오픈소스 소프트웨어는 무료 소프트웨어의 공유라는 단순한 의미를 넘어 안드로이드 스마트폰에서 보았듯이 어느덧 기업의 비즈니스 모델로 확고하게 자리잡고 있으며, 나아가 앞으로 상용 소프트웨어를 대체할 것으로 예상하는 사람들도 있는 실정입니다. 이에 4부로 나누어 오픈소스 소프트웨어를 이해하고, 이를 기초로 앞으로의 전망 및 법률적 검토를 해 보고자 합니다. □ 1부 : 오픈소스 소프트웨어의 역사 (과거) ☑ 2부 : 오픈소스 소프트웨어에 대한 오해 (현재) □ 3부 : 오픈소스 소프트웨어의 앞으로의 전망 (미래) □ 4부 : 오픈소스 소프트웨어의 법률적 문제 (사례) 오픈소스 소프트웨어에 대한 오해 오픈소스 소프트웨어의 시장규모는 국내나 국외 모두 매년 20% 이상 상승하고 있고, 우리나라 교육과학기술부의 ‘차세대 나이스 개발’, KT 사의 ‘uCloud’ 등에서 볼 수 있듯이 오픈소스 소프트웨어의 도입은 눈에 띄게 늘어가고 있으며, 기술정보 및 해결방안의 공유라는 장점 때문에 빠른 기술속도를 자랑하고 있지만, 여러 가지 이유로 오픈소스 소프트웨어에 대한 오해나 편견은 씻겨지지 않고 있다. 이에 오픈소스 소프트웨어의 현재를 살펴보는 의미에서, 그 오해나 편견 중 몇 가지(오픈소스 소프트웨어는 무료이다, 오픈소스 소프트웨어는 저작권이 없다, 오픈소스 소프트웨는 절대 강자가 없다, 오픈소스 소프트웨어는 보안에 취약하다, 오픈소스 소프트웨어 개발자나 공급자는 배고프다의 5가지)를 풀어보고자 한다. 오픈소스 소프트웨어는 무료이다. 오픈소스 소프트웨어에서 사용하는 ‘open(공개)’라는 용어로 인해 ‘free(무료)’로 오해받고 있지만, 오픈소스 소프트웨어의 ‘오픈’라는 개념은 무료나 공짜의 의미가 아니다. 오픈소스 소프트웨어의 ‘오픈’이라는 의미는 소스코드의 공개 또는 소프트웨어의 자유로운 사용ㆍ수정ㆍ재배포 허용 즉 자유로운 접근을 의미하는 것이므로, 프리웨어나 쉐어웨어와는 구별하여야 한다. 무상으로 자유롭게 사용할 수 있는 프리웨어나 사용상의 제한이 있는 프리웨어인 쉐어웨어란 모두 비용을 지불하지 않고 사용할 수 있는 소프트웨어를 말하는 것이다. 따라서 프리웨어나 쉐어웨어는 공짜웨어이지만 지금 논의하고 있는 오픈소스 소프트웨어는 공짜라는 전제는 없다. 특히 OSI는 개발자의 영리활동을 금지하고 있지 않다. 실제 대부분의 오픈소스 소프트웨어, 예컨대 아파치(Apache), 톰캣(Tomcat) 등의 오픈소스 소프트웨어는 무료로 공급되고 있지만, 일부 오픈소스 소프트웨어는 사용시 무료가 아니다. 레드햇(Redhat) 리눅스 OS의 엔터프라이즈판이나 MySql 데이터베이스의 엔터프라이즈판 등이 대표적인 유료 오픈소스 소프트웨어이다. 오픈소스 소프트웨어는 저작권이 없다. 오픈소스 소프트웨어란 저작권이 존재하지만 저작권자가 소스코드를 공개하였기 때문에 누구나 이를 자유롭게 수정, 재배포 할 수 있는 자유로운 소프트웨어를 말한다. 따라서 저작권이 없는 퍼블릭 도메인 소프트웨어(public domain software)와 구별하여야 한다. 퍼블릭 도메인 소프트웨어의 형태로는, 원시적으로 저작권이 존재하지 않는 경우도 있지만, 보호기간 만료나 권리 포기 등으로 그렇게 된 경우도 있다. 퍼블릭 도메인이라는 것은 소프트웨어에만 한정된 것은 아니고 저작권 일반에 미칠 수 있는 개념이다. 오픈소스 소프트웨어는 저작권이 존재하기 때문에 라이선스 준수가 필요하다. 예컨대 GPL이 있다면, 이는 저작권의 포기가 아니라 라이선스라는 점에 명심하여야 한다. 실무적으로 오픈소스 소프트웨어를 제한이 없는 자유사용 또는 저작권의 포기로 이해하여 저작권 소송을 당하는 경우가 많이 있다. 오픈소스 소프트웨어 사용시 특히 주의를 요하는 점이다. 이와 반대 개념인 퍼블릭 도메인 소프트웨어는 저작권이 없기 때문에 라이선스라는 사용상의 제약이 존재하지 않는다. 대표적인 퍼블릭 도메인 소프트웨어으로는 분자구조 분석 프로그램인 Visual Molecular Dynamics가 있다. 오픈소스 소프트웨는 절대 강자가 없다. 오픈소스 소프트웨어는 약한 영리성 때문에 투자가 이루어지지 않아 절대적 강자가 없다고 생각하기 쉽다. 그러나 오픈소스 소프트웨어는 서버, 통합개발환경, 모바일, 임베디드 분야등에서 막강한 세력을 과시하고 있다. 