클라우드 환경이란, 이용자의 모든 정보를 인터넷 상의 서버에 저장하고 이 정보를 각종 IT 기기를 통하여 언제 어디서든 이용할 수 있는 환경으로서, 새로운 IT통합관리모델에 해당한다. 즉 특정국가에 위치하는 서버에 이용자가 데이터를 저장해 놓고, 시간이나 장소, 위치에 구애받지 않고 언제든지 접속하여 데이터를 이용할 수 있는 환경이다.

이러한 클라우드 환경으로 인하여 이용자는 데이터를 안전하게 보관할 수 있으며, 저장공간의 제약 역시 극복할 수 있는 장점 외에 언제 어디서든지 데이터에 접근하여 작업을 수행할 수도 있으며, 통합된 데이터를 체계적으로 관리함으로써 새로운 부가가치도 창출해 낼 수 있다.

하지만 클라우드 환경의 문제점도 만만치 않은데, 대표적으로 서버의 해킹으로 인한 정보 유출 문제(정보보안), 그리고 정보주체의 데이터 통제권 약화(프라이버시), 데이터의 국제적 이동 때문에 발생하는 정보보호법규 적용의 혼란(컴플라이언스)이 거론되고 있다.

이 글에서는 개인정보 프라이버시 및 컴플라이언스의 관점에서, 클라우드 환경에서 반드시 고려되어야 할 개인정보보호 수칙에 대하여 알아보되, 이해의 편의상 개인정보보호법의 체계에 따라 개인정보의 수집, 이용, 제공, 처리, 관리, 파기의 순서로 살펴보기로 한다.

개인정보의 수집

개인정보보호법은 정보주체의 동의를 받아 개인정보를 수집하는 것을 원칙으로 하며, 수집시 정보주체에게 수집목적, 수집항목, 보유기간, 이용약관, 개인정보처리방침 등을 공개하고 고지하게끔 하고 있다. 이러한 개인정보보호법 규정은 클라우드 환경에서도 기본적으로 유지된다고 할 수 있다.

나아가 클라우드 환경에서는 정보의 저장위치와 이용위치의 국가가 상이한 경우가 많은바, 국내 클라우드 서비스 사업자가 아닌 국외 클라우드 서비스 제공자는 정보주체에게 수집목적, 수집항목, 보유기간뿐만 아니라, 정보의 저장국가(서버의 위치), 서비스 제공자에게 적용되는 개인정보 법규, 서비스 관련 분쟁시 적용되어야 하는 준거법 및 재판관할권, 구제절차 등도 공개ㆍ고지하여야 하며, 특히 이용약관, 데이터처리방침, 개인정보처리방침에 저장국가와 이용국가의 상이로 발생할 수 있는 문제점을 해결할 수 있는 제반 규정을 반드시 포함시켜야 한다.

그리고 개인정보를 다른 회사의 클라우드 환경을 통하여 수집ㆍ보관하고자 하는 기업이 있다면, 즉 개인정보처리기업(개인정보처리자)과 개인정보보관기업(클라우드 사업자)이 상이한 경우라면, 개인정보처리기업은 고객들에게 개인정보보관기업을 공개ㆍ고지하여야 하고, 개인정보보관기업의 데이터처리방침에 대하여 충분하게 공개하여야 할 것이다.

클라우드 환경에서 개인정보보호가 난제가 되는 근본적인 이유는 불투명성인바, 이러한 투명성 제고야말로 프라이버시 보호의 첫걸음이자, 정보주체의 개인정보 통제에 있어 등대 역할을 하는 것이다.

개인정보의 이용

개인정보보호법은 수집목적의 범위에서 개인정보를 이용하는 것을 원칙으로 하고, 그 목적범위 외에 개인정보를 이용하는 경우 별도의 동의를 받도록 하고 있다. 이러한 개인정보보호법 규정은 클라우드 환경에서도 기본적으로 유지된다고 할 수 있다.

