2009년 2월 페이스북은 프라이버시 정책을 포함하는 약관(terms of service)을 이용자들에게 고지하거나 동의를 얻지 않고 임의로 변경했는데, 변경된 약관은 이용자의 프라이버시를 실종케 했다는 비판을 받았다. 페이스북의 변경된 약관에 의하면 비록 이용자가 계정을 해지했다고 하더라도 페이스북은 이용자의 개인정보를 영구히 소유할 수 있으며 광고, 홍보, 검색, 응용프로그램개발 등 어떠한 목적으로든지 이용자의 이름, 선호, 이미지 등을 공개할 수 있게 함으로써 사적정보의 범위를 줄이고 공개정보(publicly available information)의 범위를 과감히 확대했다. 하지만 변경된 약관에 대한 반대세력은 급격히 늘어나 결집했으며 급기야 2009년 12월에 EPIC(전자개인정보센터) 등은 FTC(연방거래위원회)에 조사요청을 하기에 이른다. 이러한 거센 반발에 결국 페이스북과 주커버그는 무릎을 꿇었고 2011년 11월에는 FTC와 화해약정을 체결했다. 화해약정에서 페이스북은 이용자의 프라이버시 설정을 변경할 경우 사전에 이용자의 허락을 받고 제3자에게 어느 정도 공개할지도 분명히 하기로 약속했다. 주커버그는 이 때 또다시 이용자들에게 사과를 하게 된다. >> 개인정보취급방침이나 약관의 변경이 허용되지 않는 것은 아니다. 그러나 개인정보취급방침이나 약관의 변경이 법규정을 어기거나 개인정보보호의 원칙을 깨는 경우, 그러한 변경은 허용되지 않고 변경된 개인정보취급방침이나 약관은 무효가 된다. 트랙킹 쿠키 정보도 프라이버시 침해 가능 쿠키(Cookie)는 웹사이트와 이용자의 컴퓨터를 매개해주는 정보를 담고 있는 파일을 의미한다. 쿠키는 원래 이용자의 접속이나 정보소통을 원활하게 하기 위하여 사용되었으나 그 이용이 확대되어 이용자가 온라인으로 어떤 제품을 샀는지, 어떤 분야에 관심이 많은가를 파악할 수 있어 웹사이트 운영 자측에서는 쿠키를 이용하여 타깃 마케팅으로도 사용한다. 이러한 용도 때문에 이용자들의 행태정보가 이용자들의 동의 없이 웹사이트 운영자에게 넘어감으로써 이용자들의 사생활이 침해되고 있다. 페이스북의 경우, 트랙킹 쿠키(tracking cookie, 페이스북의 경우 datr cookie이라 부름)를 수집함으로써 무차별적으로 가입자들이나 비가입자들의 행태정보를 저장하고 있으며 특히 이용자들이 로그아웃하거나 다른 페이지로 이동하였을 때에도 행태정보를 수집하고 있다는 혐의를 받고 있다. 2011년 9월 이러한 혐의로 Nik Cubrilovic라는 해커는 페이스북을 고소했으며 독일의 함부르크 개인정보보호기구도 이에 대한 조사를 실시했고 2012년 5월 12일 소 제기된 집단소송에도 위 혐의에 대한 내용이 담겨 있다. 이에 대해 페이스북 측은 “계정이 없거나 계정에서 로그아웃한 경우에도 페이스북이 쿠키를 사용하는 것은 맞지만 쿠키는 스팸을 막고 이용자들의 계정복구나 보안, 미성년자의 파악, 이용자들의 악의적인 활동을 방지하기 위해 사용될 뿐이다. 광고와 관련하여 광고를 보여주기 위해 타사 사이트에서 이용자들의 인터넷 사용에 대한 프로필을 만드는 용도로 이러한 쿠키를 사용하지는 않는다. 다만 총체적으로 광고를 개선하고 신규 및 기존의 제품이나 서비스를 개발, 테스트하기 위해 익명 또는 누적 데이터를 사용할 수는 있다”고 답변했다. 하지만 미국에서 집단소송을 제기한 원고들은 트랙킹 쿠키를 이용하여 로그아웃한 이용자들의 행태정보를 수집한 페이스북은 연방도청금지법(Federal Wiretap Act), 저장정보통신법(Stored Electronic Communication Act), 연방컴퓨터사기및남용법(Federal Computer Fraud and Abuse Act)을 위반했다고 주장하고 있다. >> 쿠키정보는 비식별정보로서 원칙적으로 개인정보보호법의 적용대상이 아니다. 그러나 쿠키정보가 쌓이면 그 개인에 대하여 모르는 것이 없다는 말이 있을 정도로 프라이버시에 대한 위협은 심각하다. 적어도 쿠키정보의 무단수집이 일어나지 않도록 사전고지나 동의를 거쳐야 할 것이며, 특히 쿠키정보의 수집 과정이 복잡하여 이용자들이 이해하기 곤란하므로 이에 대한 정확한 고지를 할 수 있도록 해야 할 것이다. 라이크(Like) 버튼이 가진 프라이버시 침해 문제 요즘 콘텐츠를 제공하는 대부분의 웹사이트는 콘텐츠 상단 또는 하단에 페이스북의 라이크 버튼을 제공함으로써 콘텐츠 전파에 페이스북을 활용하고 있다. 하지만 주의할 점은 어떤 이용자가 라이크 버튼이 포함되어 있는 웹사이트를 방문한 경우, 그 웹사이트가 라이크 버튼의 이미지를 제공하는 것이 아니라는 점이다. 그 사이트는 페이스북 사이트에서 라이크 버튼 이미지를 호출하게 하는 코드를 이용자에게 전송할 뿐이고, 그 코드의 작동에 따라 페이스북 사이트로부터 전송받은 라이크 버튼 이미지가 이용자들의 화면에 나오는 것이다. 이런 방식으로 운영되다 보니, 페이스북은 라이크 버튼을 전송하면서 이용자들의 방문 페이지(URL), IP 주소, 방문시간, 브라우저 정보, OS 정보 등을 저장할 수 있었고 또 저장해 왔다. 이용자들의 동의를 얻지 않고 이용자들의 행태정보를 수집하고 있는 것이다. 이에 대해 페이스북은 “페이스북의 라이크 버튼 기능은 데이터 보호 표준을 수용하고 있으며, 비회원이 이 버튼을 사용하면 단지 IP 주소만 수집하고 그나마 90일 이후에는 삭제된다”고 주장했다. 그럼에도 이러한 작동 방식에 대하여 독일의 슐레스비히-홀슈타인(Schleswig-Holstein) 주에서는 문제점을 지적하면서 라이크 버튼의 제거를 요청했고, 미국의 일부 시민단체나 소비자들은 위 라이크 버튼의 호출에 관하여 이용자의 동의를 얻지 않았다는 점에서 위법의 소지가 있다고 지적하고 있다(2012년 5월 12일 소제기된 집단소송에도 포함되어 있음). >> 개인적으로는 라이크 버튼의 문제가 위 쿠키정보의 문제보다 프라이버시 침해의 면에서 더 심각하다고 생각한다. 라이크 버튼의 작동 과정에서 기업이 모으는 정보가 식별성을 가지지 않도록 할 의무를 부과할 필요성이 있으며, 정보의 보유기간을 줄이는 것도 식별성 상실에 기여할 것이다. * 법무법인 민후 김경환 대표변호사 작성, 로앤비(2012. 7. 4.), 보안뉴스(2012. 6. 26.) 기고.

2013년 4월 11일 국회에서 열린 디지털 자산의 상속에 관한 공청회에서 상속인정 법제가 도입되어야 한다는 취지의 발제를 하러 가는 날에, 최대 검색엔진인 구글이 '휴면 계정 관리자(Inactive Account Manager)' 제도를 통하여 획기적으로 디지털 자산의 상속을 인정한다는 발표가 있었다. 잊을 수 없는 날 중의 하나였다. 그로부터 2년 반이 지난 2015년 2월 13일 최대 SNS 업체인 페이스북 역시 디지털 자산의 상속을 인정한다는 취지의 발표가 있었다. 그 방법은 구글과 비슷한바, 미리 지정된 자에게 고인의 디지털 자산을 상속시키겠다는 것이다. 그간 미국에서는 통일법 위원회(Uniform Law Commission)를 중심으로 전체 주에서 통일적으로 적용될 수 있는 '디지털자산 상속 등 통일법(Fiduciary Access to Digital Assets and Digital Accounts Act)'의 제정 시도가 있었고, 마침내 2014년 8월경에는 미국 델러웨어 주가 최초로 이 법안의 도입에 서명하였다. 이 '디지털자산 상속 등 통일법'은 단순히 디지털 자산의 상속에 관하여만 규정하고 있는 것은 아니고 무능력자의 디지털 자산 관리까지도 포함하고 있는, 디지털 자산의 대리적 관리에 대한 일반법이다. 사망시 고인의 디지털 자산에 대한 상속재산관리인 제도뿐만 아니라 무능력자의 디지털 자산에 대한 법정관리인 제도 등이 같이 규정되어 있어, 실질적으로 우리나라의 민법과 유사한 지위에 있다고 할 수 있다. 다만 그 대상이 부동산ㆍ동산ㆍ채권이 아닌 새로운 형태의 재산인 디지털 자산이라는 점이 다를 뿐이다. 이번 페이스북의 디지털 자산 상속 인정 조치는 미국 내에서 불고 있는 디지털 자산의 상속 인정 추세에 스스로 발맞춘 것이라 볼 수 있다. 우리나라도 인터넷 1세대가 사망할 즈음에 디지털 자산의 상속에 관한 분쟁이 본격적으로 시작될 것으로 보인다. 그 이전에 미리 준비를 하고 있어야 하지 않을까. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2015. 2. 23.) 기고.

