클라우드 컴퓨팅 세계 시장 규모가 2009년도 796억 달러에서 2014년도 3434억 달러로 증가하는 등 시장이 지속적으로 성장할 것으로 전망된다. 문제는 정보보호다. 최근 구글이 제공하는 구글독스(문서저장·편집 서비스)의 소프트웨어 버그로 개인문서가 노출됐다.
미국 프라이버시보호 단체인 EPIC(The Electronic Privacy Information Center)는 구글에 대한 조사를 요구했고 미국 연방거래위원회(Federal Trade Commission)가 조사를 벌였다. 이처럼 클라우드 서비스에 따른 정보침해 방지를 위해 법적 규제를 강화할 필요가 있다는 주장이 존재한다.
현행법 상으로도 클라우드 서비스 사업자는 정보통신망법에 따른 ‘정보통신서비스제공자’임이 틀림없다. 따라서 사업자는 정보통신망법에서 규율하는 정보보호 의무를 준수해야 한다. 나아가 일반적인 규제논리에서 보더라도 정보침해자에 대한 형사처벌이나 정부의 서비스제공자에 대한 정보보호 의무 강화가 클라우드 서비스 유통정보의 안전성을 높이는 것은 인정할 만하다.
좀 더 자세히 들여다 보면 규제강화라는 접근방식은 결국 규제영역 밖의 정보위험성에 대해서는 방치하는 결과를 낳게된다. 따라서 ‘수범자가 자신의 책임을 회피할 수 있는 정도의 보호수준’을 조장하는 결과를 초래할 수도 있어 그 자체가 정보보호를 위한 유일한 수단이라고 볼 수는 없다.
클라우드 서비스 과정에서 유통되는 정보의 보호를 위해 규제 강화만이 능사는 아니다. 오히려 클라우드 서비스 사업자가 사업의 성공을 위해 적극적으로 유통정보를 보호할 수밖에 없는 환경, 즉 시장친화적이면서 시스템적으로 정보보호를 할 수 있는 제도적 환경을 개발해야 한다. 이것은 결국 민간자율규제(Self-Regulation)의 틀에서 정보침해 방지의 해법을 찾아야 함을 의미한다. 정부나 클라우드 서비스 사업자 모두 이제는 클라우드 서비스 수준협정이나 정보보호 인증제도 개발 등 사업자 스스로 정보침해 위험성을 방지할 수 있는 자율규제 환경마련에 발 벗고 나서야한다.
강철하 삼성SDS 과장 chul1.kang@samsung.com
