NEPLA co.

최근 많은 논란을 낳은 소프트웨어(SW)산업진흥법 개정으로 2013년 1월 1일부터 상호출자 제한기업집단 소속 IT서비스 기업은 원칙적으로 공공 정보화 시장에 참여할 수 없는 등 중소 소프트웨어사업자 육성안이 실행 중이다. 이 제도의 시행으로 인하여 여러 소프트웨어기업의 이해관계에 큰 영향을 주게 되었고, 기업의 전략도 대폭 수정해야 하는 경우도 생겼다. 이에 이번 기고에서는 소프트웨어산업진흥법상의 대기업의 공공사업 참여제한에 대하여 살펴보기로 한다. 국가, 지방자치단체, 국가 또는 지방자치단체가 투자하거나 출연한 법인 또는 그 밖의 공공단체 등(이하 `국가기관등`이라 함)이 발주하는 소프트웨어사업에서 ① 대기업인 소프트웨어사업자의 사업참여는 제한되며, ② 대기업 소프트웨어사업자 중 상호출자제한기업집단에 속하는 회사의 사업참여는 원칙적으로 금지된다. 이러한 조치로 인하여 중소 소프트웨어사업자의 공공 부문 소프트웨어 사업 참여가 확대될 수 있게 되었다. 여기서 중소 소프트웨어사업자(정보서비스업)란 상시 근로자수 300명 미만 또는 매출액 300억원 이하의 사업자를 말하므로, 대기업 소프트웨어사업자는 그 이상인 사업자를 의미하며, 다만 소프트웨어사업자로 신고된 사업자에 제한된다. ① 대기업 소프트웨어사업자는 사업금액에 따라 사업참여가 제한된다. 매출액 8천억원 이상인 대기업의 경우는 사업금액(부가가치세 포함, 이하 같음)이 80억원 이상인 사업만 참여할 수 있고, 매출액 8천억원 미만인 대기업의 경우는 사업금액이 40억원 이상인 사업만 참여할 수 있다. 다만 중소기업이 `중견기업`에 해당하는 대기업이 된 경우 그 사유가 발생한 날로부터 5년이 경과되지 않을 시에는 20억원 이상의 사업에 참여할 수 있다. 한편 둘 이상의 소프트웨어사업을 일괄발주하는 경우에는 총 사업금액이 아닌 각 단위사업의 금액에 따라 대기업인 소프트웨어사업자가 참여가능한 사업금액의 하한을 적용한다. 다만 대기업 소프트웨어사업자라 하더라도, ⅰ) 대기업인 소프트웨어사업자 자신이 구축한 소프트웨어사업의 유지 및 보수에 관한 사업으로서 2014년 12월 31일까지 체결한 계약, ⅱ) 조달청에 의뢰하여 발주하는 사업으로서 소프트웨어사업자를 선정하지 못하여 다시 발주하는 사업, ⅲ) 국방ㆍ외교ㆍ치안ㆍ전력, 그 밖에 국가안보 등과 관련된 사업으로서 대기업인 소프트웨어사업자의 참여가 불가피하다고 미래창조과학부장관이 인정하여 고시하는 사업에 대하여는 사업금액의 제한 없이 참여할 수 있다. 여기서 대기업인 소프트웨어사업자의 참여가 불가피한 사업이란, ⅰ) 대규모 사업으로서 시스템 통합대상이 광범위하거나, 다수의 시스템과 연계ㆍ통합이 요구되는 복잡한 사업으로서 고도의 시스템통합 능력과 경험이 요구되는 경우, ⅱ) 대상 시스템 관리기관 또는 관리자가 전국 또는 국내외로 분포된 사업으로서 고도의 사업관리 능력과 경험이 요구되는 경우, ⅲ) 대상 시스템의 품질저하 내지 위험발생시 국가의 존립, 국민의 신체ㆍ재산에 대한 피해가 막대할 것으로 예상되는 사업으로서 고도의 위험관리ㆍ대응 능력과 경험이 요구되는 경우, ⅳ) 사업의 기술적 전문성ㆍ특수성이 인정되는 분야로서 해당기술을 보유한 기업이 대기업 밖에 존재하지 않는 경우 또는 해외 시장에서 차지하는 기술적 경제적 가치가 높아 글로벌 경쟁력 제고에 상당한 영향을 줄 수 있는 새로운 기술을 적용하는 경우, ⅴ) 운영사업으로서 위 ⅰ)부터 ⅳ)의 어느 하나 이상에 해당하는 경우를 말한다. 대기업인 소프트웨어사업자의 참여가 불가피하여 대기업 참여제한에 대한 예외를 인정받고자 하는 국가기관등의 장은 해당사업의 전년도 12월 말일까지 주무부서 장관에게 예외사업의 인정을 요청하여야 한다. 위 요청을 받은 주무부서 장관은 심의위원회 심의 등을 거쳐 예외사업 인정여부를 판단할 수 있으며, 원칙적으로 45일 이내에 그 결과를 각 국가기관등에 통보하여야 한다. ② 대기업이라도 상호출자제한기업집단에 속하는 회사에 대하여는 계약체결일 2013. 1. 1. 기준으로 대기업 소프트웨어사업자와 달리 사업금액에 관계없이 참여를 제한할 수 있다. 여기서 상호출자제한기업집단에 속하는 회사는 공정거래위원회가 매년 지정하여 발표하는데, 금년의 경우 자산총액 5조원 이상인 62개 기업집단을 2013년 상호출자제한기업집단으로 지정하였다. 이 중 민간 기업집단은 51개로 전년과 동일하고 공기업 집단 등은 11개로 전년에 비하여 1개 감소하였다. 다만 상호출자제한기업집단에 속하는 회사라도, ⅰ) 대기업인 소프트웨어사업자 자신이 구축한 소프트웨어사업의 유지 및 보수에 관한 사업, ⅱ) 조달청에 의뢰하여 발주하는 사업으로서 소프트웨어사업자를 선정하지 못하여 다시 발주하는 사업, ⅲ) 국방ㆍ외교ㆍ치안ㆍ전력, 그 밖에 국가안보 등과 관련된 사업으로서 대기업인 소프트웨어사업자의 참여가 불가피하다고 미래창조과학부장관이 인정하여 고시하는 사업에 대하여는 사업금액의 제한 없이 참여할 수 있다. 이 점은 대기업 소프트웨어사업자와 같다. 한편 대기업의 공동수급도 제한되는데, 발주자는 제안요청서 작성시 대기업참여를 허용할 경우에도 대기업인 소프트웨어사업자 중에서 매출액이 8천억원 이상인 소프트웨어사업자 간 공동수급체의 참여를 제한하여야 한다. 따라서 매출액이 8천억원 이상인 대기업 소프트웨어사업자와 매출액이 8천억원 미만인 대기업 소프트웨어사업자 사이의 공동수급은 허용된다. 창조경제의 핵심으로 소프트웨어 및 콘텐츠 산업이 꼽히고 있기는 하지만, 소프트웨어 및 콘텐츠 기업이 우리나라에서 제대로 된 대우를 받고 있다고는 할 수 없는 것이 현실이다. 여러 가지 법제도 정비를 통하여 창조경제를 현실적으로 실현할 수 있는 핵심인 소프트웨어 및 콘텐츠 산업을 지원함으로써, 소프트웨어와 콘텐츠를 통한 진정한 IT 강국이 되기를 기원하며, 소프트웨어산업진흥법의 여러 시도가 좋은 결실을 맺기를 희망한다. * 법무법인 민후 김경환 대표변호사, 디지털데일리(2013. 4. 23.), 전자신문(2013. 5. 28.), 디지털타임스(2014. 1. 4.) 기고.

