클라우드 도입시 주의해야 할 법적 이슈들
클라우드 도입시 주의해야 할 법적 이슈들
  • 기사출고 2019.11.05 11:06
이 기사를 공유합니다

[김선희 변호사]

최근 조사에 의하면 국내 클라우드 시장이 올해부터 급성장하면서 향후 연평균 30%의 속도로 증가할 것으로 예상되고 있다. 10월 16일 법무법인 율촌 ICT팀의 주도로 진행된 ‘율촌 Cloud Day 세미나’에 100명 가까운 기업 법무팀과 실무자들이 참석하여 성황을 이룬 배경에도 이러한 기대감이 있었을 것이다. 클라우드 도입시 주의해야 할 법적 이슈들에 대해 알아본다.

◇김선희 변호사
◇김선희 변호사

1. 클라우드 도입…어디서부터 시작해야 하나?

첫 단계는 사전준비 및 실사라고 할 수 있다. 클라우드 도입과 관련하여 어떠한 규제들이 적용될 수 있는지 사전조사를 하여 클라우드 도입이 가능한지, 가능하다면 어떤 업무를 클라우드로 옮길지 검토하는 단계이다.

클라우드 도입에 관련된 주요 규제에는 개인정보, 공공분야, 의료분야, 금융분야 규제 등이 있다. 이러한 규제상황에 대한 이해는 클라우드 도입 가능여부 결정뿐만 아니라, 클라우드 사업자 선정 및 계약조건에도 중요한 영향을 미치게 된다.

재해복구 능력 등 따져봐야

클라우드 사업자에 대한 실사도 중요하다. 기업의 중요한 자산이라고 할 수 있는 고객 데이터 및 영업비밀을 외부 클라우드 사업자에게 맡기는 것이므로 무엇보다 클라우드 업체의 신뢰도, 재해복구 능력, 보안 및 비밀유지 능력, 그리고 각종 규제 준수능력 등이 중요한 평가요소가 된다.

2. 클라우드 도입 관련 주요 규제들

먼저 가장 많은 질문을 받고 있는 개인정보 이슈를 살펴보면, 기업들이 개인정보가 포함된 DB를 클라우드로 전환을 할 경우, 이는 개인정보보호법상 개인정보 처리 위탁으로 판단된다.

문제는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 "정보통신망법")에 의하면 "정보통신서비스 제공자"는 이용자의 개인정보를 처리위탁하는 경우 정보주체에게 수탁자와 위탁업무의 내용을 알리고 동의를 받아야 한다. 전자상거래업체뿐만 아니라 일반 유통업이나 제조업 기업들도 정보통신망(즉, 인터넷이나 모바일 앱)을 통해 정보를 제공할 경우, "정보통신서비스 제공자"에 해당할 수 있다. 따라서 관련된 개인정보를 클라우드에 맡기기 전에 정보주체들의 사전 동의가 필요할지 검토가 필요하다.

정보주체 사전 동의 여부 검토 필요

물론 클라우드를 통해 처리하는 업무가 "정보통신서비스 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우"에는 별도의 사전동의가 요구되지 않는다. 그러나 마케팅 등 부수적인 목적으로 클라우드 시스템을 이용할 경우, 위와 같은 예외가 인정되지 않을 가능성이 높다.

◇클라우드가 도입된 새로운 환경에 대한 내부통제와 감사에 관한 고민이 생겨나는 가운데 법무법인 율촌이 10월 16일 대기업 관계자 등을 초청해 'Yulchon Cloud Day' 세미나를 개최했다.
◇클라우드가 도입된 새로운 환경에 대한 내부통제와 감사에 관한 고민이 생겨나는 가운데 법무법인 율촌이 10월 16일 대기업 관계자 등을 초청해 'Yulchon Cloud Day' 세미나를 개최했다.

클라우드를 기반으로 하는 AI, 빅데이터 솔루션을 통해 마케팅에 활용하려는 기업들이 늘고 있는데, 이때마다 그 많은 고객들의 동의를 받도록 하는 것은 현실에 맞지 않는 규제라는 우려가 있다. 클라우드 환경에 보다 적합한 탄력적인 운영이 가능하도록 개선될 필요가 있다고 생각된다.

요즘 관심이 높아지고 있는 금융분야에선, 최근 개정된 전자금융감독규정에 따라 금융고객들의 개인신용정보, 고유식별정보가 포함된 DB의 경우에도 클라우드 사용이 가능해졌다. 아직까지는 국내 소재 클라우드 시스템을 이용해야한다는 제한이 있기는 하지만, 주요 클라우드 사업자들이 국내 데이터센터를 이미 두고 있거나 투자계획을 가지고 있으므로 올해 하반기부터 금융분야에서 클라우드 도입이 활발하게 진행될 것으로 예상된다.

3. 클라우드 관련 컴플라이언스 및 내부통제

최근 해외에서 발생한 클라우드 관련 보안사고들을 보면, 클라우드 이용기업들의 귀책사유로 인한 사고 비중이 훨씬 높은 것을 알 수 있다. 기업들이 주로 우려하고 있는 클라우드 시스템 자체의 보안 문제보다는 이용기업들의 임직원, 외부 벤더들에 대한 보안관리 미흡으로 인해 실수 또는 고의적인 범죄행위로 사고가 발생할 가능성이 크다는 것이다.

환경설정 오류 등 주의해야

비밀번호 관리 소홀, 접근권한 잘못 설정, 환경설정 오류 등이 가장 흔하게 발생하는 실수들이라고 한다. 예를 들면, 비밀번호를 암호화하지 않고 공개된 상태로 저장해 둔다든지, 누구든지 데이터에 "덮어쓰기"를 할 수 있도록 환경설정을 잘못해 두는 식이다. 정보 보유기간이 종료되어 더 이상 사용하지 않는 정보를 무기한 삭제하지 않고 방치하다가 해킹사고를 당하는 경우들도 발생한다.

따라서 클라우드를 이용하는 기업들은 정보 보호에 대한 기본적인 책임이 본인에게 있다는 점을 유의하고 클라우드의 안전한 사용을 위해 철저한 교육과 컴플라이언스 관리가 필요하겠다.

김선희 변호사(법무법인 율촌, kimsh@yulchon.com)