클라우드 전문정보
| 제목 | 안전성 확보 조치 의무와 클라우드 사업자의 법적 책임 | ||
|---|---|---|---|
| 등록일 | 2017-09-25 | 조회수 | 4623 |
이창범 동국대학교 교수
1. 안전성 확보 조치 의무의 주요 내용
기업, 병원, 은행, 학교 등이 보유하고 있는 각종 물적 재산은 분실, 도난, 파괴, 훼손 등이 되더라도 그 피해가 해당 조직 내부에만 미치므로 법률에서 특별히 사업자 등에게 어떤 보호조치 의무를 부여하고 있지 않다. 그러나 사업자 등이 보유하고 있는 개인정보(고객정보, 의료정보, 금융정보, 학생정보, 근로자정보 등)가 유출되거나 분실, 도난 등을 당한 경우에는 해당 사업자 등뿐만 아니라 정보주체에게까지 피해가 미친다.
예컨대 해킹, 부주의 등에 의해 유출된 개인정보가 범죄조직이나 개인에 의해 전화사기, 신분도용 등에 악용되기도 하고 광고성 정보
법률에 따라 안전성 확보 조치 의무를 규정하고 있는 주요 고시 및 권고를 살펴보면 아래 표와 같다.
[표1] 안전성 확보 조치 의무를 규정하고 있는 고시 및 권고
| 안전성 확보 조치기준의 명칭 | 소관 부처 및 기준의 법적 성격 |
|---|---|
| 개인정보의 안전성 확보조치 기준 | 행정안전부 고시 |
| 개인정보의 기술적·관리적 보호조치 기준 | 방송통신위원회 고시 |
| 위치정보의 관리적·기술적 보호조치 권고1 | 방송통신위원회 매뉴얼 |
| 정보보호조치에 관한 지침 | 과학기술정보통신부 고시 |
| 신용정보업 감독규정(기술적․물리적․관리적 보안대책 마련 기준) | 금융위원회 고시 |
| 전자금융 감독규정 | 금융위원회 고시 |
| 전자의무기록의 관리·보존에 필요한 시설과 장비에 관한 기준 | 보건복지부 고시 |
2. 법률상 안전성 확보 조치 의무의 주체
안전성 확보 조치 의무를 준수해야 할 의무 주체는 당연히 기업, 병원, 은행, 학교 등이다. 그러나 오늘날 고객 또는 임직원의 개인정보를 해당 사업자 등이 직접 처리하는 경우는 매우 드물다. 대부분 제3자에게 위탁해서 처리하고 있다. 지난번 기고에서 설명한 바와 같이 클라우드 컴퓨팅 서비스를 이용한 개인정보의 저장, 이용, 가공, 조합, 결합, 분석 등은 개인정보 처리 업무의 위탁으로 볼 여지가 크다. IaaS에 대해서는 일부에서 위탁으로 보지 않으려는 경우도 없지 아니하나, 클라우드 컴퓨팅 서비스의 이용을 처리 위탁으로 보기를 주저하는 사람들도 PaaS와 SaaS에 대해서는 대부분 처리 위탁으로 보는 데 별 반대가 없는 것으로 보인다.
이에 따라 개인정보처리자가 클라우드 컴퓨팅 서비스를 이용하여 개인정보를 처리하는 경우에 해당 개인정보에 대한 안전성 확보 조치 의무를 누가 지느냐가 문제가 된다. 「개인정보 보호법」 제26조는 ‘수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다’라고 규정하고 있고(제6항), 더 나아가 수탁자에 대하여는 같은 법 제27조에 따른 안전조치의무를 준용하도록 규정하고 있다(제7항).
「정보통신망법」 제25조도 ‘수탁자가 개인정보 처리위탁을 받은 업무와 관련하여 이 장의 규정을 위반하여 이용자에게 손해를 발생시키면 그 수탁자를 손해배상책임에 있어서 정보통신서비스 제공자등의 소속 직원으로 본다’라고 규정하는 한편(제5항), 법 제67조는 수탁자에 대하여는 같은 법 제28조에 따른 안전조치의무를 준용하도록 규정하고 있다(제2항). 「신용정보법」 제17조도 이와 유사한 규정을 두고 있다(제2항).