어떤 기자가 '잊혀질 권리'에 관한 기사를 올렸더니, 데스크로부터 어법에 맞게끔 '잊힐 권리'라고 고쳐라는 지시를 받았다고 한다. 용어야 어찌되었든, 국민들의 이 권리에 대한 요구는 엄청나다. 한국인터넷진흥원의 자료에 따르면 인터넷을 많이 사용하는 대학생들의 81%가 이 권리의 도입에 긍정적이었다고 한다. 사망 이후의 온라인 게시글을 관리하는 디지털장의사, 사망 이전의 게시글도 관리해 주는 디지털세탁소가 우리나라에도 성업 중이다. 선진국의 레퓨테이션닷컴, 리무브유어네임 등의 업체에 이어, 우리나라의 산타크루즈, 맥신코리아 등의 업체도 등장하여 고액의 수임료를 받고 연예인, 기업, 정치인뿐만 아니라 신혼부부, 취업 준비생, 일반인을 대상으로 불쾌한 게시글을 관리해 주고 있다. 단순히 인터넷 게시글을 삭제하는 작업도 있지만, '밀어내기'라 하여 좋은 게시글을 올려 불쾌한 게시글을 밑으로 내리는 작업도 하고 있다. 인간생활에서 기억만큼 중요한 게 바로 망각이다. 오프라인 세상에서 한 말과 행동은 다른 사람의 뇌에 기억되어 있다가 일정 시간이 지나면 사라진다. 이런 망각 때문에 어제를 잊고 내일의 새로운 출발이 가능한 것이다. 하지만 온라인 세상에서는 기억만 있고 망각은 없다. 그래서 불편한 것이다. 기술적으로 기억과 망각이 공존하는 인터넷 세상을 만들 수 있을 듯하다. 문제는 규범적으로 어떻게 이러한 세상의 실현을 지원하는가이다. 망각의 한계가 있다면 바로 기록이다. 여기서 기록이란 역사일수도 있고, 공적인 사건일수도 있고, 자유로운 표현일 수도 있다. 기록되지 않은 세상은 망각되지 않은 세상보다 더 위험하다. 법이 하여야 하는 역할이 바로 이 한계 설정이다. 인터넷세탁소·인터넷장의사의 성업을 보면서, 잊혀질 권리가 지금도 필요하다는 생각도 되지만, 한편으로는 지불능력 있는 사람들과 그렇지 않은 사람들의 사이에 불평등한 인터넷 질서가 형성되고 있다는 생각도 든다. 보편적인 권리 도입이 그 해결책이 아닐까. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2013. 11. 25.) 기고.

수천만원대의 아이튠즈 음원과 게임 아이템을 보유한 사람이 죽으면 자녀에게 그 디지털 자산(digital assets)이 상속될까? 블로그와 페이스북의 좋은 글은 운영자가 사망하면 같이 사라져야 하는가? 우리 민법으로는 디지털 자산이나 계정이 자녀에게 상속된다고 단정하기 곤란한 것으로 해석된다. 우리 포털도 디지털 자산의 상속을 부정하고 있다. 하지만 최근 구글은 휴면 계정 관리자 서비스를 실시해 획기적으로 디지털 자산의 상속이 가능하게끔 조치했다. 미국 통일법위원회(Uniform Law Commission)도 디지털 자산 관리법인 'Fiduciary Access to Digital Assets Act'의 제정을 서두르고 있다. 우리나라 국회에서도 디지털 자산의 상속을 가능케 하는 2개의 정보통신망법 개정안(김장실 의원안, 손인춘 의원안)을 심사하고 있다. 이처럼 디지털 자산의 상속 문제는 우리나라에서도 그나마 수년 동안 검토되었던 것으로 낯설지 않지만, 이혼재산분할 문제는 아직 논의조차 시작되지 않아 생소하기 그지없다. 최근 미국의 일부 변호사들은 이혼 시 디지털 자산이나 계정의 재산 분할에 관한 법률서비스를 제공하면서 블로그나 홈페이지에 관련 글을 올리고 있고, 이혼 과정에서의 합리적인 디지털자산 분할 방법, 특히 공유 디지털 자산에 대해 깊은 법적 고민을 토로하고 있다. 새로운 분야이기는 하지만 분쟁이 일어나고 있고 현실적으로 법률서비스를 제공하고 있다. 누군가에게는 상속하고 싶고 이혼할 때 갖고 가고 싶은 디지털 자산. 단순히 정보의 덩어리로 치부하지 않아야 한다. 2011년 맥아피(McAfee)의 조사에서 미국인들은 5만5000달러, 일본인들은 2만3938달러, 유럽인들은 2만8461달러로 자신의 디지털자산 가치를 평가했다. 적지 않은 액수다. 우리도 디지털 자산에 관한 '민법'적 고려를 해야 하지 않을까. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2013. 9. 16.) 기고.

특허권의 존재 이유는 두 가지인데, 발명의 보호ㆍ장려라는 사익보호 측면과 기술발전 촉진을 통한 산업발전이라는 공익보호 측면이 그것이다. 발명의 보호ㆍ장려라는 사익보호가 직접적인 특허권의 존재 목적이라면, 기술발전 촉진을 통한 산업발전이라는 공익보호는 궁극적인 특허권의 존재 목적이다. 발명의 보호ㆍ장려의 사익과 기술발전 촉진을 통한 산업발전의 공익은 서로 조화로운 관계에 있기도 하지만, 서로 상충하는 면이 더 강하다. 즉 공익을 강조하다 보면 사익보호에 소극적이 될 수도 있고, 사익을 극대로 추구하다보면 그 결과 공공의 이익을 해할 수도 있다. 이 두 가지 목적은, 시대와 나라, 상황, 정책에 따라 비중을 달리 두기도 한다. 사익보호에 중점을 두고 발명자의 권리 제한에 소극적인 나라가 있는가 하면, 공익보호에 좀 더 주안점을 둬 발명자의 권리 제한에 보다 적극적인 나라도 있다. 최근에 삼성과 애플 간의 특허전쟁 과정을 보면 이러한 점이 명확하게 드러난다. 특허권자인 애플은 등록된 특허권이 제대로 보호받지 못한다면 특허제도가 유명무실하게 될 것이라고 주장했고, 반면 침해 혐의를 받은 삼성은 특허권이 남용되면 기술혁신이나 기술발전이 저해될 것이고 소비자의 폭넓은 선택권에도 부정적인 영향을 미칠 수 있다고 주장했다. 애플은 발명의 보호ㆍ장려라는 사익을 강조한 것이고, 삼성은 기술발전 촉진을 통한 산업발전이라는 공익을 강조한 것이다. 이는 특허 제도의 두 존재 목적을 가지고 다툰 것인데, 만일 미국의 특허제도가 사익보호에 중점을 뒀다면 애플의 주장이 관철되기 쉬울 것이고, 반대로 공익보호에 중점을 뒀다면 삼성의 주장이 더 잘 받아들여졌을 것이다. 하지만 애플의 제1심 승리로 미뤄보아, 미국은 아직 사익보호에 중점을 두고 있는 듯 하다. 한편 미국에서는, 특허권자의 침해금지가처분을 잘 인용해 주던 시절이 있었다. 만일 A라는 특허권자의 특허권을 B라는 사람이 유사한 제품을 만들어 침해하고 있다면, A는 B가 제조한 물품에 대한 판매금지를 법원을 통해 쉽게 달성할 수 있었던 것이다. 이러한 경향은 특허권자의 보호에 치중한 것이다. 하지만 본격적인 심리 과정에서 특허가 무효가 되거나, 특허권자의 주장이 정당하지 않다고 밝혀진 경우도 상당수 있었고, 무엇보다도 B가 제조한 물품을 산 소비자들은 법원의 판매금지 결정으로 인해 A/S조차도 받을 수 없는 경우가 많았으며, 특허권의 침해가 있더라도 이는 재산권에 대한 침해이고 굳이 법원이 판매금지라는 극단적 조치를 취하지 않더라도 나중에 돈으로 배상받을 수 있다는 반성적 고려도 있었기에, 판매금지라는 극단적 조치에 대해 소극적으로 바뀌게 되었다. 이는 특허제도의 사익보호 측면과 공익보호 측면의 조화를 꾀하는 과정으로 평가된다. 특허제도에서 사익을 무분별하게 보호하다 보니 나온 결과물이 바로 특허괴물(patent troll)이다. 특허괴물이란 특허를 활용하지도 않고 활용할 의사도 없으면서 또는 활용된 적이 없는 특허의 보유 기회를 이용해 금전적 이익만을 추구하는 자들을 의미한다. 한편 NPEs라는 용어도 자주 사용되는데, NPEs(Non Practicing Entities)란 보유한 특허를 활용하면서 제품이나 서비스를 공급하지 않고, 라이선스 협상 및 소송을 통해 특허권만을 행사하는 자들을 지칭하는바, 개념적으로 특허괴물보다 넓은 개념에 해당한다. 특허괴물들은 자신의 활동으로 인해 발명자는 적절한 보상을 받고 그 결과 발명은 극도로 촉진되므로 자신들은 산업발전에 기여하고 있다고 주장한다. 특허괴물이나 NPEs 모두 특허제도를 활용한 새로운 형태의 사업모델이라고 가치중립적으로 볼 수도 있지만, 일부 전문가들은 실시도 하지 않으면서 특허를 보유하고 있는 것은 기술이나 산업발전에 도움이 되지 않으며, 고용창출에도 긍정적 영향을 끼치지 않는다고 주장하면서 극도의 혐오감을 보이고 있다. 특허괴물은 특허권의 남용이며 특허제도를 악용한 것이라는 취지다. 이러한 평가는 특허제도의 공익보호 측면을 강조한 것이다. 