정보기술(IT) 혁명이 인류의 삶을 하루가 다르게 변화시켜 나가고 있다. 개개인의 삶 역시 생활 깊숙이 파고든 IT와 분리시켜 생각해 볼 수 없을 정도다. 기업들 역시 소셜네트워크서비스(SNS), 특허, 프라이버시, 게임 등 인터넷과 관련된 사회적 문제에서 자유롭지 못하다. 이에 따라 본지는 김앤장법률사무소와 공동으로 갑론을박이 이어지는 다양한 IT 관련 이슈를 분석해 보는 코너를 마련했다.
안녕하세요. 김앤장 법률사무소 안미령·이정운 변호사입니다. IT법 여행 첫 번째 주제로 ‘클라우드컴퓨팅’을 선정했습니다. 클라우드컴퓨팅은 아직 그 법률적 개념이 확립돼 있지 않을 뿐 아니라 국내에도 이렇다 할 재미있는 선례가 없는 게 현실입니다. 이에 가상의 사례를 상정해 주요 쟁점 몇 가지에 대해 간략하게 소개해 보고자 합니다. 자 그럼, 구름 위로 법률 산책을 떠나볼까요.
가상사례를 통해 본 클라우딩 컴퓨팅
(사례1)관할권 이슈
국내기업 X사 과장인 박 씨는 아침에 일어나 집에서 PC를 켜고 어제 저녁까지 작업해 둔 X사의 중요한 프레젠테이션 자료의 상태를 확인한다. 미국 지사에 요청한 자료들이 적절히 반영돼 있음을 확인한다. 박 씨는 곧바로 회사에 출근해 미국 소재 Y사가 자신의 회사를 상대로 해 미국 법원에 소송을 제기하고, 미국 소재 클라우드컴퓨팅 서버 운영업체에 대해 X사 자료의 열람을 요청했다는 소식을 접하게 된다.
(사례2)저작권 이슈
B 양은 스마트폰을 통해 개인 클라우드컴퓨팅 스토리지 서비스에 저장해 뒀던 음악파일과 동영상을 재생하고, 이 자료를 친구에게 전송한다. 또 얼마 전 PC에 다운로드해 뒀던 영화파일을 학교에서 친구들과 함께 시청하려고 저장공간에 업로드해 뒀다. 이 음악·동영상·영화의 저작권자인 C 씨는 이러한 클라우드컴퓨팅을 통해 저작물이 불법적으로 또는 라이선스의 범위를 초과해 유통되지 않을지 걱정이다.
(사례3) 정보보안 이슈
Z사는 외국에 여러 데이터센터를 설치하고 클라우드컴퓨팅 서비스를 제공하고 있다. X사는 Z사 서비스를 이용하면서 고객들의 개인정보를 Z사의 클라우드컴퓨팅 서버에 저장했다. 또 Z사의 클라우드 서버에는 X사가 취급하는 의료정보, 신용·금융정보 및 X사의 기밀정보도 포함돼 있다. 그런데 최근 외국의 재난소식을 접한 X사는 서비스업체를 바꾸려고 한다.
◇우리나라 법률이 적용될 수 있나?
이 같은 세 가지 사례에서 핵심 포인트는 과연 우리나라 법률이 적용될 수 있는지 여부다. 일반적으로는 당연히 한국 이용자들이 있으니 한국 법률이 적용된다고 생각하기 쉽다. 하지만 인터넷처럼 국경이 없는 서비스에서 이 문제는 그렇게 간단하지 않다.
국내에 아무런 시설이나 인력이 없는 외국 서비스를 국내 이용자들이 자발적으로 인터넷을 통해 신청해 이용하는 경우, 이러한 이용 관계에 한국 법률에 따른 보호가 주어지는 것이 법률상 맞는지에 대한 논의는 이론적으로는 물론이고 다른 나라와의 관계 등 여러 가지 복합적인 사항이 고려돼야 하는 어려운 이슈다.
다만 실질적으로 밀접한 관련이 있는 나라가 어디인가 라는 추상적인 원칙에 따르도록 정하고 있을 뿐이어서 구체적인 사례에 따라 달라질 수 있다. 최근 미국 판례 중에는 가상자료실(virtual data room)을 열고 이에 피고가 자료를 업로드해 뉴욕에 소재한 제3자가 아이디와 비밀번호를 이용한 로그인 절차를 거쳐 접근할 수 있도록 허용한 사례에서 뉴욕의 관할을 인정한 바 있다(Forward Foods LLC v. Next Proteins, Inc. 2008).
비록 다른 나라 판결이지만 이 논리에 따르면 데이터에 대한 인터넷을 통한 접근이 가능했던 지역에 한국이 포함돼 있다면 우리나라 법률에 따른 보호를 받을 수 있을 것이다. 또 이와 반대로 자료에 대한 접근 권한이 미국에도 허용됐던 사례 1에서 미국 법률에 따른 절차를 따를 수밖에 없다는 결론에 이를 수도 있게 된다.
◇어떤 법률 문제가 있을 수 있나
가장 중요한 것은 아무래도 이용자 입장에서는 클라우드 서버에 저장된 정보가 안전하게 보관되는지 여부일 것이다. 서비스 제공자 입장에서는 저장된 정보에 대해 법률적 책임의 한계가 관전 포인트다.
