올해 5월 13일 유럽사법재판소(ECJ)에서 최초로 잊혀질 권리를 명시적으로 인정하는 판결이 선고됐다. 그동안 유럽의 각국에서는 잊혀질 권리를 인정하는 판결이 여러 차례 있었지만 유럽사법재판소에서 관련 판결이 나온 것은 최초이기에 전 세계 언론이 이를 주목했다. 이번 사건의 발단은 마리오 코스테하 곤잘레스라는 스페인 사람이 과거 자신의 집이 경매에 넘어갔던 적이 있지만 수년전에 이미 빚을 갚고 집을 찾아왔는데도, 집이 경매에 넘어간 사실을 보도한 언론기사가 지금까지도 구글에서 검색됨으로 인하여 피해를 보고 있다면서 해당 언론기사를 작성한 언론사를 상대로는 기사 자체의 삭제를, 구글 스페인과 구글 본사를 상대로는 검색결과에 나타나는 링크의 삭제를 청구하는 소송을 제기하면서 시작됐다. 이에 유럽사법재판소는 언론사에 대한 잊혀질 권리 행사는 받아들일 수 없고 구글에 대한 잊혀질 권리 행사는 받아들여야 한다고 판단한 것이 바로 이번 판결이다. 유럽사법재판소 판결의 쟁점은 크게 5가지였다. 첫째, 구글을 개인정보처리자로 볼 수 있는가? 둘째, 미국 기업인 구글에게 유럽연합의 지침을 적용할 수 있는가? 셋째, 검색엔진 운영자에게 링크삭제 의무가 있는가? 넷째, 정보 자체의 게재를 막을 수 있는가? 다섯째, 언제나 링크삭제를 요구할 수 있는가? 검색엔진 활동도 ‘개인정보의 처리’에 해당, 검색엔진 운영자는 ‘개인정보처리자’ 유럽사법재판소는 ‘제3자가 인터넷상에 공표하고 게재한 정보를 찾아내고 이를 자동으로 색인화하며, 일시적으로 저장하고, 종국적으로 인터넷 이용자들이 선호도에 따라 이를 이용할 수 있게 만드는 검색엔진의 활동’은, 그 정보에 개인정보가 포함되어 있을 경우, 유럽연합 집행위원회(European Commission) 95/46 지침(directive) 제2조 제(b)호의 ‘개인정보의 처리’로 분류되어야 한다고 판시했다. 그리고 해당 검색엔진의 운영자는 그러한 처리의 측면에서 위 지침 제2조 제(d)호의 (개인정보) ‘처리자’로 취급되어야 한다고 명시적으로 선언했다. 따라서 구글과 같은 전형적인 검색엔진 운영자는 설령 그 검색엔진의 활동이 자동적으로 이루어지는 기계적인 동작이고 그 과정에서 우연적·결과적으로 개인정보의 처리가 이루어지는 경우라 하더라도 개인정보처리자의 지위에 해당할 수 있다는 것이다. EU 회원국 영토 내에서 일정한 활동 하고 있다면 EU법 적용 가능 또한 유럽사법재판소는 검색엔진의 운영자가 EU 회원국의 영토 내에 회원국의 거주자들을 대상으로 영업활동을 하기 위해 지사나 자회사를 설립한 경우라면, 그 검색엔진 운영자의 개인정보 처리는 EU 회원국 내 영토에서 개인정보처리자의 시설의 활동으로서 수행된 것으로 보아야 한다고 판시했다. 즉 검색엔진 운영자의 본사가 EU 영토 밖에 존재한다고 하더라도 그 지사나 자회사 등을 EU 영토 내에 설립하고 활동을 하고 있다면 이는 EU 영토 내에서 이루어지는 개인정보의 처리이므로 EU의 법령을 적용하는 데에 문제가 없다는 것이다. 이는 구글과 같은 미국의 인터넷 기업에게도 EU가 일정한 제재를 가할 수 있다는 의미로서, 구글 뿐만 아니라 페이스북 등 미국의 다른 인터넷 기업들이 이번 판결을 강하게 비판하는 이유이기도 하다. 검색엔진 운영자, 정보주체 요구에 따라 링크삭제 의무 있어 이러한 기초적인 판단에 이어 유럽사법재판소는 “검색엔진의 운영자는 제3자에 의해 게재되고 특정 개인과 관련된 정보를 포함한 웹페이지의 링크들”을, “그 개인의 이름에 기초하여 행해진 검색으로 표시된 결과목록에서 삭제할 의무가 있다”고 판시했다. 그리고 이러한 삭제의무의 적용 여부를 판단할 때에는, 특히 “현 시점을 기준으로 해서” 그러한 삭제요구가 정당한지 여부를 심사해야 하고 그 외에 그러한 검색결과 목록이 그 정보주체에 대해 편견을 불러일으키는지 여부까지 살필 필요는 없다고 판시했다. 나아가 그러한 삭제요구에 대한 근거조문으로 여러 가지를 들었는데, 그 중 특히 중요한 것은 위 95/46 지침 제12조의 ‘접근권’과 95/46 지침 제14조의 ‘정보주체의 이의권’이다. 우리나라의 ‘정정청구권’ 등과 비슷한 것이다. 이 두 개의 조문은 EU의 회원국들에게 정보주체가 개인정보처리자로부터 몇몇 권리를 보장받을 수 있게 하라고 의무를 지우고 있는데, 바로 여기서 나오는 정보주체의 권리들이, 전자인 제12조 (b)항의 경우에는 ‘정보주체가 개인정보처리자에 대해 불완전하거나 부정확한 정보의 적절한 수정·삭제·차단을 요구할 권리’이고, 후자인 제14조 (a)항의 경우에는 ‘정보주체의 특수한 사정과 관련된 불가피한 정당한 이유가 있는 경우 정보주체가 자신과 관련된 정보의 처리를 거부할 권리’이다. 유럽사법재판소는 바로 이러한 권리들로부터 잊혀질 권리의 법적 근거를 찾아낸 것이다. 웹페이지의 정보 게재 자체를 막을 수 없어 다만 이러한 경우에도 그 웹페이지의 정보 게재 자체는 합법적인 것이기 때문에 그 정보 게재 자체를 막을 수는 없다는 것이 유럽사법재판소의 판단이었다. 곤잘레스가 자신의 기사 자체를 삭제해 달라고 요구하는 것은 부당하다는 것이다. 기사 자체의 삭제를 용인할 경우 표현의 자유에 대한 심각한 침해가 될 수 있고 명예훼손 등이 성립하지 않는 한 표현 자체를 막을 뚜렷한 법적 근거도 없다는 점 등을 고려한 것으로 보인다. 공적 영역 활동 기록, 공중의 압도적 이익에 반할 경우, 잊혀질 권리 주장 못해 유럽사법재판소는 마지막으로 잊혀질 권리의 한계 내지는 적용범위에 대해서도 언급했다. 정보주체의 이러한 잊혀질 권리는 원칙적으로는 검색엔진 운영자의 경제적 이익은 물론이고 그 정보에 접근하고자 하는 일반공중의 이익에도 우선하는 것이지만, ①공적인 영역에서 그 정보주체가 수행한 역할에 대한 정보인 경우 ②그 검색결과 목록을 통해 당해 정보에 접근하는 일반 공중의 이익이 정보주체의 이익보다 압도적인 경우 등의 특별한 이유가 있다면 이런 경우에는 잊혀질 권리를 주장할 수 없다는 것이다. 이는 결국 공익과 사익의 이익형량, 공적 영역 기록과 사적 영역 기록의 구별 등을 통해 잊혀질 권리의 적용범위 내지는 한계를 설정하여야 한다는 판시다. 판결에 대한 찬반 양론 팽팽해 이번 유럽사법재판소의 판결에 대해서는 역사적이고 획기적인 판결이라는 반응도 존재하지만 인터넷을 이해하지 못한 심각하게 잘못된 판결이라는 반응도 존재한다. 특히 세계 최대 인터넷 기업들이 즐비한 미국 쪽에서는 연일 신랄한 비판들이 쏟아지고 있으며, 유럽이 미국을 견제하기 위한 판결이라는 정치적인 해석도 설득력을 얻고 있다. 하지만 잊혀질 권리는, 기업도 국가도 아닌 바로 오프라인 세계의 망각의 축복을 온라인 세계에서도 실현해 달라는 일반 이용자들의 애타는 요구가 끝없는 릴레이 소송으로 표출됨으로 인해 점점 가시화된 권리라는 점에서 인간의 본성과도 맞닿아 있다. 이에 잊혀질 권리를 인정해야 한다는 명제 자체는 거스를 수 없는 대세로 받아들여지고 있다. 다만 잊혀질 권리의 인정이, 오프라인 세계와는 다른 온라인 세계만의 또 다른 축복 즉 영원한 기록과 영원한 역사에 대한 인간의 열망을 해칠 때에는, 두 가지 인간본성의 충돌이 일어나고 역반발이 심화될 수 있기에 어떤 지점에서 조화를 이룰 수 있는지가 앞으로의 주요 과제가 될 것으로 보인다. * 법무법인 민후 최주선 변호사 작성, 보안뉴스(2014. 5. 22.) 기고.

기자는 특종을 좇아 화염병이 난무하는 현장이나 포탄이 떨어지고 총알이 빗발치는 전쟁터까지 투입된다. 일신의 위험보다 좋은 기사, 생생한 기사가 기자에게는 더 중요한 덕목이기 때문이다. 그러나 테러집단에 납치되어 처형되는 기자나 전쟁터에서 목숨을 잃는 종군기자의 희생을 볼 때마다 세계는 큰 충격에 빠지게 된다. 위험한 현장에서 기자를 대신하여 로봇이 현장을 취재하는 것은 어떨까하고 많은 사람들이 생각해 보았을 것인데, 이런 형태의 로봇 기자는 10여년 전부터 존재하였다. 로봇 기자의 업무는 위험한 현장의 단순 취재에서 확대되어, 최근 직접 기사를 작성하여 보내는 업무까지 하고 있다. 인문학의 총아라 할 수 있는 언론기사 를 로봇이 대신 작성하여 전세계 사람들에게 보여주고 있다 하니 로봇이 인간을 대체할 것이라는 우려가 현실로 다가오고 있는 것이다. 로봇이 기사를 쓴다고 하니 로봇이 책상에 앉아서 기사를 쓴다고 착각할 수 있으나, 그것은 아니고 소프트웨어에 의하여 현상을 분석하고 그 분석 결과를 기사로 작성하는 이른바 알고리즘 기사를 의미한다. 예컨대 스탯츠 몽키(Stats Monkey)는 야구경기 결과를 분석하여 기사를 작성하고 있고, 내러티브 사이언스(Narrative Science)는 증권가 소식을 분석하여 실적 예상 기사를 쓰고 있다. 방대한 데이터를 분석하여 30초에 하나씩 기사를 쓰고 있다 하니 높은 생산력과 정보 분석력은 알고리즘 기사의 장점이겠지만, 아직까지는 감성과 직관이 결여되어 있다는 평가를 받고 있다. 그러나 이 또한 개선되리가 생각하지만, 반대로 생각하면 어느 쪽에 편향된 기사가 아닌 극대화된 객관성을 담보하는 장점을 제공할 수 있을 것이다. 일부 언론사는 로봇을 이용한 알고리즘 기사를 제공하고 있지만 아직까지는 그 사실의 노출을 꺼리고 있다고 한다. 구독자들의 반감을 살 수 있기 때문이다. 법조계에도 조만간 간단한 재판서를 작성하고 판결문 분석 결과를 제공하는 로봇 법조인이 등장하지 않을까 예측해 본다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2015. 3. 30.) 기고.

