 박완규, 클라우드컴퓨팅환경에서의개인정보의미국이전에따른문제점및대응방안연구, 법학논고제 38 집, 경북대학교법학연구원, 2012, 455-478 쪽. 박종수, 클라우드컴퓨팅과정보보호, 법제연구제 46 호, 한국법제연구원, 2014, 41-77 쪽. 손승우, 클라우드서비스와 SaaS 의법적이슈, 정보법학제 14 권제 2 호, 한국정보법학회, 2011, 1-24 쪽. 송석현, 클라우드컴퓨팅 SLA 에대한고려사항, TTA 저널제 139 호, 한국정보통신기술협회, 2012, 59-64 쪽. 신경아 / 이상진. 클라우드컴퓨팅서비스에관한정보보호관리체계, 정보보호학회지제 22 권제 1 호, 한국정보호보학회, 2012, 155-167 쪽. 신선영 / 송석현, 국내공공클라우드서비스적용우선순위도출에관한연구 : 해외공공부문클라우드사례의 SRM 매핑을통해, Internet & Information Security 제 3 권제 3 호, 한국인터넷진흥원, 2012, 67-89 쪽. 오병철, 클라우드컴퓨팅에서의사법관할권, IT 와법연구제 7 집, 경북대학교 IT 와법연구소, 2013, 73-115 쪽. 윤혜선 /Anne S. Y. Cheung/Ricci Leong/K. P. Chow/Rolf H. Weber, 클라우드컴퓨팅환경에서개인정보보호에제기되는도전, 경제규제와법제 6 권제 1 호, 서울대학교공익산업법센터, 2013, 129-149 쪽. 이창범, 클라우드컴퓨팅의안전한이용과활성화를위한법적과제, 정보보호학회지제 20 권제 2 호, 한국정보보호학회, 2010, 32-43 쪽. 조인성, 공공행정에서클라우드컴퓨팅에관한법적문제, 홍익법학제 11 권제 3 호, 홍익대학교법학연구소, 2010, 457-480 쪽. 조흥재 / 민영기, 클라우드관련법 제도고찰및발전방향에대한제언 - 클라우드서비스인증제를중심으로, 정보보호학회지제 22 권제 7 호, 한국정보보호학회, 2012, 37-45 쪽. Peter Mell/Timothy Grance, The NIST Definition of Cloud Computing, NIST, 2011, 1-3 쪽.