서버 분야에서는 OS 서버 분야의 1위인 리눅스, 웹서버의 대표자인 아파치, 데이터베이스의 선두주자인 MySql 등이 있다. 특히 OS 서버 분야에서 리눅스는 수세(SuSE), 레드햇(Redhat), 우분투(Ubuntu), FreeBSD, 페도라(Fedora), 데비안(Debian) 등의 다양한 형태로 제공되고 있어 기호에 따라 골라 쓸 수 있는 장점이 있다. 그래픽이나 성능 등은 상용 소프트웨어에 대비하여도 부족함이 없다. 참고로 우분투는 아프리카에서 사용하는 언어로서 ‘공동체 의식에 바탕을 둔 인간애’를 의미한다고 한다. 최근 VM(Virtueal Machine)을 이용하면 다양한 OS를 동시에 사용할 수 있으니, 한번 사용해 보는 것도 좋은 경험이 될 것이다. 통합개발환경에서는 이클립스와 SubVision/CVS가 유명하다. 특히 이클립스는 자바를 비롯한 다양한 언어를 지원하는 프로그래밍 통합 개발 환경을 목적으로 시작하였으나, 현재는 범용 응용 소프트웨어 플랫폼으로 진화하고 있다. 자바로 작성되어 있는 이 소프트웨어를, 필자는 안드로이드 앱 개발 공부 도중에 만났는데 굉장히 강력한 기능을 자랑하고 있었다. 모바일로는 안드로이드 OS 커널을 구성하는 리눅스가 있다는 점은 이제 뉴스거리도 아니고, 어느 특정한 동작을 할 목적으로 칩안에 OS를 이식하는 임베디드시스템에서 작은 사이즈로 효율적인 제어를 하는 임베디드 리눅스(embeded linux)가 활용되고 있다. 대표적인 임베디드 리눅스 기업으로는 아데니오 임베디드(Adeneo Embeded)가 있다. 오픈소스 소프트웨어는 보안에 취약하다. 오픈소스 소프트웨어는 소스코드가 공개되기 때문에 보안에 취약하다는 편견이 있어 왔고, 이러한 편견이 오픈소스 소프트웨어의 저변 확대에 큰 제약이 되어 왔다. 해킹보안사고가 끊이지 않은 요즘에는 더더욱 이러한 걱정을 많이 하게 되며, 실제로 안드로이드 폰이 iOS 폰보다 보안이 취약하다는 뉴스를 간혹 보곤 한다. 그러나 필자가 보기로는 안드로이드의 소스코드 공개 특성때문이 아니라 안드로이드 폰은 iOS 폰과 달리 응용프로그램의 오픈마켓 형식을 취하고 있기 때문이라고 생각된다. 실제로 보안관제시스템의 한부분인 침입탐지시스템(IDS)는 스노트(Snort)라는 오픈소스 소프트웨어를 사용해 오고 있다는 점, 새로운 오픈소스 소프트웨어 버전이 나오면 여러 사용자군에 의한 공개적인 보안검수를 시작되는데 그로 인하여 신속한 패치가 이루어져 왔고 신속하게 소프트웨어가 안정화되었다는 점, 한 일례로 멀티 유저 개념에서 시작한 리눅스의 싱글 유저 개념에서 시작한 소프트웨어보다 그 보안성이 우월하다는 점 등을 고려하면 오픈소스 소프트웨어의 보안은 걱정하지 않아도 된다고 생각한다. 최근 공공기관에서도 오픈소스 소프트웨어를 이용한 전산망 구축을 하는 것을 보아도 오픈소스 소프트웨어의 보안 걱정은 과장된 것이라 할 수 있을 것이다. 참고로 MS사의 인터텟 익스플러러의 보안위협 노출 일자보다 모질라의 파이어폭스 웹브라우져의 노출 일수가 상대적으로 적게 나타나고 있다는 사실에 주목할 필요가 있다. 오픈소스 소프트웨어 개발자나 공급자는 배고프다. 오픈소스 소프트웨어가 대부분 무료이므로 이를 사용하는 이용자나 응용개발자는 여러 가지 장점을 누리겠지만, 원개발자나 공급자는 수익을 올리지 못할 것이라는 편견이 많다. 소프트웨어 개발 비용도 저렴하고 개발시간을 줄일 수는 있지만, 소프트웨어에 대한 대가를 받지 못하므로 개발비용과 시간은 회수하지 못하는 것이 아닐까하는 의문이 든다. 이 문제는 오픈소스 소프트웨어 개발자의 비즈니스 모델에 대한 것으로서, 오픈소스 소프트웨어 업계에서 성공적인 기업으로 통하고 있는 레드햇의 경우를 들어보자. 레드햇의 2011년 매출은 1조원이 넘었다고 한다. 레드햇은 이미 설명한 대로 유료이기 때문에 가능하다고 볼 수 있지만, 레드햇의 특징적 전략은 서비스였다. 오픈소스 소프트웨어 개발자나 공급자가 제공할 수 있는 서비스로는 그 오픈소스 소프트웨어의 이용자에 대한 교육, 컨설팅, 기술지원 등을 들 수 있는데, 이러한 서비스에 주력하여 매출을 극신장시킨 대표적인 기업이 바로 레드햇인 것이다. 