클라우드 시대의 프라이버시 – 기업과 국가, 개인의 접점
1. 들어가며
인터넷 클라우드 서비스가 활성화되면서 사용자 데이터 보호와 프라이버시, 그리고 이들 문제와 국가 권력과의 관계에 대한 제도적 논의가 새로운 국면에 접어들고 있다. 과거 물리적 시설을 기반으로 제한된 전자적 정보 소통이 이루어지던 시기에 제정된 법률로는 대량의 정보가 국경을 넘나들며 축적되는 오늘날 클라우드 시대의 상황에 제대로 대응하기 힘들기 때문이다.
미국 마이크로소프트가 클라우드 서비스에 저장된 사용자 정보를 요구하는 법무 당국에 대해 소송을 제기하자, 최근 주요 IT 기업과 그 고객사, 언론사 등이 대거 이를 지지하는 의견서를 법원에 제출했다. 클라우드 환경에서 국가 권력으로부터 사용자 정보를 지키고 비즈니스의 신뢰성을 확보하려는 기업과, 갈수록 정교해지는 범죄와 테러 수사에 임해야 하는 수사 당국의 의지가 충돌하는 형국이다.
2. 미 테크 기업들, 마이크로소프트의 법무부 상대 소송 지원
마이크로소프트는 지난 4월 시애틀 연방법원에 미국 법무부를 상대로 소송을 제기했다. 수사 당국이 마이크로소프트의 서버에 저장된 고객 정보를 압수 수색한 후, 명백한 이유 없이 수색 사실을 고객에 알리지 못 하게 하는 것은 위헌이라는 것이 마이크로소프트의 주장이다.
1986년 제정된 ECPA (Electronic Communications Privacy Act)에 따라 수사 기관은 범죄 수사를 위해 용의자의 이메일이나 메시징, 인터넷 사용 내역 등을 조사한 후 인터넷 기업이 고객에게 자신의 계정이 압수수색 당했음을 알리지 못하게 공표금지령 (gag order)를 내릴 수 있다. 용의자가 자신이 조사받고 있음을 알고 증거를 인멸하거나 도주하는 것을 막기 위해서다.
마이크로소프트는 압수수색 사실의 공표를 금지할 수 있는 상황에 대한 규정이 모호하다는 점을 문제 삼았다. 수사 기관이 사실상 자의적으로 압수수색에 대한 영장 집행 사실 통보를 무기한 금지할 수 있다는 것이다. 부당한 압수와 수색을 당하지 않을 권리를 규정한 헌법 4조에 위배되고, 고객에게 필요한 정보를 알리려는 자사의 의지를 방해하기 때문에 헌법 1조 표현의 자유에도 어긋난다는 주장이다.
당시 마이크로소프트는 그때까지 18개월 동안 당사자 공포 금지 조치와 함께 집행된 영장이 2600건에 이르렀고, 이중 3분의 2는 금지 기간이 무기한이었다고 밝혔다.
이 소송에 대한 외부 관계자 의견 제출 마감 시기였던 9월 초에는 재계 주요 기업들이 마이크로소프트를 지지하는 의견서를 냈다. 애플, 구글 지주회사 알파벳, 아마존 등 대형 테크 기업을 비롯해 델타항공, 엘리릴리, BP아메리카 등 테크 기업들의 고객사, 워싱턴포스트와 폭스뉴스 등 언론사, 상공회의소 등 재계 단체들이 동참했다.
3. 클라우드 시대의 프라이버시
논란이 되는 ECPA는 1986년에 제정되었다. 범죄 수사 등의 목적을 위해 실시하는 전화 도청 등을 전자 통신으로 확대하되 사용자의 프라이버시 침해를 최소화한다는 목표로 제정되었다.
당시에는 기업이 주로 자체 서버에 정보를 저장했다. 압수 수색을 할 때에는 경찰이 영장을 받아 문제가 되는 곳의 전산 시스템을 바로 수색했다. 압수 수색이 회사 안에서 이뤄지니 당사자도 자신이 조사 대상이 됨을 바로 알 수 있다. 이메일은 서비스 제공 업체의 서버에 잠시 저장되었다 곧 사용자의 로컬 클라이언트 기기에 전송되었다. 제3자의 서버에 개인의 전자통신 내역이 오래 보관되는 일은 거의 없었고, 수사 당국이 당사자 몰래 그 내역을 들여다보는 일도 드물었다.
하지만 이제는 클라우드 서비스를 쓰지 않는 개인이나 기업을 찾아보기 힘든 상황이다. 개인 사용자의 웹메일 및 클라우드 저장 서비스 사용이 늘어날 뿐 아니라, 기업도 시스템과 서비스 운영 자체를 마이크로소프트나 아마존, 구글 등 대형 IT 기업의 클라우드 서비스에 맡긴다. 제3자의 서버에 사람들의 정보가 오래, 다량으로 저장되는 시대가 온 것이다.