클라우드컴퓨팅은 새롭게 나타난 기술이라고 보기는 어렵고, 우리나라 기존 법률이 공평하게 적용돼야 한다는 점에서 다른 기존 서비스와 다르지 않다. 대표적으로 사례 2에서 보는 것처럼, 과연 클라우드 서버에 콘텐츠를 저장하는 B 양의 행위가 저작권 침해에 해당하는지, 만약 침해라면 그에 대한 책임을 클라우드컴퓨팅 서비스업체에도 물을 수 있는 것인지는 기존 저작권법의 테두리 내에서 결론이 내려져야 할 것이다.
다시 말해 클라우드컴퓨팅을 특별하게 취급해서는 안 될 것이다. 특히 사업자 입장에서 기존 대법원 판례들(*)에 따를 경우, 콘텐츠 가입자 간 전송 및 공유를 허용하고, 실제로 클라우드컴퓨팅을 통해 불법 저작물이 광범위하게 유통되게 될수록 저작권 침해 위험은 증가하게 될 것이다.
※주)최근 인터넷 포털사이트 게시판에 대한 대법원 판결(2010.3.11.선고 2009다4343)에서는 저작권 침해 게시물의 불법성이 명백하고 피해자로부터 구체적·개별적인 게시물의 삭제 및 차단 요구를 받은 경우는 물론이고 그 게시물이 게시된 사정을 구체적으로 인식하고 있었거나 그 게시물의 존재를 인식할 수 있었음이 외관상 명백히 드러나는 경우 기술적, 경제적으로 그 게시물에 대한 관리·통제가 가능한 경우인지를 판단기준으로 제시함.
사례 3처럼 클라우드 데이터센터가 국내가 아닌 해외에 있는 경우, 국외 이전에 대해 제한을 받고 있는 정보들을 전송할 수 있는지, 클라우드 서버상 기밀자료들이 침해된 경우, 영업비밀이 되기 위한 법률적 요건인 ‘비밀관리성’이 인정될지, 정보보호 규제가 없는 나라에 세워진 데이터센터에 한국에서와 같은 규제가 적용될 수 있는 것인지 등 수많은 의문이 제기될 수 있다. 이를 포함한 향후 클라우드컴퓨팅 관련 법률 관계는 상당부분이 표준화된 사업자들의 이용약관에 의해 규제될 가능성이 높다. 이용약관에 대한 검토 및 합리적인 규율이 더욱 중요해지는 이유다.
국가별 클라우드컴퓨팅 법제화 동향
세계 각국에서는 클라우드컴퓨팅에 대한 법률을 제정하거나, 가이드라인을 마련하는 등 분주하게 움직이고 있다. 2011년 4월 18일 미국 미네소타주 상원의원인 애미 클로부차(Amy Klobuchar)가 발의한 ‘Cloud Computing Act of 2011’은 미국 정부로 하여금 다른 나라들과 온라인 정보보안 및 클라우드컴퓨팅에 대해 일관된 규제를 정립하도록 했다.
이 법안은 정보보안과 관련한 새로운 민·형사적 집행 수단을 명시하는 내용을 담고 있는 것으로 전해졌다.
일본에서도 클라우드 서비스 이용을 위한 정보보안 관리지침을 담은 가이드라인이 지난 4월 1일 마련됐다. 일본 정부는 안전하고 편리한 클라우드컴퓨팅 서비스를 이용할 수 있도록 하고 있다.
우리나라 역시 지난 7월 방송통신위원회가 ‘클라우드 개인정보보호 수칙(안)’을 공표했다. 수칙(안)은 이용자들을 보호하기 위한 조치를 담고 있다. 이 수칙에는 클라우드컴퓨팅 서비스 제공자를 정보통신망 이용촉진 및 정보보호 등에 관한 법률에서 정한 개인정보 취급 수탁자로 간주한다. 클라우드컴퓨팅을 이용하는 기업의 경우 고객들에게 그러한 취급위탁 사실을 고지할 것을 정하고 있다. 또 위 법률에 따라 클라우드 서버가 국외에 있는 경우 해당 고객들로부터 국외 이전에 대한 동의를 받도록 안내하고 있다.
한편 이 수칙(안)은 해외 클라우드사업자가 국내 법규를 따르지 않을 수 있다는 점을 고려해 이용자들에게 신중하게 정보보호를 위한 조치들을 확인 및 점검하도록 요구하고 있다. 즉 개인정보보호 관련 국내 법규상 관련 규정들을 적용하되, 이용자가 클라우드컴퓨팅 사업자와 이용관계를 맺을 때 스스로 계약과 보호지침 등을 면밀히 확인하는 등 주체적으로 통제권을 행사할 것을 권고한다.
수칙(안)은 기존 국내 법률 규정의 적용방향을 미리 사업자 및 이용자들에게 주의시키고 있다. 이러한 노력은 향후에도 계속되겠지만 거시적으로는 미국의 Cloud Computing Act of 2011에서 나타나고 있는 것처럼 국제적인 공조 노력에도 적극적으로 참여해 국경 없는 서비스에서 발생할 수 있는 다양한 법률의 충돌이나 법적 불안을 해소하고자 하는 시도가 계속될 것으로 보인다.
김원석기자 stone201@etnews.com