[미래포럼] 법률적 관점에서 본 클라우드 컴퓨팅

　‘가상화와 분산처리를 통해 대규모 IT 자원 풀을 구축하고 인터넷으로 필요한 만큼 서비스를 제공한다. 그린IT의 대표주자라고까지 불리며 국내에서도 통신사업자, IDC 등을 중심으로 클라우드 컴퓨팅 환경으로 전환하고 있다.’ (전자신문 2009년 5월 14일자 기사)

　이러한 열풍을 타고 관련 업계에서도 클라우드 컴퓨팅과 관련한 여러 산업협의체가 속속 출범하고 있다고 하며 관련 업체가 출시하는 상품도 다양하다. 내가 클라우드 컴퓨팅에 관심을 갖기 시작한 이래 클라우드 컴퓨팅 도입과 관련해 기업이 고려해야 할 조언은 주로 CIO를 상대로 한 것이었다.

　물론 기업 이 클라우드 컴퓨팅을 도입하고 기존 시스템과 연동할 수 있도록 시스템을 확장하려면 이와 같은 재무적·보안적 판단이 선행돼야 함은 당연하나 이로써는 충분하지 않다. 클라우드 컴퓨팅 도입을 고려하고 있거나 가까운 시일 내에 도입을 고려하고 있다면 기업이 고려해야 할 법률적 이슈는 무엇인가. 그러한 법률적 이슈를 고려할 때 클라우드 컴퓨팅 도입계약서에는 어떠한 손질이 가해져야 하는가. 이미 체결한 계약서에는 그러한 요청이 이미 충분히 반영돼 있는가. 그 밖에 사전에 검토해 봐야 할 법률적 이슈는 무엇인가.

　문제의 출발은 클라우드 컴퓨팅 서비스를 이용하게 되면 기업의 정보자산이 기업 외부의 ‘구름 속’에 존재한다는 사실이다. 당연히 정보자산의 직접적인 관리권한도 기업의 두 손 밖에 있다. 외국 서비스업체를 이용하는 것은 어떠한가. 서비스 계약은 어느 나라 법률을 적용받을 것인가. 영미법계 국가의 법률 적용을 받는 소송에 연루되면 소송과 관련한 기업의 정보를 일정 시점에 그대로 보존하고 나중에 법정에 증거로 적절하게 제출할 의무를 지게 된다. 이러한 의무를 제대로 지키지 못하면 소송상 불리한 판단을 받게 돼 천문학적인 손해배상을 해야 할 수가 있다. 법정 증거 제출과 관련해 서비스 제공업체가 기업에 적시에 적절한 지원을 할 수 있는가. 해당 지원과 관련한 추가비용은 얼마나 될 것이며 미리 기준이 정해져 있는가. 심지어 소송에 제출해야 할 정보가 그 시점에 제대로 보존될 것인가. 정보보호, 특히 개인정보보호와 관련한 까다로운 국내 규제를 수탁업자인 서비스제공업체가 충분히 준수하는가. 기업의 책임 없는 사유로 고객과 관련된 개인정보가 훼손되거나 유출된다면 기업과 서비스 제공업체는 얼마만큼 책임을 분담해야 하는가.

　큰 틀에서 기업이 클라우드 컴퓨팅과 관련해 고려해야 할 법률상 이슈를 정리해 보아도 ‘구름 속에 있는’ 기업의 정보 자산에의 접근권 보장, 국내 법령상 규제에 부응성, 정보자산 실제 위치와 선택권, 정보자산의 부적절한 접근 차단과 오남용 방지, 서비스 제공기업 혹은 서비스 자체의 영속성·법원 등 관련 기관의 자료제출 요구시 적절히 대응이 가능한지, 서비스 장애의 책임범위와 분담 등이며 이 외에도 지면상 미처 언급하지 못한 검토 사항은 무수히 많다.

　이러한 이슈는 사전에 충분히 검토되고 적절한 조치를 취하지 않으면 언젠가는 커다란 비용과 인력을 요구하는 상황을 초래할 것이다. 이미 도입된 서비스를 되돌리기란 너무나 어려울 것이며 형사적인 책임까지 질 우려도 있다. 클라우드 컴퓨팅 도입과 맞물린 기업의 위험관리에 법률적 위험을 놓고 심도 있는 검토가 필요한 시점이다.

　구태언 김·장법률사무소 IT담당 변호사 tekoo@KimChang.com