2013년 3월경 시행된 소프트웨어산업진흥법, 특히 대기업 소프트웨어사업자의 국가기관등의 발주사업 참여 제한 조항(제24조의2)으로 인해 소프트웨어산업에 일대 폭풍이 불고 있다. 하지만 그 미치는 영향이 심대함에도 불구하고 소프트웨어산업진흥법 일부조항의 모호함 때문에, 법적용을 받는 기업들이나 법집행을 해야 하는 정부기관들도 모두 갈팡질팡하고 있는 실정이며, 오히려 중소기업과 대기업 사이의 갈등의 골이 깊어지고 있다. 대표적으로 최근 한 공공기관의 하드웨어(HW) 기기 변경 사업을 두고, 소프트웨어산업법이 적용되므로 대기업이 참여해서는 안 된다는 입장과 소프트웨어산업법이 적용되지 않는다는 입장이 맞서고 있다. 이런 논란을 포함해, 이 법의 몇 가지 모호한 점을 제시하고, 그 법적 해결책을 같이 제안하고자 한다. 첫째, PC·주변기기 등의 하드웨어 기기 변경 사업이 소프트웨어산업진흥법의 적용을 받는 소프트웨어산업인지 여부의 모호함이 문제이다. PC·주변기기 등의 하드웨어 기기의 변경이나 추가가 있는 경우, 단순히 기기를 변경하거나 새로이 추가하는 것이 아니라 기기 안에 윈도, 오피스, 한글 등의 구동 소프트웨어(SW)를 설치한 다음 기존 시스템에의 호환·연동 작업을 하게 되는데, 이 과정에서 불가피하게 소프트웨어 작업이 필요하기 때문에, PC·주변기기 등의 하드웨어 기기 변경 사업이 소프트웨어사업인지 아니면 하드웨어사업인지에 대해 다툼이 발생한 것이다. 만일 PC·주변기기 등의 하드웨어 기기의 변경이나 추가 사업을 소프트웨어사업으로 분류한다면 소프트웨어산업진흥법이 적용돼 대기업이나 상호출자제한기업집단에 속하는 회사가 입찰에 참여하지 못하는 것이지만, 소프트웨어사업이 아니라 하드웨어사업이라면 소프트웨어산업진흥법이 적용되지 않아 대기업 입찰에 제한이 없게 된다. 한편 소프트웨어산업진흥법이 적용되는 소프트웨어산업에 대해 소프트웨어산업진흥법 제2조 제2호는 지난 2010년부터 ‘소프트웨어의 개발, 제작, 생산, 유통 등과 이에 관련된 서비스 및 「전자정부법」 제2조 제13호에 따른 정보시스템의 구축·운영 등과 관련된 산업’이라고 정의하고 있고, 전자정부법 제2조 제13호는 ‘정보시스템’에 대해 ‘정보의 수집·가공·저장·검색·송신·수신 및 그 활용과 관련되는 기기와 소프트웨어의 조직화된 체계’로 정의하고 있다. 위 소프트웨어산업진흥법 제2조 제2호를 간단하게 정리하면, ① 소프트웨어의 개발, 제작, 생산, 유통 등과 이에 관련된 서비스 및 ② 전자정부법에 따른 정보시스템의 구축·운영 등과 관련된 산업이 소프트웨어산업이라는 것이고, 따라서 이 사안의 쟁점은 ‘PC·주변기기 등의 하드웨어 기기의 변경이나 추가 사업’이 위 2가지 중 하나에 해당하는지 여부이다. 먼저 ① ‘소프트웨어의 개발, 제작, 생산, 유통 등과 이에 관련된 서비스’에 ‘PC·주변기기 등의 하드웨어 기기의 변경이나 추가 사업’이 포함되는지 여부를 살펴보건대, 모든 기기에는 불가피하게 하드웨어와 소프트웨어가 모두 존재하고 있다는 점을 고려하면, 단순히 소프트웨어가 존재한다고 해 또는 소프트웨어 작업이 필요하다고 해 ‘소프트웨어의 개발, 제작, 생산, 유통 등과 이에 관련된 서비스’에 해당한다고 보아서는 아니되고, 소프트웨어와 하드웨어의 상관관계를 가지고 판단해야 한다. 즉 하드웨어 내의 소프트웨어가 하드웨어에 종속적이면 소프트웨어사업이 아닌 하드웨어사업으로 보고, 하드웨어 내의 소프트웨어가 하드웨어에 종속적이지 않으면 소프트웨어사업으로 분류하는 것이 일반적이다. 예컨대 ‘PC·주변기기 등의 하드웨어 기기의 변경이나 추가’로 인해 필요한 소프트웨어작업이 기존 시스템에의 호환성·연동성을 위한 소프트웨어작업이라면, ‘PC·주변기기 등의 하드웨어 기기의 변경이나 추가 사업’은 소프트웨어사업에 해당하지 않는다고 보아야 한다. 더불어, 소프트웨어가 범용으로서 하드웨어 종류와 상관없이 구동하는 상용프로그램인 경우, 사업자가 아닌 발주자가 하드웨어의 소프트웨어작업에 필요한 소프트웨어를 제공하는 경우, 하드웨어가 기성품으로서 일반적으로 판매되는 것인 경우, 하드웨어의 A/S를 하드웨어 판매업체가 제공하는 경우 등은 ‘PC·주변기기 등의 하드웨어 기기의 변경이나 추가 사업’은 소프트웨어사업에 해당하지 않는다고 볼 소지가 크다. 다음으로 ② ‘전자정부법에 따른 정보시스템의 구축·운영 등과 관련된 산업’에 ‘PC·주변기기 등의 하드웨어 기기의 변경이나 추가 사업’이 포함되는지 여부를 살펴보건대, 전자정부법 제2조 제13호는 ‘정보시스템’에 대해 “정보의 수집·가공·저장·검색·송신·수신 및 그 활용과 관련되는 기기와 소프트웨어의 조직화된 체계”로 정의하고 있기에, 일단 PC·주변기기 등의 하드웨어 기기는 전자정부법에 따른 정보시스템에 포함된다고 볼 수도 있어 보인다. 하지만, PC·주변기기 등의 하드웨어 기기가 전자정부법에 따른 정보시스템에 포함된다고 해, ‘PC·주변기기 등의 하드웨어 기기의 변경이나 추가 사업’이 소프트웨어산업이라고 볼 수는 없어 보인다. 왜냐하면, 전자정부법상의 정보시스템에 관한 사업은 하드웨어사업과 소프트웨어사업을 모두 포함하고 있는 개념인바, 소프트웨어산업진흥법상의 ‘전자정부법에 따른 정보시스템의 구축·운영 등과 관련된 산업’는 위 정보시스템에 관한 사업 중에서도 특히 ‘소프트웨어산업’만 가리킨 것이라고 보아야 하기 때문이다. 이렇게 해석하지 않으면, 소프트웨어산업진흥법이 하드웨어사업도 함께 규율해 하드웨어사업 관련법인 정보통신공사업법 또는 전기통신사업법의 영역까지 침범하는 사태가 발생하며, 단순한 하드웨어산업까지도 소프트웨어산업진흥법이 포섭하게 되는 기이한 현상이 발생할 우려가 있고, 소프트웨어가 들어가기만 하면 단순한 하드웨어 판매사업자도 소프트웨어사업자라고 파악할 수 있어 보이기 때문이다. 결국, ② ‘전자정부법에 따른 정보시스템의 구축·운영 등과 관련된 산업’이란 ‘전자정부법에 따른 정보시스템의 구축·운영 등과 관련된 (소프트웨어)산업’ 또는 ‘전자정부법에 따른 정보시스템의 구축·운영 등과 관련된 산업 중 소프트웨어산업’이라고 해석해야 전체 법취지나 법제목에 맞는 해석이라 생각한다. 중소기업의 보호는 반드시 이루어야 할 덕목이지만, 법해석을 왜곡해서까지 그 보호가 행해져서는 안 될 것이다. 소프트웨어가 들어가기만 하면 하드웨어사업까지 포함해 소프트웨어사업을 개념정의하게 되면, PC·모바일을 판매하는 대기업까지도 소프트웨어사업자가 될 수도 있다는 점을 명심해야 하겠다. 둘째, 소프트웨어산업진흥법 제24조의2 제2항에 의하면, 대기업은 일정 사업금액 이하의 소프트웨어사업에 대해는 참여가 제한되는바, 하지만 법적용상 이러한 금액 기준이 명확하지 않다. 예컨대 매출액 8천억원 이상의 대기업은 사업금액이 80억원 미만인 사업에 대해 참여가 제한되는바, 사업기간을 늘리면 손쉽게 사업금액을 80억원 이상으로 만들 수 있다. 현재는 사업기간에 상관없이 사업참여 가능한 사업금액을 산정하고 있어 발생하는 문제인바, 이러한 산정방법에서 벗어나 전체 사업금액을 사업기간에 나눈 연평균 금액을 기준으로 정하는 것이 바람직할 것으로 보인다. 셋째, 소프트웨어산업진흥법 제24조의2 제2항 제1호에 의하면, ‘대기업인 소프트웨어사업자 자신이 구축한 소프트웨어사업의 유지 및 보수에 관한 사업’의 경우에는 대기업의 참여제한이 적용되지 않는데, 법적용상 구축의 정도가 명확하지 않다. 예컨대 대기업인 소프트웨어사업자가 전부를 구축한 소프트웨어사업의 유지·보수 사업에 관해 대기업의 참여제한이 적용되는지 것인지, 아니면 일부라도 구축에 참여했다면 소프트웨어사업의 유지·보수 사업에 관해 대기업의 참여제한이 적용되는지 것인지에 명확하지 않다. 앞으로 이 점에 대해 명확하게 밝힐 필요가 있다. 이상 소프트웨어진흥법 제24조의2의 적용과정에서 발생하는 문제점에 대해 살펴보았다. 법이 모호하면 법의 실효성까지 해치게 된다. 애써 만든 상생의 법안이 법 자체의 모호성 때문에 실효성까지 잃게 되는 사태가 발생하지 않도록 최선의 관리를 다해야 할 것이다. * 법무법인 민후 김경환 대표변호사, 디지털데일리(2013. 6. 24.) 기고.

개인정보 및 프라이버시에 대한 관심이 증폭되어 가는 가운데 2012년 2월경 두 대표적인 IT 기업인 애플(Apple)과 구글(Google)이 트랙킹 쿠키 및 인터넷 이용자의 프라이버시를 쟁점으로 한 분쟁이 있었고, 최근에 이에 대한 미국 법원의 최종적인 재판 결과가 나왔다. 이 기고에서는 이 분쟁의 경과를 살펴봄으로써 트랙킹 쿠키(tracking cookie)가 프라이버시에 미치는 영향을 검토해 보고자 한다. 애플이 제공하는 사파리(safari) 웹브라우저는 ‘제3자 쿠키 차단(no third party cookies)’ 기능을 기본적인 설정으로 하여 출시되고 있고, 특히 이용자가 이 설정을 변경하지 않는 한 이용자가 방문한 사이트에서 제공된 쿠키파일(first party cookies)이 아닌 이용자가 방문하지 아니한 제3자 사이트가 제공한 쿠키파일(third party cookies)이 이용자의 PC 등에서 발견되어서는 아니 되어야 한다. 하지만, 사파리 브라우저의 쿠키 차단 설정을 변경하지 않은 사파리 브라우저 이용자의 PC 등에서 구글의 대표적인 광고형태인 Double Click 방법(이용자의 행태를 분석함으로써 이용자의 기호에 맞는 광고를 제공하는 온라인 행태광고 방법 중 대표적인 것)에 의한 제3자 쿠키파일이 깔려 있는 게 발견되었던 것이었다. 즉 이용자가 구글이 운영하는 Double Click 사이트를 방문하지 않았음에도 불구하고 제3자인 Double Click 사이트가 제공한 트랙킹 쿠키파일(tracking cookies, 이용자의 방문기록 등을 추적하는 특수한 쿠키로서 일반적인 쿠키와 달리 검색 및 삭제가 어려움)을 발견할 수 있었다. 이러한 현상에 대하여 애플 등은 구글이 자사의 Double Clikc 광고서비스 제공을 위해 Double Click 사이트가 제3자(third party)가 아닌 것처럼 조작함으로써 애플 사파리의 프라이버시 설정을 우회하거나 유명무실하게 만들었다고 의심을 하였고, 이용자들은 구글의 프라이버시 침해 행위에 분노하면서 FTC(Federal Trade Commission)의 조사가 시작되었다. 이 분쟁을 미국 언론에서는 ‘쿠키 게이트’라고 불렀다. 수개월 동안의 FTC 조사 결과 밝혀진 바로는, 구글은 다음과 같은 2가지 방법으로 이용자가 방문하지 않은 Double Click 사이트를 제3자(third party)가 아닌 것처럼 착각하게 만들었다고 한다. 첫 번째 방법은, 이용자가 Double Click사와 제휴된 특정 사이트를 방문한 경우 이용자가 Double Click 사이트를 방문한 것처럼 처리하게 함으로서 트랙킹 파일을 설치하였다. 두 번째 방법은, 구글이 ‘document.getElementById('drt_form').submit();’이라는 자바 스크립트가 들어 있는 파일을 사파리 브라우저에 보내면, 사파리 브라우저는 이용자가 Double Click 사이트에 form을 제출한 것처럼 착각함(즉 직접적인 연결이 있는 것으로 착각함)으로써 Double Click의 트랙킹 쿠키를 이용자의 PC 등에 설치하였다. 이 방법이 특히 관심을 끌었고 큰 문제가 되었다. FTC의 조사가 착수되고 여론이 악화되자, 2012년 8월 구글은 자신의 프라이버시 침해를 인정하고 FTC와 화해(settlement)를 하였는데, 그 내용은 “22.5백만 달러(약 240억원) 벌금을 지불하고, 사파리 브라우저 이용자 PC 등에 깔려 있는 트랙킹 쿠키를 찾아서 전부 없애기로 한다”는 것이었다. 이 벌금은 FTC 역대 최고라고 한다. 최근에는 법원에 의하여도 위 화해 내용이 승인되었다. 즉 컨슈머 워치독이라는 소비자단체는 FTC의 제재가 구글 같은 회사를 변화시키기엔 실효성이 없다고 주장하면서 좀 더 높은 수준의 제재를 법원에 요구하였지만, 미국 캘리포니아 북부지방법원의 수잔 일스톤 판사는 2012년 11월 16일, “FTC와 구글이 2개월 넘게 세부적인 합의 사항을 고심해왔으며, 벌금액수와 협의 과정 모두 공정하고 적절하며 합리적이었다”고 하여 승인힌 것이다. 이로써 쿠키 게이트는 일단락되었다고 할 수 있다. 이렇게 구글에게 큰 벌금이 내려진 이유는, 구글이 지난 2011년 10월 프라이버시 침해를 이유로 FTC으로부터 버즈 명령(Buzz decree)을 받았음에도 이를 어기고, 또 다시 사파리 브라우저 이용자의 프라이버시를 침해하였기 때문이다. 버즈 명령이란, 2010년 9월 구글의 소셜네트워킹 툴인 Google Buzz가 Gmail 사용자의 개인정보를 동의 없이 이용하고 공개하였다는 이유로 피해자들에게 850만달러를 배상하고, 2011년 10월 같은 이유로 감독청인 미국 FTC에게 개인정보의 수집목적 외 이용 금지, 이용자의 정보통제권 보장 등 광범위한 프라이버시 프로그램 운용의 이행을 약속하였는데, 이 때 작성된 것은 바로 버즈 명령이다. 이상의 경과를 보고 온라인 행태광고를 위한 트랙킹 쿠키 자체가 위법하다고 생각해서는 아니 된다. 이 사건은 구글이 트랙킹 쿠키를 기망적인 방법ㆍ우회적인 방법으로 이용자의 PC 등에 설치하고 이용자의 행태정보를 수집했다는 점이 문제였던 것이지 트랙킹 쿠키 자체를 문제삼은 것은 아니다. 미국의 경우, 트랙킹 쿠키 자체가 위법하다고 보지 않고 다만 일정한 절차만 따르면 허용된다고 보고 있다. 예컨대, 미국 FTC는 2011년 11월경, Double Click과 유사한 온라인 행태광고를 하는 ScanScout사가 트랙킹 쿠키에 의한 행태정보 수집을 은폐하였다는 것을 문제삼아, ScanScout에게 이용자의 정보가 수집ㆍ이용ㆍ공유ㆍ제공되는 방식 및 그러한 방식에 대한 이용자의 통제권을 명확하게 표현할 것, 이용자의 정보수집을 거부할 수 있는 방법(opt-out 방식)을 적용할 것, 하이퍼링크를 통해 별도의 웹 페이지로 이동하여 이용자가 정보수집을 거부할 수 있는 방법을 제공할 것 등의 절차를 마련하라고 시정조치하였다. 트랙킹 쿠키에 의한 정보수집은 기본적으로 비식별정보에 대한 수집이므로 우리나라 정보통신망법, 개인정보보호법에 의하더라도 위법하다고 단정할 수 없다. 하지만 기업의 정보수집 욕구나 빅데이터 구축 의욕은 자칫 정보주체의 비식별정보에 대한 통제권을 무시할 수 있고, 실제 그러한 예가 바로 구글의 트랙킹 쿠키, ScanScout사의 트랙킹 쿠키 사건인 것이다. 정보통신망법이나 개인정보보호법의 적용범위를 넓혀, 비식별정보에 대한 합리적인 규율과 절차 설정이 필요한 때라고 본다. * 법무법인 민후 김경환 대표변호사 작성, 블로그(2012. 11. 25.), 보안뉴스(2012. 11. 27.), 로앤비(2012. 12. 5.) 기고.