이와 관련하여, 2012년 8월 미국 하원의원 Peter DeFazio와 Jason Chaffetz는 특허괴물 죽이기 법안을 발의하였다. ‘SHIELD 법안(the Saving High-Tech Innovators from Egregious Legal Disputes Act)’이 그것인데, 이 법안은 1) 승소의 합리적인 가능성이 낮음에도 불구하고 소송을 제기하는 특허괴물에게 피고의 대리인 비용 등을 부담시키며, 2) 이 법안의 대상이 되는 특허는 소프트웨어와 컴퓨터하드웨어에 관련한 것에 한정한다는 것을 주요 내용으로 하고 있다. (참고로, 다른 내용이지만 같은 명칭의 Shield(Secure High-voltage Infrastructure for Electricity from Lethal Damage) 법안이 있는데, 이 법안은 적의 EMP(Electromagnetic Pulse) 공격에 대한 방어를 논의하기 위한 것이다.) 미국의 경우 막대한 소송비용 때문에 특허권자로부터 경고장이나 소장을 받으면 비용을 줄이고자 소송을 포기하고 쉽게 협상을 해 버리는 경우가 많은데, 이 법안이 통과되면 소송비용을 패소한 특허권자에게 받아낼 수 있으므로 곧바로 협상에 이르지 않고 소송을 통해 진실을 밝혀낼 사람이 늘어날 것이다. 그리고 특허괴물이 한 번 패소하게 되면 관련소송에서도 패소를 면치 못하게 되어 막대한 소송비용을 연이어 지불해야 하므로, 특허괴물의 목적이 쉽게 달성되지 않게 되는 것이다. 소송경위에 상관없이 패소자에게 소송비용을 부담케 하는 우리나라 재판제도와 달리 악의로 소송을 제기했을 때만 원고가 소송비용을 부담케 하는 미국에서는 위 법안의 실효성이 클 것으로 예상된다. 이러한 SHIELD 법안은 특허권자의 사익을 제한하면서 동시에 특허제도의 공익적 측면을 달성해 보자는 취지다. 비슷한 취지로, 상표법에 나타나 있는 사용주의의 흔적을 특허법에 반영하자는 논의도 있다. 특허권을 보유하고 있으면서도 실시를 하지 않는 특허괴물이나 NPEs의 특허권 침해 주장을 배척해야 한다는 것이다. 특허권자의 사익만을 추구하는 특허제도는 반쪽의 목적밖에 달성할 수밖에 없고 종국에는 특허 제도가 오히려 기술혁신이나 산업발전을 해친다는 비판이 나올 수밖에 없게 된다. 특허제도에서 사익과 공익의 적절한 조화와 균형이 달성돼야만 특허제도의 원래 취지대로 특허제도를 통해 우리 기술과 산업은 더 알차게 성장ㆍ발전할 수 있을 것이다. * 법무법인 민후 김경환 대표변호사/변리사 작성, 블로그(2013. 1. 1.), 디지털데일리(2013. 1. 3.), 전자신문(2013. 5. 28.), 디지털타임스(2014. 1. 4.) 기고.

특허제도란 발명자에게 독점권을 보여함으로써 발명을 진흥시킬 수 있고 더불어 산업도 발전시킬 수 있다는 전제하에 성립하였다. 이러한 특허제도는 몇 가지 비판을 받으면서도 그 폐해보다는 그 장점이 훨씬 컸기에 인류 문명과 잘 성장하였다. 하지만 이러한 특허제도의 기능이 특허괴물(Patent Troll)에 의하여 마비되어 가고 있다. NPE(Non-Practicing Entities) 또는 PAE(Patent Assertion Entities)이라고도 불리는 특허괴물은 기술개발에 열을 올리기보다는 특정특허를 매집하여 그 특허를 사용하였다고 의심되는 기업을 무차별적으로 공격함으로써 수익을 올리고 있다. 특허괴물의 출현으로 인하여, 뭔가 개발해 보려는 또는 개발하고 판매하고 있는 수 많은 대ㆍ중소기업들은 특허침해에 관하여 정확한 심증도 확보하지 못한 특허괴물로부터 거액의 합의금을 요구하는 무차별적인 경고장을 받게 되었고, 그 결과 막대한 방어비용 때문에 기술개발을 포기하거나 기술개발 대신에 거액의 돈을 들여 소송을 하는 선택을 하게 되었다. 기술개발에 투자하여야 할 돈은 결국 특허방어에 들어가게 되었고, 돈이 없어 기술개발을 제대로 하지 못하니 회사매출은 감소하고 회사의 직원들을 방출하게 되는 사태까지 이르게 되었다. 나아가 기술개발을 잘 못하면 또 경고장을 받는 게 아닌가 하는 심리적 위축까지 가지게 되었다. 기술개발을 한 기업은 특허제도를 활용하여 권리를 확보함으로써 수익을 올려야 하는데, 실상은 기술개발을 한 기업이 아니라 기술개발에는 관심이 없고 돈벌이에만 관심이 있는 특허괴물이 기술개발로 인한 수익을 거의 차지하는 불공평한 상황까지 발생하고 있다. 이런 현상이 심화되면, 기술개발을 하여 건실하게 판매활동하려는 기업들로부터 기술개발을 하지 않고 특허매집만 하는 기업들에게 특허로 인한 시장수익이 옮겨져 갈 수밖에 없고, 결국 고용불황 및 경기침체까지도 도래하게 된다. 통계로 보면 특허괴물의 현상 및 폐해를 더욱 더 실감할 수 있다. 미국 특허전문 조사기관인 페이턴트프리덤(PatentFreedom)의 자료에 의하면, 2011년 약 300개였던 특허괴물은 2013년 1월 기준으로 680개 이상으로 증가한 것으로 파악된다. 한 마디로 특허괴물 현상이 우후죽순처럼 번지고 있다. 역시 같은 자료에 의하면, 특허괴물로부터 특허소송을 제기당한 기업들을 살펴보면, 2012년 기준으로 미국 기업인 애플이 특허괴물에 의하여 44건의 특허소송을 제기당하여 1위를 차지하고 있으며 그 뒤를 이어 우리나라 기업인 삼성이 37건(2위), LG가 24건(3위)의 특허소송을 제기당하였다고 한다. 특허괴물에 대한 방어 및 대응솔루션 사업을 하는 미국의 RPX사가 발표한 자료에 의하면, 2012년 기준으로 미국 전체 특허소송 4,701건 중에서 2,921건, 즉 62%가 특허괴물에 의하여 소제기 되었는바, 2010년도에는 전체 소송 중 특허괴물에 의한 건수가 불과 29%에 불과하던 것이 2년 사이에 2배 넘게 급증하였다고 한다. 전체 소송건수 중 비중은 2배로 늘었지만, 소송건수 자체로 비교하면 더 심각하다. 2010년도에 특허괴물에 의한 특허소송이 약 730건이던 것이 2012년도에는 약 2,900건이 되었으니 2년 사이에 약 4배 정도가 늘어난 것이다. 백악관이 발표한 자료에 의하면, 특허괴물로부터 특허침해 경고장을 받았거나 소송을 당한 기업은 2012년 한 해에만 100,000개로서, 특허괴물은 소송상대로 중소기업에서 대기업까지 가리지 않았고, 특허침해 경고장을 받거나 소송을 당한 기업의 매출은 그렇지 않은 기업보다 1/3 정도가 감소한다고 한다. 특허괴물도 줄기차게 늘고 있고, 특허괴물의 폐해도 눈덩이처럼 불어나고 있다. 이러한 특허괴물이 가장 많이 활동하고 있고, 특허괴물이 가장 많은 수익을 올리고 있는 곳이 바로 미국 시장이다. 상황이 이렇다 보니, 특허괴물 규제에 가장 적극적인 곳이 바로 미국이다. 미국 의회 및 정부는 최근 일련의 특허괴물 법안을 발표하면서 강력한 규제를 시도하고 있다. 다음 기고에서는 이러한 규제노력에 대하여 알아보기로 한다. * 법무법인 민후 김경환 대표변호사/변리사 작성, 전자신문(13년도), 디지털타임스(2014. 1. 4.), 리걸인사이트(2016. 2. 25.) 기고.

비트코인에 대한 각계각층의 관심이 뜨겁다. 우리나라에 최초로 비트코인을 결제수단으로 삼는 상점이 등장했다는 기사, 중국의 제재 강화에 반토막이 되었다는 기사, 한국 비트코인거래소인 코빗의 기사, 거품에 불과하다는 부정적인 기사 등등 매일 비트코인 기사가 넘치고 있다. 비트코인은 암호화된 정보이고, 이 정보에 접근할 수 있는 비공개키(private key)를 가진 사람이 비트코인을 소유하게 된다. 즉 비트코인은 비공개키에 의하여 소유권이 결정된다. 하지만 이 비공개키는 노출되지 않아야 하기 때문에, 비공개키로부터 해싱 기법을 통하여 생성된 유일무이한 주소(address)라는 공개용 식별자를 이용하여 거래가 진행된다. 한 사람은 여러 개의 주소를 사용하여 거래할 수 있다. 매 거래마다 새로운 주소를 이용하여도 된다. 비트코인의 거래란 외형적으로 보면 한 주소에서 다른 주소로 이전되는 것을 말하며, 이러한 주소간 이전은 모든 사람에게 공개되므로, 현금거래와 달리 모든 거래가 공개되지만, 주소와 거래자의 결합이 불가능하기 때문에 거래의 공개에도 불구하고 익명거래성은 유지되고 있다. 주소는 지갑(wallet)에 담아 보관한다. 지갑이란 주소ㆍ거래정보를 담을 수 있는 소프트웨어이다. 거래자는 여러 개의 지갑을 생성하여 여러 개의 주소를 분류ㆍ관리할 수 있다. 지갑에 접근하기 위해서는 아이디와 비밀번호를 입력하는 절차를 거쳐야 하지만, 지갑을 만들 때 공인을 받아야 하는 것은 아니므로, 지갑의 생성으로도 비트코인의 익명성은 감소하지 않는다. 정리하면, 비공개키가 소유의 식별자라면, 주소는 거래 식별자, 지갑은 관리도구이고, ‘누가’라는 개념은 여기에 존재하지 않는다. 하지만 국가가 비트코인을 제도권으로 흡수시키기로 마음먹는 순간 바로 이 ‘누가’에 대한 정책이 중점과제가 될 가능성이 높다. 이 경우 익명성은 무너질 수 있으며, 따라서 개인정보와의 연결은 비트코인의 미래 모습을 좌우하는 키가 될 것으로 보인다. * 법무법인 민후 김경환 대표변호사, 법률신문(2013. 12. 23.), 블로그(2014. 1. 7.) 기고.