지금은 대기업에서 전략적으로 오픈소스 소프트웨어의 배포에 주력하고 있지만, 대기업도 그러한 개발이나 배포 비용을 교육, 컨설팅, 기술지원 등의 서비스로서 회수하기도 한다. 지금까지 오픈소스 소프트웨어의 편견과 오해에 대하여 살펴보았다. 이러한 오해나 편견은 경쟁업체의 마켓팅 전략이었다는 말도 있으니 직접 겪어 보고 판단하는 게 가장 정확한 것이라 생각된다. 마치면서, “현대의 소비자는 자유에 대하여 지불하길 원한다”는 말이 있다. 다양한 의미가 포함되어 있다고 생각한다. 다만 확실한 것은 이러한 트렌드가 제대로 반영된 것이 바로 오픈소스 소프트웨어가 아닐까 하고 생각해 본다. <3부에 계속> * 법무법인 민후 김경환 대표변호사 작성, 블로그(2012. 3. 15.), 로앤비(2012. 3. 15.) 기고.

‘청개구리가 울면 비가 온다’는 명제를 활용하기 위해서 전통적인 과학자는 청개구리가 울 때의 온도나 습도 및 그 온도와 습도가 청개구리에 미치는 영향 등을 연구함으로써 명제의 참·거짓을 밝혀야 했다. 하지만 빅데이터 시대의 데이터 사이언티스트는 청개구리가 우는 데이터와 비가 오는 데이터를 모아 상호 연관성을 탐구하는 것만으로도 그 명제를 활용할 수 있게 됐다. 그 상호 연관성이 충족되면 청개구리의 우는 데이터를 기반으로 비가 오는 미래를 예측할 수도 있게 된 것이다. 이처럼 빅데이터 가능성은 우리 상상 이상으로 무궁무진하며 인류에게 새로운 진리탐구 방식을 제공하고 있고 궁극적으로는 미래를 예측할 수 있는 능력을 제공한다. 문제는 규범 미비로 인해 현재 빅데이터 활용이 막혀 있다는 것이다. 우리나라는 특히 개인정보 ‘비식별화’ 개념이 정립되지 않아 빅데이터 발전이 더뎌지고 있다. 지난 2014년 12월 방송통신위원회는 ‘비식별화’를 전제로 한 빅데이터 처리 원칙을 담은 ‘빅데이터 개인정보보호 가이드라인’을 발표했다. 이는 행정자치부나 금융위원회의 안내서나 가이드라인에도 그대로 반복되고 있다. 이 가이드라인은 법률에 부합하지 않고 EU 등 태도와도 맞지 않다는 비판이 지속적으로 제기됨으로 인해 규범력을 제대로 발휘하지 못하고 있는데, 그 비판 핵심에 해당하는 부분이 바로 ‘비식별화’ 개념 부분이다. 이와 관련, EU나 미국은 ‘비식별화(de-indentification)’와 ‘익명화(anonymization)’를 구분하고 있다. 비식별화는 ‘식별자 제거’로 인해 데이터에서 개인식별이 ‘매우 어려운’ 상태를 의미하고, 익명화란 개인과 식별자 사이 ‘링크가 비가역적으로 제거’돼서 데이터에서 개인식별이 ‘불가능한’ 상태로서 비식별화 후속조치에 해당한다. 즉 익명화란 복원이 불가능한 비식별화 또는 비가역적 비식별화 상태다. 이는 EU 개인정보 작업반이 펴낸 안내서 ‘anonymisation is a technique applied to personal data in order to achieve irreversible de-identification’이라는 문장에서도 명확하게 파악할 수 있다. 그런데 우리나라 각종 안내서나 가이드라인은 익명화가 아닌 비식별화로 처리를 하면 빅데이터 처리가 가능하고 나아가 개인정보보호 법령이 적용되지 않는 것으로 기술돼 있다. 또 이러한 태도는 EU 규율과 서로 모순돼 우리나라에서도 EU처럼 비식별화 대신에 익명화 규범을 만들어야 한다는 요구가 끊이지 않았다. 최근 일본은 개인정보보보호법이 개정됐는데, 빅데이터 처리가 가능한 ‘익명가공정보’를 정의하면서 ‘특정 개인을 식별할 수 없도록 개인정보를 가공해 얻을 수 있는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것’이라고 해 EU와 부합하는 태도를 취하고 있어 우리나라의 논란은 더욱 커져 갔다. 빅데이터 활용을 허용하는 임계점이 비식별화인지 아니면 익명화인지는 사안의 중요성으로 보아 규범력이 약한 가이드라인이 아니라 정식 법률로 조속하게 해결해야 할 문제다. 개인적 생각으로는 데이터의 유형·민감도 및 학술·통계·마케팅 등 사용 용도에 따라 계층적인 비식별화·익명화 정도, 유연한 빅데이터 활용 허용 기준을 정하는 것이 바람직하다. * 법무법인 민후 김경환 대표변호사 작성, 전자신문(2015. 10. 28.) 기고.