특히 클라우드 서비스 이용자가 자신의 개인정보에의 접근ㆍ이용을 제한하는 경우 위 개인정보에 대한 다른 이용자의 접근ㆍ이용을 막기 위하여 클라우드 서비스 제공자가 어떤 조치를 취하고 있는지, 기업이 클라우드 서비스를 이용하는 경우 서비스 제공자가 그 기업의 개인정보에 대한 다른 이용자의 접근ㆍ이용을 막기 위하여 논리적 분리조치를 활용하고 있는지에 대하여 공개ㆍ고지되어야 할 것이다. 또한 불가피하게 클라우드 서비스 제공자가 개인정보에 접근하여야 한다면 어느 정도의 수준으로 접근ㆍ이용하고 있는지, 서비스 제공자의 개인정보 접근ㆍ이용에 대하여 정보주체는 통지받을 수 있는지에 대하여도 공개ㆍ고지되어야 할 것이다.

반대로 클라우드 서비스 이용자가 서비스 제공자의 개인정보의 접근ㆍ이용을 허용한 경우, 클라우드 서비스 제공자는 어느 정도까지 어떤 목적으로 개인정보를 활용할 수 있는지 공개ㆍ고지하여야 하며, 개인정보를 활용하여 나온 데이터의 소유권은 누구에게 있는지도 미리 사전에 약정이 있어야 하겠다.

개인정보의 제공(공유 포함)

개인정보보호법에 의하면 개인정보처리자가 수집목적 내에서 개인정보를 제3자에게 제공하거나 공유하는 경우 별도의 동의를 필요로 하지 않지만, 수집목적을 벗어나 개인정보를 제3자에게 제공하거나 공유하는 경우에는 별도의 동의를 얻어야 하고 더불어 개인정보를 제공받는 자, 개인정보 이용 목적 등에 대하여 정보주체에게 고지하여야 한다. 이러한 개인정보보호법 규정은 클라우드 환경에서도 기본적으로 유지된다고 할 수 있다.

나아가 클라우드 서비스 제공자가 이용자들의 정보를 공유할 수 있도록 허락하는 경우에도 클라우드 서비스 제공자는 이용자의 개인정보에 관한 파일이나 프라이버시 내용이 다른 이용자들에게 제공되지 않도록 하여야 하며, 개인정보 파일을 제3자에게 제공하거나 전송하는 경우 반드시 암호화하도록 하여야 할 것이다. 특히 외국의 클라우드 서비스 제공자가 우리나라 이용자의 개인정보를 수사목적, 재판수행목적 등으로 그 외국의 제3자에게 제공할 수 있다면 그 절차 등이 사전에 충분하고 정확하게 공개ㆍ고지되어야 할 것이다.

개인정보의 처리

개인정보보호법에 따르면, 민감정보와 고유식별정보의 처리는 제한되며, 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 이를 공개ㆍ고지하여야 하고, 영업양도ㆍ합병 등으로 개인정보를 이전하는 경우에는 이를 정보주체에게 고지하여야 하며, 개인정보취급자에 대한 감독과 교육을 실시하여야 한다. 이러한 개인정보보호법 규정은 클라우드 환경에서도 기본적으로 유지된다고 할 수 있다.

다만, 클라우드 서버의 이전이나 개인정보 관리업무의 위탁으로 인하여 서비스 제공자는 그대로이면서 다른 국가로 개인정보가 이전되는 경우도 있을 수 있고, 서버의 위치는 그대로이면서 서비스 제공자의 국적이 바뀌는 경우도 있는바, 어떠한 경우든지 개인정보보호법상의 공개ㆍ고지의무에서 나아가 정보주체의 동의를 얻게 하는 것이 바람직할 것이다. 참고로 우리나라 개인정보보호법 제17조 제3항 후단에서는 “개인정보보호법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.”라고 규정하고 있다.

