이번에는 클라우드 서비스에 대한 역기능 발생시 클라우드 발전법에서는 어떻게 대처하라는 조항들을 살펴보겠습니다.

국내의 경우 아직은 클라우드 도입단계인 시장 상황이지만 향후 클라우드 발전법 시행 및 관련 업계의 움직임을 본다면 활성화 될 것은 자명한 일이라 생각합니다. 새로운 기술과 시장이 형성되면 항상 뒤따르는 문제점들이 시장에 노출되기 마련인데요. 클라우드도 마찬가지겠지요.

특히, 온라인(네트워크) 기반이다 보니 이용자입장에서 보면 다양한 불안요소를 갖고 있는 것이 사실입니다.

따라서, 클라우드 발전법안에도 이러한 불안요소들을 대비한 조항들이 자리잡고 있습니다.

크게 보면 사전과 사후를 어떻게 대처할 것인가로 나눌 수 있습니다.

사전 조치사항들은 표준계약서 및 표준SLA권고를 통해 공급자와 이용자간 정확한 서비스 계약을 공고히 하게 한다거나 서비스 품질 수준에 대한 지속적인 모니터링을 통해 공급자의 수준을 끌어 올리는 일 등이 있습니다.

사후 조치사항들은 당연히 이용자 보호 차원에서 접근하며, 클라우드 서비스 이용자가 피해를 받았을 때 공급자의 조치사항들을 정의해 놓은 것이라고 보면 됩니다.

공급자 입장에서 본다면 규제사항이라고 표현할 수도 있습니다.

피해상황을 분류해 보면 공급자의 실수로 서비스가 중단되는 경우, 해킹 등 침해사고가 난 경우, 사업자의 사정으로 사업을 종료한 경우, 이러한 일련의 사고이후 확산이 우려되는 경우 등으로 분류할 수 있습니다.

.

이번에 의견수렴을 받고 있는 시행령(안)을 포함하여 살펴보면 다음과 같습니다.

법 제25조제1항제3호 및 시행령안 제16조는 장기간의 서비스 중단은 이용자의 재산권에 막대한 손해를 야기할 수 있어 이용자에게 서비스 중단 사실을 통지하도록 하고 있습니다.

법 제25조제1항 및 시행령안 제17조는침해사고 발생시 통지하는 방법을 기술해 놓았습니다. 침해사고 등 발생 시 전화, 우편, 홈페이지 게시 등의 방법으로 사고 내용, 사고원인 등을 이용자에게 알리도록 하고 있습니다. 당연히 통지는 이용자가 인식할 수 있는 적절한 방식으로 행해져야 실효성이 있으므로 필요한 조치라고 생각합니다.

법 제25조제2항 및 시행령안 제18조는 이용자 정보가 유출된 경우 이용자 정보의 항목, 유출 시점과 경위 등을 포함하여 미래부에 신고하도록 되어 있는데요. 이용자 보호 및 사고에 대한 감독기구의 효율적 대응을 위해 필요한 조항입니다.

법 제25조제3항 및 시행령안 제19조는 피해확산 방지 등을 위한 조치로서 유출사고 등의 원인분석을 위한 자료의 보전요청, 자료제출 요청, 현장조사 등을 할 수 있도록 하고 있으며 유출사고 등의 원인분석을 통한 감독기구의 효율적 대응을 위해 필요한 조치사항입니다.

법 제27조제4항 및 시행령안 제20조제1항 및 제2항은 클라우드 사업자의 사업종료시 그 사실을 통지하는 방법 등을 기술해 놓았습니다. 공급자는 사업 종료 전에 그 사유 등을 이용자에게 전화, 우편 등으로 통지하도록 하고, 인터넷 홈페이지에 게시하도록 되어 있으며 사업 종료로 인한 이용자의 재산적 피해를 최소화하기 위하여 필요한 조치사항입니다.

법 제27조제3항 및 시행령안 제20조제3항 및 제4항은 사업종료시 이용자 정보의 반환 및 파기 방법 등 을 기술해 놓았습니다. 정보의 활용이 가능한 상태로 반환하여야 하며, 파기 시에는 복원이 불가능한 방법으로 파기하도록 되어 있으며 이용자의 정보가 오·남용되지 않도록 완전 파기하여 이용자의 재산권을 보장하기 위해 필요한 사항입니다.

.

그 밖에 손해배상책임에 있어서도 공급자에게 입증책임이 있도록 해 놓았으며 당연히 이 법에서 정한 사항을 위반한 경우에 대한 벌칙조항도 있습니다.

어찌보면 당연한 내용일 수도 있겠으나 이렇게 정의해 놓지 않으면 향후 발생할 역기능에 대처할 수 있는 기준이 없어 이용자의 피해가 커질 우려가 있습니다. 각 입장마다 규제냐 아니냐 라는 논란도 있을 수 있겠으나 시장 활성화를 위해서 또는 신뢰기반 마련을 위해서 최소한의 규제는 필요하다고 필자는 생각합니다.

사실 IT라는 분야는 미래를 지향하는 성격이 강한 반면, 법(Law)은 과거와 현재를 지향한다고 볼 수 있습니다. 따라서 IT와 법은 물과 기름처럼 섞일 수 없는 속성이 있습니다. 이 둘 사이의 간격을 좁힐 수 있는 방법은 법(Law)이 끊임없이 IT의 주제를 받아들일 수 있는 자세(체계)와 식견이 필요하며 시의적절한 조치를 취할 수 있는 속도도 바꿀 필요가 있다고 봅니다.

클라우드 발전법이 퍼펙트한 것은 아니며 향후 개정작업 등을 통해 지속적으로 보완해 나가야 하는 숙제도 남아있다고 생각합니다.