비트코인의 자동화기기(ATM)가 캐나다에 등장할 예정이다. 이용자는 캐나다 달러를 비트코인으로 바꾸거나 반대로도 할 수 있다. 미 연방수사국(FBI)은 마약 밀거래사이트인 '실크로드'를 단속하여 범죄수익을 압수하였는데, 가장 많이 사용된 화폐는 유로·달러가 아닌 비트코인이었다. 비트코인은 이렇게 이미 대중화되어 있다. 비트코인은 2009년 나카모토 사토시라는 사람이 만든 가상화폐이다. 공개키 암호화로 익명성과 거래 투명성을 보장하게 설계되었다. 비트코인을 얻기 위해서는 공식사이트에 접속하여 고도의 수학문제를 풀어야 하는데 이를 채굴(mine)이라고 한다. 채굴할 수 있는 양은 2100만개이며 현재까지 약 절반 정도가 채굴되었다. 공급량 조절을 위하여 채굴량이 늘수록 문제의 난이도는 올라간다. 비트코인은 이렇게 내재적 가치가 존재하지 않고, 중앙권력에 의존하지 않으며, 금융기관을 매개로 하지 않는 특징이 있다. 하지만 실제 화폐와 자유롭게 환전이 가능하고, 현재 수천개의 인터넷쇼핑몰에서 거래수단으로 인정하기에 굳이 환전을 할 필요도 없다. 심지어 투자수단, 안전자산으로도 이용되고 있다. 환율은 최근 치솟아 1BTC에 약 200달러로 거래되고 있다. 비트코인의 성공에 힘입어, Namecoin, Litecoin, PPCoin 등의 아류도 속속 등장하고 있다. 각국 정부의 비트코인에 대한 시선은 곱지 않다. 과세를 회피하고 있으며, 마약·포르노로 벌어들인 불법자금의 세탁에 사용될 우려가 크다는 문제점을 지적한다. 미국은 비트코인 유통업체 규제책을 마련하고 있고, 텍사스주 연방법원은 트렌든 셰이버스 사건에서 비트코인을 화폐로 간주하여 규제의 근거를 마련하였다. 영국도 국세청이 감독하는 가상화폐 거래소 설립을 검토 중이며, 태국은 비트코인의 매매·전송, 물품 구매를 금지시켰다. 하지만 비트코인과 같은 가상화폐는 줄을 이을 것이다. 이들이 금, 은행권(銀行券)의 뒤를 이어 장차 규제에 따른 합법화로 미래화폐가 될지 지켜볼 일이다. * 법무법인 민후 김경환 대표변호사, 법률신문(2013. 11. 4.) 기고.

오픈소스소프트웨어는 무료 소프트웨어의 공유라는 단순한 의미를 넘어 안드로이드 스마트폰에서 보았듯이 어느덧 기업의 비즈니스 모델로 확고하게 자리잡고 있으며, 나아가 앞으로 상용 소프트웨어를 대체할 것으로 예상하는 사람들도 있는 실정입니다. 이에 4부로 나누어오픈소스소프트웨어를 이해하고, 이를 기초로 앞으로의 전망 및 법률적 검토를 해 보고자 합니다. □ 1부 :오픈소스소프트웨어의 역사 (과거) □ 2부 :오픈소스소프트웨어에 대한 오해 (현재) ☑ 3부 :오픈소스소프트웨어의 앞으로의 전망 (미래) □ 4부 :오픈소스소프트웨어의 법률적 문제 (사례) 오픈소스소프트웨어에 대한 입장 차이 오픈소스소프트웨어는 개발자의 입장에서는 프로그램 개발 및 유지보수에 도움이 되므로 대체로 이를 환영하지만, 회사 운영자 입장에서는 수익성ㆍ경제성 등을 고려하여 하기 때문에 개발자의 입장과 상이할 수 있고, 도입을 꺼릴 수 있다. 더불어 소비자 입장에서도 저렴한 가격, 안정성, 법적 문제, 보안성 등의 장점이 있다면 굳이 마다할 이유가 없어 보인다. 결국오픈소스소프트웨어의 확산은 회사 운영자 입장의 우려와 걱정을 해결하는 것에 집중되어 있다고 볼 수 있다. 오픈소스소프트웨어의 장래 및 확산 여부에 대하여 미리 결론내리면,오픈소스소프트웨어는 장기적으로 그 확산이 예상되며 독점 소프트웨어와 쌍벽을 이루어갈 것으로 보인다. 이렇게 전망하는 이유는 크게 세 가지이다. 첫째, 대부분의 국가가오픈소스소프트웨어의 이용 활성화를 위하여 다양한 정책을 펼치고 있기 때문이다. 둘째, 다양한 커뮤니티의 활성화로 인하여 개발이나 유지ㆍ보수, 보안 측면에서 장점을 가질 수 있기 때문이다. 셋째, 이미 다루었던 Redhat 등의 사례에서 볼 수 있듯이오픈소스에 적합한 비즈니스 모델이 개발되고 실현되어 가기 때문이다. 아래에서는 국가의 지원, 커뮤니티의 활성화, 비즈니스 모델의 세 가지 측면에서 다루어보고자 한다. 이 중에서 핵심은 비즈니스 모델인데,오픈소스비즈니스 모델은 전통적인 입장에서 보면 ‘공짜인데 돈을 벌 수 있다’는 모순적인 명제이기 때문이다. 국가의 지원 해외 주요 국가는오픈소스소프트웨어 도입ㆍ이용의 솔선수범, 열린 경쟁의 활성화, 운영의 혁신, 국민의 참여 등을 추구하기 위하여오픈소스소스트웨어의 도입의 적극적이다. 이러한 정책은 특히 국가중립성 또는 정보중립성을 실현하고, 국가가 특정 기업에 대한 종속이나 특정 기술의 플랫폼 독점 현상에서 벗어날 수 있는 장점이 있으며, 신기술 채택의 장벽에서도 벗어날 수 있고, 비용 측면에서도 절감의 효과가 있으며, 나아가 유지 보수 측면에서도 많은 장점이 있기 때문에 세계 각국이 지속적으로 도입을 주도하고 있다. 오픈소스소프트웨어의 도입에 가장 적극적인 곳은 단연 미국이다. 오바마 정부는 2009년 백악관 홈페이지를 구축할 때 100%오픈소스를 사용하여 만들었는데 굉장히 상징성 있는 일이라 평가할 수 있다. 미국에서는 백악관 이외에도 기상청, NASA, 법무부 등이오픈소스소프트웨어 도입에 적극적이다. 정치적으로는오픈소스가 미국의 민주주의에 기여할 수 있고, 전세계에 깔려 있는 반미(反美) 정서가 이오픈소스소프트웨어의 보급으로 인하여 많이 누그러질 수 있다고 한다. 영국의 경우, 작년 2월 정보통신 고위관료가 “산업에 더 많은오픈소스기반의 솔루션 제공이 필요하다”고 하여오픈소스소프트웨어 도입의 강한 의지를 밝힌 바 있으며, 솔루션에 관한 제안에서오픈소스도입의 정도를 평가하고, 일반 업무에서도오픈소스소프트웨어 사용을 권장하고 있다. 호주 역시 정부 및 공공기관에서오픈소스SW 사용을 법제화하는 등 잘 정비된오픈소스소프트웨어 정책을 실현하고 있다. 법제화에 따른 정책 실현 외에도 충분한 예산을 투입함으로써오픈소스소프트웨어의 구매를 적극 지원하고 있는 실정이다. 러시아도 예외가 아니다. 작년 푸틴 총리는 정부 기관에 오픈 소스 소프트웨어 사용을 명령하였으며, 이에 따라 리눅스 및 응용 프로그램의 이용 또는 개발에 막대한 정부 지원이 있을 예정이다. 러시아는 과거 교육 과정에오픈소스소프트웨어 사용을 추진한 적이 있으나 관계기관의 인식 부족과 예산 부족으로 실패한 전례가 있다. 개발도상국도 오픈소스소프트웨어의 도입에 적극적이다. 베트남 정보통신부 장관 Le Doan Hop는 2009년 IT 관련 정부 기관의 데스크톱 PC를 100% 오픈 소스 프로그램을 설치하고 100%의 서버를 오픈 소스 운영체제로 전향하기로 했다고 발표한 적이 있다. 나아가 모든 정부 기관에서는 오픈 오피스를 이용해서 만들어진 문서 포맷으로 공문서를 썬더버드, 파이어폭스로 주고 받도록 한다는 계획을 밝힌 바 있다. 우리나라의 경우도 오픈소스도입에 적극적이다. 최근 정부통합전산센터는오픈소스소프트웨어 적용비율을 40%까지 높일 계획이라고 선언하였으며, 행정안전부는 전자정부의 품질을 높이고 전자정부가 특정 회사의 프레임워크에 종속되는 것을 방지하기 위해 개발된오픈소스기반의 프레임워크 솔루션인 ‘전자정부 표준 프레임워크(eGovFrame)’가 추진될 예정이고, 교육과학기술부는 새로 구축한 차세대 교육행정정보시스템(NEIS)에오픈소스기반을 적용하고 있다. 커뮤니티의 활성화 오픈소스소프트웨어의 장점은 소스코드의 공유 및 공동개발이라는 점에서,오픈소스커뮤니티의 활성화는 필연적이라 할 수 있다. 커뮤니티의 발달이 곧 그 나라의오픈소스소프트웨어의 정착을 반영한다고 볼 수 있다. 나아가 커뮤니티의 활성화를 위하여 대학 교육과의 연계도 필수적이다. 우리나라의 경우, 회원수가 4만명인 리눅스 사이트인 KLDP(Korean Linux Documentation Project), 웹스크립팅 언어 개발을 위한 PHPSCHOOL, 한국자바개발자협의회, 임베디드 리눅스 개발 사이트인 KELP 등이 있다. 