미국 메이저리그의 최하위팀 '오클랜드 어슬레틱스'의 구단주 빌리빈은 오로지 선수들의 성적 데이터를 분석하는 머니볼 이론을 사용함으로써 메이저리그 최초로 20연승이라는 신기록을 세웠다. 이 실화는 브래드 피트 주연의 머니볼이라는 영화로 재연된 적이 있다. 최근 스텀블어폰(StumbleUpon)이라는 SNS 업체는 빅데이터 분석을 통하여 페이스북의 트래픽을 능가했다. 머니볼 이론과 스텀블어폰 사례는 IT 업계에서 화두가 되고 있는 빅데이터(big data), 즉 비정형적인 데이터 안에서 고부가가치의 데이터를 창출해 가는 분석기법의 무한한 가능성에 대하여 잘 보여주고 있다. 일화적 데이터(anecdata)에 의존하고 있는 우리 로펌도 빅데이터에 있어서 예외일 수 없다. 특히 판결문·기록공개는 이 현상을 가속화시킬 것이며, 법조 개방과 더불어 우리나라에 물밀듯이 들어올 빅데이터 선진국의 법조 빅데이터 서비스, 예컨대 IP 분석 서비스인 렉스마키나(Lex Machina), 승패 분석 서비스인 버딕 앤드 셀트먼트 애널라이저(Verdict & Settlement Analyzer), 비용 분석 서비스인 타이메트릭스 리컬뷰(TyMetrix LegalView) 등은 우리 로펌업계에 큰 자극제가 될 것이다. 빅데이터는 미래 경쟁력을 좌우하는 핵심자원이 될 것으로 예상되고 있다. 빅데이터 분석과 창출에 남들보다 앞서 간다면 빅데이터가 무한한 기회가 될 수도 있고, 빅데이터 덕분에 법조계의 빌리빈이 될 수 있다. 사실 빅데이터의 시류에 적극 발맞추어야 할 곳은, 법조데이터를 대량 수집·보유하고 있는 법원과 검찰이다. 법원과 검찰에서 매년 연감을 발행하고 있고 내부적으로 많은 분석데이터를 가지고 활용하고 있지만, 아직 빅데이터 분석 수준이라 할 수 없고, 국민들과 다른 기관에서는 법조 빅데이터의 충분한 혜택을 누리지 못하고 있는바, 사법 정보선진국 달성을 위하여 법조데이터의 활용 및 공개에 보다 적극적일 필요가 있다고 본다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2013. 8. 5.) 기고.