따라서 개인정보처리자가 클라우드 컴퓨팅 서비스를 이용하여 개인정보를 처리하는 경우에는 원칙적으로 수탁자인 클라우드 컴퓨팅 서비스 제공자와 위탁자인 클라우드 컴퓨팅 서비스 이용자가 둘 다 해당 개인정보에 대한 안전성 확보 조치 의무를 진다고 볼 수밖에 없다. 그러나 이 경우 수탁자(클라우드 컴퓨팅 서비스 제공자)의 책임은 자기 책임인지 위탁자의 책임을 대신하는 것인지가 분명하지 않다. 그 결과 안전성 확보 조치 미비에 대하여 민사상의 손해배상 책임을 넘어 과태료를 부과하거나 형사책임을 물을 수 있는지가 문제된다.
「정보통신망법」 제76조는 안전성 확보 조치를 하지 아니한 자에게는 3천만원 이하의 과태료를 부과한다고 규정하고 있고(제3호), 제73조는 안전성 확보 조치(기술적·관리적 조치)를 하지 아니하여 이용자의 개인정보를 분실·도난·유출·위조·변조 또는 훼손한 자에 대해서는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다고 규정하면서(제73조제1호), 각각의 벌칙 규정이 수탁자에 대해서도 적용됨을 명시하고 있다. 따라서 법 위반 시 위반의 원인이 위탁자의 비협조에 의한 것이라도 수탁자 자신이 과태료 처분이나 형사 처벌의 대상이 되는 것은 분명하다.
또한 「정보통신망법」 제75조가 양벌 규정을 두고 있고 하급심 판례도 수탁자의 불법행위에 대해서 위탁자를 처벌한 사례가 있어 위탁자도 형사책임을 지며, 법 제25조제5항이 위탁자에 대한 사용자책임을 규정하고 있어 위탁자도 민사책임을 지는 것은 분명하다.2 또한 제64조의3은 위탁자가 수탁자에 대한 관리·감독 또는 교육을 소홀히 하여 수탁자가 개인정보 보호 규정을 위반한 경우 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다고 규정하고 있으므로 역시 위탁자는 과징금 책임도 부담한다(제1항제5호의2). 그러나 이상과 달리 과태료에 대해서는 법에 명확한 규정이 없어 분명하지 않으나, 실무적으로는 위탁자에게도 과태료를 부과하고 있다.
한편 클라우드컴퓨팅법 제29조는 「이용자는 클라우드컴퓨팅서비스 제공자가 이 법의 규정을 위반한 행위로 인하여 손해를 입었을 때에는 그 클라우드컴퓨팅서비스 제공자에게 손해배상을 청구할 수 있다. 이 경우 해당 클라우드컴퓨팅서비스 제공자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.」라고 규정하고 있는데 이 규정에 의하여 계약관계가 없는 최종이용자가 클라우드컴퓨팅서비스 제공자에게 손해배상책임을 물을 수 있는지 여부는 분명하지 않다. 해당 규정과 관계없이 최종이용자는 서비스 제공자에게 손해배상책임을 물을 수 있고, 서비스 제공자와 이용자의 관계를 위·수탁관계로 본다면 앞의 정보통신망법의 규정이 여기에도 그대로 적용될 것이다.
3. 개인정보 유출 사고시 신고 및 통지 의무
「정보통신망법」에 의하여 정보통신서비스 제공자 등은 개인정보의 분실·도난·유출 등의 사실을 안 때에는 지체 없이 그 사실을 해당 이용자에게 알리고 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 한다. 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지 또는 신고를 해서는 안 된다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다(제27조의3). 제27조의2는 수탁자에 대하여도 준용되므로 클라우드컴퓨팅서비스 제공자는 최종이용자에 대하여 유출 등의 통지의무를 진다. 그러나 클라우드컴퓨팅서비스 이용자가 유출 등의 통지 및 신고 의무를 이행한 경우에는 서비스 제공자는 통지 및 신고 의무가 없고, 더구나 IaaS와 같이 서비스 제공자가 해당 정보에 대한 접근권한이 없는 경우에는 최종이용자에 대한 통지 의무를 지지 않는다고 보아야 할 것이다.
한편, 「클라우드컴퓨팅법」 제25조는 1. 「정보통신망법」 제2조제7호에 따른 침해사고가 발생한 때, 2. 이용자 정보가 유출된 때, 3. 사전예고 없이 대통령령으로 정하는 기간(당사자 간 계약으로 기간을 정하였을 경우에는 그 기간을 말한다) 이상 서비스 중단이 발생한 때에는 클라우드컴퓨팅서비스 제공자는 지체 없이 그 사실을 해당 이용자에게 알리도록 하고 있고(제1항), 또한 제2호에 해당하는 유출사고가 발생한 때에는 즉시 그 사실을 과학기술정보통신부장관에게도 알리도록 규정하고 있다(제2항). 그러나 「클라우드컴퓨팅법」은 최종이용자에 대한 통지의무는 규정하고 있지 않으므로 최종이용자에 대한 통지 의무는 서비스 이용자가 부담하는 것이 원칙이지만, 서비스 이용자가 통지하지 않으면 정보통신망법에 따라 클라우드컴퓨팅서비스 제공자도 통지의무를 진다.