이러한 커뮤니티는 기업뿐 아니라 정부 주도하에 형성되기도 하는데, 우리나라의 표준프레임워크 오픈커뮤니티, 미국 국방부의 OTD(Open Technology Development), 프랑스의 ADDULACT 등이 정부 주도하의 커뮤니티로 볼 수 있다. 비즈니스 모델 오픈소스소프트웨어의 비즈니스 모델을 우선 법적으로 분석하고자 한다. 법적으로 보면 두 가지 형태가 있는데, 하나가 저작권 양도형이고, 다른 하나가 저작권 라이선스형이다. 전자는오픈소스소프트웨어 회사가 이용자 등에게 저작권을 양도함으로써 스스로는 저작권을 가지고 있지 않는 형태이고, 후자는오픈소스소프트웨어 회사가 저작권을 가지면서 이용자 등과 라이선스 계약을 체결하는 형태이다. 전자의 형태를 띠는 소프트웨어로는 Linux OS의 한 유형인 Red Hat, PHP를 제공하는 Zend, Business Intelligence를 제공하는 JasperSoft등이 있고, 후자의 형태를 띠는 소프트웨어로는 MySQL(DB), Kaltura(Video Platform) 등이 있다. 오픈소스소프트웨어의 비즈니스 모델을 경제적으로 분석하면, ①오픈소스소프트웨어 자체를 이용자에게 커뮤니티용(무료) 또는 상업용(유료)로 나누어 제공함으로써 수익을 올리는 판매형(dual license), ②오픈소스소프트웨어를 사용하여 이용자에게 특정 서비스를 제공함으로써 수익을 올리는 서비스형(softwafe as a service), ③오픈소스소프트웨어를 하드웨어 또는 소프트웨어에 장착한 다음 하드웨어를 구동시키거나 소프트웨어 동작을 향상시키되, 하드웨어 등의 비용으로서 수익을 올리는 장착형, ④오픈소스소프트웨어 자체를 무료로 이용자에게 제공하고 그에 대한 기술적 지원, 교육, 유지 등을 유료로 제공함으로써 수익을 올리는 지원형(service), ⑤오픈소스소프트웨어를 제공한 다음 이를 이용한 광고 수익을 올리는 광고형(advertising) 등이 있다. 판매형의 소프트웨어로는 Trolltech, MySQL, Redhat 등이 있고, 서비스형의 소프트웨어로는 Mozilla, SaaS 등이 있으며, 장착형의 소프트웨어로는 Digium, VA Linux 등이 있고, 지원형의 소프트웨어로는 Redhat 등이 있으며, 광고형의 소프트웨어로는 Mozilla Firefox, Diguim 등이 있다. ] 3부를 마치면서 오픈소스소프트웨어의 이러한 확산 추세에도 불구하고 확산을 막는 강력한 저해 요소가 있는데, 그것이 바로 지적재산권 문제와 보안 문제이다. 보안 문제는 이미 다루었으므로, 다음 기고에서는오픈소스소프트웨어로 인한 법적 문제를 자세하게 다루어 보기로 한다. * 법무법인 민후 김경환 대표변호사 작성, 블로그(2012. 4. 10.), 로앤비(2012. 4. 10.) 기고.

오픈소스 소프트웨어는 무료 소프트웨어의 공유라는 단순한 의미를 넘어 안드로이드 스마트폰에서 보았듯이 어느덧 기업의 비즈니스 모델로 확고하게 자리잡고 있으며, 나아가 앞으로 상용 소프트웨어를 대체할 것으로 예상하는 사람들도 있는 실정입니다. 이에 4부로 나누어 오픈소스 소프트웨어를 이해하고, 이를 기초로 앞으로의 전망 및 법률적 검토를 해 보고자 합니다. □ 1부 : 오픈소스 소프트웨어의 역사 (과거) ☑ 2부 : 오픈소스 소프트웨어에 대한 오해 (현재) □ 3부 : 오픈소스 소프트웨어의 앞으로의 전망 (미래) □ 4부 : 오픈소스 소프트웨어의 법률적 문제 (사례) 오픈소스 소프트웨어에 대한 오해 오픈소스 소프트웨어의 시장규모는 국내나 국외 모두 매년 20% 이상 상승하고 있고, 우리나라 교육과학기술부의 ‘차세대 나이스 개발’, KT 사의 ‘uCloud’ 등에서 볼 수 있듯이 오픈소스 소프트웨어의 도입은 눈에 띄게 늘어가고 있으며, 기술정보 및 해결방안의 공유라는 장점 때문에 빠른 기술속도를 자랑하고 있지만, 여러 가지 이유로 오픈소스 소프트웨어에 대한 오해나 편견은 씻겨지지 않고 있다. 이에 오픈소스 소프트웨어의 현재를 살펴보는 의미에서, 그 오해나 편견 중 몇 가지(오픈소스 소프트웨어는 무료이다, 오픈소스 소프트웨어는 저작권이 없다, 오픈소스 소프트웨는 절대 강자가 없다, 오픈소스 소프트웨어는 보안에 취약하다, 오픈소스 소프트웨어 개발자나 공급자는 배고프다의 5가지)를 풀어보고자 한다. 오픈소스 소프트웨어는 무료이다. 오픈소스 소프트웨어에서 사용하는 ‘open(공개)’라는 용어로 인해 ‘free(무료)’로 오해받고 있지만, 오픈소스 소프트웨어의 ‘오픈’라는 개념은 무료나 공짜의 의미가 아니다. 오픈소스 소프트웨어의 ‘오픈’이라는 의미는 소스코드의 공개 또는 소프트웨어의 자유로운 사용ㆍ수정ㆍ재배포 허용 즉 자유로운 접근을 의미하는 것이므로, 프리웨어나 쉐어웨어와는 구별하여야 한다. 무상으로 자유롭게 사용할 수 있는 프리웨어나 사용상의 제한이 있는 프리웨어인 쉐어웨어란 모두 비용을 지불하지 않고 사용할 수 있는 소프트웨어를 말하는 것이다. 따라서 프리웨어나 쉐어웨어는 공짜웨어이지만 지금 논의하고 있는 오픈소스 소프트웨어는 공짜라는 전제는 없다. 특히 OSI는 개발자의 영리활동을 금지하고 있지 않다. 실제 대부분의 오픈소스 소프트웨어, 예컨대 아파치(Apache), 톰캣(Tomcat) 등의 오픈소스 소프트웨어는 무료로 공급되고 있지만, 일부 오픈소스 소프트웨어는 사용시 무료가 아니다. 레드햇(Redhat) 리눅스 OS의 엔터프라이즈판이나 MySql 데이터베이스의 엔터프라이즈판 등이 대표적인 유료 오픈소스 소프트웨어이다. 오픈소스 소프트웨어는 저작권이 없다. 오픈소스 소프트웨어란 저작권이 존재하지만 저작권자가 소스코드를 공개하였기 때문에 누구나 이를 자유롭게 수정, 재배포 할 수 있는 자유로운 소프트웨어를 말한다. 따라서 저작권이 없는 퍼블릭 도메인 소프트웨어(public domain software)와 구별하여야 한다. 퍼블릭 도메인 소프트웨어의 형태로는, 원시적으로 저작권이 존재하지 않는 경우도 있지만, 보호기간 만료나 권리 포기 등으로 그렇게 된 경우도 있다. 퍼블릭 도메인이라는 것은 소프트웨어에만 한정된 것은 아니고 저작권 일반에 미칠 수 있는 개념이다. 오픈소스 소프트웨어는 저작권이 존재하기 때문에 라이선스 준수가 필요하다. 예컨대 GPL이 있다면, 이는 저작권의 포기가 아니라 라이선스라는 점에 명심하여야 한다. 실무적으로 오픈소스 소프트웨어를 제한이 없는 자유사용 또는 저작권의 포기로 이해하여 저작권 소송을 당하는 경우가 많이 있다. 오픈소스 소프트웨어 사용시 특히 주의를 요하는 점이다. 이와 반대 개념인 퍼블릭 도메인 소프트웨어는 저작권이 없기 때문에 라이선스라는 사용상의 제약이 존재하지 않는다. 대표적인 퍼블릭 도메인 소프트웨어으로는 분자구조 분석 프로그램인 Visual Molecular Dynamics가 있다. 오픈소스 소프트웨는 절대 강자가 없다. 오픈소스 소프트웨어는 약한 영리성 때문에 투자가 이루어지지 않아 절대적 강자가 없다고 생각하기 쉽다. 그러나 오픈소스 소프트웨어는 서버, 통합개발환경, 모바일, 임베디드 분야등에서 막강한 세력을 과시하고 있다. 서버 분야에서는 OS 서버 분야의 1위인 리눅스, 웹서버의 대표자인 아파치, 데이터베이스의 선두주자인 MySql 등이 있다. 특히 OS 서버 분야에서 리눅스는 수세(SuSE), 레드햇(Redhat), 우분투(Ubuntu), FreeBSD, 페도라(Fedora), 데비안(Debian) 등의 다양한 형태로 제공되고 있어 기호에 따라 골라 쓸 수 있는 장점이 있다. 그래픽이나 성능 등은 상용 소프트웨어에 대비하여도 부족함이 없다. 참고로 우분투는 아프리카에서 사용하는 언어로서 ‘공동체 의식에 바탕을 둔 인간애’를 의미한다고 한다. 