이는 국가가 수사 목적으로 개인의 전자 통신 내역을 들여다보고자 할 때 문제가 된다. 수사 기관은 해당 개인이나 기업의 정보를 보관하고 있는 마이크로소프트나 아마존 같은 회사의 서버만 조사하면 되는 것이다. 그리고 이들 회사로 하여금 고객에게 영장 집행 사실을 알리지 못하게 하면, 당사자는 자신이 수색 당했음을 알 길이 없다.
이 같은 상황은 개인의 통신 정보나 프라이버시가 당사자도 모르게 국가의 손에 넘어가는 결과를 가져올 수 있다. 정부는 30년 전의 상황에 맞춰 제정된 법률에 의거해 손쉽게 필요한 정보를 손에 넣을 수 있게 된 셈이다.
ECPA는 18개월 이상 제3자 서버에 저장된 정보는 사용자가 방기한 정보로 간주해 수사 당국이 비교적 간단한 절차만으로 확보할 수 있었다. 하지만 현재 클라우드 서비스에 저장된 데이터들은 18개월 이상의 시간이 지났다 하더라도 방치된 정보로 간주하기는 힘든 상황이다. 마이크로소프트가 “사용자가 정보를 자기 시설에서 클라우드로 옮긴다 해서 프라이버시 등 자신의 권리를 포기한 것으로 간주할 수는 없다”라고 주장하는 이유다.
테크 기업들은 정부가 클라우드 서비스가 확산되는 상황을 활용해 당사자에 압수수색 사실을 통보하지 않는 비밀 수사 범위를 필요 이상으로 넓히고 있다고 의심의 눈길을 보내고 있다. 물론 수사 당국은 IT 기술을 활용해 점점 효율화되어가고 추적은 어려워지는 현대의 첨단 범죄들을 퇴치하기 위해 이 같은 비밀 수사가 꼭 필요하다는 입장을 견지하고 있다. 미국 법무부는 “수사의 기밀을 유지하는 것은 공중의 이익과 부합한다.”는 입장이다.
IT 기업들이 정부와 소송을 불사하며 고객 프라이버시 보호에 나서는 것은 자신들의 비즈니스와도 연관이 있다. 클라우드는 마이크로소프트, 구글, 아마존 등 글로벌 IT 기업들이 사활을 걸고 있는 미래 유망 사업이다. 특히 윈도 운용체계나 오피스 사업이 기울어가는 마이크로소프트에게 클라우드는 가장 든든한 성장 사업이다.
사용자 몰래 압수수색이 쉽게 이뤄지고 사후 통보의 의무도 약해진다면 클라우드 서비스의 신뢰도는 낮아질 수밖에 없다. 미국 정보기관의 전방위 사찰에 대한 스노든의 폭로 이후 온라인 프라이버시에 대한 관심이 커진 것도 기업들에게 압박 요인이다. 해외 시장 공략을 위해 미국에 비해 엄격한 유럽의 프라이버시 규제 수준에 부응할 필요성도 크다.
고객이 사생활과 프라이버시 침해에 대한 불안으로 클라우드 서비스를 외면하는 일이 없도록 차단하는 일에 마이크로소프트가 앞장서고, 같은 사업을 하는 경쟁사와 이들 서비스를 이용하는 고객들이 적극 지원에 나선 형세다.
4. 나가며
국경과 공간적 제약을 넘는 클라우드 서비스의 급격한 발전은 국가가 범죄 수사 등의 목적을 위해 사용자 정보를 어떻게 활용할 것인가에 대한 새로운 질문을 던지고 있다. 국가와 기업, 사용자의 상호 견제와 토론을 통해 실질적 해법을 찾아 나가야 할 것이다. 국내에서도 글로벌 서비스 사용자가 점차 늘어나는 추세에 따라 국내 정부의 수사 활동과 사용자의 편익을 해외 기업 및 정부와 조율해 나가는 방안에 대한 연구도 필요한 시점이다.
—————————————————————————–
Reuters (2016.9.2) Microsoft gets support in gag order lawsuit from U.S. companies, avaiable: http://www.reuters.com/article/us-usa-microsoft-privacy-idUSKCN1182SY
지디넷 (2016.9.4) MS에 힘 싣는 美 IT업계 “수사사실 공지 허용해라”, avaiable: http://www.zdnet.co.kr/news/news_view.asp?artice_id=20160904162213#csidxe08b106c725c96ca4a8c2573d76f26b
Bloomberg (2016.4.14) Microsoft Sues Justice Department Over Data Gag Orders, avaiable: https://www.bloomberg.com/news/articles/2016-04-14/microsoft-sues-justice-department-over-client-data-gag-orders