우리는 알게 모르게 많은 오픈소스 소프트웨어를 이용하고 있고, 개발자들도 개발 과정에서도 많은 오픈소스 소프트웨어에 의존하고 있다. 오픈소스 소프트웨어는 무료 소프트웨어의 공유라는 단순한 의미를 넘어 안드로이드 스마트폰에서 보았듯이 어느덧 기업의 비즈니스 모델로 확고하게 자리 잡고 있으며, 나아가 앞으로 상용 소프트웨어를 대체할 것으로 예상하는 사람들도 있는 실정이다. 이에 이번 기회에 오픈소스 소프트웨어의 역사를 한 번 짚어보고자 한다. “누군가가 나의 등잔의 심지에서 불을 붙여가도 내 등잔의 불은 여전히 빛나고 있습니다.” 미국의 정치가 토머스 제퍼슨이 한 말이다. 이러한 명언은 이후 오픈소스 소프트웨어 생성의 정신적 기초가 됐다. 오픈소스 소프트웨어(Open Source Software, OSS)란 일반 사용자의 공동연구를 통해 개발, 시험, 개선작업과 공동연구를 보장하기 위해 해당 소프트웨어의 소스코드(인간이 읽을 수 있는 언어 형식으로 작성된 것, 대표적인 언어 형식으로는 C, Java 등이 있다)가 공개되는 소프트웨어를 말한다. 대표적인 오픈소스 소프트웨어로는 최근 안드로이드(android) 때문에 모바일 플랫폼으로서 각광을 받고 있는 리눅스 커널(linux kernel, 점유율 약 50%), 서버시장의 약 30%의 점유율을 보이고 있는 리눅스 OS, 전세계 웹서버의 60% 이상을 차지하고 있는 아파치(apache), DB 분야의 선두주자인 MySQL, 통합개발환경을 제공하는 이클립스(eclipse) 등이 있다. 우리나라에서도 이름난 오픈소스 소프트웨어가 있으니, 과거 NHN(현 네이버)이 인수해 전세계의 웹콘텐츠 플랫폼 시장의 약 60%를 휩쓸고 있는 익스프레스엔진(XpressEngine, XE)이 그것이다. 오픈소스 소프트웨어의 기원은 1980년대로 거슬러 올라간다. 하드웨어 중심 체제로부터 점점 소프트웨어의 비중이 높아지면서 소프트웨어 기업의 소프트웨어에 대한 이용·배포·복제·수정 등에 일정한 제한을 가하려고 하는 추세가 있자, 이러한 ‘독점’ 체제에 반발해 ‘공유’를 주장하는 운동이 리차드 스톨만(Richard Stallman)에 의해 일어났다. 리차드 스톨만은 소프트웨어 상업화에 반대하고 소프트웨어 개발 초기의 상호협력적인 문화로 돌아갈 것을 주장하며 1984년 GNU(GNU is Not UNIX)프로젝트를 주도했고, 이듬해인 1985년 FSF(프리 소프트웨어 재단, http://www.fsf.org)를 조직하면서, ‘소프트웨어는 공유돼야 하며 프로그래머는 소프트웨어로 돈을 벌어서는 안 된다’는 내용의 GNU 선언문을 제정하기도 했고, 이를 지원하기 위해 저작권(copyright)에 대응하는 카피레프트 운동도 주창했다. 1990년대 들어서면서 인터넷의 보급과 더불어 GNU GPL(General Public License)로 배포된 리눅스의 보급으로 자유소프트웨어 운동이 확산됐고, 1998년에는 MS의 웹브라우저인 익스플로러에 밀려 어려움을 겪고 있던 넷츠케이프(Netscape)사가 웹브라우저 모질라의 소스코드를 공개하는 결정을 하게 됐다. 그 즈음 자유소프트웨어라는 용어에서 오픈소스 소프트웨어로 용어가 변경되는데, 자유(free)란 용어 때문에 일반인들이 무료라고 인식하고 있다는 점, GPL 조항의 엄격성 때문에 소프트웨어 개발이 용이하지 않다는 점을 탈피하기 위해서였다. 이후 1998년 오픈소스 소프트웨어를 인증하는 OSI(Open Source Initiative, www.opensource.net)가 에릭 레이몬드(Eric Raymond) 등에 의해 결성되면서 오픈소스 소프트웨어 운동은 궤도에 오르게 된다. OSI 단체가 정한 오픈소스 소프트웨어의 기준을 OSD(Open Source Definition)이라 하는데, 이 기준을 만족해야만 오픈소스 소프트웨어로 인정받게 된다. 참고로, OSD 기준에 따르면 오픈소스 소프트웨어는 6가지 요건을 갖추어야 한다. ▲자유로운 재배포(Free Redistribution) ▲소스코드 공개(Source Code) ▲2차적 저작물 허용(Derived Works) ▲저작자의 소스코드의 온전함(Integrity of The Author's Source Code) ▲차별금지(No Discrimination Against Persons or Groups 및 No Discrimination Against Fields of Endeavor) ▲라이선스의 배포(Distribution of License). 위와 같은 역사를 거쳐 이제 오픈소스 소프트웨어는 소프트웨어의 한 축을 잡게 됐다. * 법무법인 민후 김경환 대표변호사 작성, 디지털데일리(2014. 2. 21.), 마이크로소프트웨어 기고.

