클라우드상 개인정보 국외이전, 재판관할과 준거법 이슈 발생
기업의 현실적 어려움과 이용자 위한 투명성 확보 사이
모든 클라우드 서비스에 통용될 수 있는 보호원칙 필요

[보안뉴스 김경애] 클라우드컴퓨팅발전법 시행 이후 문제가 되는 요인 중 하나가 바로 개인정보의 국외이전 이슈다. 클라우드 사업자 입장에서는 국외이전과 관련해 이용자에게 별도로 동의를 받아야 하는 현실적인 어려움이 있는 반면, 이용자 입장에서는 내 개인정보가 어디에 있고 어떻게 보호되고 있는지 알아야할 의무가 있다. 이에 대한 의견이 대립되면서 개인정보 국외이전 문제는 여전히 풀리지 않는 숙제로 남아있다.


이슈 1. 재판관할과 준거법 이슈
먼저 개인정보 국외이전과 관련해 법적인 문제점으로 재판관할(Jurisdiction)과 준거법(Governing Law)이 있다. 이는 법적인 문제가 발생했을 때 어느 나라법을 적용할 것인지, 재판관할은 어느 나라 법원에서 할 것인지에 대한 이슈를 의미한다.

재판관할과 관련해 법무법인 민후 김경환 변호사는 “방송통신위원회는 지난해 2월 ‘스트리트 뷰’ 사건에서 구글 본사가 개인정보를 불법수집한 행위에 대해 국내 재판관할에 따라 2억 1,230만원의 과징금을 부과했으며, 방통위 직원이 구글 본사에 파견되어 해당 개인정보를 파기했는지 확인한 바 있다”고 밝혔다.

준거법과 관련해서는 구글의 개인정보 제공내역 요청사건을 예로 들 수 있다. 구글 본사 서비스 약관에는 ‘서비스와 관련해 발생되는 분쟁에 대해 미국 캘리포니아주 법률이 적용’된다고 명시되어 있다. 하지만 개인정보 열람청구 등을 규정하고 있는 정보통신망법 제30조는 국제사법 제27조 제1항이 규정하는 ‘준거법 선택이 있어도 소비자 보호에 관한 강행규정’에 따라 국내 정보통신망법 제30조가 적용됐다.

이슈 2. 별도 동의 등 현실적 어려움 vs. 이용자 정보의 투명성 확보
게임업체 넥슨 이진화 팀장도 재판관할권과 준거법 문제가 발생할 수 있다고 지적했다. 하지만 기업 입장에서는 이용자의 개인정보를 국외로 이전하려면 이용자의 동의를 받아야 하는 현실적인 어려움이 있다는 것.

이와 관련 이진화 팀장은 “글로벌 서비스를 제공하려는 기업 입장에서는 이용자에 대한 개별적 동의와 보호조치를 취하도록 국내 법률상 규정하고 있고, 특정 국가를 지정해 이전하게 될 경우 해당 국가의 정보보호관련 법률도 준수해야 하는 등 현실적인 어려움이 있다”며 “서비스 제공자가 제공하는 방식 및 사례들에 대해 어떤 경우가 개인정보 국외이전으로 볼 수 있는지, 또 어떤 경우에 준거법을 적용할 수 있는지 등에 대한 면밀한 검토가 필요하다”고 말했다.

하지만 개인정보 국외이전의 경우 규제강도가 낮은 상태에서 유출될 경우 손해배상청구가 어렵다고 본다면 관련 제한이 필요하다는 지적도 제기됐다. 한림대 안정민 교수는 “중요정보에 대한 차별적인 조치와 예방 차원에서 어떤 정보가 어디에 보관 및 관리되고 있는지 등 정통망법을 비롯한 모든 법제가 유기적으로 검토될 필요가 있다”고 말했다.

이에 대해 방송통신위원회 개인정보보호윤리과 황지은 사무관은 “국외이전과 관련해 이용자에게 일정사항에 대해 고지하고 동의받도록 되어 있다”며 “이용자 정보가 어디에 있는지 투명성 있게 공개하기 위해 관련 법안을 추진 중에 있다”고 밝혔다.

이와 관련 새누리당 류지영 의원은 지난 10월 29일 정통망법 일부 개정안을 대표 발의했다. 해당 내용에는 개인정보 국외이전의 유형을 ‘제공(조회되는 경우를 포함), 취급위탁, 보관’으로 명시하고, 이용자의 동의 없이 개인정보를 국외로 이전한 정보통신서비스 제공자 등에게 위반행위와 관련한 매출액의 3% 이하 과징금을 부과한다(안 제63조제2항, 제64조의3제1항제8호 신설)는 조항을 신설하는 내용이 포함돼 있다.

이슈 3. 글로벌 기준 참고해 원칙 제정해야
국내보다 클라우드컴퓨팅 분야가 활성화되어 있는 국제적인 흐름에 주목하고, 국제표준을 참고해야 한다는 것이 보안전문가들의 공통된 의견이다.

김경환 변호사는 “위탁, 보관 사유 등에 따라 개인정보를 나누면 개인정보보호관련 규제가 강하거나 약한 나라별로 달라질 수도 있기 때문에 모든 서비스에 통용될 수 있는 원칙이 필요하다”고 말했다.

또한, 순천향대학교 염흥열 교수는 “국외이전에 있어 명확한 원칙이 필요하다”며 “민감한 정보와 일반적인 정보에 대해 보안정책이 다르게 적용되어야 하며, 이러한 기준은 글로벌 표준에 근거해서 마련하는 것이 바람직하다”고 제시했다.

한국정보보호학회 박춘식 교수는 일반적으로 클라우드컴퓨팅 서비스에서는 데이터가 저장되는 서버의 위치가 모호한 측면이 있다고 지적했다. 외국기업의 클라우드 컴퓨팅 서비스를 이용하는 경우에는 국내 법규 적용이 어렵고, 재판 관할권에 대한 논쟁이 발생할 수 있어 개인정보 침해요인도 될 수 있다는 것.

이와 관련 박 교수는 “EU를 포함한 다수의 국가에서는 개인정보 해외이전을 엄격하게 제한하고 있다”며 “자국 내에 클라우드 센터를 설치하는 조건으로 서비스를 허용하는 국가도 있으며, 우리나라도 이용자의 개인정보를 국외이전하려면 이용자 동의를 받아야 하는 정통망법에 의해 개인정보 국외이전을 제한 받고 있다”고 밝혔다.

이어 박 교수는 “기업은 개인정보보호 규제로 인한 산업진흥 측면에서의 경제적 손실 등 피해규모를 보다 구체적으로 파악하고, 개인정보보호를 규제일변도로 가기 보다는 새로운 서비스의 기본 기능이 될 수 있도록 기술개발에 투자함으로써 새로운 클라우드 서비스를 바탕으로 기업경쟁력을 갖출 수 있도록 하는 것이 필요하다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>