2011년 9월 30일 개인정보보호법이 시행되어 현재는 1년이 넘어가고 있다. 짧은 1년이었지만 그 동안 국민들에게 많은 인식의 변화를 유도했고, 많은 개선과 발전을 가져온 것은 큰 성과라고 할 수 있다. 특히, 정보화 시대의 그림자로 평가받고 있는 정보 프라이버시 침해문제에 대하여 깊은 인식을 하면서 국제적 기준에 부합하는 개인정보 보호 원칙을 실현했으며, 대통령 직속으로 개인정보보호위원회를 설치해 전담체계를 갖추었다는 점에서 큰 기여를 했다고 볼 수 있다. 그러나 여전히 몇 가지 문제점을 안고 있고, 또한 현실에 부합하지 않은 점도 나타나고 있으며, 앞으로 개선되어야 할 점도 있어 보인다. 이 글에서는 개인정보보호법 시행 1년을 맞이하여 그간의 문제점을 짚어보고 앞으로 풀어야 할 과제를 제시하고자 한다. 1. 개인정보 범위의 모호 개인정보보호법상의 ‘개인정보’에 해당하려면, 살아 있는 개인에 관한 정보이어야 하고, 식별성 있는 정보이어야 한다. 나아가 다른 정보와 쉽게 결합하여 식별성을 띠는 정보도 개인정보에 포함시키고 있다. 그러나 위 개인정보보호법상의 ‘개인정보’의 개념이 모호하고, 그 범위 설정이 쉽지 않다는 문제점이 있다. 우선, 누구를 기준으로 식별성을 따져야 하는지가 문제이다. 정보주체를 잘 알고 있는 사람이라면 그렇지 않은 일반인보다 훨씬 더 식별성의 범위가 넓기 때문이다. 다른 정보와 쉽게 결합하여 식별성을 가지는 정보도 개인정보보호법상의 개인정보에 해당하지만, 수차에 걸쳐 결합시키면 모든 정보는 식별성을 가지게 되는 문제점도 있으며, ‘쉽게’라는 표현이 무슨 의미인지 모호하다. 현재 서울중앙지방법원은 개인정보의 개념에 대해 “구하기 쉬운지 어려운지와 상관 없이 해당정보와 다른 정보가 특별한 어려움 없이 쉽게 결합하여 특정 개인을 알아볼 수 있게 되는 것”이라고 파악하고 있다. 또한, 어떤 조건에서 쉽게 결합하여 식별성을 가져야 하는지도 알 수 없어 개인정보가 상대적 개념으로 바뀔 수 있다는 문제점도 있으며, 쉽게 결합하여 식별성을 가지는 정보도 포함됨으로써 개인정보의 범위가 상식선을 넘어 매우 넓어질 수 있다는 문제점도 있다. 개인정보는 살아 있는 개인의 정보이므로 사망한 사람의 정보는 개인정보로 보지 않지만, 사망한 사람의 정보는 살이 있는 후손의 정보도 내포하기 마련이다. 이 경우에도 개인정보로 보지 말아야 하는 것인지, 아니면 살아 있는 후손의 개인정보인지 의문이며, 개인의 정보가 아닌 법인·단체의 정보는 개인정보로 보지 않지만 법인·단체의 임직원 정보는 개인정보인지 아닌지 모호하기 그지 없다. 개인정보보호법으로 보호해야 할 개인정보의 개념과 범위에 관하여 보다 명확하게 규정할 필요가 있다. 더불어 합리적이고 상식에 맞게끔 범위를 정할 필요가 있다. 그렇게 하기 위해서는 애매한 법조문 보다는 명확한 법조문, 누구나 이해할 수 있고 예측할 수 있는 법표현이 규정되어 있어야 할 것이다. 2. 다른 개인정보보호법제와의 관계 정립 대표적인 개인정보보호법제로는 개인정보보호법 외에 ‘정보통신망 이용촉진 및 정보보호에 관한 법률’, ‘신용정보의 이용 및 보호에 관한 법률’이 있다. 이들의 관계에 대하여 개인정보보호법 제6조는 “개인정보 보호에 관하여는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’, ‘신용정보의 이용 및 보호에 관한 법률’ 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다”라고 규정하고 있다. 즉, 개인정보보호법과 정보통신망법·신용정보법 사이에 모순점이 있는 경우 정보통신망법·신용정보법이 우선 적용된다는 것이다. 위 제6조에 의하면, 정보통신망법에 의하여 규율되고 있으면 개인정보보호법의 적용은 배제된다는 것인데, 여기서 문제점이 발생하고 있다. 정보통신망법의 규율대상인 ‘정보통신서비스 제공자’는 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로 정의되어 있다(제2조 제3호). 위 ‘정보통신서비스 제공자’에는 순수한 정보통신서비스 제공자뿐만 아니라 단순히 영리 목적으로 인터넷을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자도 포함하고 있다. 그런데 단순히 영리 목적으로 인터넷을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자의 범위는 단순한 인터넷 사업자까지 포함하고 있는 바, 그렇다면 인터넷 공간에서 개인정보보호법이 적용되는 자는 사실상 거의 없게 되는 결론이 된다. 개인정보보호법이 정보통신망법 때문에 유명무실화되었다는 것이다. 두 법령 사이의 체계를 다시 정립할 필요성이 매우 크다. 그 방안으로는 정보통신망법 규정에서 개인정보보호 규정을 삭제하는 방안(제1안)과 정보통신망법의 ‘정보통신서비스 제공자’의 범위를 순수한 정보통신서비스 제공자로 한정하는 방안(제2안)이 논의되고 있다. 개인적으로 법령 상호간의 체계를 유지하고, 국민들의 혼란을 줄일 수 있다는 점에서 제1안을 지지한다. 다만 방송통신위원회의 감독권은 그대로 존치시키는 것이 바람직하다고 본다. <계속> * 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2012. 10. 22.) 기고.