그 동안 많은 영화나 만화 등에서 로봇은 다양한 모습으로 비쳐졌다. 실패한 작품이자 괴물로 등장하는 프랑켄슈타인이나 거짓말하면 코가 길어지는 나무인형 피노키오도 사람의 형태와는 다소 거리가 멀긴 하지만 개념 정의에 따라 로봇이라고 할 수도 있을 것이다. 최근에는 사람과 유사한 로봇도 등장하고 있다. 2001년도 스티븐 스필버그 감독은 영화 'A.I.'를 통하여 인공지능 감성로봇 데이빗을 만들었는데, 인간을 사랑하도록 프로그래밍된 데이빗은 사람을 엄마로 여기고 인간사회에 적응해 가는 모습을 보였다. 2015년에는 닐 블롬캠프 감독이 영화 '채피'를 통하여 학습이 가능한 인공지능 로봇 채피를 선보였다. 여기서 궁금증이 제기되는데, 과연 로봇은 무엇인가 하는 문제이다. 우선 로봇이라는 단어의 기원은 체코슬로바키아의 극작가 카렐 차페크의 희곡 "R.U.R"에 나오는 'robota'에 있다. 'robota'는 체코어로 노동을 의미하는데, 당시 카렐 차페크는 노동능력은 있으나 생각이나 감정이 없는 것을 로봇이라고 불렀다. 카렐 차페크의 로봇 정의에 의하면, 데이빗이나 채피는 로봇이 아닐 수 있다는 문제점이 발생한다. 한편 퀸ㆍ메리 대학의 스링그 교수는 인간에게 프로그래밍 되어 애초부터 결정된 방법으로 자신의 운동을 조절하고 움직일 수 있는 기계라고 로봇을 정의하였다. 가장 전통적인 개념이며 사전적이고 중립적인 정의이기에 데이빗이나 채피의 경우도 일정 부분은 포섭할 수 있지만, 인공지능이나 딥러닝처럼 스스로 학습하여 생성되는 부분에 대하여도 포섭이 가능한지 의문이 생길 수밖에 없다. 로봇의 정의는 앞날을 생각하면 더 난해해진다. 향후 로봇 기술의 발달로 인간보다 더 인간적인 로봇이 출현할 것이다. 살인하고 방화하며 속이고 성폭행하는 인간보다도 더 인간에게 도움을 줄 수 있고 더 감성적이며 공감능력이 뛰어난 로봇을 볼 날이 멀지 않았다. 문득 로봇과 인간 사이의 경계가 모호해져, 노동 부분이 아닌 감성ㆍ교감 부분도 로봇이 인간을 대체할 수 있지 않을까 하는 생각이 들었다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2015. 4. 20.) 기고.

영업비밀(trade secret)이란, 공공연히 알려져 있지 아니하고 독립된 경제적 가치를 가지는 것으로서, 합리적인 노력에 의하여 비밀로 유지된 생산방법, 판매방법, 그 밖에 영업활동에 유용한 기술상 또는 경영상의 정보를 말한다(부정경쟁방지 및 영업비밀보호에 관한 법률 제2조 제2호). 즉 영업비밀이란, 비공지성, 경제적유용성, 비밀유지(관리)성 등의 요건을 갖추어야 비로소 법적인 보호를 받게 된다. 비공지성이란, 공공연히 알려져 있지 아니함을 의미하고, 영업비밀 보유자 외의 다른 방법으로 그 정보를 획득할 수 없는 경우를 의미한다. 예컨대 인터넷에 공개된 정보 등은 영업비밀에 해당하지 않는다. 경제적 유용성은, 영업비밀을 취득했을 때와 그렇지 않을 때의 경제적 효용이 다른 경우를 의미한다. 즉 영업비밀을 취득함으로써 그렇지 않을 때보다 경제적 이득을 얻을 수 있다면 그 정보는 경제적 가치가 있다고 봐야 한다. 영업비밀의 핵심적 요건은 비밀유지성이다. 영업비밀은 비밀유지 노력에 대한 보상이기 때문에, 영업비밀로 법적인 보호를 받기 위해서는 반드시 그에 합당하는 노력이 있어야 한다. 이에 대하여 그동안 판례는 “그 정보가 비밀이라고 인식될 수 있는 표시를 하거나 고지를 하고, 그 정보에 접근할 수 있는 대상자나 접근 방법을 제한하거나 그 정보에 접근한 자에게 비밀준수의무를 부과하는 등 객관적으로 그 정보가 비밀로 유지․관리되고 있다는 사실이 인식 가능한 상태인 것을 말한다(대법원 2011. 7. 14. 선고 2009다12528 판결 등 참조).”라는 입장을 취해 왔다. 기존 부정경쟁방지 및 영업비밀보호에 관한 법률에서는 이러한 비밀유지 노력에 대하여 ‘상당한 노력’의 정도를 유지해야 비로소 영업비밀로 인정하고 있었다. 그런데 2015년 1월 28일부터는 ‘상당한 노력’에서 ‘합리적 노력’으로 그 요구 수준이 하향하였다. 이는 그동안 영업비밀 피해자들이 제대로 된 구제를 받지 못하고 있다는 지적이 이어져 왔고, 이처럼 법적인 보호를 받지 못하는 주된 원인은 바로 지나치게 높은 수준의 비밀유지 노력을 요구한 것에 있다는 점에 대한 반성에서, 그 요구 수준을 떨어뜨린 것이다. 그렇다면 ‘합리적 노력’은 어느 정도인가? 최근 의정부지법(2016노1670)은 비밀 침해자가 1심에서 무죄를 받았던 사건에 대하여, 2016. 10. 1심 판결을 파기하고 유죄로 인정하면서 ‘합리적 노력’에 대한 기준을 제시하였다. 즉, “피해 회사가 전시회 등 행사 정보를 홈페이지에 모두 공개하면서도 고객들의 성명과 소속업체 등 이 사건 고객정보는 별도로 관리하며 직원들만 볼 수 있도록 했고, 회사 계정을 모두 피해 회사 대표가 관리하고 있는 점 등을 보면 정보를 비밀로 유지하기 위한 '합리적인 노력'을 했다고 봐야 한다”고 판시한 것이다. 이 사건은 여행전문업체의 이사로 근무하던 가해자가 이직하면서 고객정보를 USB로 옮겨 저장한 사안인데, 종전의 ‘상당한 노력’ 기준으로 보았다면 무죄가 되었을 사안이다. 이 사건에서 의정부지법은 ‘고객정보의 별도 관리, 회사 계정의 관리 등’에 대하여 ‘합리적 노력’을 인정한 것이다. 2016. 7. 대구지방법원 서부지원(2012가합4573) 역시 비밀유지성에 대하여 완화된 해석을 한 바 있다. 이 사건은 민사사건으로서 위 의정부지법 사건이 형사사건이라는 점과는 차이가 있지만 법리 해석에서는 큰 차이점은 없다. 향후 비밀유지성에 대한 판시가 더 쌓여야 법리가 정립되겠지만, 그 동안 비밀유지성 때문에 피해구제를 받지 못했던 많은 중소기업들에게는 희소식이 아닐 수 없다. * 법무법인 민후 김경환 대표변호사, 디지털데일리(2016. 10. 25.), 리걸인사이트(2016. 10. 31.), 블로그(2016. 11. 4.) 기고.

