클라우드 환경에서 개인정보보호의 법적 쟁점과 개선과제 (Ⅰ)

법/정책BRIEF
2017년 8월 28일 | 조회수 647

강철하 한국IT법학연구소장

본 내용은 필자의 개인적인 견해이며, 추후 ‘클라우드 환경에서 개인정보보호의 법적 쟁점과 개선과제’ 를 주제로 시리즈 형식으로 게재할 예정임

클라우드컴퓨팅(Cloud Computing)은 온디맨드 방식에 따라 쉽게 IT자원을 구성․확장할 수 있고, 고품질의 서비스를 저비용으로 이용할 수 있으며 변화무쌍한 IT트렌드에 대한 기업의 신속한 변화 대응을 지원하는 등 다양한 장점을 가지고 있다. 한 조사결과1에 따르면, 일단 한 번 클라우드를 사용하기 시작한 기업들은 빅데이터, IoT와 같은 신사업이나 기업의 핵심 업무까지도 클라우드로 이전할 것이라고 예측하고 있다. 2 나아가 지난해 이세돌 9단과 구글 딥마인드의 알파고(AlphaGo)와의 세기의 대국에서 목격한 바와 같이 클라우드컴퓨팅은 4차 산업혁명의 핵심 인프라로 활용될 가능성이 높다.

클라우드 도입기업과 향후 활용계획

출처 : 한국IDG

이처럼 클라우드컴퓨팅의 사회․경제적 이익이 기대됨에도 불구하고 일각에서는 클라우드컴퓨팅 환경으로 인해 개인정보의 보호가 취약해질 수 있다는 우려도 제기하고 있다. 따라서 이하에서는 클라우드컴퓨팅 환경에서 발생 가능한 개인정보보호의 법적 쟁점을 검토해 보고 개선 시사점을 제시해 본다.


정보의 비밀성 문제(lack of confidentiality)

최근 세계 곳곳에서 테러가 발생하여 사회적 불안을 가중시키고 있다. 이에 따라 각국 정부는 테러 대응 차원에서 정보 감시활동을 강화하고 있는 추세이며, 이러한 디지털 프라이버시 이슈는 2013년 미국 국가안보국(NSA)의 무차별 정보수집 실태를 폭로한 에드워드 스노든(Edward Snowden) 사건 이후로 전 세계적인 이슈에 해당한다.

이와 관련하여 자신의 정보가 외부로 집중되는 클라우드컴퓨팅 환경에서는 ‘법집행기관에 의한 정보 침해’의 우려가 발생할 수 있기 때문에 정보 접근에 대한 법적 통제장치를 마련해 클라우드서비스의 신뢰성을 높일 필요가 있다. 이런 문제의식에 따라 현행 「클라우드컴퓨팅법」에서는 “법원의 제출명령이나 법관이 발부한 영장에 의하지 아니하고는 이용자의 동의 없이 이용자 정보를 제3자에게 제공하거나 서비스 제공 목적 외의 용도로 이용할 수 없다(제27조제1항)”고 규정하여 ‘수사기관의 정보제공 요구에 대한 사법적 통제장치’를 마련하고 있다. 마찬가지로 2017년 2월 미국 하원도 제3의 서비스제공자(third-party service providers)에게 저장된 미국 시민의 정보를 법집행기관이 수색하기에 앞서 법원의 영장을 발부받도록 하는 내용을 골자로 클라우드 스토리지와 관련된 사생활 보호법(H.R.387-Email Privacy Act)의 개정을 승인한 바 있다. 물론 이 경우에도 이용자 스스로 자신의 정보를 인출하여 직접 수사기관에 제출하는 것은 ‘임의 제출(형사소송법 제108조)’로써 가능할 것이다.