4. 클라우드 서비스 이용계약의 법적 효력
앞에서 보는 바와 같이 법률에서는 개인정보 처리에 대한 안전성 확보 조치 의무를 위탁자와 수탁자 모두에게 부여하고 있다. 그러나 클라우드컴퓨팅 서비스 제공자와 이용자 사이에 체결하는 정보처리 위·수탁계약서 또는 클라우드서비스 이용약관에는 안전성 확보 조치의 책임의 전부 또는 일부를 이용자(위탁자)가 지는 것으로 되어 있거나 별도의 제3자가 책임을 지는 것으로 되어 있는 경우도 있다. 예컨대 데이터 암호화, 접속기록 보관, 비밀번호 작성규칙 적용, 각종 점검·확인 의무 등의 책임을 서비스 이용자가 지는 것으로 되어 있는 경우이다.
수탁자의 책임은 위탁 업무의 범위 내에만 미친다고 보아야 하므로 이와 같이 명백히 위탁자가 책임을 지겠다고 하는 부분에 대해서는 클라우드컴퓨팅서비스 제공자가 책임을 지지 않는다고 보아야 할 것이다. 다만 정보처리 위·수탁계약서나 클라우드서비스 이용약관에 안전성 확보 조치에 대한 규정이 없거나 누락된 경우에는 다툼이 생길 수 있다. 「정보통신망법」이 원칙적으로 위탁자와 수탁자에게 모두 책임을 지우고 있으므로 정보처리 위·수탁계약서나 클라우드서비스 이용약관에 안전성 확보 조치를 위탁자가 지는 것으로 명시하고 있지 아니하는 한 클라우드컴퓨팅서비스 제공자는 수탁자로서의 책임을 면하기 어려울 것으로 보인다.
5. 해결해야 할 과제
이상과 같이 클라우드컴퓨팅서비스 제공자의 법 위반 행위에 대해서 서비스 이용자가 과태료 부과의 대상이 되는지 여부는 현행 「정보통신망법」 상 분명하지 않으므로 이를 명확히 할 필요가 있다. 반면, 「개인정보보호법」도 수탁자에게 위탁자의 책임 조항을 모두 준용하도록 규정하고 있으나, 「정보통신망법」과 달리 과태료 부과 조항과 형사 벌칙 조항에 대해서는 준용 규정을 두고 있지 않다. 따라서 클라우드컴퓨팅서비스 제공자의 법 위반이 발생한 경우 서비스 이용자에 대해서는 과태료 처분이 가능하지만, 수탁자인 서비스 제공자에 대해서는 과태료 처분을 할 수 없다고 보아야 한다. 형사벌칙 조항의 경우에도 수탁자에 대한 명확한 준용 규정이 없으므로 「개인정보보호법」으로는 수탁자를 처벌할 수 없다고 보아야 할지, 그럼에도 불구하고 행위자로서 형사 처벌이 가능하다고 보아야 할지 여부가 분명하지 않다. 실무적으로는 수탁자를 형사 처벌할 가능성이 커 보이지만, 이 또한 수탁자의 책임을 명확히 규정하여 죄형법정주의에 대한 논란을 없애야 할 것이다.
- ‘위치정보의 관리적·기술적 보호조치 권고’는 비록 권고의 성격을 띠고 있지만, 방송통신위원회와 한국인터넷진흥원이 「위치정보의 보호 및 이용에 관한 법률」 제16조 및 같은 법 시행령 제20조에 따라서 위치정보의 누출.변조.훼손 등을 방지하기 위해 위치정보사업자 및 위치기반서비스사업자가 준수해야 할 안전성 확보조치 기준이다.↩︎
- 제25조(개인정보의 처리위탁) ⑤ 수탁자가 개인정보 처리위탁을 받은 업무와 관련하여 이 장의 규정을 위반하여 이용자에게 손해를 발생시키면 그 수탁자를 손해배상책임에 있어서 정보통신서비스 제공자등의 소속 직원으로 본다. 제25조(개인정보의 처리위탁) ⑤ 수탁자가 개인정보 처리위탁을 받은 업무와 관련하여 이 장의 규정을 위반하여 이용자에게 손해를 발생시키면 그 수탁자를 손해배상책임에 있어서 정보통신서비스 제공자등의 소속 직원으로 본다. ↩︎