개인정보보호법의 제정으로 개인정보에 대하여 보호를 해야 하는 것은 알고 있지만, 보호해야 하는 개인정보의 범위는 어디까지인지가 모호하다는 말이 있다. 이번 컬럼에서는 개인정보보호법상의 개인정보에 대한 개념을 고찰해 보기로 한다. 개인정보에 대하여 개인정보보호법은 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.”라고 규정하고 있다(제2조 제1호). 위 정의에 의하면, 개인정보로 인정받으려면, 1) 살아 있는 특정 개인에 관한 정보이어야 하고, 2) 그 정보로 인하여 특정 개인을 식별할 수 있어야 한다. 여기서 핵심은 2) 식별가능성이다. 1) 살아 있는 특정개인에 관한 정보 ①살아 있는 개인에 관한 정보이어야 하므로, 죽은 사람의 정보는 개인정보에 해당하지 않는다. 예컨대 사망한 대통령의 정보는 개인정보보호법상의 개인정보에 해당하지 않는다. ②개인에 관한 정보이므로, 법인이나 단체에 관한 정보는 개인정보로 보지 않는다. 예컨대 법인의 자산 규모, 영업실적, 납세실적, 법인의 어음이 부도났다는 정보 등은 개인정보보호법상의 개인정보로 보지 않는다. ③특정 개인에 관한 정보이어야 하므로, 특정 개인을 알아볼 수 없도록 가공되어 있는 정보는 개인정보에 해당하지 않는다. 예컨대 2010년도 K대 졸업생들의 평균 신장이나 취업률 등은 개인정보에 해당하지 않는다. 2) 식별할 수 있는 정보 식별할 수 있는 정보만이 개인정보에 해당한다. 식별할 수 있다는 의미는 특정 개인을 다른 개인과 구별할 수 있다는 의미이다. 따라서 성명, 주민등록번호, 주소, 학번, 아이디, 이메일 주소, CCTV 정보 등은 개인정보로 볼 수 있다. 구체적으로는 신용정보, 고용정보, 의료정보, 위치정보, 통신정보, 영상정보, 신체정보, 기호정보 등이 여기에 속한다. 다만 해당정보로 특정개인을 알아내기에 부족하여 그 상태로는 식별성을 갖추고 있지 않더라도, 다른 정보와 쉽게 결합하여 알아볼 수 있으면 개인정보보호법상의 개인정보에 해당함에 유의하여야 한다. ‘쉽게 결합하여 알아 볼 수 있다’의 의미에 대하여 서울중앙지방법원 2011. 2. 23. 선고 2010고단5343 판결에서는 쉽게 다른 정보를 구한다는 의미이기 보다는 구하기 쉬운지 어려운지와는 상관없이 다른 정보가 특별한 어려움 없이 쉽게 결합하여 특정 개인을 알아볼 수 있게 되는 것을 말한다고 판시한 적이 있다. 즉 해당 정보와 다른 정보가 기술적으로 별다른 제약이나 어려움 없이 결합되어 특정 개인을 알아볼 수 있다면 정보 결합이 용이하다는 것이다. 예컨대 흔한 성명에 관한 정보가 단독으로 존재한다고 하여도 동성이인이 존재하는 한 특정개인을 식별할 수 없으므로, 그 성명 정보만으로는 개인정보보호법상의 개인정보로 보지 않는다. 하지만 스마트폰에서 주식시세정보를 제공하는 앱이 사용자들의 동의를 얻지 않고 사용자들의 휴대폰에서 IMEI(International Mobile Equipment Identity, 국제단말기인증번호로서 휴대폰 기기 고유번호임)와 USIM(Universal Subscriber Identiry Module, 범용가입자식별모듈) 시리얼번호를 취득하는 경우 이러한 고유번호와 시리얼번호는 기계적인 정보라 하더라도 특정 개인에게 부여되어 있음이 객관적으로 명백하므로 이는 개인정보 취득에 해당하고 따라서 반드시 동의를 얻어야 한다(서울중앙지방법원 2011. 2. 23. 선고 2010고단5343 판결 참조). 식별할 수 없는 정보로서 문제되는 것이 로그기록이나 쿠키파일 정보이다. 특정 시간에 특정 사이트에 접속하게 되면, 그 웹사이트의 로그기록에 접속에 관한 정보가 저장되는 것과 동시에 접속에 관한 정보가 접속자의 PC에 쿠키파일로 저장될 수 있는데, 로그기록이나 쿠키파일로는 특정개인을 식별할 수 없다면 로그기록이나 쿠키파일정보는 개인정보보호법상의 개인정보로 보지 않는다. 그러나 로그기록이나 쿠키파일정보라도 이메일 주소, 주민등록번호 등과 결합한다면 통틀어 식별성을 가지게 되므로 이 때에는 식별정보로 파악될 수 있다. 3) 참고사항 개인정보보호법에는 필요정보와 최소정보를 혼용하고 있어 그 차이가 무엇인지 궁금증을 가지게 한다. 개인정보보호법에는 필요한 정보 중에서 최소한 수집하라고 되어 있으므로(개인정보보호법 제16조 제1항, 정보통신망법 제23조 제2항), 필요정보가 최소정보보다 더 넓은 개념에 해당한다. 즉 서비스 제공에 필요한 정보가 필요정보라면, 그 중에서 반드시 필요한 정보를 최소정보라 할 수 있다. 한편 개인정보는 필수정보와 선택정보로 구분하기도 하는데, 이는 기업이 서비스를 제공할 때 사용되는 개념으로, 서비스에 꼭 필요한 정보가 필수정보이고, 홍보 등 추가적인 목적에 사용되는 정보가 선택정보이다. 원칙적으로 필수정보나 선택정보 모두 기업이 이용자로부터 수집할 때 동의를 얻어야 하지만, 다만 필수정보가 계약이행에 불가피할 때는 동의 없이 수집할 수 있으며, 선택정보에 대하여는 동의를 하지 않아도 서비스 제공을 거부해서는 아니된다. * 법무법인 민후 김경환 대표변호사 작성, 로앤비(2012. 8. 20.), 보안뉴스(2012. 9. 24.) 기고.