문제는 최근 수사기관이 이용자에게 ‘이용자 정보 제공 동의서’를 요구하고, 이를 근거로 직접 클라우드컴퓨팅서비스 제공자(이하 ‘CSP’)에게 ‘이용자 정보’의 제공을 요구하는 사례가 발생하고 있다는 것이다. 그런데 이처럼 수사기관이 법원의 제출명령이나 법관이 발부한 영장에 의하도록 한 취지를 우회하여 ‘이용자 동의’의 형식을 빌어 CSP에게 직접 이용자 정보의 제공을 요구하는 사례에 대해서는 현재 명확한 법 규정이 없다보니 향후 정보의 비밀성(confidentiality) 문제가 제기될 수 있다. 따라서 차제에 ‘수사기관의 이용자 정보 제공요구에 대한 사법적 통제장치’를 「클라우드컴퓨팅법」에 명확히 규율할 필요가 있다.


상호운용성 문제 (lack of interoperability, vendor lock-in)

만일 CSP가 상호운용성이 부족한 자신만의 독자 기술을 채택하여 고객의 정보를 저장․처리한다면 고객은 다른 CSP의 서비스를 받고 싶어도 자료의 이동 및 처리에 있어 호환이 안 돼 기존의 CSP에 종속될 수밖에 없다. 이는 결국 ‘소비자 선택권’이나 ‘정보의 자유로운 이동권’에 대한 침해 문제를 발생시킬 수 있다.

이와 관련하여 내년 5월 시행을 앞두고 있는 「유럽 일반 개인정보보호규정(General Data Protection Regulation, GDPR)」에서는 개인정보 이동권 (right to data portability)을 보장하면서 보편적으로 사용되는 기계 판독이 가능 형태로 개인정보를 제공(CSV 파일 포함)하고, 기술적으로 가능하다면 해당 개인정보를 한 컨트롤러(controller, 우리나라의 ‘개인정보처리자’와 유사한 개념)에서 다른 컨트롤러로 직접 전송할 수 있도록 하였다. 물론 상기의 개인정보 이동권은 정보주체의 권리이므로 일반적으로 이러한 요구는 정보주체(기업고객의 이용자)가 컨트롤러(기업고객)에게 하는 것이고, 이 경우 정보처리는 프로세서(processor, 우리나라의 ‘개인정보수탁자’와 유사한 개념)인 CSP가 한다는 점을 주의할 필요가 있다. 그런데 우리나라 「클라우드컴퓨팅법」이나 「개인정보 보호법」에서는 유럽과 달리 이러한 ‘정보 이동권 보장’에 관한 법적 근거나 정책이 부족하여 개선이 필요한 상황이다.


개인정보 처리에 관한 CSP의 법적 지위 문제(controller or processor?)

국내는 물론 유럽에서도 개인정보 처리와 관련하여 CSP의 법적 지위를 ‘개인정보수탁자(프로세서)’로 인식하는 경향이 일반적이다. 이처럼 CSP를 ‘개인정보수탁자’로 인식하는 근저에는 위탁자의 개인정보 처리를 위해 전산자원이나 정보기반을 제공하고 있다는 사실에 주목하고 있는 것으로 보인다. 마찬가지로 앞에서 언급한 GDPR에서도 ‘컨트롤러를 대신해 개인정보를 처리하는 자’를 프로세서로 정의하고 있다. 이에 따라 CSP는 「개인정보 보호법」 또는 「정보통신망법」상의 개인정보수탁자로서 개인정보 보호 의무를 요구받을 수 있다.

하지만 개인정보 처리와 관련하여 CSP의 법적 지위를 구체적으로 분석한 자료를 찾아보기 어렵다는 점에서, CSP에 대한 개인정보 보호의무의 부과와 책임 소재를 규명하기 위해서라도 실제로 CSP의 법적 지위를 어떻게 보아야 하는지 검토할 필요성이 있다. 그런데 「클라우드컴퓨팅법」 제4조에 따르면, 개인정보 보호에 관하여 「개인정보 보호법」, 「정보통신망법」 등에 따르도록 하고 있기 때문에 여기서는 일반적으로 적용되는 「개인정보 보호법」과 「정보통신망법」을 토대로 개인정보 위탁관계를 검토해 보기로 한다.