개인정보의 관리

개인정보보호법에 따르면, 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 하고, 개인정보처리방침을 수립하여 공개하여야 한다. 나아가 개인정보처리자는 개인정보가 유출되었음을 안 때에는 지체 없이 해당 정보주체에게 그 사실을 알려야 한다. 이러한 개인정보보호법 규정은 클라우드 환경에서도 기본적으로 유지된다.

한편 클라우드 환경에서 가장 중점을 두어야 할 분야가 바로 안전성 확보를 위한 기술적ㆍ관리적 및 물리적 조치 즉 정보보안이다. 정보보안은 외부적 통제뿐만 아니라 내부적 통제(내부관리계획)까지도 미쳐야 한다. 클라우드 서비스 제공자는 서비스 안전지침에 대한 규정을 구비하여 공개하여야 할 것이며, 특히 클라우드 서비스 제공자는 접근제한의 기준을 명확히 설정하여야 할 것이며, 클라우드에 저장된 개인정보에 대하여 강한 암호화를 실시하여야 할 것이고, 개인정보를 활용하는 과정에서 개인정보가 변조ㆍ훼손되지 않도록 유의하여야 한다.

나아가 클라우드 서비스 제공자에 대한 제3자의 보안 및 개인정보보호 감사를 실시하도록 유도하여야 하며, 국제적인 기준의 개인정보영향평가(PIA)를 개발하여 표준화함으로써 외국 클라우드 서비스 제공자에 대한 통제권을 늘려가는 것도 필요하다. 정보보안의 중요성에 비추어 클라우드 서비스 제공자에 대한 진입장벽 규제(예컨대 등록제) 등도 적극적으로 고려될 수 있을 것이다. 응용프로그램 등의 소프트웨어를 이용하게 하는 클라우드 서비스 제공자의 경우에는, 그 소프트웨어의 관리조치까지 제대로 하여야만 정보보안의 누수 현상이 발생하지 않을 것이다.

개인정보의 파기

개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등으로 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 이러한 개인정보보호법 규정은 클라우드 환경에서도 유지된다고 할 수 있다.

특히 클라우드 환경에서 중요한 것은 클라우드 서비스 이용계약이 해지 등의 사유로 종료된 다음의 데이터 회수나 파기 절차이다. 클라우드 서비스 제공자는 파산, 폐업, 사업분야 폐지, 해지 등으로 서비스를 종료할수 있지만 어떤 사유로든지 클라우드 서비스 이용자에게 피해가 가지 않도록 조치를 취하여야 한다. 예컨대 일정 기간을 두고 서비스를 종료하도록 하여 이용자가 데이터를 안전하게 이전할 수 있도록 하는 조치, 서비스를 종료한 이후에는 데이터 회수에 적극 협조하도록 하는 조치, 반환할 필요가 없는 데이터나 남아 있는 데이터는 다시 활용할 수 없도록 즉시 파기ㆍ삭제하도록 하는 조치 등이 반드시 보장되어야 한다.

개인정보보호법 체계에 따라 위에서 살펴본 개인정보보호 수칙을 분석해 보면, 클라우드 환경에서의 개인정보 보호는 빅데이터에 관한 쟁점, 개인정보의 국외이전에 관한 쟁점 등이 융합되어 있음을 알 수 있다. 의지만으로 가능하지 않고, 그만큼 다양한 전문성이 보장되고 결합되어야만 제대로 된 개인정보보호가 가능하다는 의미이다.

특히 섭외적 요소가 있는 클라우드 환경에서는 계약적 요소에 대한 고려가 중요할 것으로 예상된다. 현실적으로 준거법 결정이나 법령에 의한 행정권ㆍ재판권 통제가 결코 쉽지 않기 때문인바, 이용약관ㆍ데이터처리방침ㆍ개인정보처리방침에 대한 심사와 규제 측면을 특히 고려하여야 할 것이다.

* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2012. 12. 24.), 로앤비(2013. 1. 8.) 기고.