오라클(Oracle) vs 구글(Google) 사건의 핵심 내용은 자바(Java) 언어로 작성된 API(Application Programming Interface)에 대한 저작물성 인정 여부이다. 1심에서는 구글의 승리로 끝났지만, 항소법원은 1심 판결을 뒤집고 오라클의 손을 들어주었다. 엄청난 손해배상 액수가 걸린 이 사건은 전 세계의 관심을 받고 있고, 향후 API 저작권과 안드로이드 운영체제에 미치는 영향은 지대하기에 항소심 판결 내용을 중심으로 살펴보기로 한다. 자바는 1991년 C의 단점을 보완한 객체 지형적 언어로서, 썬마이크로 시스템즈에 의하여 개발되었고, 이후 썬마이크로 시스템즈는 2010년 오라클에 팔려서 이 사건의 원고는 오라클이 된다. 피고 구글은 2005년 안드로이드사를 매수하여 2007년 안드로이드 플랫폼을 완성하였는데, 이 안드로이드에는 자바 기반의 기술이 도입되었다. 같은 해 구글은 안드로이드 개발키트(software development kit)를 개발하였고, 여기에 Java SE로부터 차용된 API가 이용되었는데, 이 API가 문제가 된 것이다. 한편 API란 운영체제와 응용프로그램 사이의 통신에 사용되는 언어나 메시지 형식을 의미하는데, 입출력, 화면 구성, 네트워크 등의 필수적은 클래스들을 미리 구현하여 개발자가 쉽게 접근할 수 있도록 제공되는 프로그래밍 블록이라 할 수 있다. 1심 판결문은 이렇게 비유하고 있다. API는 도서관이고, 패키지(pakage)는 책장이며, 클래스(class)는 책이고, 방법(method)이 책의 장이다. 소송은 2010년 8월 오라클의 소제기로 시작된다. 1심은 캘리포니아 북부지방법원 윌리암알섭 판사에게 배당되었다. 1심 소송은 저작권, 특허, 손해배상의 3가지로 나누어져 심리가 진행되었다. 특허에 관하여 오라클은 static initialization과 data references 기술에 관련된 특허를 주장하였는데, 배심원은 구굴의 특허침해를 인정하지 않았다. 저작권에 관하여 오라클은 37개의 자바 API 패키지, 9줄의 rangeCheck function, 8개의 디컴파일된 보안 파일에 대한 저작권 침해를 주장하였는데, 배심원은 안드로이드의 37개의 자바 API 패키지에 대한 저작권 침해는 인정되지만 다만 구글의 자바 API 패키지의 이용은 공정이용(fair use)에 해당하므로 결론적으로 저작권 침해가 되지 않는다고 판단하였고, 9줄의 rangeCheck function에 대한 저작권 침해를 인정하였으며, 8개의 디컴파일된 보안 파일에 대한 저작권 침해는 부정하였다. 위 사실을 근거로 결국 1심 배심원은 구글의 손해배상책임마저 부정하였다. 오라클의 대패로 소송이 끝난 것이다. 1심 법원의 알섭 판사는 배심원의 결정을 지지하였지만, 법리적으로 선언코드(declaring code)는 표현보다는 아이디어성이 있고, 명령어 구조(command structure = structure, sequence, organization)는 시스템이나 동작 방법(method of operation)에 불과하므로 저작권의 보호대상이 아니라고 판시하였다. (자세한 내용은 아래 항소법원의 판결 참조) 2심은 오라클의 항소 및 구글의 반소로 연방항송법원에서 진행되었는데, 항소심에서의 쟁점은 저작권이었고, 2014년 5월 9일 마침내 판결이 있었다. 항소법원은 1심 판결을 뒤집고 1심 법원의 재심사를 명령하였기 때문에, 오라클은 일단 웃을 수 있는 기회를 얻었다. 항소법원은 9줄의 rangeCheck function, 8개의 디컴파일된 보안 파일에 대한 저작권 침해 부분에 대하여는 1심 판결을 유지하였지만, 37개의 자바 API 패키지에 대한 저작권 침해 부분은 1심 판결을 파기하고 재심사를 명령하였다. 즉 항소법원은 "we conclude that the declaring code and the structure, sequence, and organization of the API packages are entitled to copyright protection." 이라고 판시하여, API의 선언코드(declaring code), 구조(structure), 시퀀스(sequence), 조직(organizaion)에 대한 저작권적 보호를 긍정하였다. 이 부분을 자세히 살펴본다. 전제적으로 항소법원은 구글이 7000줄의 선언코드를 복사하고, 오라클이 저작권자인 37개의 자바 API 패키지의 전체적인 구조, 시퀀스, 조직을 복제한 점에 대하여는 다름이 없는 사실로 정리하였다. 따라서 쟁점은 선언코드나 구조, 시퀀스, 조직이 저작권적 보호를 받을 수 있는지 여부가 되었다. 한편 컴퓨터프로그램에 대한 저작권적 보호는 문언적 요소뿐만 아니라 비문언적 요소에까지 확정되는데, 소스코드와 목적코드는 문언적 보호를 받지만, 컴퓨터 프로그램의 구조, 시퀀스, 조직은 비문언적 보호의 대상이다. 비문언적 보호란 문언적으로 동일하지 않지만 전체적인 구조나 짜임새, 호출, 순서 등이 동일하다면 역시 저작권 침해가 된다는 것이다. 오라클은 7000줄의 선언코드에 고나하여는 문언적 침해를 주장하였고, 37개의 자바 API 패키지에 대하여는 비문언적 침해를 주장하였다. 여기서 비문언적 침해가 인정되려면, 37개의 자바 API패키지가 아이디어 자체가 되어서는 아니되고, 아이디어에 대한 표현이라 볼 수 있어야 비문언적 침해가 인정된다(아이디어-표현 이분법). 1) 우선 선언적 소스코드(= 선언코드)에 관하여, 구글은 선언문을 구사할 수 있는 방법이 유일하기 때문에 아이디어·표현 합체 이론(merger doctrine)에 의하여 선언코드는 저작권으로 보호될 수 없다고 주장하였다. 참고로 '아이디어·표현 합체 이론'이란 어떠한 아이디어의 표현방법이 유일하거나 매우 제한돼 있어 아이디어와 표현이 불가분적으로 결합돼 있다면 표현의 보호는 곧 아이디어의 보호에까지 미치므로, 이 경우 표현은 저작권의 보호대상이 되지 않는다는 것이다. 구글의 이런 주장에 대하여 오라클은 1심 법원이 합체 이론을 오해하고 있고, 짧은 구문의 저작물성에 대하여 오류를 범하였다고 반박하였다. 오라클의 주장은 항소법원에 의하여 받아들여진다. 즉 항소법원은 구글이 선언코드를 표현할 방법이 극히 제한되어 있거나 유일하다고 볼 수 없으며, 개발자는 얼마든지 자바의 선언코드가 아닌 다른 선언코드를 사용할 수 있었다고 판단하였다. 나아가 항소법원은 이름이나 제목, 슬로건과 같은 짧은 구문은 저작권의 보호 대상이 아니지만 이는 구문이 짧아서 저작물성이 없는 것이 아니라 창작성이 결여되어 있기 때문인데, 1심 법원은 이러한 창작성에 대한 판단을 하지 않았다고 판단하였다. 2) 컴퓨터 프로그램의 구조, 시퀀스, 조직에 관하여 오라클은 자바 API 패키지는 아이디어가 아니고 표현이기 때문에 동작 방법으로 보기 어려우며, 동일한 기능을 갖는 여타의 방법으로 기술되거나 조직될 수 있기 때문에 저작물성이 인정된다고 주장하였는데, 이러한 주장은 항소법원에 의하여 받아들여졌다. 즉, 항소법원은 일단 오라클의 자바 API 패키지는 창작성이 있고 독창적이며, 구글은 동일한 기능을 발휘하기 위하여 반드시 오라클의 자바 API 패키지를 복사할 필요가 없었다고 판단하였다. 한편 구글은 자바 언어와의 호환성(interoperability) 때문에 자바의 클래스 등의 이용이 불가피하다고 주장하였지만, 이러한 주장에 대하여 오라클은 호환성 문제는 저작물 인정 문제가 아니라 공정이용의 문제인데, 이를 개념혼동하고 있다고 반박하였다,. 이 쟁점 역시 오라클의 주장이 항소법원에 의하여 받아들여진다. 즉 항소법원은 오라클의 주장을 받아들이면서 더불어 오라클이 기존 프로그램과의 호환성 문제를 해결하기 위하여 API 패키지를 개발한 것은 아니라고 판단하였다. 오라클 vs 구글의 소송은 엄청난 손해배상 액수만큼 법리적으로 매우 중요한 쟁점을 담고 있다. 특히 항소법원의 판결은 1심법원의 판결에 비하여 법리적으로 정확하다고 볼 수 있다. 하지만 최종 결론이 법리적 관점에만 의존하는 것은 아니기에, 향후 최종적으로 오라클에게 유리할 것인가, 구글에 유리할 것인가는 아직 유동적으라 할 수 있다. 때문에 앞으로 이를 지켜보는 재미도 적지 않을 것이다. * 법무법인 민후 김경환 대표변호사 작성, 디지털데일리(2014. 5. 16.), 마이크로소프트웨어, 블로그(2014. 7. 23.) 기고.

불법 소프트웨어(SW)를 사용하여 생산한 제품에 대하여 수입을 금지시킬 수 있는 법이 바로 미국의 불공정경쟁법(Unfair Competition Act. UCA)이다. 제품 생산과정에서 불법 복제소프트웨어 등 자국의 지식재산권을 침해하는 소프트웨어를 사용한 기업들에 대해 수입을 전면 금지하거나 민·형사상 책임을 물을 수 있도록 한 이 법이 현재 디지털 보호무역주의의 도구로 널리 활용되면서, 상대적으로 저작권 인식이 낮은 우리나라 기업에 비상이 걸렸다고 할 수 있다. 저작권자의 권리는 당연히 보호되어야 하므로 이러한 조치 자체의 당부를 논할 것이 아니다. 향후 우리나라 기업은 종래의 안일한 저작권 인식을 버리고 글로벌 수준의 SW 저작권 관리를 해야만 예기치 못한 피해를 막을 수 있을 것으로 보인다. 하지만 우리나라 수시기관 등 법집행기관의 SW 저작권 법집행의 수준을 고려하면 선의의 억울한 피해자가 발생할 수밖에 없는데, 이것이 더 큰 문제로 보인다. 대표적으로 저작권법 위반이 아님에도 불구하고 정확한 판단이 서지 않은 채로 저작권자의 말을 믿고 처벌을 하는 경우, 절차와 법을 무시한 단속결과를 그대로 증거로 인정하여 처벌하는 경우, 계약 위반과 법 위반을 구별하지 못하여 단순한 계약위반에 대하여 형사처벌을 하는 경우, 민사적으로 위법하지 않다고 결과가 나왔음에도 불구하고 자체적인 판단으로 형사처벌하는 경우 등이 적지 않게 발생하고 있다. 더군다나 실무자가 전부 자백함에도 불구하고 저작권법 위반 실정을 전혀 알지 못하는 CEO에게 반드시 출석할 것을 강요하여 심리적 압박감을 부추기는 경우, 고소가 들어오면 일단 CEO에 대한 출국금지부터 시키는 경우, 분명한 함정의 소지가 있는 저작권법 위반 사안임에도 불구하고 이를 고려하지 않고 무조건 저작권자를 두둔하는 경우, 저작권자의 과도한 합의금 요구를 맹신하여 무조건 그 금액에 합의하라고 강박하는 등 절차적으로도 부적절성을 면하지 못하고 있다. SW 저작물이 아닌 다른 형태의 국내 저작권자의 저작물에 대하여는 조사 자체를 기피하는 경우도 허다한데, SW 저작물의 경우에는 글로벌 기업이 저작권자이다 보니 상대적으로 과잉적으로 진행되는 경우가 많은 것도 형평성에 맞지 않아 보인다. 이러한 현상의 원인을 간단하게 정리하면 수시기관 등 법 집행기관의 전문성의 부재라 할 수 있다. 막대한 법집행 권한과 처벌 권한이 있음에도 불구하고 전문성이 부재하다 보니, 선의의 피해자들이 자꾸만 늘어가고 있고 앞으로는 건실한 기업의 수출길까지 막게 되는 결과가 생기게 될 것 같아 걱정이다. 법 집행의 결과 및 절차만 정확하다면 그 누구도 불만이 없을 것이다. 지적재산권의 선진국이 되기 위해서는 정확한 법집행이 선행되어야 하는 것은 당연한바, 수시기관 등 법집행 기관에서 SW 전문부서를 창설하는 등의 조치를 통하여 충분히 전문성을 고양하고 조사수준을 선진화하여야만 앞으로 불의의 피해기업이 발생하지 않을 것이다. 더불어 회사 직원의 저작권법 위반의 경우에 회사가 면책될 수 있는 경우가 거의 없게끔 법제가 되어 있다. 회사가 직원의 저작권법 위반이 발생하지 않도록 관리·감독을 하여야 하는 것은 마땅하지만 그 수준이 너무 엄격하여 실제로 관리·감독을 통하여 면책되는 경우가 거의 없다시피한다. 회사의 면책수준에 대하여도 현실성이 있는 대책 수립이 병행되어야 할 것이다. * 법무법인 민후 김경환 대표변호사, 전자신문(2014. 5. 11.), 블로그(2014. 7. 23.) 기고.