한 분야에서 뛰어난 기술, 좋은 영업전략으로 승승장구하고 있는 기업이 있다는 소문이 퍼지는 순간, 순식간에 주변에는 경쟁업체나 후발업자가 출현하여 잘 나가는 기업을 추격한다. 간혹 선발주자는 후발 경쟁업체의 임직원 스카웃, 영업비밀 취득, 기술이나 제품 분석 등에 의하여 자신의 영업비밀을 빼앗기기도 하는데, 이 경우 영업비밀을 수호하기 위하여 선발주자가 의존해야 할 법이 바로 ‘영업비밀보호법’이다. 하지만 위 ‘영업비밀보호법’에 의존하려고 해도, 몇 가지(① 비공지성, ② 비밀관리성, ③ 경제적 유용성, ④ 기술상 또는 경영상의 정보)는 기본적으로 갖추어 놓아야 자신이 공들여 만들어 놓은 영업비밀을 지킬 수 있다. 특히 영업비밀 사건에서 실무적으로 가장 문제가 되고, 영업비밀 인정 과정에서 핵심이 되는 것이 바로 ‘② 비밀관리성’이다. 비밀관리성이란 영업비밀에 대하여 영업비밀보호법과 판례가 요구하는 정도의 적극적인 비밀관리를 해야 영업비밀로서 보호를 받을 수 있다는 의미이다. 그렇다면 법과 판례는 어느 정도의 영업비밀 관리를 요구하는가? 일단 영업비밀보호법은 ‘비밀관리성’에 대하여 ‘상당한 노력에 의하여 비밀로 유지될 것’이라고 정의하고 있다. 그리고 우리나라 대법원은 위 ‘상당한 노력에 의하여 비밀로 유지될 것’에 대하여 “정보가 비밀이라고 인식될 수 있는 표시를 하거나 고지를 하고, 그 정보에 접근할 수 있는 대상자나 접근 방법을 제한하거나 그 정보에 접근한 자에게 비밀준수의무를 부과하는 등 객관적으로 그 정보가 비밀로 유지·관리되고 있다는 사실이 인식 가능한 상태인 것(대법원 2008. 7. 10. 선고 2008도3435 판결)”이라고 판시하고 있다. 정리하면, ‘비밀관리성’의 요건이 인정되어 영업비밀로 인정받으려면, ① 비밀로서의 표시나 고지, ② 접근대상자나 접근방법의 제한 또는 ③ 비밀준수의무의 부과 등이 기본적으로 인정되어야 한다. 먼저, ① 비밀로서의 표시나 고지에 관하여 살펴보면, 이는 자료에 대외비, 비밀, 외부유출금지 등의 표시를 하는 것과 더 나아가 정기적인 보안교육을 하는 것 등을 의미한다. ② 접근대상자나 접근방법의 제한이란, 대상자를 제한하는 인적관리조치와 접근방법을 제한하는 물적관리조치를 의미한다. 인적관리조치에는 영업비밀관리대장 작성 및 영업비밀관리책임자 지정이 포함되어야 한다. 물적관리조치는 관리등급설정ㆍ방화벽 등의 기술적 조치 또는 CCTV 등의 물리적 조치를 포함한다. 예컨대 문서를 누구나 볼 수 있는 장소에 방치하거나 암호가 걸려 있지 않거나 파일이 공개되어 있어 누구나 열어볼 수 있도록 방치하였다면 영업비밀에 해당하지 않는다. 이러한 인적ㆍ물적관리조치의 내용은 영업비밀관리규정의 형식으로 구체화되어 있으면 바람직하다. ③ 비밀준수의무의 부과는 입사시 비밀유지서약서를 받는 방법, 취업규칙이나 사규에 비밀누설을 금지하는 규정을 포함시키고 근로자의 동의를 얻는 방법, 퇴직시 비밀유지서약서를 징구하는 방법, 외부용역자에게 비밀유지서약서를 받는 방법, 큰 프로젝트마다 별도로 비밀유지서약서를 받는 방법 등으로 구체화된다. 그러나 탈세정보, 분식회계 등 불법행위에 대한 비밀정보에 대하여 비밀유지의무가 있는 것은 아니다. ① 비밀로서의 표시나 고지, ② 접근대상자나 접근방법의 제한, ③ 비밀준수의무의 부과 등이 어떻게 판단되었는지 실제 사례를 들어서 더 자세하게 살펴보도록 하자. B 회사가 A의 퇴직 전날에 A로부터 ‘B 회사에서의 업무수행과 관련하여 습득한 제반 정보 및 자료에 대한 기밀을 유지하겠다’는 내용의 회사기밀유지각서를 제출받기는 하였으나, 정보나 자료가 저장되어 있는 B 회사의 컴퓨터는 비밀번호도 설정되어 있지 않고 별도의 잠금장치도 없어 누구든지 위 컴퓨터를 켜고 자료를 열람하거나 복사할 수 있었고, 컴퓨터와 네트워크를 통해 연결된 B 회사 내의 다른 컴퓨터를 통해서도 별도의 비밀번호나 아이디를 입력할 필요 없이 누구든지 쉽게 컴퓨터에 접속하여 자료를 열람·복사할 수 있었으며, 보관자는 자료를 정기적으로 CD에 백업하여 사무실 내 서랍에 보관해 두었는데 서랍을 잠그지 않고 항상 열어두었기 때문에 누구든지 마음만 먹으면 그 백업CD를 이용할 수 있었다면, B 회사의 자료는 영업비밀에 해당하는가? 위 사안에 대하여 대법원은 ③ 요건이 갖추어지기는 하였지만, ② 요건에 중대한 흠결이 있다고 보아 영업비밀로 보지 않았다(대법원 2009. 9. 10. 선고 2008도3436 판결). C 회사에 입사할 때 ‘업무상 기밀사항 및 기타 중요한 사항은 재직 중은 물론, 퇴사 후에도 누설하지 않는다’는 내용의 영업비밀준수 서약서를 작성한 사실은 있으나, C 회사에서 업무와 관련하여 작성한 파일에 관하여 보관책임자가 지정되어 있거나 별도의 보안장치 또는 보안관리규정이 마련되어 있지 않았고, 업무파일을 중요도에 따라 분류를 하거나 대외비 또는 기밀자료라는 특별한 표시를 하지도 않았으며, 연구원뿐만 아니라 생산직 사원들도 자유롭게 접근하여 파일서버 내에 저장된 정보를 열람ㆍ복사할 수 있었고, 방화벽이 설치되지 않아 개개인의 컴퓨터에서도 내부 네트워크망을 통해 접근할 수 있었다면, C 회사의 자료는 영업비밀에 해당한다고 보아야 하는가? 위 사안에 대하여 대법원은 ③ 요건이 갖추어지기는 하였지만, ① 및 ② 요건에 흠결이 있다고 보아 영업비밀로 보지 않았다(대법원 2008. 7. 10. 선고 2008도3435 판결). D 업체의 경우는 직원들조차 자신이 연구하거나 관리한 것이 아니면 그 내용을 알기 곤란한 상태에 있었고, D 업체는 공장 내에 별도의 연구소를 설치하여 관계자 이외에는 그 곳에 출입할 수 없도록 하는 한편 모든 직원들에게는 비밀을 유지할 의무를 부과하고, 연구소장을 총책임자로 정하여 기술정보를 엄격하게 관리하는 등으로 비밀관리를 하여 왔다면, D 업체의 자료는 영업비밀에 해당하는가? 위 사안에 대하여 대법원은 영업비밀에 해당한다고 판시하였다(대법원 1996. 12. 23. 선고 96다16605 판결). 영업비밀로 보호받기 위한 ‘비밀관리성’의 요건을 적은 비용으로써 효율적으로 잘 갖춘 중소기업도 적지 않다. 필자의 경험으로는, ‘비밀관리성’은 기업의 비용 문제이기에 앞서 CEO의 의지 문제인 측면이 강하다고 본다. 당장 작은 것부터 실천해 가면, 나중에 큰 결실을 얻게 될 것이라 믿어 의심치 않는다. * 법무법인 민후 김경환 대표변호사 작성, 블로그(2013. 3. 1.) 기고.

A 회사가 공을 들여 소스코드 공개의무가 부여돼 있는 GPL 라이선스 조건이 있는 오픈소스 소프트웨어를 개작해 새로운 소프트웨어를 개발했다. 만약 이 개작한 소프트웨어의 소스코드를 공개하지 않은 상태에서 A 회사 직원 B가 퇴사할 때 개작된 소프트웨어의 소스코드를 무단으로 가지고 나간 경우, 회사는 어떤 보호를 받을 수 있는지의 문제에 대해 다루어 보기로 하겠다. GPL(General Public License)이라는 것은 리차드 스톨만(Richard Stallman)에 의해 1984년 설립된 자유소프트웨어재단(Free Software Foundation)에서 개발해 무료로 배포하고 있는 유닉스 운영 체제 호환 컴퓨터 프로그램의 총칭인 GNU(GNU is Not UNIX)의 라이선스 조건이다. GPL의 주된 내용은 GPL에 따라 공개된 소프트웨어는 프로그램의 복제와 개작, 배포, 사용이 자유롭게 허용되고, GNU 소프트웨어 사용자는 그것을 개작할 수는 있으나 개작된 프로그램을 재배포하는 경우에는 GPL 상의 사용허가를 그대로 유지하는 조건하에 배포해야 하고, GNU 소프트웨어를 배포하는 사람은 소스코드를 반드시 제공해야 하며, 그렇지 않으면 소스코드를 어디에서 획득할 수 있는지 알려 주어야 하는 것 등이다. 따라서 위 사례에서 A 회사는 오픈소스 소프트웨어를 개작해 만든 소프트웨어를 그 소스코드를 공개할 의무가 있다. 그렇다면 이렇게 공개해야 할 의무가 있는 소프트웨어의 소스코드는 영업비밀인가 영업비밀이 아닌가 하는 의문이 생긴다. 왜냐하면 영업비밀이란 공연히 알려져 있지 아니하고 독립된 경제적 가치를 가지는 것으로서, 상당한 노력에 의해 비밀로 유지된 생산방법·판매방법 기타 영업활동에 유용한 기술상 또는 경영상의 정보를 말하므로, 이미 공개돼 있는 것은 영업비밀이 아니기 때문이다. 이 사례에 대해 우리 판례는 경우를 나누어 ▲개작한 소프트웨어의 소스코드를 공개한 경우는 영업비밀이 될 수 없지만, ▲개작한 소프트웨어의 소스코드를 공개하지 아니한 경우에는 영업비밀에 해당한다고 판시했다(대법원 2009. 2. 12. 선고 2006도8369 판결). 위 판례에 따르면 소스코드 공개의무가 있는 오픈소스 소프트웨어를 개작했더라도 개작한 소프트웨어를 아직 공개하지 아니한 이상, 개작한 소프트웨어는 영업비밀에 해당하므로 A 회사는 개작한 소프트웨어를 무단으로 가지고 나간 직원 B에 대해 영업비밀에 관한 ‘부정경쟁방지 및 영업비밀보호에 관한 법률’ 위반으로 형사처벌을 요구할 수 있으며, 민사적으로는 개작한 소프트웨어의 사용금지, 손해배상 등을 요구할 수 있다. 다만, 주의할 점은 A 회사가 개작한 소프트웨어의 소소코드를 공개하지 않은 경우, 이는 GPL 라이선스 조건 위반이 되므로 A 회사에게 손해배상 책임이 발생할 수 있다는 것이다. * 법무법인 민후 김경환 대표변호사 작성, 블로그(2012. 4. 6.), 디지털데일리(2014. 2. 19.), 마이크로소프트웨어 기고.

보안담당자(CSO)에 대한 형사처벌 조항(개인정보보호법)은 아래와 같다. ‘제74조(양벌규정) ① 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제70조에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인을 7천만원 이하의 벌금에 처한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리 하지 아니한 경우에는 그러하지 아니하다. ② 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제71조부터 제73조까지의 어느 하나에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과(科)한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다.’ 위 조항을 양벌조항이라고 하는데 그 의미는 개인정보보호법 위반 사실이 있거나 보안사고가 났을 경우, 보안조치를 직접 실행하는 사람(보안담당자, 조문에는 ‘행위자’라고 함)와 보안담당자의 소속 회사(개인정보처리자)를 동시에 처벌한다는 것이다. 이렇게 행위자인 보안담당자와 회사를 동시에 처벌하는 이유는 회사의 보안담당자에 대한 관리감독을 강화하고자 하는 의도이다. 다만 단서 조항에 의하면 회사의 무한한 책임을 방지하기 위해 회사에 보안담당자에 대한 관리감독을 제대로 했음에도 불구하고 보안사고가 발생한 경우에는 회사는 처벌되지 않고 보안담당자만 처벌된다. 어찌됐든 위 조항에 의해 개인정보보호법 위반 사항이 있거나 해킹사고가 발생한 경우, 회사뿐만 아니라 보안담당자를 같이 처벌할 수 있다. 이 조항 때문에 보안담당자가 회사의 CSO 지위에서 형사처벌에서 자유로운 컨설턴트로 자리를 옮겨 가는 부작용이 발생하기도 한다. 보안담당자의 책임을 중심으로 양벌규정의 실제 적용사례를 살펴보면 다음과 같다. (1) 영상정보를 처리하는 CCTV 보안담당자가 소속 회사의 감시를 틈타 회사 몰래 CCTV 촬영시에 녹음기능을 사용했다고 가정하겠다. 이 경우 보안담당자(행위자)는 개인정보보호법 제25조 제5항 위반에 해당하여 3년 이하의 징역 또는 3천만원 이하의 벌금에 처해질 수 있다. 한편 소속 회사(영상 정보처리기기운영자)는 보안담당자에 대한 관리·감독을 다하지 않은 경우에만 보안담당자와 함께 7천만원 이하의 벌금으로 처벌된다. 더불어 보안 담당자는 CCTV에 찍힌 개인정보 주체에 대하여 민사책임도 질 수 있다. (2) 게임회사에 해커가 잠입하여 게임회사 개인정보 서버에 저장되어 있는 개인정보를 빼내 유출시 켰다고 가정하겠다. 이 경우 개인정보 서버의 보안을 책임지는 직원(보안담당자)이 방화벽을 설치하지 않거나 개인정보에 대한 암호화를 하지 않는 등의 기술적인 안전성 확보조치를 다하지 않았다면 그 보안담당자는 개인정보보호법 제29조 위반에 해당하여 2년 이하의 징역 또는 1천만원 이하의 벌금에 처해질 수 있다. 한편 게임회사(개인정보처리자)는 보안담당자에 대한 관리·감독을 하지 않는 경우에만 1천만원 이하의 벌금에 처해질 수 있다. 보안담당자가 고의로 법위반행위를 했다면 처벌의 정당성은 충분하겠지만 문제는 열심히 보안조치를 다하였음에도 불구하고 해킹을 당하였다면 이 경우에도 처벌되어야 하는가이다. 대부분의 보안담당자는 고의의 경우에만 처벌되어야 한다고 주장하지만 현행법의 해석으로는 열심히 보안조치를 다하였으나 해킹을 당한 경우에도 보안담당자를 처벌할 수 있도록 규정되어 있다. 더 많은 논의가 필요한 부분이라 생각된다. * 법무법인 민후 김경환 대표변호사 작성, 블로그(2012. 8. 10.), 로앤비(2012. 8. 28.), 보안뉴스(2012. 10. 10.) 기고.

