클라우드컴퓨팅과 규제완화

[노경원 변호사]

2016-04-08     원미선
인터넷을 기반으로 한 정보통신 기술과 인프라가 나날이 발전하고 다양한 IT기기와 관련 서비스가 보급됨에 따라, 국내외 컴퓨팅 환경은 이용자가 개별적으로 OS, 하드웨어 및 소프트웨어 등의 컴퓨팅 자원을 구비해야 했던 환경에서 인터넷을 통해 이 모든 자원을 값싸고 용이하게 활용할 수 있는 이른바 클라우드컴퓨팅 시대로 진화하고 있다.

현 정부 역시 지난 대선 당시 '국가 클라우드컴퓨팅 센터'의 구축 등 공공분야에서 클라우드컴퓨팅 도입을 천명한 바 있고, 클라우드컴퓨팅을 비롯하여 빅데이터, 사물인터넷과 같은 '신성장 ICT산업의 진흥'은 매년 거론되고 있는 정부 정책 중 하나이기도 하다. 하지만 클라우드컴퓨팅은 그 속성상 정보와 자원의 집중을 전제로 하고 있어 '보안'과 '프라이버시 보호' 측면에서 제기되는 우려는 어쩌면 클라우드컴퓨팅의 숙명과 같은 것인지도 모른다. 클라우드 산업의 진흥을 위한 규제개선과 클라우드 환경에서의 정보보호, 이 두 마리 토끼를 잡아야 하는 것이다.

클라우드컴퓨팅법 시행 시작

지난 2015년 9월 28일 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률, 일명 클라우드컴퓨팅법이 시행되었다. 클라우드컴퓨팅법은 제3장(클라우드컴퓨팅 서비스의 이용촉진) 이하에서 공공 분야에서 상용 클라우드컴퓨팅 서비스 이용을 권고하고 있고(제20조), 클라우드컴퓨팅 서비스가 각종 인허가 요건으로서의 전산시설에 해당한다고 규정하였다(제21조 본문). 그러나 제20조는 법적인 강제력이 있는 규정이라 보기 어렵고, 제21조 역시 단서에서 개별 법령에서 명시적으로 또는 사실상 클라우드컴퓨팅 서비스 이용을 제한한 경우 등을 예외로 규정하여 결국 실제 인허가 요건의 완화는 개별 법령의 숙제로 남겨 두었다.

또한 클라우드컴퓨팅법은 이용자의 정보보호를 위해 침해사고 및 이용자 정보유출 발생시 통지의무(제25조), 이용자의 동의 없는 이용자 정보의 제3자 제공 및 목적 외 용도이용금지(제27조 제1항, 제2항), 계약 종료시 이용자 정보 반환 및 파기의무(제27조 제3항) 등의 규제에 관하여 정하고 있다. 그러나 클라우드컴퓨팅법 제4조는 개인정보 보호에 관하여는 개인정보 보호법과 정보통신망법이 우선하는 것으로 규정하여, 여전히 클라우드 환경 하에서의 개인정보 보호의 문제는 기존 법률의 해석이라는 숙제로 남겨 두었다. 결국 클라우드컴퓨팅과 관련한 규제개선과 정보보호라는 두 마리 토끼는 여전히 개별 법령의 개선 및 해석으로 풀어야 할 숙제이다. 높은 수준의 보안 서비스가 적용되는 컴퓨팅 자원을 저렴한 가격에 이용할 수 있다는 클라우드의 장점은, 개인정보를 취급 및 관리하는 사업자의 입장에서 매우 매력적인 요소 중 하나에 해당한다. 다만 정보의 집중으로 인해 '큰 사고'가 생길 수 있다는 두려움 역시 부정할수는 없다. 그러나 클라우드 서비스 제공자의 책임을 어느 정도까지 인정할 것인지의 문제는 그리 간단하지만은 않다.

서비스 제공자의 지위는?

예컨대 개인정보 보호법 및 정보통신망법 상 클라우드컴퓨팅 서비스 제공자의 지위는 과연 무엇일까? 일응 개인정보보호법 제26조 및 정보통신망법 제25조에서 말하는 개인정보의 처리위탁 내지 취급위탁을 받는 자, 즉 수탁자로서의 지위를 인정해야 할 것인가? 개인정보보호법 및 정보통신망법은 개인정보의 보호조치와 관련한 의무를 수탁자에게도 준용하고 있으므로, 만약 클라우드 서비스 제공자 역시 개인정보 보호법 및 정보통신망법 상 개인정보의 보호조치와 관련한 책임을 부담하는가?