직원이 불법프로그램을 사용했을 때 그 직원이 저작권법 위반으로 형사책임을 부담하는 것은 당연한데, 그렇다면 직원이 속한 회사도 형사책임을 부담하게 될까? 이것은 저작권법과 관련해 큰 비중을 차지하는 질문이다. 결론부터 이야기하면 원칙적으로 직원이 속한 회사(법인사업자 또는 개인사업자)도 직원의 불법적인 행위에 대해 형사책임을 부담한다. 그 근거는 저작권법 제 141조인데, 조문은 아래와 같다. <저작권법 제 141조(양벌규정)> 법인의 대표자나 법인 또는 개인의 대리인·사용인 그 밖의 종업원이 그 법인 또는 개인의 업무에 관해 죄를 범한 때에는 행위자를 벌하는 외에 그 법인 또는 개인에 대해도 각 해당조의 벌금형을 과한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위해 해당 업무에 관해 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다. 위 조항을 ‘양벌조항’이라고 한다. 양벌조항의 취지는 직원이 저작권법 위반 행위를 하지 않도록 회사가 잘 관리하도록 유도하고, 만일 회사가 그러한 관리를 제대로 하지 못하면 같이 형사책임을 부담하는 것이다. 따라서 직원이 저작권법 위반행위를 하지 않으면 그 직원이 속한 회사는 형사책임을 부담하지 않는다. 양벌조항에서 직원이란 법인사업자의 경우에는 대표자, 대리인, 사용인, 종업원을 포함하는 개념이고, 개인사업자의 경우에는 대리인, 사용인, 종업원을 포함하는 개념이다. 따라서 법인사업자의 경우 대표자가 저작권법 위반행위를 하면 회사도 같이 처벌받지만, 개인사업자의 경우 대표자가 저작권법 위반행위를 한 경우에는 그 대표자만 처벌받고 회사는 따로 처벌받지 않는다. 직원이 저작권법 위반행위를 하게 되면 징역형이나 벌금형에 처해질 수 있지만, 양벌규정에 의해 회사까지 처벌되는 경우 그 회사(법인)는 벌금형으로만 처벌된다. 양벌규정에 대해 이런 반론이 제기될 수 있다. 직원이 업무와 관련해 불법프로그램을 사용한 경우에는 회사가 형사책임을 지는 것은 이해하지만, 업무와 관련 없이 사적으로 불법프로그램을 다운로드해 사용하는 경우까지 회사가 법적 책임을 부담한다면 이건 지나친 처사가 아닌가? 이런 부당한 현상을 없애기 위해 우리 저작권법은 직원이 ‘법인 또는 개인의 업무에 관해’ 불법프로그램을 사용했을 때에만 회사도 같이 형사책임을 지도록 하고 있다. 즉 직원이 ‘사적으로’ 불법프로그램을 사용했을 때에는 회사는 형사책임을 부담하지 않는다. 예컨대 건축설계사무소에서 직원이 홀로 공부할 목적으로 건축업무와 무관한 기계캐드 프로그램을 사용했을 때에는 건축설계사무소는 그 직원에 대해 형사책임을 부담하지 않는다. 이러한 ‘업무관련성’ 외에 회사가 책임을 면하는 경우가 또 하나 있다. 회사가 직원의 저작권법 위반행위를 방지하기 위해 최선의 주의와 감독을 다한 경우에는 설사 직원이 저작권법 위반행위를 했다고 하더라도 회사는 형사책임을 부담하지 않는다. 예컨대 디지털포렌식을 통해 불법프로그램을 상시 감시했거나 주기적으로 직원 PC를 체크해 불법프로그램 설치를 방지한 경우에는 회사는 형사책임을 부담하지 않는다. 하지만 회사가 단순히 직원이 불법프로그램을 사용하지 않는다는 내용의 계약서를 작성한 정도이거나 말로써 불법프로그램 사용에 대해 교육시킨 것만으로는 형사책임을 부담할 수 있다. 고가의 프로그램이 늘어가고, 불법프로그램에 대한 단속이 나날이 심해지고 있는 상황에서는 직원들의 불법프로그램 사용을 적절히 관리 감독하는 지혜가 반드시 필요할 것으로 보인다. * 법무법인 민후 김경환 대표변호사 작성, 블로그(2012. 12. 18.), 마이크로소프트웨어, 디지털데일리(2014. 2. 28.) 기고.

갑(甲)이 A사가 개발한 값비싼 프로그램의 시리얼넘버를 무단으로 자신의 홈페이지에 게재하고 배포했다면, A사는 갑에게 저작권법 위반을 주장할 수 있는가의 문제를 살펴보고자 한다. 인터넷 게시판을 살펴보면 아직도 정품 프로그램의 시리얼넘버를 제공함으로써 정품 프로그램의 무단 복제를 도와주는 경우가 빈번하다. 이제는 이용자에게 프로그램 온라인 등록을 강제함으로써 이러한 형태의 부정행위를 어느 정도 막을 수는 있지만 그 동안 시리얼넘버 배포에 의한 피해는 심각했었고, 또한 누구든지 사회통념적으로 이러한 행위는 불법행위에 해당한다고 생각해 왔다. 하지만 위 사안에 대한 대법원 결론은 사회통념과 반대로 나왔다. 위 사안에 대해 우리나라 대법원은 ‘프로그램은 특정한 결과를 얻기 위해 컴퓨터 등 정보처리능력을 가진 장치 내에서 직접 또는 간접으로 사용되는 일련의 지시, 명령으로 표현된 것을 말하는데, 컴퓨터프로그램 시리얼번호는 컴퓨터프로그램을 설치 또는 사용할 권한이 있는가를 확인하는 수단인 기술적 보호조치로서, 컴퓨터프로그램에 특정한 포맷으로 된 시리얼번호가 입력되면 인스톨을 진행하도록 하는 등의 지시, 명령이 표현된 프로그램에서 받아 처리하는 데이터에 불과해 시리얼번호의 복제 또는 배포행위 자체는 컴퓨터프로그램의 공표·복제·개작·번역·배포·발행 또는 전송에 해당하지 아니할 뿐 아니라 위와 같은 행위만으로는 컴퓨터프로그램저작권이 침해됐다고 단정할 수 없다.’고 판시한 바 있다(대법원 2002. 6. 28. 선고 2001도2900 판결). 대법원의 요지는 프로그램의 시리얼넘버는 프로그램 저작물이 아니어서 갑이 시리얼넘버를 생성하고 배포한 행위 자체를 저작권 침해라고 주장할 수 없고 따라서 시리얼넘버를 제공한 갑은 무죄가 될 수 있다는 취지이다. 이러한 결론에 대해 대부분의 개발자들이나 소프트웨어기업은 대법원의 결론이 부당하다고 생각할 것이다. 필자가 봐도 대법원의 결론은 결론 자체로 보면 부당하게 보이긴 한다. 대법원의 무죄 결론은 법리적으로 기술의 발전을 법이 예상하지 못해 발생한 문제로 볼 수 있다. 하지만 다행이도 현재의 저작권법으로는 갑을 저작권법 위반으로 처벌할 수 있다. 시리얼넘버는 통상 기술적 보호조치로 분류된다. 기술적 보호조치란 저작권자가 원하지 않은 저작물에의 접근이나 부당한 사용을 방지하기 위해 저작물에 적용시킨 기술적인 통제장치를 의미한다. 기술적 보호조치에 관한 규정은 1996년 WIPO 저작권조약 및 WIPO 실연·음반조약에 포함된 이후 미국의 디지털 밀레니엄 저작권법(DMCA)에 도입되면서 본격적으로 논의되기 시작했다. DMCA에 따르면 기술적 보호조치에는 권한 없는 저작물의 복제, 전송 등의 침해 행위를 막는 ‘권리침해통제장치’와 일정한 자격을 갖추지 못한 이용자들의 접근을 막는 ‘접근통제장치’로 구별되고 있다. 한편 우리나라의 경우 2000년도부터 기술적 보호조치에 관한 규정을 도입했고, 현행 저작권법 역시 정당한 권한 없이 고의 또는 과실로 기술적 보호조치를 제거·변경하거나 우회하는 등의 방법으로 무력화하는 사람, 정당한 권한 없이 무력화 장치·제품 또는 부품을 제조·수입·배포·전송·판매·대여 등을 하는 사람에 대해 일정한 제재를 가하고 있다(저작권법 제104조의2). 무단으로 시리얼넘버를 배포하는 행위는 위의 행위에 해당된다고 볼 수 있다. 따라서 사안에서 현행 저작권법에 의거해, A사는 무단으로 시리얼넘버를 배포함으로써 A사의 기술적 보호장치를 무력화한 갑에게 저작권법 위반을 주장할 수 있다. * 법무법인 민후 김경환 대표변호사 작성, 블로그(2012. 5. 10.), 마이크로소프트웨어, 디지털데일리(2014. 2. 27.) 기고.