최근 VM(Virtueal Machine)을 이용하면 다양한 OS를 동시에 사용할 수 있으니, 한번 사용해 보는 것도 좋은 경험이 될 것이다. 통합개발환경에서는 이클립스와 SubVision/CVS가 유명하다. 특히 이클립스는 자바를 비롯한 다양한 언어를 지원하는 프로그래밍 통합 개발 환경을 목적으로 시작하였으나, 현재는 범용 응용 소프트웨어 플랫폼으로 진화하고 있다. 자바로 작성되어 있는 이 소프트웨어를, 필자는 안드로이드 앱 개발 공부 도중에 만났는데 굉장히 강력한 기능을 자랑하고 있었다. 모바일로는 안드로이드 OS 커널을 구성하는 리눅스가 있다는 점은 이제 뉴스거리도 아니고, 어느 특정한 동작을 할 목적으로 칩안에 OS를 이식하는 임베디드시스템에서 작은 사이즈로 효율적인 제어를 하는 임베디드 리눅스(embeded linux)가 활용되고 있다. 대표적인 임베디드 리눅스 기업으로는 아데니오 임베디드(Adeneo Embeded)가 있다. 오픈소스 소프트웨어는 보안에 취약하다. 오픈소스 소프트웨어는 소스코드가 공개되기 때문에 보안에 취약하다는 편견이 있어 왔고, 이러한 편견이 오픈소스 소프트웨어의 저변 확대에 큰 제약이 되어 왔다. 해킹보안사고가 끊이지 않은 요즘에는 더더욱 이러한 걱정을 많이 하게 되며, 실제로 안드로이드 폰이 iOS 폰보다 보안이 취약하다는 뉴스를 간혹 보곤 한다. 그러나 필자가 보기로는 안드로이드의 소스코드 공개 특성때문이 아니라 안드로이드 폰은 iOS 폰과 달리 응용프로그램의 오픈마켓 형식을 취하고 있기 때문이라고 생각된다. 실제로 보안관제시스템의 한부분인 침입탐지시스템(IDS)는 스노트(Snort)라는 오픈소스 소프트웨어를 사용해 오고 있다는 점, 새로운 오픈소스 소프트웨어 버전이 나오면 여러 사용자군에 의한 공개적인 보안검수를 시작되는데 그로 인하여 신속한 패치가 이루어져 왔고 신속하게 소프트웨어가 안정화되었다는 점, 한 일례로 멀티 유저 개념에서 시작한 리눅스의 싱글 유저 개념에서 시작한 소프트웨어보다 그 보안성이 우월하다는 점 등을 고려하면 오픈소스 소프트웨어의 보안은 걱정하지 않아도 된다고 생각한다. 최근 공공기관에서도 오픈소스 소프트웨어를 이용한 전산망 구축을 하는 것을 보아도 오픈소스 소프트웨어의 보안 걱정은 과장된 것이라 할 수 있을 것이다. 참고로 MS사의 인터텟 익스플러러의 보안위협 노출 일자보다 모질라의 파이어폭스 웹브라우져의 노출 일수가 상대적으로 적게 나타나고 있다는 사실에 주목할 필요가 있다. 오픈소스 소프트웨어 개발자나 공급자는 배고프다. 오픈소스 소프트웨어가 대부분 무료이므로 이를 사용하는 이용자나 응용개발자는 여러 가지 장점을 누리겠지만, 원개발자나 공급자는 수익을 올리지 못할 것이라는 편견이 많다. 소프트웨어 개발 비용도 저렴하고 개발시간을 줄일 수는 있지만, 소프트웨어에 대한 대가를 받지 못하므로 개발비용과 시간은 회수하지 못하는 것이 아닐까하는 의문이 든다. 이 문제는 오픈소스 소프트웨어 개발자의 비즈니스 모델에 대한 것으로서, 오픈소스 소프트웨어 업계에서 성공적인 기업으로 통하고 있는 레드햇의 경우를 들어보자. 레드햇의 2011년 매출은 1조원이 넘었다고 한다. 레드햇은 이미 설명한 대로 유료이기 때문에 가능하다고 볼 수 있지만, 레드햇의 특징적 전략은 서비스였다. 오픈소스 소프트웨어 개발자나 공급자가 제공할 수 있는 서비스로는 그 오픈소스 소프트웨어의 이용자에 대한 교육, 컨설팅, 기술지원 등을 들 수 있는데, 이러한 서비스에 주력하여 매출을 극신장시킨 대표적인 기업이 바로 레드햇인 것이다. 지금은 대기업에서 전략적으로 오픈소스 소프트웨어의 배포에 주력하고 있지만, 대기업도 그러한 개발이나 배포 비용을 교육, 컨설팅, 기술지원 등의 서비스로서 회수하기도 한다. 지금까지 오픈소스 소프트웨어의 편견과 오해에 대하여 살펴보았다. 이러한 오해나 편견은 경쟁업체의 마켓팅 전략이었다는 말도 있으니 직접 겪어 보고 판단하는 게 가장 정확한 것이라 생각된다. 마치면서, “현대의 소비자는 자유에 대하여 지불하길 원한다”는 말이 있다. 다양한 의미가 포함되어 있다고 생각한다. 다만 확실한 것은 이러한 트렌드가 제대로 반영된 것이 바로 오픈소스 소프트웨어가 아닐까 하고 생각해 본다. <3부에 계속> * 법무법인 민후 김경환 대표변호사 작성, 블로그(2012. 3. 15.), 로앤비(2012. 3. 15.) 기고.

‘청개구리가 울면 비가 온다’는 명제를 활용하기 위해서 전통적인 과학자는 청개구리가 울 때의 온도나 습도 및 그 온도와 습도가 청개구리에 미치는 영향 등을 연구함으로써 명제의 참·거짓을 밝혀야 했다. 하지만 빅데이터 시대의 데이터 사이언티스트는 청개구리가 우는 데이터와 비가 오는 데이터를 모아 상호 연관성을 탐구하는 것만으로도 그 명제를 활용할 수 있게 됐다. 그 상호 연관성이 충족되면 청개구리의 우는 데이터를 기반으로 비가 오는 미래를 예측할 수도 있게 된 것이다. 이처럼 빅데이터 가능성은 우리 상상 이상으로 무궁무진하며 인류에게 새로운 진리탐구 방식을 제공하고 있고 궁극적으로는 미래를 예측할 수 있는 능력을 제공한다. 문제는 규범 미비로 인해 현재 빅데이터 활용이 막혀 있다는 것이다. 우리나라는 특히 개인정보 ‘비식별화’ 개념이 정립되지 않아 빅데이터 발전이 더뎌지고 있다. 지난 2014년 12월 방송통신위원회는 ‘비식별화’를 전제로 한 빅데이터 처리 원칙을 담은 ‘빅데이터 개인정보보호 가이드라인’을 발표했다. 이는 행정자치부나 금융위원회의 안내서나 가이드라인에도 그대로 반복되고 있다. 이 가이드라인은 법률에 부합하지 않고 EU 등 태도와도 맞지 않다는 비판이 지속적으로 제기됨으로 인해 규범력을 제대로 발휘하지 못하고 있는데, 그 비판 핵심에 해당하는 부분이 바로 ‘비식별화’ 개념 부분이다. 이와 관련, EU나 미국은 ‘비식별화(de-indentification)’와 ‘익명화(anonymization)’를 구분하고 있다. 비식별화는 ‘식별자 제거’로 인해 데이터에서 개인식별이 ‘매우 어려운’ 상태를 의미하고, 익명화란 개인과 식별자 사이 ‘링크가 비가역적으로 제거’돼서 데이터에서 개인식별이 ‘불가능한’ 상태로서 비식별화 후속조치에 해당한다. 즉 익명화란 복원이 불가능한 비식별화 또는 비가역적 비식별화 상태다. 이는 EU 개인정보 작업반이 펴낸 안내서 ‘anonymisation is a technique applied to personal data in order to achieve irreversible de-identification’이라는 문장에서도 명확하게 파악할 수 있다. 그런데 우리나라 각종 안내서나 가이드라인은 익명화가 아닌 비식별화로 처리를 하면 빅데이터 처리가 가능하고 나아가 개인정보보호 법령이 적용되지 않는 것으로 기술돼 있다. 또 이러한 태도는 EU 규율과 서로 모순돼 우리나라에서도 EU처럼 비식별화 대신에 익명화 규범을 만들어야 한다는 요구가 끊이지 않았다. 최근 일본은 개인정보보보호법이 개정됐는데, 빅데이터 처리가 가능한 ‘익명가공정보’를 정의하면서 ‘특정 개인을 식별할 수 없도록 개인정보를 가공해 얻을 수 있는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것’이라고 해 EU와 부합하는 태도를 취하고 있어 우리나라의 논란은 더욱 커져 갔다. 빅데이터 활용을 허용하는 임계점이 비식별화인지 아니면 익명화인지는 사안의 중요성으로 보아 규범력이 약한 가이드라인이 아니라 정식 법률로 조속하게 해결해야 할 문제다. 개인적 생각으로는 데이터의 유형·민감도 및 학술·통계·마케팅 등 사용 용도에 따라 계층적인 비식별화·익명화 정도, 유연한 빅데이터 활용 허용 기준을 정하는 것이 바람직하다. * 법무법인 민후 김경환 대표변호사 작성, 전자신문(2015. 10. 28.) 기고.