페이스북의 성장과정을 돌아보면서 그들이 과거 개인정보에 관한 비판과 문제를 어떻게 극복했으며 현재 어떠한 비판을 받고 있는지를 통하여 개인정보보호에 관한 문제 및 개인정보를 활용하는 바람직한 인터넷 기업이나 SNS 기업상을 3회에 걸쳐 조명해 본다. 최근 기업공개(IPO)로 엄청난 규모의 자금을 조달함으로써 새로운 도약을 하고 있는 세계 최대의 소셜네트워크서비스(SNS) 공룡 페이스북, 유례없는 성장 속도로 세상을 놀라게 한 대표적인 인터넷 기업 페이스북, 하버드 대학의 기숙사에서 시작된 주커버그 등 젊은 해적들의 아름다운 성장기록 페이스북... 하지만 위대한 페이스북과 천재 주커버그는 기업 초기부터 지금까지 프라이버시와 개인정보 이용에 관한 거센 비판에 시달렸다. 개인정보를 가장 광범위하게 수집하고 가장 다양하게 이용하면서 가장 큰 수입을 올리고 있는 또 하나의 세계, 하지만 이용자들의 13%만이 페이스북의 프라이버시 정책을 신뢰한다는 악명 높은 해적, 이러한 페이스북의 성장과정을 돌아보면서 그들이 과거 개인정보에 관한 비판과 문제를 어떻게 극복했으며, 현재 어떠한 비판을 받고 있는지를 통하여 개인정보보호에 관한 문제 및 개인정보를 활용하는 바람직한 인터넷 기업이나 SNS 기업상을 조명해 보고자 한다. 개인정보에 대한 새로운 위협 개인정보와 프라이버시를 위협하는 대표적인 유형을 말하라고 하면 외부의 해킹, 내부 직원의 개인정보 유출, 그리고 ‘경영자의 비즈니스모델’이라 하고 싶다. 외부의 해킹이나 내부 직원의 개인정보 유출은 전통적이고 익숙한 문제라면 경영자의 개인정보를 이용한 비즈니스모델은 익숙하지도 않고 인지하기 어려운 문제이다. 그러나 페이스북의 문제는 경영자의 비즈니스모델에 의한 개인정보 침해의 문제가 핵심이다. 인터넷 기업의 경우 흔히들 개인정보를 얼마나 보유하고 있는지에 따라 그 기업의 규모를 결정하곤 한다. 그만큼 개인정보는 경제적 가치가 있고 또 광고·홍보 등의 수단으로 유용하며 기업의 매출을 올리는 데 크게 기여하고 있다. 경영자는 이용자들의 개인정보를 수집하여 이용함으로써 수익을 올리고 싶어 하며 이러한 자본주의적 동기가 결국 또 다른 개인정보보호에 대한 위협이 되고 있는 것이다. 하지만 이용자들의 개인정보 이용에 대한 반발이나 프라이버시 보호규정 때문에 경영자의 욕구를 100% 만족시킬 수는 없기에 개인정보에 관한 비즈니스모델 설정 또는 개인정보의 경제적 이용 문제는 심각한 딜레마적 상황에 있다고 볼 수 있다. 정확하게는 기업들의 끊임없는 개인정보 수집이나 이용에 대한 욕구 때문에 이용자들이나 규제기관이 어디까지 가이드라인을 설정할 것인지에 대하여 골머리를 앓고 있는 것이다. 특히, 페이스북의 사업은 본질적으로 개인정보를 이용한 비즈니스이기 때문에 처음부터 많은 프라이버시 문제를 담고 있다. 특히, 주커버그는 페이스북을 통한 개인정보의 공유 및 인간관계에 주력했기 때문에 자연스럽게 프라이버시 문제가 발생할 수밖에 없었다. 다음에서는 페이스북의 성장과정에서 발견할 수 있는 개인정보보호의 쟁점을 시간 순으로 정리하되 각 쟁점의 마지막에는 우리의 개인정보보호법에 근거하여 판단해 보기로 한다. 뉴스피드(News Feed)와 미니피드(Mini Feed)로 시작된 프라이버시 문제 마이스페이스(MySpace)와 함께 SNS 기업으로서 성장가도에 있는 페이스북은 2006년 9월 두 가지 새로운 서비스를 시작하는데 그것이 바로 이용자에게 친구가 운영하는 페이지의 새로운 소식을 보여 주는 업데이트 리스트 기능인 뉴스피드 기능과 각 이용자의 프로파일 페이지 위에 업데이트 과정을 저장할 수 있게 하는 기능인 미니피드 기능이다(일종의 친구 소식 알리기 기능이라고 할 수 있다). 새로이 추가된 기능은 대단히 훌륭했지만 추가되는 정보에 대하여 이용자들의 동의를 얻지 않았고 이용자들이 이를 통제할 수 없다는 문제점이 지적되었다. 이 문제는 이후 주커버그가 새롭게 추가된 기능에서 개인정보의 통제에 대한 고려가 미흡했다고 사과하고, 이용자들의 선택 기능(opt-out)을 뉴스피드나 미니피드에 추가함으로써 일단락되었다. 이 때부터 주커버그의 사과는 시작된다. >> 페이스북에 새롭게 추가된 뉴스피드나 미니피드는 이용자의 활동정보를 다른 이용자에게 제공 또는 공유하는 기능을 제공하고 있는 바, 우리의 개인정보보호법에 의하더라도 이는 이용자에게 고지하여야 하고 이용자들로부터 동의를 얻은 다음에 뉴스피드나 미니피드의 기능을 추가하여야 한다(개인정보보호법 제17조, 제18조). 프라이버시 고려하지 않은 비콘(Beacon) 서비스로 결국 역풍 2007년 11월, 페이스북은 비콘 서비스를 제공했다. 비콘 서비스란 이용자들이 제휴사 사이트를 방문하여 물건을 구매하는 등의 활동을 하는 경우, 그 방문한 사이트에서의 이용자들의 활동이 뉴스피드를 통하여 제3자에게 자동으로 알려지는 서비스이다. 주커버그는 이러한 서비스를 통해 친구들의 기호를 더 잘 파악할 수 있고 특히 타깃형 광고를 효율적으로 진행할 수 있다고 생각했다. 타깃형 광고(OBA, Online Behavioral Advertising)란 이용자의 프로파일링 정보를 분석하여 그 이용자의 기호에 가장 잘 부합하는 광고를 제공하는 광고형태를 말한다. 하지만 프라이버시의 고려가 없는 비콘 서비스로 인하여 페이스북은 강한 역풍을 맞게 되고 급기야 2008년 8월에는 집단소송을 당하게 된다(Lane v. Facebook). 그로부터 1년 후인 2009년 9월 페이스북은 비콘 서비스를 중단하고 별도의 독자적인 운영 재단을 설립하여 사생활을 침해하지 않는 안전하고 보안 위협이 없는 서비스를 추진하겠다는 계획을 밝혔고 그 조건으로 집단소송이 중단되었다. 한편, 구글은 행태정보 공유라는 점에서 비콘과 본질적으로 유사한 더블클릭(DoubleClick)의 방법으로 OBA 광고를 진행했다는 혐의로 현재 집단소송 중에 있고 페이스북은 비콘의 아픔이 있었음에도 불구하고 최근에 스폰서스토리나 미디어앱 서비스 등을 통하여 광고 영역에의 확장을 시도하고 있다. 왜냐하면 광고시장은 구글이나 페이스북의 수익 창출에서 절대 놓칠 수 없는 분야이기 때문이다. >> 식별할 수 없는 행태정보에 대한 규제는 없다. 그러나 비식별정보라도 다른 정보와 결합하여 식별성을 가지는 경우에는 개인정보보호법의 적용대상이 된다. 이 경우 수집이나 이용, 제공 등의 과정에서 개인정보 주체의 동의를 얻어야 한다(개인정보보호법 제2조, 제15조, 제17조, 제18조). * 법무법인 민후 김경환 대표변호사 작성, 로앤비(2012. 6. 7.), 블로그(2012. 6. 7.), 보안뉴스(2012. 6. 25.) 기고.

