e비즈니스

클라우드 서비스 도입에 앞서 해야 할 5가지 법적 질문

IDG코리아

클라우드 기반의 컴퓨팅 서비스 사용에 있어서 우려되는 문제는 바로 클라우드란 것이 내부의 IT 인프라에서부터 서드파티 업체가 관리하는 시스템으로 전자 데이터를 전송한다는 사실이다.

관리 그리고 잠재적으로 통제 측면에서의 이런 변화는 규제 준수 문제를 야기할 수 있다.


철저하게 파고들 의도는 아니지만, 클라우드 기반 프로젝트를 계획하는 동안 발생하는 다음의 5가지 질문은 법적 관점에서 볼 때 분석의 훌륭한 출발점이 된다.   

1. 클라우드 서비스는 디지털 증거 개시 의무에 어떻게 영향을 미치나?

소송 증거수집 의무는 소송 당사자의 관리 또는 통제에 관련된 문서로 확장된다.

그에 따라 클라우드 컴퓨팅 서비스의 소비자는 해당 데이터가 소비자의 관리 하에 있다면 클라우드에 위치하게 되는 데이터를 보존, 검색 및 수집해야 할 것이다.


그러나 그런 데이터가 사용자의 관리 하에 있는지는 어떻게 아는가? 법원은 유사한 상황에서 이 서비스 협약이 서드파티의 관리에 있는 데이터가 작성자의 관리를 받고 있는지의 여부를 결정하는데 있어 출발점임에 주목하고 있다.

그런 이유로 서비스 협약은 주어진 클라우드 서비스의 적절성을 결정할 때 둘도 없이 중요하다.


가장 일반적으로 클라우드 서비스를 사용하는 경우, 사용자는 그 데이터를 관리할 권한을 보유하며 따라서 전자적 증거수집 의무가 영향을 받지 않는다.

그럼에도 클라우드 기반의 서비스 사용은 비용 효과적이고 정확하게 그 증거수집의 의무를 충족할 수 있는 사용자의 능력에 영향을 미칠 수 있다.


예컨대 소비자는 보통 자체적인 네트워크보다는 클라우드 서비스의 작동방식에 대한 지식이 부족하기 때문에, 결과적으로 오류위험도 더 높으면서 증거수집이 상대적으로 느리고 더 비쌀 가능성이 있다.

또 다른 예로써, 대부분의 클라우스 서비스에 내재한 일시적 속성과 연동된 클라우드 하드웨어에 대한 직접적 접근 부족은 아마도 수사정보의 보존 및 수집을 힘들게 만들 수 있다.


어떤 조직이 이미 소송 중이라면 또는 소송이 예상 가능하다면, 소송 관련 ESI(전자적으로 저장된 정보)에 대한 통제의 수준이 떨어지지 않도록 주의해야 한다.

특정 소송이 예정되지 않은 상황에서라도 클라우드 서비스 사용자는 클라우드 서비스 공급업체를 선정하는 과정에서 보존, 탐색 및 수집 전략을 결정해야 한다.

필요하다면 이들 증거수집 작업에 관련된 업체의 협조를 관련된 비용의 확인과 함께 서비스 협약으로 강제할 수 있다.


문서 보관 프로그램을 실시하는 등 증거수집 부담을 덜고자 대책을 강구했던 어떤 조직이라면, 반드시 클라우드 서비스가 그런 노력을 뒷받침할 수 있도록 해야 한다.

더 이상 존재하지 않아야 할 정보가 아직도 클라우드 서비스에서 사용 가능하다면, 조직의 기존 프로그램은 아무런 성과를 얻지 못할 것이다.


2. 소송 상대방이 클라우드에서 데이터를 발견하는 것이 더 쉬울 수 있는가?

조직에서 클라우드 컴퓨팅 서비스를 사용할 때 그 데이터에 접근하는 소스가 추가적으로 생길 수 있다.

경우에 따라 소송 상대방이 클라우드 서비스 업체부터 바로 그 조직의 데이터(또는 로그 파일 같은 그 데이터에 관련된 정보)를 찾고자 할 수 있다.