미국 메이저리그의 최하위팀 '오클랜드 어슬레틱스'의 구단주 빌리빈은 오로지 선수들의 성적 데이터를 분석하는 머니볼 이론을 사용함으로써 메이저리그 최초로 20연승이라는 신기록을 세웠다. 이 실화는 브래드 피트 주연의 머니볼이라는 영화로 재연된 적이 있다. 최근 스텀블어폰(StumbleUpon)이라는 SNS 업체는 빅데이터 분석을 통하여 페이스북의 트래픽을 능가했다. 머니볼 이론과 스텀블어폰 사례는 IT 업계에서 화두가 되고 있는 빅데이터(big data), 즉 비정형적인 데이터 안에서 고부가가치의 데이터를 창출해 가는 분석기법의 무한한 가능성에 대하여 잘 보여주고 있다. 일화적 데이터(anecdata)에 의존하고 있는 우리 로펌도 빅데이터에 있어서 예외일 수 없다. 특히 판결문·기록공개는 이 현상을 가속화시킬 것이며, 법조 개방과 더불어 우리나라에 물밀듯이 들어올 빅데이터 선진국의 법조 빅데이터 서비스, 예컨대 IP 분석 서비스인 렉스마키나(Lex Machina), 승패 분석 서비스인 버딕 앤드 셀트먼트 애널라이저(Verdict & Settlement Analyzer), 비용 분석 서비스인 타이메트릭스 리컬뷰(TyMetrix LegalView) 등은 우리 로펌업계에 큰 자극제가 될 것이다. 빅데이터는 미래 경쟁력을 좌우하는 핵심자원이 될 것으로 예상되고 있다. 빅데이터 분석과 창출에 남들보다 앞서 간다면 빅데이터가 무한한 기회가 될 수도 있고, 빅데이터 덕분에 법조계의 빌리빈이 될 수 있다. 사실 빅데이터의 시류에 적극 발맞추어야 할 곳은, 법조데이터를 대량 수집·보유하고 있는 법원과 검찰이다. 법원과 검찰에서 매년 연감을 발행하고 있고 내부적으로 많은 분석데이터를 가지고 활용하고 있지만, 아직 빅데이터 분석 수준이라 할 수 없고, 국민들과 다른 기관에서는 법조 빅데이터의 충분한 혜택을 누리지 못하고 있는바, 사법 정보선진국 달성을 위하여 법조데이터의 활용 및 공개에 보다 적극적일 필요가 있다고 본다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2013. 8. 5.) 기고.

2011년 9월 30일 개인정보보호법이 시행되어 현재는 1년이 넘어가고 있다. 짧은 1년이었지만 그 동안 국민들에게 많은 인식의 변화를 유도했고, 많은 개선과 발전을 가져온 것은 큰 성과라고 할 수 있다. 특히, 정보화 시대의 그림자로 평가받고 있는 정보 프라이버시 침해문제에 대하여 깊은 인식을 하면서 국제적 기준에 부합하는 개인정보 보호 원칙을 실현했으며, 대통령 직속으로 개인정보보호위원회를 설치해 전담체계를 갖추었다는 점에서 큰 기여를 했다고 볼 수 있다. 그러나 여전히 몇 가지 문제점을 안고 있고, 또한 현실에 부합하지 않은 점도 나타나고 있으며, 앞으로 개선되어야 할 점도 있어 보인다. 이 글에서는 개인정보보호법 시행 1년을 맞이하여 그간의 문제점을 짚어보고 앞으로 풀어야 할 과제를 제시하고자 한다. 1. 개인정보 범위의 모호 개인정보보호법상의 ‘개인정보’에 해당하려면, 살아 있는 개인에 관한 정보이어야 하고, 식별성 있는 정보이어야 한다. 나아가 다른 정보와 쉽게 결합하여 식별성을 띠는 정보도 개인정보에 포함시키고 있다. 그러나 위 개인정보보호법상의 ‘개인정보’의 개념이 모호하고, 그 범위 설정이 쉽지 않다는 문제점이 있다. 우선, 누구를 기준으로 식별성을 따져야 하는지가 문제이다. 정보주체를 잘 알고 있는 사람이라면 그렇지 않은 일반인보다 훨씬 더 식별성의 범위가 넓기 때문이다. 다른 정보와 쉽게 결합하여 식별성을 가지는 정보도 개인정보보호법상의 개인정보에 해당하지만, 수차에 걸쳐 결합시키면 모든 정보는 식별성을 가지게 되는 문제점도 있으며, ‘쉽게’라는 표현이 무슨 의미인지 모호하다. 현재 서울중앙지방법원은 개인정보의 개념에 대해 “구하기 쉬운지 어려운지와 상관 없이 해당정보와 다른 정보가 특별한 어려움 없이 쉽게 결합하여 특정 개인을 알아볼 수 있게 되는 것”이라고 파악하고 있다. 또한, 어떤 조건에서 쉽게 결합하여 식별성을 가져야 하는지도 알 수 없어 개인정보가 상대적 개념으로 바뀔 수 있다는 문제점도 있으며, 쉽게 결합하여 식별성을 가지는 정보도 포함됨으로써 개인정보의 범위가 상식선을 넘어 매우 넓어질 수 있다는 문제점도 있다. 개인정보는 살아 있는 개인의 정보이므로 사망한 사람의 정보는 개인정보로 보지 않지만, 사망한 사람의 정보는 살이 있는 후손의 정보도 내포하기 마련이다. 이 경우에도 개인정보로 보지 말아야 하는 것인지, 아니면 살아 있는 후손의 개인정보인지 의문이며, 개인의 정보가 아닌 법인·단체의 정보는 개인정보로 보지 않지만 법인·단체의 임직원 정보는 개인정보인지 아닌지 모호하기 그지 없다. 개인정보보호법으로 보호해야 할 개인정보의 개념과 범위에 관하여 보다 명확하게 규정할 필요가 있다. 더불어 합리적이고 상식에 맞게끔 범위를 정할 필요가 있다. 그렇게 하기 위해서는 애매한 법조문 보다는 명확한 법조문, 누구나 이해할 수 있고 예측할 수 있는 법표현이 규정되어 있어야 할 것이다. 2. 다른 개인정보보호법제와의 관계 정립 대표적인 개인정보보호법제로는 개인정보보호법 외에 ‘정보통신망 이용촉진 및 정보보호에 관한 법률’, ‘신용정보의 이용 및 보호에 관한 법률’이 있다. 이들의 관계에 대하여 개인정보보호법 제6조는 “개인정보 보호에 관하여는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’, ‘신용정보의 이용 및 보호에 관한 법률’ 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다”라고 규정하고 있다. 즉, 개인정보보호법과 정보통신망법·신용정보법 사이에 모순점이 있는 경우 정보통신망법·신용정보법이 우선 적용된다는 것이다. 위 제6조에 의하면, 정보통신망법에 의하여 규율되고 있으면 개인정보보호법의 적용은 배제된다는 것인데, 여기서 문제점이 발생하고 있다. 정보통신망법의 규율대상인 ‘정보통신서비스 제공자’는 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로 정의되어 있다(제2조 제3호). 위 ‘정보통신서비스 제공자’에는 순수한 정보통신서비스 제공자뿐만 아니라 단순히 영리 목적으로 인터넷을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자도 포함하고 있다. 그런데 단순히 영리 목적으로 인터넷을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자의 범위는 단순한 인터넷 사업자까지 포함하고 있는 바, 그렇다면 인터넷 공간에서 개인정보보호법이 적용되는 자는 사실상 거의 없게 되는 결론이 된다. 개인정보보호법이 정보통신망법 때문에 유명무실화되었다는 것이다. 두 법령 사이의 체계를 다시 정립할 필요성이 매우 크다. 그 방안으로는 정보통신망법 규정에서 개인정보보호 규정을 삭제하는 방안(제1안)과 정보통신망법의 ‘정보통신서비스 제공자’의 범위를 순수한 정보통신서비스 제공자로 한정하는 방안(제2안)이 논의되고 있다. 개인적으로 법령 상호간의 체계를 유지하고, 국민들의 혼란을 줄일 수 있다는 점에서 제1안을 지지한다. 다만 방송통신위원회의 감독권은 그대로 존치시키는 것이 바람직하다고 본다. <계속> * 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2012. 10. 22.) 기고.