언젠가는 필연적으로 죽어야 하는 인간에 있어서, 상속이란 문제는 인간사에서 매우 큰 비중을 차지하고 있다. 상속의 역사는 인간의 역사라 할 만큼 상속제도는 오랜 동안 존재하여 왔고, 시대와 장소, 문화에 따라 변천되어 왔다. 그리고 상속이란 사망자의 유품을 누가 전수받는냐의 문제이므로, 유품의 내용에 변하면 상속의 내용도 달라질 수밖에 없다. 인터넷과 정보통신ㆍ컴퓨터 기술의 발전으로 인하여, 과거와 달리 사람들은 자기 소유가 아닌 포털, SNS, 블로그, 카페, 트위터, 웹페이지 등에 자신의 생각ㆍ사진ㆍ글ㆍ이메일ㆍ동영상ㆍ개인정보ㆍ사생활 등을 올리거나 저장하는 생활풍토가 정착하고 있다. 이 상황에서 포털 등에 생각 등을 올리거나 저장한 사람이 사망하게 되면, 그 상속인이 포털 등에 대하여 사망한 사람의 생각ㆍ사진ㆍ글ㆍ이메일ㆍ동영상ㆍ개인정보ㆍ사생활 등에 관한 권리를 주장할 수 있는가의 문제가 발생한다. 이것이 바로 ‘사망자의 디지털 유품의 상속’ 문제이다. 디지털 유산의 문제는 미국의 이라크 참전 해병인 저스틴 마크 엘스워스 병장의 사망과 관련하여 2004년 11월경 그의 부모가 이메일 계정 접근을 거절한 야후(yahoo)를 상대로 제기한 소송이 세계적으로 이슈가 되었었다. 지금의 미국 판례 추세와는 달리 이 소송에서 유족이 승소하였고, 야후측은 유족에게 이메일 내용을 CD와 프린트물로 전달하였다. 우리나라에서는 천안암 침몰로 희생된 장병의 미니홈피 및 이메일에 대하여 희생 장병의 유족이 접근할 수 있도록 요청한 바 있으며, 드라마 ‘커피프린스’로 일약 스타덤에 오른 뒤 2008년 8월 교통사고로 사망한 탤런트 이언의 경우 유족이 아닌 제3자가 싸이월드 미니홈피 비밀번호 정보를 요청하였다가 싸이월드로부터 거절당한 적이 있다. 우리나라에는 아직 존재하지는 않지만, 미국의 경우 사망자의 디지털 유품 관리를 위탁받아 처리하는 회사로서 ‘Entrustet’, ‘Legacy Locker’, ‘Vitallock’ 등이 영업 중이다. 그 만큼 사회적 필요성이 커져 가고 있다. 다만 우리나라의 경우 민법 상속편에 유언사항이 법정되어 있으므로, 유언사항이 아닌 디지털 유품 관리에 대한 유언은 효력이 없을 가능성이 있다고 지적하는 견해가 있다. 디지털 유품 처리에 대하여, 현재로선 ‘사망자의 디지털 유품의 상속’에 관한 입법은 되어 있지 않기에 우리나라의 포털 등의 자율적인 기준에 의하여 처리하고 있다. 우리나라의 포털 등은 디지털 유품을 유족들에게 제공할 수 있는 법적 근거가 존재하지 않고, 디지털 정보로서 존재하고 있는 디지털 유품에 대하여 민법 상속편이 적용된다고 보기 어려우며, 디지털 유품은 사망자만이 일신전속적으로 권리를 누리는 것이기에 양도 등이 적합하지 않고, 개인정보 등을 제3자에게 제공할 때에는 정보주체의 동의를 얻어야 하는데 사망한 정보주체의 동의를 얻을 수 없으며, 정보통신망법상의 비밀침해에 해당한다는 이유로, 대부분 사망자의 디지털 유품 제공을 꺼리고 있다. 하지만 이러한 포털 등의 관행은 사망자의 선택권을 침해하거나 사망자의 의도에 부합하지 않을 수 있고, 이용자들의 상식이나 법감정에 반할 수 있으며, 상속인의 재산권을 침해할 수 있다. 특히 이용자들이 제공하는 콘텐츠와 데이터ㆍ개인정보를 기초로 성장하고 있는 포털 등이 단순히 사무 편의만을 고려한 채 사망자의 디지털 유품 전체를 파기하거나 미니홈피를 폐쇄한다면 더더욱 그럴 수 있다. 또한 NHN, DAUM, SK 컴즈, KTH로 구성된 한국인터넷자율정책기구(KISO)는 2011년 12월에 펴낸 연구보고서에서, “민법적 해석론으로는 디지털 유산도 상속의 대상인 ‘재산’으로 보는 데에 큰 무리는 없으며, 디지털 유산을 상속인에게 제공하는 것은 정보통신망법상 비밀보호규정이나 개인정보보호법에 의한 개인정보보호의무에 위반되지 않는다고 보는 것이 더 합리적이므로 입법이 있기 이전이라도 디지털 유산의 처리를 시행하는 것이 가능하다”고 결론을 내린 바 있다. 개인적으로도, 포털 등의 접속 ID와 비밀번호는 그 자체가 권리라기보다는 개인에 대한 식별기호에 불과하다 볼 수 있고, 설사 권리로 보더라도 계약에 의하여 형성된 채권적 권리인바 일신전속권의 범위에 해당하지 않고, 사망자의 게시물 역시 저작물성이 강한 경우에는 재산상 가치가 있다고 보아야 하기에 일신전속권으로 보기는 어려울 듯 하다. 디지털 유품의 상속에 대하여, 원칙적으로 긍정하는 것이 타당하다고 생각하며, 법령의 미비는 시간을 두고 보완하는 것이 옳다고 본다. 다만 디지털 유품의 상속에 대하여 포털 등의 자율규제에 맡길 것인지 아니면 법령으로 규율한 것인지에 대하여는 많은 논의가 있지만, 법령에는 법체계상 문제되는 부분이나 기본적인 내용만 규율하고, 다양한 형태의 디지털 유품에 대한 구체적인 절차ㆍ수단ㆍ방법ㆍ비용부담 등은 자율규제를 원칙으로 하는 것이 타당할 것이다. 입법 과정이나 자율적 약관 제정 과정에서 가장 중요하게 고려해야 할 점은 이용자의 데이터 선택권과 정보 통제권, 자기결정권, 프라이버시권의 보장이라 할 수 있다. 순위를 둔다면, 상속인에게도 노출하기 싫은 사망자의 사생활이나 비밀에 대한 철저한 보호(프라이버시, 잊혀질 권리)를 우선적으로 고려하여야 하고, 고인을 기리는 상속인들의 의도(알권리, 추모할 권리, 상속권)을 후순위로 고려하야 할 것이다. 현재 국회의원들에 의하여 디지털 유품의 상속을 긍정하는 정보통신망법 개정안이 국회에 지속적으로 제안되고 있으며, 언론 및 국민의 관심도 커져 가고 있다. 다른 IT 강국들도 디지털 유품의 처리 법안에 대하여 시동을 걸고 있다. 사망자의 프라이버시가 보장되는, 그리고 상속인들이 고인을 충분히 기억하고 추모할 수 있는, 사이버 공간이 되길 바란다. * 법무법인 민후 김경환 대표변호사 작성, 디지털데일리(2013. 1. 16.), 로앤비(2013. 1. 24.) 기고.

개인정보보호법 시행으로 인하여, 정보통신서비스제공자뿐만 아니라 개인정보를 다루는 기업이라면 중소기업도 개인정보호법이 정한 지침을 만들어야 한다. 개인정보보호에 관한 지침이 만들기가 쉽지 않은데, 일단 종류를 설명하고, 구체적인 내용을 다루어 보기로 하겠다. 개인정보보호에 관한 지침으로는 1) 개인정보처리방침(개인정보취급방침), 2) 개인정보안전처리를 위한 내부관리계획, 3) 개인정보안전성확보지침이 있다. 1) 개인정보처리방침이란 기업이 개인정보 처리에 관한 자신의 내부 방침을 정하여 공개한 자율적 기준이다. 개인정보처리방침은 개인정보보호법 제30조, 시행령 제31조에 그 자세한 내용이 설명되어 있다. 다만 정보통신서비스제공자는 개인정보처리방침이라 하지 않고 개인정보취급방침이라고 칭한다(정보통신망법 제27조의2). 개인정보처리방침에는 다음과 같은 10가지 내용이 반드시 포함되어 있어야 한다(필수적 기재사항). 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5. 정보주체의 권리·의무 및 그 행사방법에 관한 사항 6. 처리하는 개인정보의 항목 7. 개인정보의 파기에 관한 사항 8. 개인정보보호책임자에 관한 사항 9. 개인정보처리방침의 변경에 관한 사항 10. 개인정보의 안전성 확보조치에 관한 사항 위 10가지 사항 이외에 아래 사항은 임의로 포함할 수 있다(임의적 기재사항). 11. 정보주체의 권익침해에 관한 구제방법 12. 개인정보의 열람청구를 접수ㆍ처리하는 부서 개인정보처리방침은 제정한 다음 이를 정보주체에게 공개하여야 하고, 만일 변경하는 경우에도 정보주체에게 공개하여야 한다. 이러한 개인정보처리방침은 ‘이용약관’은 아니므로, 기업은 이용약관을 만들어 게재하였다고 하여 개인정보처리방침을 생략해서는 아니 된다. >> 개인정보처리방침을 만들 때는 행정안전부가 제정한 ‘표준 개인정보 보호지침’을 참조하거나 또는 개인정보보호 종합지원포털(www.privacy.go.kr)에 방문하여 지원을 받을 수 있다. 2) 개인정보안전처리를 위한 내부관리계획(이하 ‘내부관리계획’이라 함)은 개인정보보호법 제29조, 시행령 제30조에 근거를 두고 있다. 내부관리계획이란 기업이 개인정보를 안전하게 처리하기 위하여 내부 의사결정절차를 통하여 수립ㆍ시행하는 내부 기준을 의미하는데, 개인정보의 안전성확보조치 중 관리적 보호조치로 분류된다. 내부관리계획은 개인정보 주체에 알리는 것이 아니라 개인정보를 다루는 내부 임직원 및 관련자에게 공지하고 강제하는 점에서 개인정보 주체에게 공개하는 개인정보처리방침과는 구분된다. 내부관리계획은 개인정보 보호조직의 구성 및 운영에 관한 사항이 포함되어 있어야 하는데, 구체적으로는 아래와 같다. 1. 개인정보 보호책임자의 지정에 관한 사항 2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항 3. 개인정보의 안전성 확보에 필요한 조치에 관한 사항 4. 개인정보취급자에 대한 교육에 관한 사항 5. 기타 개인정보 보호를 위하여 필요한 사항 내부관리계획은 경영진에 대한 보고, 경영진의 승인 및 결재를 걸쳐 내부적으로 시행되어야 하며, 관련 법령이 변경되는 때에는 계획을 변경하여 즉시 반영하여야 하고, 기업의 전 직원뿐만 아니라 개인정보의 수탁업체도 준수할 수 있게 공개ㆍ교육하여야 한다. 3) 개인정보안전성확보지침은 개인정보의 안전성 확보를 위한 기술적인 기준을 의미하는데, 내부관리계획이 안전성확보조치 중 관리적 보호조치라면, 개인정보안전성확보지침은 기술적ㆍ물리적 보호조치라 할 수 있다. 개인정보안전성확보지침은 내부관리계획과 별도로 제정하여도 되지만 내부관리계획에 포함하여도 무방하다. 반대로 개인정보안전성확보지침에 내부관리계획을 포함하여도 된다. 개인정보안전성확보지침에는 다음과 같은 사항이 포함되어 있어야 한다. 1. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 및 비밀번호 관리에 대한 사항 2. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치에 대한 사항 3. 개인정보 침해사고의 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 조치에 대한 사항 4. 개인정보에 대한 보안프로그램의 설치 및 갱신에 대한 사항 5. 물리적 접근방지에 관한 조치에 대한 사항 >> 개인정보안전성확보지침을 만들 때에는 행정안전부가 제정한 ‘개인정보의 안전성 확보조치 기준 고시’나 방송통신위원회가 제정한 ‘개인정보의 기술적·관리적 보호조치 기준’을 참조하면 시간을 절약할 수 있다. * 법무법인 민후 김경환 대표변호사 작성, 블로그(2012. 8. 5.), 로앤비(2012. 8. 6.) 기고.