현실적으로 CSP가 수집․저장하는 정보는 크게 ① 이용자의 회원가입 정보(아이디, 패스워드, 인적사항 등), ② 서비스 제공 과정에서 시스템을 통해 자동적으로 생성․저장되는 정보(IP정보와 같은 접속기록이나 서비스이용내역 등), ③ 이용자가 CSP의 정보통신자원에 저장하는 정보로서 이용자가 소유 또는 관리하는 정보(이용자 정보)가 있을 것이다. 이 중 “CSP가 관리하는” 위의 ①, ②의 정보와 관련하여 만일 클라우드서비스의 고객이 개인고객(end user)일 경우에는 CSP는 ‘정보통신서비스제공자’ 또는 ‘개인정보처리자’의 지위(controller)에 있다고 이해할 수 있다. 반면, CSP의 고객이 기업고객인 때에는 경우에 따라(기업고객 이용자의 IP정보 등 시스템 접속정보를 처리하는 경우) 기업고객을 대신해 기업고객 이용자의 정보를 처리한다는 점에서 ‘개인정보수탁자(processor)’의 지위를 가질 수도 있다. 이처럼 CSP가 개인정보처리자의 지위를 가질 경우에는 「정보통신망법」이나 「개인정보 보호법」 에 따라 개인정보의 적법한 수집, 목적 외 이용제한, 적법한 제3자 제공 등의 의무를 부담하고 수탁자의 법 위반에 대해 손해배상책임에 있어 사용자책임을 질 수 있다. 또한 CSP가 개인정보수탁자의 지위를 가질 때에는 목적외 이용제한, 개인정보 처리와 관련하여 위탁자(기업고객)의 관리․감독을 수인할 의무 등을 부담하게 될 것이다.

하지만 “CSP가 소유․관리하지 않고, 오히려 이용자가 소유 또는 관리하는” ③ 「클라우드컴퓨팅법」상의 ‘이용자 정보’의 경우에는 일반적으로 CSP로서도 이용자 정보에 접근하여 이를 열람하는 것은 아니기 때문에 CSP에게 ‘위탁자(기업고객)의 개인정보 업무를 처리한다는 인식’이나 ‘이용자 정보에 포함된 개인정보에 대한 접근가능성’을 인정하기 어려워 개인정보수탁자의 지위에 있다고 단정하기 힘들 것이다. 설사 CSP가 개인정보수탁자의 지위에 있다고 확장해석 하더라도 이때의 의무는 “개인정보를 사용하여 처리하는” 일반적인 개인정보수탁자로서의 모든 책임을 부담한다기보다는 단지 “개인정보가 담긴 전산자원에 대한 보안조치의무(정보가 불법 유출되지 않도록 방지할 의무)를 부담”하는 것에 제한되는 것으로 이해할 수 있다. 예컨대 택배운반자는 밀봉된 택배 내의 개인정보를 처리하는 것이 아니라 택배를 수령자에게 전달하는 역할을 하는 것이고, 단지 그 과정에서 택배가 개봉되어 자료가 유출되는 것을 방지할 주의의무가 있다고 보는 것과 비슷한 이치이다.

물론 위의 경우와 달리 CSP가 기업고객과 클라우드서비스 이용계약 외에 별도로 개인정보 처리위탁 계약을 체결한 경우(클라우드서비스 이용계약에 개인정보 처리위탁 내용이 있는 경우도 포함)에는 CSP에게 ‘개인정보 처리위탁에 관한 인식’이 존재하기 때문에 CSP를 ‘수탁자’로 하는 ‘개인정보처리 위탁 법리’의 적용이 가능할 수는 있을 것이다.

이처럼 클라우드컴퓨팅 환경에서는 CSP와 고객 간의 계약내용, 서비스 유형이나 수집하는 정보유형 등에 따라 개인정보 처리에 있어 CSP의 법적 지위와 책임 범위가 달라질 수 있기 때문에 종래의 개인정보보호법제를 그대로 적용하는데 한계가 발생할 수 있다. 따라서 향후 클라우드컴퓨팅의 특성을 면밀히 분석하여 현실에 적합한 개인정보보호 법체계를 마련하고, 새로운 기술환경에 맞게 법을 적용하는 것이 바람직할 것이다.


  1. 한국IDG (2017). 2017년 국내 클라우드 현주소. ↩︎
  2. “뜬 구름 잡던 시절은 끝났다” 국내 클라우드 현주소 (2017. 1. 24). <CIO Korea> ↩︎