은행의 위조사이트가 아닌 정상사이트에 방문하여 평소와 다름없이 공인인증서 비밀번호, 보안카드 번호 2개를 입력하였음에도 불구하고 거액의 예금이 타인에게 빠져나가는 이른바 메모리 해킹 기법의 신종 파밍이 최근에 사회문제화되고 있다. 기존의 파밍 사기는 은행의 정상사이트가 아닌 위조사이트에서 보안카드 번호 전부를 입력하는 기법이었다면, 이번에 문제가 된 메모리 해킹 기법의 파밍은 위조사이트가 아닌 정상사이트에서 발생하였고, 피해자가 보안카드 번호 전부가 아닌 단 2개만 입력한 것이다. 이러한 신종 파밍 사기가 가능한 것은 해커가 메모리 해킹 기법을 사용하고 있기 때문이다. 메모리 해킹 기법이란 과거 게임사이트 등에서 많이 활용되던 해킹 기법으로서, 금융회사 서버에 전송하기 위하여 메모리 주기억장치의 특정 주소에 저장되어 있는 금융데이터를 해커가 악성프로그램을 통하여 위변조하는 기법을 말한다. 해커는 악성프로그램을 이용하여 메모리에 있는 계좌번호나 이체금액까지 위변조할 수 있으므로, 피해자가 자신의 친구에게 300만원 보낸 것으로 인식하고 전자금융거래를 하더라도 실제로는 해커의 통장에 3,000만원이 입금될 수도 있는 것이다. 이번에 보도된 메모리 해킹 기법은 금융거래 발생시 악성프로그램이 이를 감지하여 금융기관이 해킹을 인식하지 못하도록, 금융기관이 제공한 보안모듈이 동작되게 유지한 채로 메모리 수정해킹을 수행하여 악성프로그램이 원하는 행위를 먼저 진행하도록 강제하고 있다. 사실 전자금융거래에서 메모리 해킹 기법이 문제된 것은 이번이 처음은 아니다. 2006년, 2007년 즈음에 이미 메모리 해킹 기법의 전자금융사기 사례가 보도된 적이 있었고, 잠시 이 사기 기법이 사회문제가 되었다가 곧 잠잠해 졌다. 이런 현재의 속수무책적인 연속적인 피해발생도 문제지만 더 큰 문제는 해커가 이러한 형태의 악성프로그램을 개발하고 구하는 게 쉽지 않기에 일부 금융기관에서 전 금융기관으로 모방범죄가 확대될 수 있다는 점이며, 피해 발생 사례가 이미 7~8년 전에 보도되었음에도 불구하고 금융기관은 그 동안 이에 대하여 아무런 대비도 하지 않고 있다는 점이다. 그나마 다행인 점은, 이러한 메모리 해킹 사고에 대하여 해당 금융기관이 전자금융사고 보험으로 보상을 해 주겠다고 발표한 점이다. 다만 그 보상이 피해금의 전부인지 아니면 일부인지는 좀 더 지켜보아야 할 것으로 보인다. 메모리 해킹 기법의 파밍에 대한 이용자의 대책으로는, 첫째, 보안카드 번호 2개를 입력한 이후 확인 버튼을 눌렀음에도 불구하고 비정상적으로 종료하였다면 파밍 사기로 의심하고 바로 은행을 전화를 걸어 지급정지를 시켜야 하며, 둘째, 평상시 공인인증서 비밀번호나 보안카드 번호를 별도의 팝업창에 입력하지 않았음에도 불구하고 별도의 팝업창에 입력하는 방식으로 바뀌었다면 일단 파밍 사기로 의심을 해 보아야 한다는 점이다. 일부 금융기관은 아직도 금융기관단의 보안에만 신경을 쓰면 되고, 이용자단의 보안에 대하여는 자신의 영역이 아니라고 보고 있다. 하지만 전자금융거래 과정에서 이용자단의 보안도 엄연히 금융기관이 책임을 다하여야 하는 영역이며, 이용자단의 보안이 이루어지지 않으면 금융기관단의 보안도 위협받을 수밖에 없다는 점을 인식하여야 할 것이다. 전자금융거래 서비스에서, 금융기관단의 보안뿐만 아니라 이용자단의 보안도 금융기관이 바로 운영 및 책임의 주체가 되어야 할 것이다. * 법무법인 민후 김경환 대표변호사 작성, 디지털데일리(2013. 7. 22.), 리걸인사이트(2016. 2. 25.) 기고.