소프트웨어 중심사회라는 말이 최근 자주 거론되고 있다. 사회와 기술의 중심이 소프트웨어로 옮겨지고, 소프트웨어의 무한한 부가가치 창출 가능성을 확인하였지만, 우리나라 소프트웨어 산업은 여전히 선진국에 비해 많이 뒤떨어져 있어, 반성적 고려에서 나온 새로운 패러다임이라 할 수 있다. 특히 소프트웨어 조기교육을 강조하면서 초·중학생들에 대한 소프트웨어 교육 의무화가 논해지고 있지만, 주변의 현직 개발자들은 사회나 기업의 홀대에 불만을 토로하면서 개발자들에 대한 복지가 고쳐지지 않는 한 소프트웨어 중심사회의 실현은 어려울 것이라고 말하고 있다. 현실적으로 우리나라 개발자의 연봉과 처우는 선진국보다 많이 열악하다. 낮은 연봉, 잦은 밤샘작업, 휴일 없는 작업, 보장되지 않은 승진 기회, 높은 이직률 등이 회사에 재직하는 개발자들의 현실이고, 창업을 하자니 죽음의 경쟁, 불량 투자환경, 모방자 천국, 수많은 규제 법령 등 창업환경도 좋지 않기에, 상대적으로 조건이 좋은 해외로, 외국기업으로 진출하는 경우도 적지 않다. 소프트웨어 교육을 받은 초ㆍ중학생들이 졸업하여 사회에 진출하더라도 개발자 환경이 바뀌지 않는 한 똑같은 좌절을 느끼고 외국으로, 해외 기업으로 자리를 옮길 가능성이 농후하다. 소프트웨어 중심사회의 성과를 내려면 개발자 처우와 복지 개선이 필수인 것이다. 안타까운 점은 개발자만큼 복지나 창업환경이 좋지 않은 것이 우리나라 변호사들의 실정이라는 것이다. 악화되는 업무환경과 수임환경은 예전보다 변호사 복지를 더 후퇴시키고 있다. 우리 로펌의 경우 몇 년간 고민을 지속한 끝에 여름휴가, 월차와 별도로 1년에 4주의 안식주를 보장하게 되었는데, 시행착오도 있었지만 이 제도가 정착하면서 변호사들의 만족도가 올라가고 업무 효과도 좋아져 궁극적으로는 의뢰인 만족에 크게 기여하고 있다. 이런 선순환을 보면, 변호사 복지를 변호사 업무의 핵심으로 여겨야 할 것이고, 개발자 복지도 같은 관점에서 바라보아야 하지 않을까 생각한다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2014. 8. 18.) 기고.

최근 많은 논란을 낳은 소프트웨어(SW)산업진흥법 개정으로 2013년 1월 1일부터 상호출자 제한기업집단 소속 IT서비스 기업은 원칙적으로 공공 정보화 시장에 참여할 수 없는 등 중소 소프트웨어사업자 육성안이 실행 중이다. 이 제도의 시행으로 인하여 여러 소프트웨어기업의 이해관계에 큰 영향을 주게 되었고, 기업의 전략도 대폭 수정해야 하는 경우도 생겼다. 이에 이번 기고에서는 소프트웨어산업진흥법상의 대기업의 공공사업 참여제한에 대하여 살펴보기로 한다. 국가, 지방자치단체, 국가 또는 지방자치단체가 투자하거나 출연한 법인 또는 그 밖의 공공단체 등(이하 `국가기관등`이라 함)이 발주하는 소프트웨어사업에서 ① 대기업인 소프트웨어사업자의 사업참여는 제한되며, ② 대기업 소프트웨어사업자 중 상호출자제한기업집단에 속하는 회사의 사업참여는 원칙적으로 금지된다. 이러한 조치로 인하여 중소 소프트웨어사업자의 공공 부문 소프트웨어 사업 참여가 확대될 수 있게 되었다. 여기서 중소 소프트웨어사업자(정보서비스업)란 상시 근로자수 300명 미만 또는 매출액 300억원 이하의 사업자를 말하므로, 대기업 소프트웨어사업자는 그 이상인 사업자를 의미하며, 다만 소프트웨어사업자로 신고된 사업자에 제한된다. ① 대기업 소프트웨어사업자는 사업금액에 따라 사업참여가 제한된다. 매출액 8천억원 이상인 대기업의 경우는 사업금액(부가가치세 포함, 이하 같음)이 80억원 이상인 사업만 참여할 수 있고, 매출액 8천억원 미만인 대기업의 경우는 사업금액이 40억원 이상인 사업만 참여할 수 있다. 다만 중소기업이 `중견기업`에 해당하는 대기업이 된 경우 그 사유가 발생한 날로부터 5년이 경과되지 않을 시에는 20억원 이상의 사업에 참여할 수 있다. 한편 둘 이상의 소프트웨어사업을 일괄발주하는 경우에는 총 사업금액이 아닌 각 단위사업의 금액에 따라 대기업인 소프트웨어사업자가 참여가능한 사업금액의 하한을 적용한다. 다만 대기업 소프트웨어사업자라 하더라도, ⅰ) 대기업인 소프트웨어사업자 자신이 구축한 소프트웨어사업의 유지 및 보수에 관한 사업으로서 2014년 12월 31일까지 체결한 계약, ⅱ) 조달청에 의뢰하여 발주하는 사업으로서 소프트웨어사업자를 선정하지 못하여 다시 발주하는 사업, ⅲ) 국방ㆍ외교ㆍ치안ㆍ전력, 그 밖에 국가안보 등과 관련된 사업으로서 대기업인 소프트웨어사업자의 참여가 불가피하다고 미래창조과학부장관이 인정하여 고시하는 사업에 대하여는 사업금액의 제한 없이 참여할 수 있다. 여기서 대기업인 소프트웨어사업자의 참여가 불가피한 사업이란, ⅰ) 대규모 사업으로서 시스템 통합대상이 광범위하거나, 다수의 시스템과 연계ㆍ통합이 요구되는 복잡한 사업으로서 고도의 시스템통합 능력과 경험이 요구되는 경우, ⅱ) 대상 시스템 관리기관 또는 관리자가 전국 또는 국내외로 분포된 사업으로서 고도의 사업관리 능력과 경험이 요구되는 경우, ⅲ) 대상 시스템의 품질저하 내지 위험발생시 국가의 존립, 국민의 신체ㆍ재산에 대한 피해가 막대할 것으로 예상되는 사업으로서 고도의 위험관리ㆍ대응 능력과 경험이 요구되는 경우, ⅳ) 사업의 기술적 전문성ㆍ특수성이 인정되는 분야로서 해당기술을 보유한 기업이 대기업 밖에 존재하지 않는 경우 또는 해외 시장에서 차지하는 기술적 경제적 가치가 높아 글로벌 경쟁력 제고에 상당한 영향을 줄 수 있는 새로운 기술을 적용하는 경우, ⅴ) 운영사업으로서 위 ⅰ)부터 ⅳ)의 어느 하나 이상에 해당하는 경우를 말한다. 대기업인 소프트웨어사업자의 참여가 불가피하여 대기업 참여제한에 대한 예외를 인정받고자 하는 국가기관등의 장은 해당사업의 전년도 12월 말일까지 주무부서 장관에게 예외사업의 인정을 요청하여야 한다. 위 요청을 받은 주무부서 장관은 심의위원회 심의 등을 거쳐 예외사업 인정여부를 판단할 수 있으며, 원칙적으로 45일 이내에 그 결과를 각 국가기관등에 통보하여야 한다. ② 대기업이라도 상호출자제한기업집단에 속하는 회사에 대하여는 계약체결일 2013. 1. 1. 기준으로 대기업 소프트웨어사업자와 달리 사업금액에 관계없이 참여를 제한할 수 있다. 여기서 상호출자제한기업집단에 속하는 회사는 공정거래위원회가 매년 지정하여 발표하는데, 금년의 경우 자산총액 5조원 이상인 62개 기업집단을 2013년 상호출자제한기업집단으로 지정하였다. 이 중 민간 기업집단은 51개로 전년과 동일하고 공기업 집단 등은 11개로 전년에 비하여 1개 감소하였다. 다만 상호출자제한기업집단에 속하는 회사라도, ⅰ) 대기업인 소프트웨어사업자 자신이 구축한 소프트웨어사업의 유지 및 보수에 관한 사업, ⅱ) 조달청에 의뢰하여 발주하는 사업으로서 소프트웨어사업자를 선정하지 못하여 다시 발주하는 사업, ⅲ) 국방ㆍ외교ㆍ치안ㆍ전력, 그 밖에 국가안보 등과 관련된 사업으로서 대기업인 소프트웨어사업자의 참여가 불가피하다고 미래창조과학부장관이 인정하여 고시하는 사업에 대하여는 사업금액의 제한 없이 참여할 수 있다. 이 점은 대기업 소프트웨어사업자와 같다. 한편 대기업의 공동수급도 제한되는데, 발주자는 제안요청서 작성시 대기업참여를 허용할 경우에도 대기업인 소프트웨어사업자 중에서 매출액이 8천억원 이상인 소프트웨어사업자 간 공동수급체의 참여를 제한하여야 한다. 따라서 매출액이 8천억원 이상인 대기업 소프트웨어사업자와 매출액이 8천억원 미만인 대기업 소프트웨어사업자 사이의 공동수급은 허용된다. 창조경제의 핵심으로 소프트웨어 및 콘텐츠 산업이 꼽히고 있기는 하지만, 소프트웨어 및 콘텐츠 기업이 우리나라에서 제대로 된 대우를 받고 있다고는 할 수 없는 것이 현실이다. 여러 가지 법제도 정비를 통하여 창조경제를 현실적으로 실현할 수 있는 핵심인 소프트웨어 및 콘텐츠 산업을 지원함으로써, 소프트웨어와 콘텐츠를 통한 진정한 IT 강국이 되기를 기원하며, 소프트웨어산업진흥법의 여러 시도가 좋은 결실을 맺기를 희망한다. * 법무법인 민후 김경환 대표변호사, 디지털데일리(2013. 4. 23.), 전자신문(2013. 5. 28.), 디지털타임스(2014. 1. 4.) 기고.