한주 내내 흰 눈이 온 세상을 하얗게 만들고 있는 사이, 크리스마스와 연말이 성큼 다가와 있어 기분을 설레게 하고 있습니다. 그러나 PC방 업계에서는 1년 내내 한국 마이크로소프트(MS)사의 PC방 업주에 대한 윈도 운영체제(OS) 저작권 단속, 형사고소 때문에 말이 많은 모양입니다. 거대 글로벌 기업과 영세상인 사이의 분쟁이기도 해 더욱 더 이슈가 되고 있습니다. 이 저작권 단속은 한국 MS와 PC방 사이에 체결된 라이선스 계약에 대한 입장 차이에서 비롯된 것인데, 오늘은 한국 MS와 PC방 업주 사이의 윈도 OS 라이선스 계약 형태, 특히 한국 MS가 주장하는 렌탈 라이선스에 대해 알아보도록 하겠습니다. --- OS를 비롯한 컴퓨터프로그램은 개인용, 기업용으로 분류하는 게 기본이다. 하지만 PC방, 호텔, 펜션, 공항 등의 경우처럼 제한된 장소이기는 하지만, 업주가 여러 대의 컴퓨터를 동시에 운영하고, 한 대의 컴퓨터를 여러 사람이 사용하는 상황에서 그 내부에 장착된 컴퓨터프로그램은 개인용으로 분류하기도 애매하고 기업용으로 분류하기도 애매하다. 때문에 PC방, 호텔, 펜션, 공항 등에 위치한 PC 등에 컴퓨터프로그램을 제공하는 소프트웨어 기업의 입장에서는 그 실정에 맞는 특유의 라이선스 계약을 체결할 수밖에 없다. 이런 상황에서, 한국MS는 2003년경, 가정용(home edition) 윈도XP를 개조한 PC방용 윈도 XP 홈에디션을 PC방에 팔기 시작했고, PC방 업주들은 이 PC방용 윈도XP 홈에디션을 구입하면서 이전 버전인 윈도98과의 이별을 고했다. 시간이 흘러 MS사는 윈도7, 윈도8까지 지속적으로 윈도 OS를 업버젼했지만, PC방용 윈도XP 홈에디션을 채용한 PC방 업주들은, 신규 PC를 채용할 때에도, PC방 사업을 접고 보유하던 PC를 다른 사람에게 이전하는 때에도 여전히 예전의 윈도OS는 그대로 유지하는 방법으로 비용을 절감한 것 같으며, 일부 PC방 업주들은 하나의 윈도 시디키(CD-Key)로 전체 PC를 적용한 것 같다. 현재 PC방용 윈도 XP 홈에디션은 판매가 중지된 상태로서, 업그레이드 서비스도 제공되지 않고 있다. 이런 현상에 불만을 가지게 된 한국MS는, PC방용 윈도XP 홈에디션은 기본적으로 가정용이므로 PC방이 이를 고객들에게 제공하려면 렌탈 라이선스를 구매해야 한다는 점, PC를 사고팔 때에는 OS에 대해 라이선스를 새로이 받아야 하는데 그렇지 않았다는 점, 하나의 윈도 시디키로 전체 PC에 적용하고 윈도 OS CD만 보유하는 것은 저작권을 위반한 것이라는 점을 주장하면서, 이러한 내용으로 일부 PC방 업주들에게 경고장을 보냈다. 참고로 PC방 업주들이 한국MS로부터 윈도 프로그램에 관해 적법한 라이선스를 받는 방법을 열거하건대, 새로운 PC에 윈도 OS를 깔고 싶은 사람은, 1) PC 제조업체가 MS로부터 일괄해 OEM 라이선스(메이커 PC의 경우) 또는 DSP 라이선스(조립 PC의 경우, COEM 라이선스라고 부르기도 함)를 받은 PC를 구입한다. 2) PC방 업주 등의 일반 소매점들이 개별적으로 CD 등을 구입하는 방식으로 라이선스를 받는 FPP(풀패키지 소매제품, Full Package Product) 라이선스 방식을 취한다. 3) 불법 해적판 OS가 깔린 기존 PC를 정품화시키려면, GGWA(Get Genuine Windows Agreement) 라이선스를 취득해야 하고, 특히 여러 대의 PC를 보유한 업주라면 제품라이선스(product license) 방식이 아닌 볼륨라이선스(volume license)를 취득해야만 리이미징을 통해 하나의 윈도 표준 이미지를 여러 대의 PC에 복사해 사용할 수 있게 된다. 나아가 PC방처럼 여러 고객이 PC를 사용하는 경우라면 렌탈 라이선스(rental right license)를 취득해야 한다. PC 내의 윈도 OS가 여러 가지 사유로 불법적인 OS가 된 PC방 업주는 적법화를 위해서, GGWA 라이선스 + 볼륨 라이선스 + 렌탈 라이선스를 취득해야만 하게 됐다. 여기에 가상 데스크탑까지 활용하려면 SA(software assurance) 라이선스까지 취득해야 한다. 렌탈 라이선스에 대해 좀 더 살펴보면, 렌탈 라이선스란 프로그램의 라이선스 보유자가 프로그램이 포함된 PC를 제3자에게 대여 또는 임대할 수 있는 권리를 취득하는 계약을 말한다. 이 라이선스 계약은 궁극적으로 클라우드 환경에서 필수적인 라이선스 정책이 될 것인바, 하드웨어의 소유주와 소프트웨어의 소유주를 분리해 가는 과정의 하나로 볼 수 있다. 지금까지 PC의 점유자는 그 PC에 설치된 모든 소프트웨어를 제한 없이 접근 사용했으나, 앞으로 클라우드 환경에서는 PC는 단말기에 불과하게 되며, PC의 점유와 무관하게 접근할 수 있는 소프트웨어는 계정마다 별도로 정해지게 될 것이다. 그러나 문제는 이러한 렌탈 라이선스가 PC방 업주나 여러 소비자의 법감정에 맞지 않는다는 것이다. PC와 소프트웨어를 아직 구분하지 못하는 사람이 다수이며, 국민 대다수가 소프트웨어는 PC에 딸려오는 액세서리 정도로 생각하고 있는 상황에서, 렌탈 라이선스에 대해 반발이 있을 수밖에 없는 것이다. 특히 한국 OS의 대부분을 차지하고 있는 한국MS가 영세한 PC방에 대해 무리하게 렌탈 라이선스를 소급적으로 추진하는 것은 독과점 업체의 불공정 거래행위라는 비판이 있어, 향후 공정거래위원회 등의 개입이 예상되기도 한다. 한국MS의 PC방에 대한 저작권 공격은 PC방 업주들의 리눅스 등 오픈소스 OS으로의 이전을 촉진시킬 수 있으며, 향후 같은 유형의 호텔, 여관, 공항, 펜션 등의 2차 저작권 공격이 예상되기도 하지만, 컴퓨터프로그램, 특히 OS 저작권에 대한 인식 전환에 긍정적으로 기여한다는 장점도 부정하지 못한다. 다만 상대가 열악한 PC방 업주라는 점을 감안하면, 무리한 공격이나 강력한 형사고소보다는 계도나 자발적 적법화가 우선적으로 선행되는 게 바람직하다고 본다. * 법무법인 민후 김경환 대표변호사 작성, 블로그(2012. 12. 10.) 로앤비(2012. 12. 12.), 마이크로소프트웨어, 디지털데일리(2012. 12. 27) 기고.

이디스커버리 기술산업의 동향 이디스커버리 기술산업은 급성장을 하고 있다. 가트너(Gartner) 조사자료에 의하면 이디스커버리 기술에 대한 수요는 일반적인 소프트웨어 성장률보다 두 배 정도 많은 매년 15% 정도의 꾸준한 성장률을 기록하고 있는 것으로 나타났다. 가트너 조사자료에 따른 시장규모를 살펴보면, 2012년도 전세계 시장은 약 14억달러(한화 약 1조 6천억원) 규모의 매출에 이르고 있다. 2017년에는 약 29억달러(한화 약 3조 3천억원) 규모의 매출을 기록할 것으로 예상하고 있다. 이디스커버리 솔루션은 주로 미국의 대기업이 관여하고 있다. 대표적인 미국의 공급기업으로는 HP(Hewlett-Packard)가 인수한 오토노미(Autonomy), 시만텍(Symantec)이 인수한 클리어웰 시스템즈(Clearwell Systems), 인케이스(Encase)로 유명한 가이던스 소프트웨어(Guidance Software)가 있다. 그 뒤를 이어 엑세스데이터(AccessData), 레콤민드(Recommind), 자이랩(ZyLab), EMC 등의 기업이 이디스커버리 사업을 유지하고 있다. 이디스커버리의 미래 이디스커버리의 가장 큰 문제점은 과대한 비용이다. 1회 소송에만 약 15만 달러의 이디스커버리 비용이 들어간다고 하며, 실제 듀퐁사는 2,400만 달러(한화 약 260억원)의 이디스커버리 비용을 들여 대규모 소송을 치룬 적이 있다고 한다(한국 EMC 컨설팅, 'CEO E-Discovery를 고민하다' 참조). 이디스커버리 이해에 기술적·법적인 전문성이 필요하다는 것도 문제점으로 지적된다. 전자적 자료에 대한 이해, 이를 법적으로 연결하면서 응용할 수 있는 능력 등이 있어야 이디스커버리 절차는 원활하게 그리고 효율적으로 이끌어갈 수 있지만, 법전문가에게 이러한 기술적 이해가 쉬운 것은 아니다. 이러한 현실적인 문제점 외에, 형사절차에도 이디스커버리 절차를 적용하자는 주장도 있으며, 클라우드를 이용한 이디스커버리도 여러 가지 법적 문제를 야기하고 있다. 결국 이디스커버리의 밝은 미래는, ① 고비용의 해결, ② 전문성의 제고, ③ 이디스커버 적용 확대, ④ 새로운 기술발전에 따른 문제점을 얼마나 잘 해결하냐에 달려 있다고 볼 수 있다. 마치면서 이디스커버리 제도는, 여전히 문제점을 내포하고 있고 해결해야 할 숙제는 많지만, 10년도 채 되기 전에 미국 사법 절차 내에서 핵심적인 역할을 하면서 잘 정착해 가고 있다. 이러한 이디스커버리는 기술적인 장점을 법절차에 반영시킨 사법 IT의 핵심제도이며, 이 실험을 통해 IT가 사법제도를 얼마나 이끌어갈 수 있는지가 결정될 수 있다. 우리나라의 경우에도 전자증거의 범람으로 법원에 제출되는 증거의 양은 급증하고 있고, 위변조 또는 조작의 용이성 때문에 전자증거의 무결성 다툼이 늘어가고 있다. 이러한 현실에 비추어 이디스커버리 제도의 도입을 고려해 봄이 타당할 것이다. 다만 값싸고 우리 정서에 잘 맞으며 효율적인 한국형 이디스커버리 제도로서 정착했으면 하는 바람이다. * 법무법인 민후 김경환 대표변호사 작성, 디지털데일리(2013. 8. 8.) 기고.