개인정보보호법의 제정으로 개인정보에 대하여 보호를 해야 하는 것은 알고 있지만, 보호해야 하는 개인정보의 범위는 어디까지인지가 모호하다는 말이 있다. 이번 컬럼에서는 개인정보보호법상의 개인정보에 대한 개념을 고찰해 보기로 한다. 개인정보에 대하여 개인정보보호법은 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.”라고 규정하고 있다(제2조 제1호). 위 정의에 의하면, 개인정보로 인정받으려면, 1) 살아 있는 특정 개인에 관한 정보이어야 하고, 2) 그 정보로 인하여 특정 개인을 식별할 수 있어야 한다. 여기서 핵심은 2) 식별가능성이다. 1) 살아 있는 특정개인에 관한 정보 ①살아 있는 개인에 관한 정보이어야 하므로, 죽은 사람의 정보는 개인정보에 해당하지 않는다. 예컨대 사망한 대통령의 정보는 개인정보보호법상의 개인정보에 해당하지 않는다. ②개인에 관한 정보이므로, 법인이나 단체에 관한 정보는 개인정보로 보지 않는다. 예컨대 법인의 자산 규모, 영업실적, 납세실적, 법인의 어음이 부도났다는 정보 등은 개인정보보호법상의 개인정보로 보지 않는다. ③특정 개인에 관한 정보이어야 하므로, 특정 개인을 알아볼 수 없도록 가공되어 있는 정보는 개인정보에 해당하지 않는다. 예컨대 2010년도 K대 졸업생들의 평균 신장이나 취업률 등은 개인정보에 해당하지 않는다. 2) 식별할 수 있는 정보 식별할 수 있는 정보만이 개인정보에 해당한다. 식별할 수 있다는 의미는 특정 개인을 다른 개인과 구별할 수 있다는 의미이다. 따라서 성명, 주민등록번호, 주소, 학번, 아이디, 이메일 주소, CCTV 정보 등은 개인정보로 볼 수 있다. 구체적으로는 신용정보, 고용정보, 의료정보, 위치정보, 통신정보, 영상정보, 신체정보, 기호정보 등이 여기에 속한다. 다만 해당정보로 특정개인을 알아내기에 부족하여 그 상태로는 식별성을 갖추고 있지 않더라도, 다른 정보와 쉽게 결합하여 알아볼 수 있으면 개인정보보호법상의 개인정보에 해당함에 유의하여야 한다. ‘쉽게 결합하여 알아 볼 수 있다’의 의미에 대하여 서울중앙지방법원 2011. 2. 23. 선고 2010고단5343 판결에서는 쉽게 다른 정보를 구한다는 의미이기 보다는 구하기 쉬운지 어려운지와는 상관없이 다른 정보가 특별한 어려움 없이 쉽게 결합하여 특정 개인을 알아볼 수 있게 되는 것을 말한다고 판시한 적이 있다. 즉 해당 정보와 다른 정보가 기술적으로 별다른 제약이나 어려움 없이 결합되어 특정 개인을 알아볼 수 있다면 정보 결합이 용이하다는 것이다. 예컨대 흔한 성명에 관한 정보가 단독으로 존재한다고 하여도 동성이인이 존재하는 한 특정개인을 식별할 수 없으므로, 그 성명 정보만으로는 개인정보보호법상의 개인정보로 보지 않는다. 하지만 스마트폰에서 주식시세정보를 제공하는 앱이 사용자들의 동의를 얻지 않고 사용자들의 휴대폰에서 IMEI(International Mobile Equipment Identity, 국제단말기인증번호로서 휴대폰 기기 고유번호임)와 USIM(Universal Subscriber Identiry Module, 범용가입자식별모듈) 시리얼번호를 취득하는 경우 이러한 고유번호와 시리얼번호는 기계적인 정보라 하더라도 특정 개인에게 부여되어 있음이 객관적으로 명백하므로 이는 개인정보 취득에 해당하고 따라서 반드시 동의를 얻어야 한다(서울중앙지방법원 2011. 2. 23. 선고 2010고단5343 판결 참조). 식별할 수 없는 정보로서 문제되는 것이 로그기록이나 쿠키파일 정보이다. 특정 시간에 특정 사이트에 접속하게 되면, 그 웹사이트의 로그기록에 접속에 관한 정보가 저장되는 것과 동시에 접속에 관한 정보가 접속자의 PC에 쿠키파일로 저장될 수 있는데, 로그기록이나 쿠키파일로는 특정개인을 식별할 수 없다면 로그기록이나 쿠키파일정보는 개인정보보호법상의 개인정보로 보지 않는다. 그러나 로그기록이나 쿠키파일정보라도 이메일 주소, 주민등록번호 등과 결합한다면 통틀어 식별성을 가지게 되므로 이 때에는 식별정보로 파악될 수 있다. 3) 참고사항 개인정보보호법에는 필요정보와 최소정보를 혼용하고 있어 그 차이가 무엇인지 궁금증을 가지게 한다. 개인정보보호법에는 필요한 정보 중에서 최소한 수집하라고 되어 있으므로(개인정보보호법 제16조 제1항, 정보통신망법 제23조 제2항), 필요정보가 최소정보보다 더 넓은 개념에 해당한다. 즉 서비스 제공에 필요한 정보가 필요정보라면, 그 중에서 반드시 필요한 정보를 최소정보라 할 수 있다. 한편 개인정보는 필수정보와 선택정보로 구분하기도 하는데, 이는 기업이 서비스를 제공할 때 사용되는 개념으로, 서비스에 꼭 필요한 정보가 필수정보이고, 홍보 등 추가적인 목적에 사용되는 정보가 선택정보이다. 원칙적으로 필수정보나 선택정보 모두 기업이 이용자로부터 수집할 때 동의를 얻어야 하지만, 다만 필수정보가 계약이행에 불가피할 때는 동의 없이 수집할 수 있으며, 선택정보에 대하여는 동의를 하지 않아도 서비스 제공을 거부해서는 아니된다. * 법무법인 민후 김경환 대표변호사 작성, 로앤비(2012. 8. 20.), 보안뉴스(2012. 9. 24.) 기고.

은행의 위조사이트가 아닌 정상사이트에 방문하여 평소와 다름없이 공인인증서 비밀번호, 보안카드 번호 2개를 입력하였음에도 불구하고 거액의 예금이 타인에게 빠져나가는 이른바 메모리 해킹 기법의 신종 파밍이 최근에 사회문제화되고 있다. 기존의 파밍 사기는 은행의 정상사이트가 아닌 위조사이트에서 보안카드 번호 전부를 입력하는 기법이었다면, 이번에 문제가 된 메모리 해킹 기법의 파밍은 위조사이트가 아닌 정상사이트에서 발생하였고, 피해자가 보안카드 번호 전부가 아닌 단 2개만 입력한 것이다. 이러한 신종 파밍 사기가 가능한 것은 해커가 메모리 해킹 기법을 사용하고 있기 때문이다. 메모리 해킹 기법이란 과거 게임사이트 등에서 많이 활용되던 해킹 기법으로서, 금융회사 서버에 전송하기 위하여 메모리 주기억장치의 특정 주소에 저장되어 있는 금융데이터를 해커가 악성프로그램을 통하여 위변조하는 기법을 말한다. 해커는 악성프로그램을 이용하여 메모리에 있는 계좌번호나 이체금액까지 위변조할 수 있으므로, 피해자가 자신의 친구에게 300만원 보낸 것으로 인식하고 전자금융거래를 하더라도 실제로는 해커의 통장에 3,000만원이 입금될 수도 있는 것이다. 이번에 보도된 메모리 해킹 기법은 금융거래 발생시 악성프로그램이 이를 감지하여 금융기관이 해킹을 인식하지 못하도록, 금융기관이 제공한 보안모듈이 동작되게 유지한 채로 메모리 수정해킹을 수행하여 악성프로그램이 원하는 행위를 먼저 진행하도록 강제하고 있다. 사실 전자금융거래에서 메모리 해킹 기법이 문제된 것은 이번이 처음은 아니다. 2006년, 2007년 즈음에 이미 메모리 해킹 기법의 전자금융사기 사례가 보도된 적이 있었고, 잠시 이 사기 기법이 사회문제가 되었다가 곧 잠잠해 졌다. 이런 현재의 속수무책적인 연속적인 피해발생도 문제지만 더 큰 문제는 해커가 이러한 형태의 악성프로그램을 개발하고 구하는 게 쉽지 않기에 일부 금융기관에서 전 금융기관으로 모방범죄가 확대될 수 있다는 점이며, 피해 발생 사례가 이미 7~8년 전에 보도되었음에도 불구하고 금융기관은 그 동안 이에 대하여 아무런 대비도 하지 않고 있다는 점이다. 그나마 다행인 점은, 이러한 메모리 해킹 사고에 대하여 해당 금융기관이 전자금융사고 보험으로 보상을 해 주겠다고 발표한 점이다. 다만 그 보상이 피해금의 전부인지 아니면 일부인지는 좀 더 지켜보아야 할 것으로 보인다. 메모리 해킹 기법의 파밍에 대한 이용자의 대책으로는, 첫째, 보안카드 번호 2개를 입력한 이후 확인 버튼을 눌렀음에도 불구하고 비정상적으로 종료하였다면 파밍 사기로 의심하고 바로 은행을 전화를 걸어 지급정지를 시켜야 하며, 둘째, 평상시 공인인증서 비밀번호나 보안카드 번호를 별도의 팝업창에 입력하지 않았음에도 불구하고 별도의 팝업창에 입력하는 방식으로 바뀌었다면 일단 파밍 사기로 의심을 해 보아야 한다는 점이다. 일부 금융기관은 아직도 금융기관단의 보안에만 신경을 쓰면 되고, 이용자단의 보안에 대하여는 자신의 영역이 아니라고 보고 있다. 하지만 전자금융거래 과정에서 이용자단의 보안도 엄연히 금융기관이 책임을 다하여야 하는 영역이며, 이용자단의 보안이 이루어지지 않으면 금융기관단의 보안도 위협받을 수밖에 없다는 점을 인식하여야 할 것이다. 전자금융거래 서비스에서, 금융기관단의 보안뿐만 아니라 이용자단의 보안도 금융기관이 바로 운영 및 책임의 주체가 되어야 할 것이다. * 법무법인 민후 김경환 대표변호사 작성, 디지털데일리(2013. 7. 22.), 리걸인사이트(2016. 2. 25.) 기고.