2013년 3월경 시행된 소프트웨어산업진흥법, 특히 대기업 소프트웨어사업자의 국가기관등의 발주사업 참여 제한 조항(제24조의2)으로 인해 소프트웨어산업에 일대 폭풍이 불고 있다. 하지만 그 미치는 영향이 심대함에도 불구하고 소프트웨어산업진흥법 일부조항의 모호함 때문에, 법적용을 받는 기업들이나 법집행을 해야 하는 정부기관들도 모두 갈팡질팡하고 있는 실정이며, 오히려 중소기업과 대기업 사이의 갈등의 골이 깊어지고 있다. 대표적으로 최근 한 공공기관의 하드웨어(HW) 기기 변경 사업을 두고, 소프트웨어산업법이 적용되므로 대기업이 참여해서는 안 된다는 입장과 소프트웨어산업법이 적용되지 않는다는 입장이 맞서고 있다. 이런 논란을 포함해, 이 법의 몇 가지 모호한 점을 제시하고, 그 법적 해결책을 같이 제안하고자 한다. 첫째, PC·주변기기 등의 하드웨어 기기 변경 사업이 소프트웨어산업진흥법의 적용을 받는 소프트웨어산업인지 여부의 모호함이 문제이다. PC·주변기기 등의 하드웨어 기기의 변경이나 추가가 있는 경우, 단순히 기기를 변경하거나 새로이 추가하는 것이 아니라 기기 안에 윈도, 오피스, 한글 등의 구동 소프트웨어(SW)를 설치한 다음 기존 시스템에의 호환·연동 작업을 하게 되는데, 이 과정에서 불가피하게 소프트웨어 작업이 필요하기 때문에, PC·주변기기 등의 하드웨어 기기 변경 사업이 소프트웨어사업인지 아니면 하드웨어사업인지에 대해 다툼이 발생한 것이다. 만일 PC·주변기기 등의 하드웨어 기기의 변경이나 추가 사업을 소프트웨어사업으로 분류한다면 소프트웨어산업진흥법이 적용돼 대기업이나 상호출자제한기업집단에 속하는 회사가 입찰에 참여하지 못하는 것이지만, 소프트웨어사업이 아니라 하드웨어사업이라면 소프트웨어산업진흥법이 적용되지 않아 대기업 입찰에 제한이 없게 된다. 한편 소프트웨어산업진흥법이 적용되는 소프트웨어산업에 대해 소프트웨어산업진흥법 제2조 제2호는 지난 2010년부터 ‘소프트웨어의 개발, 제작, 생산, 유통 등과 이에 관련된 서비스 및 「전자정부법」 제2조 제13호에 따른 정보시스템의 구축·운영 등과 관련된 산업’이라고 정의하고 있고, 전자정부법 제2조 제13호는 ‘정보시스템’에 대해 ‘정보의 수집·가공·저장·검색·송신·수신 및 그 활용과 관련되는 기기와 소프트웨어의 조직화된 체계’로 정의하고 있다. 위 소프트웨어산업진흥법 제2조 제2호를 간단하게 정리하면, ① 소프트웨어의 개발, 제작, 생산, 유통 등과 이에 관련된 서비스 및 ② 전자정부법에 따른 정보시스템의 구축·운영 등과 관련된 산업이 소프트웨어산업이라는 것이고, 따라서 이 사안의 쟁점은 ‘PC·주변기기 등의 하드웨어 기기의 변경이나 추가 사업’이 위 2가지 중 하나에 해당하는지 여부이다. 먼저 ① ‘소프트웨어의 개발, 제작, 생산, 유통 등과 이에 관련된 서비스’에 ‘PC·주변기기 등의 하드웨어 기기의 변경이나 추가 사업’이 포함되는지 여부를 살펴보건대, 모든 기기에는 불가피하게 하드웨어와 소프트웨어가 모두 존재하고 있다는 점을 고려하면, 단순히 소프트웨어가 존재한다고 해 또는 소프트웨어 작업이 필요하다고 해 ‘소프트웨어의 개발, 제작, 생산, 유통 등과 이에 관련된 서비스’에 해당한다고 보아서는 아니되고, 소프트웨어와 하드웨어의 상관관계를 가지고 판단해야 한다. 즉 하드웨어 내의 소프트웨어가 하드웨어에 종속적이면 소프트웨어사업이 아닌 하드웨어사업으로 보고, 하드웨어 내의 소프트웨어가 하드웨어에 종속적이지 않으면 소프트웨어사업으로 분류하는 것이 일반적이다. 예컨대 ‘PC·주변기기 등의 하드웨어 기기의 변경이나 추가’로 인해 필요한 소프트웨어작업이 기존 시스템에의 호환성·연동성을 위한 소프트웨어작업이라면, ‘PC·주변기기 등의 하드웨어 기기의 변경이나 추가 사업’은 소프트웨어사업에 해당하지 않는다고 보아야 한다. 더불어, 소프트웨어가 범용으로서 하드웨어 종류와 상관없이 구동하는 상용프로그램인 경우, 사업자가 아닌 발주자가 하드웨어의 소프트웨어작업에 필요한 소프트웨어를 제공하는 경우, 하드웨어가 기성품으로서 일반적으로 판매되는 것인 경우, 하드웨어의 A/S를 하드웨어 판매업체가 제공하는 경우 등은 ‘PC·주변기기 등의 하드웨어 기기의 변경이나 추가 사업’은 소프트웨어사업에 해당하지 않는다고 볼 소지가 크다. 다음으로 ② ‘전자정부법에 따른 정보시스템의 구축·운영 등과 관련된 산업’에 ‘PC·주변기기 등의 하드웨어 기기의 변경이나 추가 사업’이 포함되는지 여부를 살펴보건대, 전자정부법 제2조 제13호는 ‘정보시스템’에 대해 “정보의 수집·가공·저장·검색·송신·수신 및 그 활용과 관련되는 기기와 소프트웨어의 조직화된 체계”로 정의하고 있기에, 일단 PC·주변기기 등의 하드웨어 기기는 전자정부법에 따른 정보시스템에 포함된다고 볼 수도 있어 보인다. 하지만, PC·주변기기 등의 하드웨어 기기가 전자정부법에 따른 정보시스템에 포함된다고 해, ‘PC·주변기기 등의 하드웨어 기기의 변경이나 추가 사업’이 소프트웨어산업이라고 볼 수는 없어 보인다. 왜냐하면, 전자정부법상의 정보시스템에 관한 사업은 하드웨어사업과 소프트웨어사업을 모두 포함하고 있는 개념인바, 소프트웨어산업진흥법상의 ‘전자정부법에 따른 정보시스템의 구축·운영 등과 관련된 산업’는 위 정보시스템에 관한 사업 중에서도 특히 ‘소프트웨어산업’만 가리킨 것이라고 보아야 하기 때문이다. 이렇게 해석하지 않으면, 소프트웨어산업진흥법이 하드웨어사업도 함께 규율해 하드웨어사업 관련법인 정보통신공사업법 또는 전기통신사업법의 영역까지 침범하는 사태가 발생하며, 단순한 하드웨어산업까지도 소프트웨어산업진흥법이 포섭하게 되는 기이한 현상이 발생할 우려가 있고, 소프트웨어가 들어가기만 하면 단순한 하드웨어 판매사업자도 소프트웨어사업자라고 파악할 수 있어 보이기 때문이다. 결국, ② ‘전자정부법에 따른 정보시스템의 구축·운영 등과 관련된 산업’이란 ‘전자정부법에 따른 정보시스템의 구축·운영 등과 관련된 (소프트웨어)산업’ 또는 ‘전자정부법에 따른 정보시스템의 구축·운영 등과 관련된 산업 중 소프트웨어산업’이라고 해석해야 전체 법취지나 법제목에 맞는 해석이라 생각한다. 중소기업의 보호는 반드시 이루어야 할 덕목이지만, 법해석을 왜곡해서까지 그 보호가 행해져서는 안 될 것이다. 소프트웨어가 들어가기만 하면 하드웨어사업까지 포함해 소프트웨어사업을 개념정의하게 되면, PC·모바일을 판매하는 대기업까지도 소프트웨어사업자가 될 수도 있다는 점을 명심해야 하겠다. 둘째, 소프트웨어산업진흥법 제24조의2 제2항에 의하면, 대기업은 일정 사업금액 이하의 소프트웨어사업에 대해는 참여가 제한되는바, 하지만 법적용상 이러한 금액 기준이 명확하지 않다. 예컨대 매출액 8천억원 이상의 대기업은 사업금액이 80억원 미만인 사업에 대해 참여가 제한되는바, 사업기간을 늘리면 손쉽게 사업금액을 80억원 이상으로 만들 수 있다. 현재는 사업기간에 상관없이 사업참여 가능한 사업금액을 산정하고 있어 발생하는 문제인바, 이러한 산정방법에서 벗어나 전체 사업금액을 사업기간에 나눈 연평균 금액을 기준으로 정하는 것이 바람직할 것으로 보인다. 셋째, 소프트웨어산업진흥법 제24조의2 제2항 제1호에 의하면, ‘대기업인 소프트웨어사업자 자신이 구축한 소프트웨어사업의 유지 및 보수에 관한 사업’의 경우에는 대기업의 참여제한이 적용되지 않는데, 법적용상 구축의 정도가 명확하지 않다. 예컨대 대기업인 소프트웨어사업자가 전부를 구축한 소프트웨어사업의 유지·보수 사업에 관해 대기업의 참여제한이 적용되는지 것인지, 아니면 일부라도 구축에 참여했다면 소프트웨어사업의 유지·보수 사업에 관해 대기업의 참여제한이 적용되는지 것인지에 명확하지 않다. 앞으로 이 점에 대해 명확하게 밝힐 필요가 있다. 이상 소프트웨어진흥법 제24조의2의 적용과정에서 발생하는 문제점에 대해 살펴보았다. 법이 모호하면 법의 실효성까지 해치게 된다. 애써 만든 상생의 법안이 법 자체의 모호성 때문에 실효성까지 잃게 되는 사태가 발생하지 않도록 최선의 관리를 다해야 할 것이다. * 법무법인 민후 김경환 대표변호사, 디지털데일리(2013. 6. 24.) 기고.