이디스커버리의 절차 : FRCP 이디스커버리의 기본적인 절차는 연방민사소송규칙(Federal Rules of Civil procedure, FRCP) 제26조, 제34조, 제37조 등에 규정되어 있다. 연방민사소송규칙의 내용을 정리하면 다음과 같다. 1) 사전준비회합(Conference of the Parties, FRCP §26(f)) : 양 당사자는 소송계속 이후 최대한 빨리 사전준비회합을 가지고, 이 회합에서는 양 당사자 각자가 사용할 수 있는 유리한 증거를 상대방에 제출하며, 이를 통하여 화해 여부를 모색하게 된다. 2) 증거개시의 의무(Required Disclosures, FRCP §26(a)) : 증거개시는 법원의 개입 없이 당사자 사이에서 절차를 진행하는 것이 원칙이고, 양 당사자는 유ㆍ불리를 막론하고 자기가 소지한 증거를 상대방에게 개시하여야 한다. 증거개시가 부실한 경우 법원의 제재를 받을 수 있다. 3) 증거개시의 범위 및 제한(Discovery Scope and Limits, FRCP §26(b)) : 증거개시의 대상은 당사자의 공격 및 당사자의 방어와 관련성 있는 모든 자료이다. 다만 특권면책사유가 존재하는 경우 증거개시의무는 면제된다. 특권면책사유로는 변호사와 의뢰인 사이에서 생성된 의견ㆍ결론ㆍ법이론 등 절대적인 면책사유와 그 이외의 소송서류에 있어서의 상대적인 면책사유가 있다. 절대적 면책사유가 존재하는 자료는 항상 증거개시의무가 면제되지만, 상대적 면책사유가 존재하는 자료는 다른 수단을 통해서 도저히 그 서류를 구할 수 없으면 증거개시의무가 면제되지 않는다. 4) 합리적으로 접근할 수 없는 전자적 자료에 대한 증거개시(FRCP §26(b)) : 증거제출을 요구받은 당사자가 합리적으로 접근할 수 없는 전자적 자료임을 입증하게 되면 원칙적으로 증거개시의무가 존재하지 않는 것으로 추정한다. 다만 증거제출을 요구하는 당사자는 증거개시의 정당한 사유를 입증함으로써 증거개시의무 부존재의 추정을 깰 수 있다. 5) 증거개시의 방법(Producing, FRCP §34) : 미리 협의가 있는 경우 자료 제출을 요구하는 당사자가 원하는 방법에 따라 전자적 자료를 분류하여 제공하여야 하고, 이러한 협의가 없는 경우라도 정상적이고 합리적으로 관리ㆍ사용할 수 있는 형태로 제출하여야 한다. 6) 전자적 자료 보존의무 위반에 대한 제재(Sanctions, FRCP §37) : 원고뿐만 아니라 피고 역시 전자적 자료에 대한 보존의무를 부담하므로, 이러한 보존의무를 어긴 경우 법원은 벌금 부과, 소송비용 부담 등의 제재를 내릴 수 있다. 이디스커버리 절차의 발전 : Shedona conference 연방민사소송규칙은 기본적인 절차에 대한 뼈대를 제공하고 있지만, 실무적으로 연방민사소송규칙을 적용하는 데에는 많은 문제점이 발생하였고, 크고 작은 의문점들이 자주 부각되었다. 이에 변호사ㆍ법학자 등을 중심으로 모인 법률연구 및 정책개발을 주로 하는 비영리기구인 세도나 회의(Sedona Conference)는 이러한 세부적인 문제점과 의문점에 대한 해결책을 제시하면서, 이디스커버리 실무 절차를 발전시켰다. 예컨대 세도나 회의는 14개의 세도나 원칙을 제공하면서 연방민사소송규칙을 보완하였으며, 여러 개의 가이드라인을 발행하면서 세부적인 절차 완성을 위해 노력하였다. 14개의 세도나 원칙은 다음과 같다. ① 증거개시 의무 및 전자적 자료의 보존의무, ② 증거개시결정에 있어 비례의 원칙(proportionality) 적용, ③ 증거개시에 관한 당사자 합의 선행, ④ 명확한 증거개시요청 필요, ⑤ 합리적이고 선의에 의한 보존의 노력, ⑥ 상대방 당사자의 전자적 자료에 대한 최상지위 고려, ⑦ 상대방 당사자의 부적절 보존에 대한 신청당사자의 입증부담, ⑧ 우선적으로 활성데이터 증거개시 고려ㆍ백업데이터 등에 대하여는 신청당사자가 개시의무 있음을 입증, ⑨ 상대방당사자의 삭제ㆍ잔존 등의 데이터에 대한 신청당사자의 요구는 특별한 필요성이 있는 경우로 제한, ⑩ 상대방 당사자의 특권과 이의제기 인정, ⑪ 데이터 샘플링ㆍ검색 등의 활용을 통한 증거개시 인정, ⑫ 통상적인 관리 또는 합리적인 이용이 가능한 형태로의 증거공개 의무 및 양 당사자에게 동일한 수준이 유지되는 메타데이터의 접근ㆍ검색ㆍ공개, ⑬ 증거개시비용의 상대방당사자 부담 원칙 및 합리적으로 이용가능하지 않은 증거 개시비용에 대한 신청당사자로의 이전 가능, ⑭ 실질적인 악영향이 있는 경우에만 법원의 제재 고려. 세도나 가이드라인으로는 증거개시 여부를 결정하는 비례성 판단에 관한 가이드라인, 전자문서 보존에 관한 가이드라인, 아카이빙에 관한 가이드라인, 이메일 관리에 관한 이디스커버리 가이드라인, 메타데이터에 관한 가이드라인 등이 있다. 세도나 회의의 원칙과 가이드라인 덕분에 이디스커버리 제도는 실무적으로 탄탄해져가고 있으며, 구체적으로 그리고 현실적으로 발전해 나갔다. 세도나 회의의 원칙과 가이드라인은 앞에서 설명한 EDBP에 반영되면서 프로토콜의 발전에도 큰 영향을 주었고, 여러 주법원의 실무에도 지대한 영향을 끼쳤다. <이 글은 필자가 『2013년도 2/4분기 국제 IP분쟁 이슈보고서(한국지식재산보호협회)』 * 법무법인 민후 김경환 대표변호사 작성, 디지털데일리(2013. 8. 8.), 블로그(2013. 9. 2.) 기고.

특정 토픽에 관한 신문 기사를 검색하고자 한다면 여러분은 어떻게 하는가? 구글ㆍ네이버 등의 검색엔진에서 특정 토픽을 검색하는가? 아니면 신문사 사이트에 방문하여 특정 토픽을 검색하는가? 대부분의 사람들은 검색엔진을 통하여 특정 토픽에 접근하고 있다. 이 경우 신문사 입장에서는 구글ㆍ네이버 등의 검색엔진이 자신의 기사나 콘텐츠를 이용하여 트래픽을 유발시키고 매출을 올린다고 생각할 수 있다. 그렇다면 신문사가 검색엔진에 대하여 이득의 배분을 요구한다면 승소할 수 있을까? 실제 벨기에에서 같은 유형의 소송이 전개되었고, 신문사는 구글에게 승소하였다. 하지만 최종적으로 신문사는 구글에게 무릎을 꿇고 말았다. 구글이 원고 신문사의 링크를 검색엔진에서 제거하는 순간 그 신문사의 트래픽이 급감하였기 때문이다. 검색엔진의 힘을 볼 수 있는 사건이었다. 최근 스페인에서는 신문기사 등의 콘텐츠를 구글의 검색엔진이 링크하는 것에 대하여 저작권료를 부담시키는 저작권법이 의회를 통과하였고, 내년부터 시행할 예정이었다. 이른바 구글세(Google tax)를 매기고자 한 것이다. 이에 대한 구글의 반응은 구글 뉴스 서비스의 폐쇄와 검색 결과에서의 신문기사 링크의 제거였다. 동일하게 구글세라고 불리고 있지만 유럽의 각 나라는 조금씩 과세 대상이 다르다. 프랑스의 경우는 온라인 광고에 대해 총 광고비용의 1%에 과세하고자 했지만 중단되었고, 영국의 경우는 구글 등의 다국적 기업이 영국에서 발생한 이익을 타국으로 이전할 경우 이전액의 25%에 해당하는 세금을 물리는 방안을 준비 중이며, 독일 역시 스페인과 비슷한 제도를 도입한 적이 있다. 구글세는 EU의 구글에 대한 정치적 태도에 기반한 것이지만, 향후 정보의 양이 많아질수록 현대인의 검색엔진 의존도는 더 높아질 것이고, EU의 시도가 어느 정도 실효성이 있을지 지켜볼 일이다. 더불어, 검색엔진과 웹퍼블리셔는 상호 적대 관계가 아니라 기본적으로 공생 관계라는 점은 잊지 말아야 할 것이다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2014. 12. 15.) 기고.

소프트웨어(SW) 기술! 우리시대 혁신의 주역이자 미래 산업의 선두주자라 할 수 있다. 그런데, 소프트웨어 기술을 지켜주는 수호천사 중 특허에 대한 탄핵이 만만치 않다. 2013년 8월 28일, 뉴질랜드 의회는 5년간의 긴 논쟁 끝에 소프트웨어 특허를 원칙적으로 금지하는 특허법안을 통과시켰다. 소프트웨어 기술은 기본적으로 특허제도와 부합하지 않으며, 소프트웨어 특허가 혁신과 경쟁에 오히려 방해가 된다는 이유에서이다. 2013년 6월, 미국 백악관은 소프트웨어 특허 권리의 광범위성과 모호한 기능적 청구항 때문에 다른 유형의 특허보다 5배나 많은 분쟁이 발생하고 있고, 특히 '특허괴물'에 의하여 이러한 점이 악용되고 있다고 지적했다. 2013년 4월, 독일 의회는 행정부에게 소프트웨어 특허 등록을 제한해 달라는 내용의 제안서를 보냈다. 많은 소프트웨어 특허 양산으로 인하여 새로운 소프트웨어 기술개발에 제약이 되고 있으며, 소프트웨어는 저작권적 보호가 적합하다는 이유에서이다. '태양 아래 인간이 만든 모든 것'은 특허발명이 될 수 있다는 전제 하에 미국 대법원이 1981년 Diehr 판결에서 최초로 인정한 소프트웨어 특허에 대한 역풍들이다. 소프트웨어 관련 발명의 특허성을 부정한 Bilski 사건, CLS Bank 사건도 역풍에 일조하고 있다. 30여년 동안 축적된 다수의 소프트웨어 특허로 인하여 후발 소프트웨어 개발기업들은 특허권자의 허락 없이는 새로운 기술 개발이 어려운 상태에 이르렀고, 이 상황과 소프트웨어 특허제도의 맹점을 악용한 특허괴물의 창궐로 인하여 혁신가에게 가야 할 부(富)가 기술혁신과는 무관한 특허괴물에게 편중되는 현상이 심화되고 있다고 한다. 특허제도의 존재 목적 중 하나는 기술 혁신을 달성하는 것이다. 그럼에도 불구하고 특허제도로 인하여 오히려 기술 혁신이 방해받고 있다 하니, 큰 문제가 아닐 수 없다. 우리의 소프트웨어 특허의 현황은 어떠한지 진지하게 살펴보아야 할 것이다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2013. 9. 23.) 기고.