클라우드 환경에서 개인정보를 보호하기 위한 규제는 반드시 풀어야 할 과제이다. 하지만 개인정보의 보안이라는 측면에서 클라우드서비스의 형태는 다양하고, 클라우드 서비스 제공자가 개인정보의 처리에 관여하는 정도나 그 접근권의 행태 역시 서비스 별로 상이하다. 특히 많은 경우에 있어서 클라우드 서비스 제공자는 이용자의 요구사항에 맞춰 컴퓨팅 자원을 제공할뿐, 이용자가 보유하는 개인정보에 대한 통제권과 관리권은 제한적인 경우가 일반적이다. 예컨대 이용자의 개인정보에 대한 열람이나 접근이 허용되지 않는 클라우드 서비스 제공자에게 개인정보에 대한 침입탐지 의무를 전부 인정하는 것은 항상 정당하다고 보기만은 어려울 것이다.

개인정보 접근 허용 안 돼

결국 개인정보 보호와 관련한 클라우드컴퓨팅 서비스 제공자의 책임 문제는 권한과 책임을 합리적으로 밸런싱하여 탄력적으로 해석할 필요가 있다. 날로 확대되고 있는 클라우드컴퓨팅 서비스 기능과 이로 인한 경제적 이익을 감안할 때 클라우드 서비스 제공자에 대한 규제 자체는 근거가 있지만, 지나친 규제와 책임으로 인한 비용은 결국 서비스 이용자에게 전가될 수 있다는 점에서 규제만이 해답은 아닐 수 있다. 다양한 서비스 행태에 대해 얼마만큼의 예측 가능성을 제공할 수 있을지 여부는 결국 규제기관과 관련 사업자들이 머리를 맞대고 풀어야 할 숙제일 것이다.

정부의 클라우드 산업 진흥 정책에 따라, 공공, 금융, 의료, 교육 등 다양한 분야에서 규제완화의 움직임이 있는 것은 환영할 만한 일이다. 하지만 이들 분야는 국가기밀정보, 신용정보, 건강정보 등 민감한 정보가 관계된다는 점에서 정보의 보안 및 보호와 클라우드 산업의 장려라는 두 가지 과제 사이의 균형을 잡는다는 것이 그리 쉬운 일만은 아니다.

공공 분야에서는 국정원의 보안성 검토 규제를 탄력적으로 운영하기 위한 보안인증제의 도입 및 추진이 진행되는 한편 민간 클라우드 서비스 활용 여부의 기준이 되는 정보자원등급제나 정보보호등급제의 추진을 통해 국가 정보 보안을 위한 방안 역시 모색되고 있다.

망분리 의무 등 불명확

금융 분야의 경우 '금융회사의 정보처리 및 전산설비 위탁에 관한 규정'의 개정을 통해 정보처리의 제3자 위탁 등 클라우드컴 서비스 이용을 위한 규제완화가 이루어졌지만, 전자금융감독규정 상 망분리 의무등 명확하게 정리되지 아니한 이슈들도 여전히 존재한다.

의료분야 역시 전자의무기록의 관리 및 보존과 관련한 의료법 시행규칙을 개정함으로써 의료 분야에서 클라우드 서비스의 도입근거가 마련되었으나, 여전히 전자의무기록의 국외 이전 이슈나 구체적인 설비기준 등 민간 클라우드 서비스의 도입을 위해 해결해야 할 숙제들이 적지 않다. 그 밖에도 교육, ICT, 주택 분야에서도 개별 법령에 따른 클라우드 서비스의 도입 제한 요소들에 대해 관계부처 간 협의가 진행 중인 것으로 보인다.

각각의 분야별로 관련 정보가 가지는 중요성, 민감성 등이 상이한 이상, 정부 부처들이 불필요한 규제를 완화하고 구체적인 보안기준이나 설비요건을 통해 정보보안을 도모하고자 노력하는 것은 환영할 일이다. 중요하고 민감한 정보를 보호한다는 목적은 누구도 부인할수 없다. 다만 동시에 클라우드 서비스라는 큰 그림 속에서 이러한 목적을 실현하기 위해 다양한 방법을 강구하는 지혜 역시 필요한 시점이다. 다양한 장단점을 가지는 여러 클라우드 서비스가 존재하는 상황에서 지나치게 비탄력적인 규제나 기준은 관련 분야에서의 독과점을 초래할 우려도 있고, 관련 클라우드 서비스의 비용 증대를 초래할 수도 있다는 점 역시 고려해야 할 것이다.

정부 및 민간 분야의 많은 노력 끝에 우리 사회는 클라우드 서비스를 법률과 규제의 테두리 안으로 품기 위한 의미 있는 첫 걸음을 떼었다. 이제는 클라우드 서비스가 법률과 규제 속에 깊숙이 자리 잡을 수 있게끔 고민해야 하는 시점이다. 클라우드 서비스의 도입으로 인해 정보보안이라는 중요한 목적을 놓쳐서도 안 되겠지만, 클라우드 서비스의 본질과 다양성 역시 지킬 수 있도록 머리를 맞대야 할 것이다.



노경원 변호사(김앤장 법률사무소, kyoungwon.noh@kimchang.com)

Copyrightⓒ리걸타임즈(www.legaltimes.co.kr), 무단전재 및 재배포 금지