개인정보 및 프라이버시에 대한 관심이 증폭되어 가는 가운데 2012년 2월경 두 대표적인 IT 기업인 애플(Apple)과 구글(Google)이 트랙킹 쿠키 및 인터넷 이용자의 프라이버시를 쟁점으로 한 분쟁이 있었고, 최근에 이에 대한 미국 법원의 최종적인 재판 결과가 나왔다. 이 기고에서는 이 분쟁의 경과를 살펴봄으로써 트랙킹 쿠키(tracking cookie)가 프라이버시에 미치는 영향을 검토해 보고자 한다. 애플이 제공하는 사파리(safari) 웹브라우저는 ‘제3자 쿠키 차단(no third party cookies)’ 기능을 기본적인 설정으로 하여 출시되고 있고, 특히 이용자가 이 설정을 변경하지 않는 한 이용자가 방문한 사이트에서 제공된 쿠키파일(first party cookies)이 아닌 이용자가 방문하지 아니한 제3자 사이트가 제공한 쿠키파일(third party cookies)이 이용자의 PC 등에서 발견되어서는 아니 되어야 한다. 하지만, 사파리 브라우저의 쿠키 차단 설정을 변경하지 않은 사파리 브라우저 이용자의 PC 등에서 구글의 대표적인 광고형태인 Double Click 방법(이용자의 행태를 분석함으로써 이용자의 기호에 맞는 광고를 제공하는 온라인 행태광고 방법 중 대표적인 것)에 의한 제3자 쿠키파일이 깔려 있는 게 발견되었던 것이었다. 즉 이용자가 구글이 운영하는 Double Click 사이트를 방문하지 않았음에도 불구하고 제3자인 Double Click 사이트가 제공한 트랙킹 쿠키파일(tracking cookies, 이용자의 방문기록 등을 추적하는 특수한 쿠키로서 일반적인 쿠키와 달리 검색 및 삭제가 어려움)을 발견할 수 있었다. 이러한 현상에 대하여 애플 등은 구글이 자사의 Double Clikc 광고서비스 제공을 위해 Double Click 사이트가 제3자(third party)가 아닌 것처럼 조작함으로써 애플 사파리의 프라이버시 설정을 우회하거나 유명무실하게 만들었다고 의심을 하였고, 이용자들은 구글의 프라이버시 침해 행위에 분노하면서 FTC(Federal Trade Commission)의 조사가 시작되었다. 이 분쟁을 미국 언론에서는 ‘쿠키 게이트’라고 불렀다. 수개월 동안의 FTC 조사 결과 밝혀진 바로는, 구글은 다음과 같은 2가지 방법으로 이용자가 방문하지 않은 Double Click 사이트를 제3자(third party)가 아닌 것처럼 착각하게 만들었다고 한다. 첫 번째 방법은, 이용자가 Double Click사와 제휴된 특정 사이트를 방문한 경우 이용자가 Double Click 사이트를 방문한 것처럼 처리하게 함으로서 트랙킹 파일을 설치하였다. 두 번째 방법은, 구글이 ‘document.getElementById('drt_form').submit();’이라는 자바 스크립트가 들어 있는 파일을 사파리 브라우저에 보내면, 사파리 브라우저는 이용자가 Double Click 사이트에 form을 제출한 것처럼 착각함(즉 직접적인 연결이 있는 것으로 착각함)으로써 Double Click의 트랙킹 쿠키를 이용자의 PC 등에 설치하였다. 이 방법이 특히 관심을 끌었고 큰 문제가 되었다. FTC의 조사가 착수되고 여론이 악화되자, 2012년 8월 구글은 자신의 프라이버시 침해를 인정하고 FTC와 화해(settlement)를 하였는데, 그 내용은 “22.5백만 달러(약 240억원) 벌금을 지불하고, 사파리 브라우저 이용자 PC 등에 깔려 있는 트랙킹 쿠키를 찾아서 전부 없애기로 한다”는 것이었다. 이 벌금은 FTC 역대 최고라고 한다. 최근에는 법원에 의하여도 위 화해 내용이 승인되었다. 즉 컨슈머 워치독이라는 소비자단체는 FTC의 제재가 구글 같은 회사를 변화시키기엔 실효성이 없다고 주장하면서 좀 더 높은 수준의 제재를 법원에 요구하였지만, 미국 캘리포니아 북부지방법원의 수잔 일스톤 판사는 2012년 11월 16일, “FTC와 구글이 2개월 넘게 세부적인 합의 사항을 고심해왔으며, 벌금액수와 협의 과정 모두 공정하고 적절하며 합리적이었다”고 하여 승인힌 것이다. 이로써 쿠키 게이트는 일단락되었다고 할 수 있다. 이렇게 구글에게 큰 벌금이 내려진 이유는, 구글이 지난 2011년 10월 프라이버시 침해를 이유로 FTC으로부터 버즈 명령(Buzz decree)을 받았음에도 이를 어기고, 또 다시 사파리 브라우저 이용자의 프라이버시를 침해하였기 때문이다. 버즈 명령이란, 2010년 9월 구글의 소셜네트워킹 툴인 Google Buzz가 Gmail 사용자의 개인정보를 동의 없이 이용하고 공개하였다는 이유로 피해자들에게 850만달러를 배상하고, 2011년 10월 같은 이유로 감독청인 미국 FTC에게 개인정보의 수집목적 외 이용 금지, 이용자의 정보통제권 보장 등 광범위한 프라이버시 프로그램 운용의 이행을 약속하였는데, 이 때 작성된 것은 바로 버즈 명령이다. 이상의 경과를 보고 온라인 행태광고를 위한 트랙킹 쿠키 자체가 위법하다고 생각해서는 아니 된다. 이 사건은 구글이 트랙킹 쿠키를 기망적인 방법ㆍ우회적인 방법으로 이용자의 PC 등에 설치하고 이용자의 행태정보를 수집했다는 점이 문제였던 것이지 트랙킹 쿠키 자체를 문제삼은 것은 아니다. 미국의 경우, 트랙킹 쿠키 자체가 위법하다고 보지 않고 다만 일정한 절차만 따르면 허용된다고 보고 있다. 예컨대, 미국 FTC는 2011년 11월경, Double Click과 유사한 온라인 행태광고를 하는 ScanScout사가 트랙킹 쿠키에 의한 행태정보 수집을 은폐하였다는 것을 문제삼아, ScanScout에게 이용자의 정보가 수집ㆍ이용ㆍ공유ㆍ제공되는 방식 및 그러한 방식에 대한 이용자의 통제권을 명확하게 표현할 것, 이용자의 정보수집을 거부할 수 있는 방법(opt-out 방식)을 적용할 것, 하이퍼링크를 통해 별도의 웹 페이지로 이동하여 이용자가 정보수집을 거부할 수 있는 방법을 제공할 것 등의 절차를 마련하라고 시정조치하였다. 트랙킹 쿠키에 의한 정보수집은 기본적으로 비식별정보에 대한 수집이므로 우리나라 정보통신망법, 개인정보보호법에 의하더라도 위법하다고 단정할 수 없다. 하지만 기업의 정보수집 욕구나 빅데이터 구축 의욕은 자칫 정보주체의 비식별정보에 대한 통제권을 무시할 수 있고, 실제 그러한 예가 바로 구글의 트랙킹 쿠키, ScanScout사의 트랙킹 쿠키 사건인 것이다. 정보통신망법이나 개인정보보호법의 적용범위를 넓혀, 비식별정보에 대한 합리적인 규율과 절차 설정이 필요한 때라고 본다. * 법무법인 민후 김경환 대표변호사 작성, 블로그(2012. 11. 25.), 보안뉴스(2012. 11. 27.), 로앤비(2012. 12. 5.) 기고.

우리는 알게 모르게 많은 오픈소스 소프트웨어를 이용하고 있고, 개발자들도 개발 과정에서도 많은 오픈소스 소프트웨어에 의존하고 있다. 오픈소스 소프트웨어는 무료 소프트웨어의 공유라는 단순한 의미를 넘어 안드로이드 스마트폰에서 보았듯이 어느덧 기업의 비즈니스 모델로 확고하게 자리 잡고 있으며, 나아가 앞으로 상용 소프트웨어를 대체할 것으로 예상하는 사람들도 있는 실정이다. 이에 이번 기회에 오픈소스 소프트웨어의 역사를 한 번 짚어보고자 한다. “누군가가 나의 등잔의 심지에서 불을 붙여가도 내 등잔의 불은 여전히 빛나고 있습니다.” 미국의 정치가 토머스 제퍼슨이 한 말이다. 이러한 명언은 이후 오픈소스 소프트웨어 생성의 정신적 기초가 됐다. 오픈소스 소프트웨어(Open Source Software, OSS)란 일반 사용자의 공동연구를 통해 개발, 시험, 개선작업과 공동연구를 보장하기 위해 해당 소프트웨어의 소스코드(인간이 읽을 수 있는 언어 형식으로 작성된 것, 대표적인 언어 형식으로는 C, Java 등이 있다)가 공개되는 소프트웨어를 말한다. 대표적인 오픈소스 소프트웨어로는 최근 안드로이드(android) 때문에 모바일 플랫폼으로서 각광을 받고 있는 리눅스 커널(linux kernel, 점유율 약 50%), 서버시장의 약 30%의 점유율을 보이고 있는 리눅스 OS, 전세계 웹서버의 60% 이상을 차지하고 있는 아파치(apache), DB 분야의 선두주자인 MySQL, 통합개발환경을 제공하는 이클립스(eclipse) 등이 있다. 우리나라에서도 이름난 오픈소스 소프트웨어가 있으니, 과거 NHN(현 네이버)이 인수해 전세계의 웹콘텐츠 플랫폼 시장의 약 60%를 휩쓸고 있는 익스프레스엔진(XpressEngine, XE)이 그것이다. 오픈소스 소프트웨어의 기원은 1980년대로 거슬러 올라간다. 하드웨어 중심 체제로부터 점점 소프트웨어의 비중이 높아지면서 소프트웨어 기업의 소프트웨어에 대한 이용·배포·복제·수정 등에 일정한 제한을 가하려고 하는 추세가 있자, 이러한 ‘독점’ 체제에 반발해 ‘공유’를 주장하는 운동이 리차드 스톨만(Richard Stallman)에 의해 일어났다. 리차드 스톨만은 소프트웨어 상업화에 반대하고 소프트웨어 개발 초기의 상호협력적인 문화로 돌아갈 것을 주장하며 1984년 GNU(GNU is Not UNIX)프로젝트를 주도했고, 이듬해인 1985년 FSF(프리 소프트웨어 재단, http://www.fsf.org)를 조직하면서, ‘소프트웨어는 공유돼야 하며 프로그래머는 소프트웨어로 돈을 벌어서는 안 된다’는 내용의 GNU 선언문을 제정하기도 했고, 이를 지원하기 위해 저작권(copyright)에 대응하는 카피레프트 운동도 주창했다. 1990년대 들어서면서 인터넷의 보급과 더불어 GNU GPL(General Public License)로 배포된 리눅스의 보급으로 자유소프트웨어 운동이 확산됐고, 1998년에는 MS의 웹브라우저인 익스플로러에 밀려 어려움을 겪고 있던 넷츠케이프(Netscape)사가 웹브라우저 모질라의 소스코드를 공개하는 결정을 하게 됐다. 그 즈음 자유소프트웨어라는 용어에서 오픈소스 소프트웨어로 용어가 변경되는데, 자유(free)란 용어 때문에 일반인들이 무료라고 인식하고 있다는 점, GPL 조항의 엄격성 때문에 소프트웨어 개발이 용이하지 않다는 점을 탈피하기 위해서였다. 이후 1998년 오픈소스 소프트웨어를 인증하는 OSI(Open Source Initiative, www.opensource.net)가 에릭 레이몬드(Eric Raymond) 등에 의해 결성되면서 오픈소스 소프트웨어 운동은 궤도에 오르게 된다. OSI 단체가 정한 오픈소스 소프트웨어의 기준을 OSD(Open Source Definition)이라 하는데, 이 기준을 만족해야만 오픈소스 소프트웨어로 인정받게 된다. 참고로, OSD 기준에 따르면 오픈소스 소프트웨어는 6가지 요건을 갖추어야 한다. ▲자유로운 재배포(Free Redistribution) ▲소스코드 공개(Source Code) ▲2차적 저작물 허용(Derived Works) ▲저작자의 소스코드의 온전함(Integrity of The Author's Source Code) ▲차별금지(No Discrimination Against Persons or Groups 및 No Discrimination Against Fields of Endeavor) ▲라이선스의 배포(Distribution of License). 위와 같은 역사를 거쳐 이제 오픈소스 소프트웨어는 소프트웨어의 한 축을 잡게 됐다. * 법무법인 민후 김경환 대표변호사 작성, 디지털데일리(2014. 2. 21.), 마이크로소프트웨어 기고.