3. 개인정보처리자의 책임 및 개인정보주체의 피해구제에 대한 보완 개인정보보호법은 개인정보처리자에 대한 강한 책임을 규정하고 있어 외견상 개인정보처리자의 개인정보보호법 위반은 대단히 중대한 사안으로 인식되는 듯 하나, 사실상 개인정보보호법을 위반한 개인정보처리자가 강한 처벌을 받은 사례는 거의 없었다. 그 이유는 국민의 위반자에 대한 법감정이나 비난의 정도가 처벌규정에 따르지 못한 것도 있지만, 비현실적인 규율과 불합리한 운용이 더 큰 문제이다. 현행 개인정보보호법은 기업의 규모에 상관 없이 기업이 취해야 할 기술적ㆍ관리적 안전성 확보 조치의 최소한만을 규정하고 있어, 실제로 발생하는 거대한 유출 사고에 대하여 오히려 대기업에게 면죄부를 주고 있다. 한 대기업은 무려 수천만명의 개인정보가 유출되었음에도 불구하고 이렇다할 책임을 지지 않고 있으며, 이 포털은 오히려 자신은 법이 정한 기술적ㆍ관리적 안전성 확보 조치를 다하였으므로 자신에게 법적 책임을 부과하는 것은 부당하다고 항변하고 있다. 또한 융통성 없이 제정되어 시행되고 있는 기업이 취해야 할 기술적ㆍ관리적 안전성 확보 조치는 오히려 중소기업에게는 큰 부담이 되고 있어 부작용도 만만치 않다. 실제 개인정보를 유출당한 피해자가 법원에 가서 피해배상을 요구하는 과정도 만만치 않다. 일단 정보가 구조적으로 기업에 편중되어 있어 기업의 정보 개시가 법적으로 보장되지 않는 한 정보주체의 노력만으로는 구체적인 피해사실 입증이 곤란함에도 불구하고 실무적으로 이러한 점이 보장되어 있지 않고, 법원은 과거와 달리 최근에 대규모 개인정보 유출에 대한 손해배상 의무 인정을 주저하는 경향이 있어 피해자들의 피해배상은 점점 멀어져가고 있는 것이 실정이다. 개인정보처리자에 대한 책임을 묻는 방법이나 피해자들의 피해배상 방법도 대단히 경직되어 있어 현실적인 피해구제가 되지 않는 것에 일조하고 있다. 안전성 확보 조치를 다하지 못한 기업에 대하여 과징금을 부과하고 보안투자에 대한 약속을 받는 등의 다양하고 유연성 있는 제도의 도입도 고려해 볼만하고, 일단 유출이 되었다는 사실이 인정되면 행정부의 명령에 의하여 피해구제를 유도하는 제도나 피해자들의 손해액 산정의 곤란 해소를 위한 법정손해배상 제도의 도입도 고려해 볼만하다. 4. 비식별정보에 대한 규제 필요 개인정보보호법 제2조 제1호는 개인정보의 개념에 대하여 설명하고 있다. 즉 개인정보에 대하여 개인정보보호법은 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.”라고 규정하고 있어 개인정보보호법의 적용범위를 제시하고 있다. 즉 식별성 있는 개인의 정보라면 개인정보보호법이 적용되지만, 식별성이 없거나 사물의 정보라면 개인정보보호법의 적용이 없는 것이다. 그런데, 최근에는 오히려 쿠키파일이나 로그파일과 같은 비식별정보에 대한 문제점이 크게 부각되고 있어 식별정보에만 적용범위를 한정하는 개인정보보호법의 태도가 타당한지에 대한 의문이 제기되고 있다. 실제로 기업들은 엄격한 개인정보보호법의 적용을 피하고 여러 가지 규제 요소를 제거하여 자유로운 정보활용을 달성하고자, 되도록 데이터의 비식별성이나 익명성을 유지하려고 노력하고 있다. 하지만, 비식별정보가 다수 쌓이고 결합된다면 그 원래의 비식별성이나 익명성이 유지되지 않는다는 것이 문제이다. 이러한 현상을 많은 학자들이 지적하였고 현실적으로도 이러한 현상은 다수 발생하고 있다. 이러한 상황에서 개인정보호보법의 적용범위를 기존과 같이 식별정보로 한정하는 것이 타당한가의 검토가 필요하다고 본다. 다만 이 과정에서 언제부터 비식별정보가 식별성을 띠게 되는지에 대한 점에 대한 굉장히 풀기 어려운 과제가 현출되고 있다. 5. 공공분야와 민간분야의 분리 규율 현행 개인정보보호법은 공공분야와 민간분야를 같이 규율하고 있다. 규율의 일관성 측면에서 바람직하지만 이렇게 같이 규율해야 할 필요성은 크지 않다고 본다. 미국의 경우에도 공공분야에 대하여는 옵트인 제도, 까다로운 절차 등을 통한 엄격한 규율을 하지만 민간분야에 대하여는 옵트아웃의 인정, 자율규제의 추세, 데이터의 자유로운 이용 등을 보장하고 있어 공공분야와는 다른 차원에서 접근하고 있다. 공공분야의 경우 기본적으로 재정충당이 쉽기 때문에 안전성 확보조치를 충분히 달성할 확률이 크지만, 민간분야의 상당부분을 차지하고 있는 중소기업의 경우 보안투자에 대하여 의식이 없는 경우도 허다하여 현실적으로 중소기업 중 몇 퍼센트나 개인정보보호법이 정한 안전성 확보조치를 이행하고 있는지 의문이다. 가장 중요한 것은 데이터에 대한 관점이 다르다는 것이다. 공공분야의 경우, 데이터의 보관 및 처리의 목적은 공익 달성의 목적이 주이므로 이윤 창출이나 자유로운 이용 측면에서 접근하고 있지는 않지만, 민간분야의 경우, 데이터의 보관 및 처리의 목적은 공익 달성이 아닌 기업의 이윤 창출 및 자유롭고 창의적인 이용이 주된 목적이므로 개인정보보호 규율에 대한 접근법도 공공분야와는 상이할 수밖에 없어야 한다. 그럼에도 불구하고 현행 개인정보보호법은 두 개의 서로 다른 성격의 데이터 목적을 한 통 속에 밀어넣어 규율하고 있기에 향후 부작용도 발생할 것으로 예상되며 규율이 오히려 IT 산업 발전을 저해할 수도 있을 것이다. 특히 이러한 통합 규율이 민간 분야에서 발생하고 있는 현상 즉 데이터 활용방법의 다양화, 자율규제의 필요성 증대 현상에 얼마나 잘 대응할 수 있을지도 의문이다. 현행 개인정보보호법이 기여하고 있는 민간분야에 대한 개인정보보호에 대한 의식제고 및 기업의 보안투자 유도가 충분히 달성되는 즈음에는 오히려 공공분야와 민간분야의 규율을 분리하는 것이 장점이 많을 것이다. <계속> * 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2012. 11. 6.), 블로그(2012. 11. 24.) 기고.

현재 PC방 업계는 미국 마이크로소프트(MS)사와 한판 전쟁을 벌이고 있다. MS는 PC방 업주에게 렌탈 라이선스(rental right licenses)를 MS로부터 추가로 받아야만 윈도 운영체제(OS)를 사용할 수 있다고 주장하면서 전국의 PC방 업주에게 경고장을 보냈다. MS의 렌탈 라이선스란 공항, 기차역, 카페, PC방 등과 같이 하나의 컴퓨터를 여러 명이 사용하는 경우 프로그램이 포함된 PC를 제3자에게 대여 또는 임대할 수 있는 권리를 취득하는 라이선스의 한 형태를 말한다. PC방 업주는 MS의 조치에 대해 집단적으로 반발하고 있기는 하지만 ‘법적으로만 보면’ 결코 유리해 보이지는 않는다. 렌탈 라이선스 분쟁과 유사한 라이선스 분쟁이 CCTV 업계에도 일어나고 있다. 과거의 CCTV와는 달리 지금 보급되는 대부분의 CCTV는 네트워크 기능을 갖추고 있는 IP 카메라인바, 이제 IP 카메라는 원도 서버 및 SQL DB 서버 등과 통신을 필수적으로 해야 하는 하나의 클라이언트인 셈이다. 한편 클라이언트에 관한 MS의 라이선스 정책에 따르면, 클라이언트 수가 늘어나면 그에 따른 CAL(client access licenses) 라이선스를 받게끔 돼 있다. 하지만 지금까지 보급된 IP CCTV 카메라의 대부분은 이러한 CAL 라이선스를 받지 않는 채 설치되고 운영돼 왔다. 이러한 사실을 제주 올레길 살인 사건 때문에 인지한 MS는 CCTV 통합관제센터를 운영하고 있는 여러 지방자치단체에 CAL 라이선스 구매를 요구하는 내용의 공문을 보냈고, 공문을 받은 지방자치단체는 법적으로 옳고 그름을 떠나 MS의 공문에 대해 발끈하고 있다. 따지고 보면 CAL 라이선스는 갑자기 나온 개념은 아니고 MS가 지속적으로 실행됐던 라이선스 정책 중의 하나이다. 더불어 클라이언트에도 서버와의 송수신을 할 수 있는 프로그램이 장착돼야 하고, 이러한 프로그램에도 저작권이 존재하므로, MS의 주장에는 ‘법적으로 보면’ 하자가 없는 것으로 보인다. 하지만 저작권법 위반을 이유로 형사고소 또는 손해배상 재판까지는 가는 사태가 발생하지 않는다 하더라도 IP 카메라를 사용하는 공공기관, 지방자치단체, 기업, 가정 등의 입장에서는 CAL 라이선스 비용에 부담이 생길 수밖에 없다. 일부 지방자치단체는 MS가 계획적으로 통합관제센터의 확대 또는 CCTV 붐이 생길때까지 기다리다가 이제야 CAL 라이선스 구매를 강요하는 것이 아닌가 하고 불만을 토로하고 있다. MS로부터 경고장을 받은 측에서는 MS의 CAL 라이선스 정책에 대해 강력하게 대응하면서 나아가 MS의 주장이 법적으로 타당하지 않다고 주장하고 싶지만, 현실적으로 MS의 주장을 근본적으로 막을 방도는 없어 보인다. 다만 비용을 최소한으로 줄이거나 손해배상을 줄이기 위한 조치를 취할 수는 있을 것이다. 예컨대 CAL 라이선스의 정책이나 라이선스 조항을 법적으로 잘 분석해 최소한의 비용으로 라이선스를 취득할 수 있는 방안을 강구하는 것이다. CAL 라이선스의 유형은 클라이언트 단말 장치 수에 상관없이 이용자 수에 따라 라이선스를 취득해야 하는 형태인 이용자 기반(per user), 이용자 수에 상관없이 클라이언트 단말 장치에 따라 라이선스를 취득해야 하는 형태인 디바이스 기반(per device), 하나의 서버에 동시에 접속할 수 있는 컴퓨터 수를 정해두고 그 수에 따른 라이선스를 취득하는 형태인 서버 기반(per server)으로 나눌 수 있다. 이용자 기반은 단말장치 수가 이용자 수보다 많은 경우에 유리하고, 디바이스 기반은 이용자 수가 단말장치 수보다 많은 경우에 유리하다. 특히 디바이스 기반에 따른다면 공용 IP 개수에 맞추어 라이선스 수를 취득해야 하는바, 라우터 등을 활용해 사설 IP 개수를 늘리면서 그와 동시에 공용 IP 개수를 줄이는 것도 그 방법 중의 하나이다. 하지만 위와 같이 라이선스 정책과 라이선스 조항을 연구해 비용 부담을 줄이는 것은 근원적인 해결책이 될 수 없다. 라이선스 정책이나 조항 때문에 수익상의 문제가 발생하면 MS는 곧바로 라이선스 정책이나 라이선스 조항을 변경할 수도 있기 때문이다. CAL 라이선스 분쟁의 근원적인 해결책은 오픈소스 소프트웨어(OSS)의 과감한 도입과 확대이다. 상용 소프트웨어에 의존하는 한 저작권 비용이나 분쟁은 끊임없이 발생할 수밖에 없기에, 일찌감치 선진국은 미국 국방부의 OTD(Open Technology Development), 프랑스의 ADDULACT 등과 같이 공공분야에서 오픈소스 소프트웨어를 활성화하기에 주력했고, 이러한 노력으로 소프트웨어 저작권 비용의 절감과 오픈소스 소프트웨어 산업 발전을 이루었다. 이번 CAL 라이선스 분쟁이 우리나라 공공분야에서의 소프트웨어 정책에 중요한 전환을 가져올 수 있다고 생각한다. CAL 라이선스 분쟁을 기화로 장기적인 비전을 가지고 오픈소스 소프트웨어를 CCTV 구성 등에 도입하고 그 사용을 확대한다면, 소프트웨어 저작권 비용도 줄이면서 동시에 다른 나라에 비해 많이 낙후된 오픈소스 소프트웨어 산업분야의 발전 효과도 달성할 수 있을 것이다. * 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2013. 2. 13.) 마이크로소프트웨어, 디지털데일리(2014. 3. 6) 기고.