파밍은 악성코드에 의하여 발생되는 전자금융사기이다. 클릭 한 번으로 이용자 PC에 들어온 악성코드는 금융정보를 조용하게 탈취하여 범인에게 넘겨주고, 범인은 이를 이용하여 이용자 모르게 거액의 돈을 빼내간다. 포털 검색이나 브라우저의 바로가기를 통하여 이용자를 가짜사이트에 유도한 다음, 보안카드 번호 전부를 입력하는 것이 파밍의 전형적인 모습이었다. 인터넷하지만 최근에 나온 파밍, 이른바 메모리 해킹은 가짜사이트가 아닌 정상사이트에서 이용자의 금융정보를 털어가고 있다. 정상적인 은행사이트에서 보안카드 번호 2개를 정상적으로 입력하면 악성코드에 의하여 이용자의 PC는 멈춘다. 이후 범인이 다른 곳에서 이용자 계좌로 다시 로그인하여 접근하면 PC가 멈출 당시의 보안카드 번호 2개가 그대로 반복되므로, 범인은 이 점을 이용하여 쉽게 금융사기를 저지르고 있다. 하지만 이것도 올드한 것이 되고 있다. 정상사이트에서 이용자가 입력한 송금계좌, 송금액을 그 짧은 시간에 범인이 변조하여, 범인이 원하는 계좌에 범인이 원하는 금액을 보내는 수법이 등장하였다. 파밍기법은 이렇게 나날이 진화하고 있는데, 반면 나날이 늘어만 가는 피해자에 대한 구제는 뒤로 후퇴하고 있다. 국회는 최근 올해 11월 23일부터 시행될 예정인 개정 전자금융거래법 제9조를 통과시키면서 명확하게 파밍 사고에 대한 피해에 대하여도 원칙적으로 금융기관이 법적 책임을 부담하도록 의결하였다. 다만 예외적으로 이용자의 고의ㆍ중과실이 있는 경우에는 금융기관이 면책될 수 있다. 개정된 법의 취지에 따르면, 파밍사고에 대하여 금융기관은 이용자의 고의ㆍ중과실이 없는 한, 무조건 법적 책임을 떠안아야 한다. 하지만 최근 정부는 『전자금융거래법 시행령』 제8조 제3호를 신설ㆍ입법예고하여 금융회사의 면책범위를 정하고 있는데, ‘보안강화를 위하여 전자금융거래 시 요구하는 본인확인절차를 이용자가 정당한 이유 없이 거부하여 사고가 발생한 경우’에는 금융회사의 책임을 면할 수 있다고 규정하고 있다. 시행령의 의미를 달리 표현하면, 금융기관이 제공하는 보안 프로그램을 따르지 않았다면 설사 금융사고가 발생하였더라도 금융기관은 법적 책임을 지지 않는다는 것이다. 이 시행령 조문의 적용범위는 광범위하면서 모호하고, 금융기관의 면책범위는 지나치게 넓다. 이 시행령이 그대로 적용되면, 앞으로 파밍사고에 대하여 금융기관이 책임질 일이 없어질 것이다. 법의 취지는 금융기관의 원칙적 책임부담인데, 시행령의 취지는 금융기관의 원칙적 면책이다. 금융선진국의 경우 사고발생 사실을 일정한 기간 안에 통지만 해 주면 소송 없이 이용자가 면책되는데 비하여, 우리나라 이용자는 힘든 소송을 해서 구제를 받아야 하는데, 소송을 해도 보상받을 가능성이 극히 적어지게 된다. 법치국가인데 법률 안에서 시행령을 만들어야 하지 않을까? * 법무법인 민후 김경환 대표변호사 작성, 아시아투데이(2013. 9. 26.), 디지털데일리(2013. 9. 27.), 리걸인사이트(16. 2. 24) 기고.