• Legalinsight
  • Legaledu
  • 법률신문 법률정보

    연구논단

    클라우드컴퓨팅 서비스 침해사고와 입법적 개선점에 대한 소고

    이정훈 교수(중앙대 로스쿨) 입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • 171664.jpg

    Ⅰ. 클라우드컴퓨팅 서비스의 개념 및 종류

    클라우드 시대를 맞이하여 기존의 중앙집권화된 정보통신망체계에서 마련된 규정 등은 새로운 기술의 발전과 더불어 좀 더 효율적인 체계로 변화를 모색해야 한다. 즉 전통적인 서버-클라이언트기술에서 벗어나 피어-투-피어 기술이나 이벤트-버스라는 모델 등에 기반하여 좀 더 방대한 양의 데이터를 활용할 수 있는 기술체계로 전환해야 한다. 블록체인이나 사물인터넷(Internet of Things)과 같은 기술은 기존의 법률체계에서 발전하고 성장하기에는 빈틈이 너무 많다. 그렇다고 해서 특별법을 마련하는 방법도 입법기술상 비효율적이며, 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 '클라우드컴퓨팅법'이라고 한다)에서 이러한 기술 등을 아우를 수 있는 기본적인 가이드라인이나 원칙 등을 선언적으로나마 정리해 나가는 작업도 필요하다고 생각된다.

    현행 클라우드컴퓨팅법 제2조 제1호는 '클라우드컴퓨팅'이란 집적·공유된 정보통신기기, 정보통신설비, 소프트웨어 등 정보통신자원을 이용자의 요구나 수요 변화에 따라 정보통신망을 통하여 신축적으로 이용할 수 있도록 하는 정보처리체계를 말한다고 규정하고, 제2호에서 '클라우드컴퓨팅서비스'란 클라우드컴퓨팅을 활용하여 상용(商用)으로 타인에게 정보통신자원을 제공하는 서비스로서 대통령령으로 정하는 것으로 정의하고 있다. 이에 따라 클라우드컴퓨팅 서비스는 시행령 제3조에 따라 여러 가지 형태로 규정하고 있는데, 예를 들면 소프트웨어를 서비스로 제공하는 SaaS, 응용프로그램 개발 기반을 서비스로 제공하는 PaaS, IT 인프라스트럭처를 서비스로 제공하는 IaaS, 개인 클라우드, 공공 클라우드, 하이브리드 클라우드, 멀티 클라우드 등이 거론되고 있다.


    Ⅱ. 클라우드컴퓨팅법상 서비스 침해사고의 유형

    본 법 제25조 제1항은 서비스 침해사고의 유형을 아래와 같이 크게 3가지로 나누어 규정하고 있다.

    1. 정보통신망법 제2조 제7호에 따른 침해사고

    정보통신망법 제2조 제7호에 규정된 침해사고는 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등의 방법이나 정보통신망의 정상적인 보호·인증 절차를 우회하여 정보통신망에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신망 또는 이와 관련된 정보시스템에 설치하는 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태를 말한다고 규정하고, 아울러 제48조에서 이러한 침해행위를 금지함과 더불어 형사처벌규정까지 마련하고 있다.

    2. 이용자 정보 유출

    본 법 제34조는 "제27조 제1항을 위반하여 이용자의 동의 없이 이용자 정보를 이용하거나 제3자에게 제공한 자 및 이용자의 동의 없음을 알면서도 영리 또는 부정한 목적으로 이용자 정보를 제공받은 자는 5년 이하의 징역 또는 5000만원 이하의 벌금에 처한다"고 규정하고 있다. 제35조의 비밀누설죄를 제외하고는 클라우드컴퓨팅 서비스의 침해사고와 관련된 사실상 유일한 형사처벌 조항이다. 그러나 이러한 이용자 정보 중에서도 '개인정보'가 이에 포함될 수 있는 경우에는 개인정보보호법상의 규정이 적용될 수 있고, 정보통신망법 제49조의2 제1항에서도 "누구든지 정보통신망을 통하여 속이는 행위로 다른 사람의 정보를 수집하거나 다른 사람이 정보를 제공하도록 유인하여서는 아니 된다"고 규정하고 있다.

    3. 서비스 장애

    본 법 시행령 제16조는 본 법 제25조 제1항 제3호에서 규정한 서비스중단에 대한 기간을 정하고, 제17조에서는 통지의 내용 및 방법, 제18조에서는 피해 확산 방지 등을 위한 조치를 규정하고 있다. 그리고 제29조는 이러한 서비스 침해사고로 인하여 발생한 사고에 대하여 손해가 발생했을 경우에 클라우드컴퓨팅 서비스 제공자에게 손해배상을 청구할 수 있으며, 이 경우 해당 서비스 제공자가 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다고 규정하고 있다. 하지만 서비스 장애로 인하여 막대한 영업손실이 발생하더라도 민사상 손해배상만 청구할 수 있는데 그치고 있어서 피해자 구제에 적극적이지 않다는 비판이 제기될 수 있을 것이다.


    Ⅲ. 클라우드컴퓨팅 서비스 침해사고에 대한 입법적 개선 방향
    1. 다른 법률과의 관계에서 기본법으로서의 지위 확립

    현재 클라우드 서비스 침해사고에 대하여는 일부 규정의 적용 외에는 개인정보보호법과 정보통신망법의 적용을 받게 된다. 이는 현행 법률이 클라우드컴퓨팅 서비스산업의 기반을 조성할 목적으로 제정되었고, 개인정보에 관한 사항에 대하여는 개인정보보호법이나 정보통신망법이라는 별도의 법률이 있으므로 본 법률의 적용을 배제한 것이라고 이해할 수 있으나, 개인정보 이외의 이용자 정보 침해사고의 경우에도 제25조 이외에는 정보통신망법이 우선적으로 적용될 수밖에 없다.

    그러나 클라우드컴퓨팅기술의 발전과 서비스의 확장성은 4차 산업시대에 있어서 필수적이고 핵심적인 산업의 성장과 맞물려 본 법률의 현행 체계가 적절한지에 대하여 의문을 제기해볼 수 있다. 향후 정보통신의 기반은 클라우드컴퓨팅 서비스에 의하여 유지될 것이며 정보통신망법상의 침해사고의 대부분은 클라우드 서비스에 대한 침해사고로 이어질 것이다. 이에 따라 정보통신망법상의 침해사고에 관한 규정도 클라우드컴퓨팅법으로 포섭시켜 일원화하고, 기타 클라우드 서비스가 아닌 정보통신망 침해사고의 경우에만 정보통신망법이 적용되는 것으로 체계상 변경을 하는 것도 고려해 볼 필요가 있다. 이렇게 체계를 변경하면 본 법이 클라우드서비스 침해사고에 대하여도 기본법으로서의 지위를 제대로 확보하는 것이 될 수 있다.

    2. 클라우드컴퓨팅 서비스 침해사고에 대한 형사규제의 필요성

    '위험사회'라 지칭되는 현대사회에서 온라인 경제생활의 기반이 되는 정보통신망 그리고 클라우드 기반의 디지털 사회로 접어들어 가고 있는 현실에서는 이러한 클라우드컴퓨팅 서비스에 대한 침해는 국민의 생명과 안전에도 밀접한 관련이 있을 수 있으며, 특히 공공부분의 클라우드컴퓨팅 서비스에 대한 침해사고는 더더욱 일반 국민들의 생활과 생존, 재산권 등에 큰 영향을 가져온다. 따라서 클라우드컴퓨팅 서비스에 있어서 이용자 정보제공과 관련한 형사처벌 규정만을 두고 있는 현행의 법률에 대하여 향후 보다 실효성 있는 형사처벌규정을 마련할 필요성이 있다.

    3. 상호주의의 채택

    클라우드컴퓨팅 서비스의 특성상 그 서비스를 위해 필요한 네트워크, 스토리지, 서버 등이 갖춰진 가상의 데이터센터를 구축하면 어떠한 서비스도 가능하다. 이러한 클라우드컴퓨팅 서비스의 특성은 자국의 법률을 적용하고 집행하기 위한 전통적인 속지주의의 방식으로는 클라우드컴퓨팅 서비스에 대한 규제로 충분하지 않다는 것을 반증한다. 각국별로 다양한 법적용 원칙을 가지고 있고 이에 따라 서로 충돌되는 관할권 내지 국제형법의 문제도 발생할 수 있다. 예컨대 한 클라우드컴퓨팅 서비스 회사에 서비스 장애가 발생했을 때 손해배상을 위한 입증이나 형사상 압수나 수색, 몰수의 집행을 어떻게 해야하는지, 어느 나라 법률에 따라야 하는지에 대한 문제가 제기될 수 있을 것이다. 이러한 점에서 클라우드컴퓨팅법에서는 적극적으로 상호주의에 관한 규정을 검토해 볼 필요가 있다.

    4. 클라우드컴퓨팅 서비스 이용자에 대한 책임 강화

    기존의 정보통신에 대한 규제체계는 주로 중앙집권화된 서버-클라이언트 방식으로 서비스를 제공하는 정보통신서비스 제공자에게 법률상 요구되는 과중한 준수의무를 규정하고 이에 위반한 경우 행정제재나 형사책임을 묻는 방식으로 입법화되어 있으나, 클라우드컴퓨팅 서비스는 이용자들이 그 컴퓨팅 정보자원을 공유하고 분산하며 상호작용에 의한 데이터의 축적과 정보처리가 이루어지는 구조를 가지고 있다. 이는 클라우드컴퓨팅 서비스의 안정성이나 신뢰성을 보장하기 위하여는 이용자들 스스로 그러한 서비스의 안정성이나 신뢰성 확보를 위한 노력이 필요하다는 것을 의미하며, 이에 따라 이용자들은 해당 서비스의 지속적인 제공을 위해 해킹방지나 바이러스 침투 등을 방지하기 위한 보안 소프트웨어의 설치 등 각종의 필요한 조치를 이행해야만 하는 것이 필수적이다. 이러한 의미에서 클라우드컴퓨팅 서비스 이용자들에 대하여도 그 서비스 지속가능성을 위해 일정한 의무를 부과하여 해당 서비스가 안정적으로 유지될 수 있도록 해야 할 필요성이 있다. 물론 이러한 의무를 부과하여 위반시 형사책임까지 묻는 것은 책임주의의 원칙상 과도하다고 생각되지만 적어도 서비스 침해사고의 원인이 되는 행위에 대한 부작위 책임을 묻기 위한 법률상 근거를 마련할 필요는 있어 보인다.


    Ⅳ. 나오면서

    본 연구에서는 클라우드서비스 침해사고에 대응한 현행 규정의 문제점 등을 살펴보고 향후 입법과정에서 검토해야 할 몇 가지 쟁점에 대하여 살펴보았다. 물론 위에서 논의되지 않은 다양한 쟁점과 해결 방안들이 모색될 것이며, 공공분야나 민간분야 가리지 않고 클라우드 서비스가 활성화되는 상황이 다가오게 되면 또 다른 문제점 등이 제기될 것이다. 클라우드 서비스는 미래에 맞이하게 될 수많은 IT 혁신기술의 기반이 되고 있으므로, 향후 입법과정에서 세심한 검토와 연구 등이 뒤따라야 할 것으로 생각한다.


    이정훈 교수(중앙대 로스쿨)


    최근 많이 본 기사