물론 이런 요청은 클라우드 서비스 사용자에게 유리한 쪽으로 이의 제기가 이뤄질 수 있다. 그러나 클라우드 업체에 대한 소환장이나 직접적 증거수집 요청만이 사용자를 통해 얻을 수 없는 특정 정보를 수집할 유일한 방법일 수 있다.

일례로 사용자의 문서에 관련된 특정한 메타데이터는 서비스 협정의 조건에 의거해 사용자가 아닌 업체의 관리를 받을 수 있다.


클라우드 서비스 업체가 사용자의 데이터에 대한 요청이나 소환장을 수령하는 경우, 소비자는 계약에 따라 업체가 그 사실을 통보토록 강제할 수 있다.

또 업체가 그 데이터에 대한 요청에 직접적으로 저항하거나 그 요청에 저항할 기회를 소비자에게 부여하거나 아니면 적어도 적절한 기밀성 제한으로 넘겨진 데이터를 보호토록 강제하는 것도 좋은 생각일 수 있다.


3. 클라우드에 위치한 정보의 가치를 어떻게 보존하는가?

적절한 기술 및 계약상의 관리 부족으로 데이터가 허용할 수 없는 방식으로 서드파티에 노출되는 결과를 초래한다면, 클라우드에 위치한 일부 데이터, 예를 들어 협상 기밀 등의 정보는 가치가 손상될 수 있다.

따라서 클라우드 업체에 부여된 모든 데이터에 대한 권한은 제한되어야 한다. 업체가 클라우드 서비스를 운영할 수 있을 정도의 접근은 필요하겠지만, 그 수준을 넘어서면 위험성이 증가한다.

타깃 광고처럼 업체 자신의 목적을 위해 업체가 소비자의 데이터에 접근할 수 있는 서비스는 민감한 데이터를 포함하는 애플리케이션에 적절하지 않을 수 있다.


내부 네트워크에서 사용된 동일한 기술적 관리 또한 암호화 및 접근 제한 등이 클라우드에도 적용되어야 한다.

그러나 보안은 일반적으로 해당 네트워크를 대상으로 하는 외부자를 상대로 보호하기만 하면 되는 내부 네트워크에서의 경우보다 클라우드에서 더욱 복잡하다는 점을 명심해야 한다.

클라우드 서비스라면 기타 서비스 사용자 및 서비스 공급업체뿐 아니라 서비스의 외부자로부터 데이터를 보호해야 한다.

 
4. 클라우드 서비스의 사용이 사생활 보호법을 침해하지 않는가?

클라우드 서비스에 데이터를 위치시키기에 앞서 발단이 되는 질문은 바로 그 서비스가 전송될 데이터에 적용되기도 하는 유럽 데이터 보호 강령에서 요구하는 바와 같이, 모든 프로세싱, 보관 또는 전송 제한을 준수하는지의 여부다.

더욱 중요한 사실은 클라우드 서비스의 운영이 데이터가 해당 법규를 채택하는 나라를 통해 유통되는 경우 이제는 프로세싱 제한을 받지 않는 데이터가 곤란에 빠질 수 있다는 것이다.

업체는 자신의 서비스에 관계된 데이터가 어디에서 상주하는지를 확인할 수 있도록 대비해야 하며, 그러면 서비스가 바람직하지 않은 방식으로 데이터를 이동하는 것을 방지할 수 있는 계약상의 제한을 마련해야 한다.


5. 서비스 선택 후 심층적인 위험 관리를 위한 대책은 무엇인가?

아직 소송 준비 프로그램을 제대로 마련하지 않았다면, 클라우드 프로젝트를 시작하는 것은 이 프로그램을 시작하는데 적절한 이유가 될 수 있다.

클라우드에 위치된 데이터는 한창 소송 중일 때 리포지터리의 검열을 방지하고 보다 효과적이고 경제적인 수집 노력을 보장하는데 도움을 주는 프로세스를 제공하기 위한 데이터 맵처럼 ESI 인벤토리에 포함되어야 한다.


예컨대 클라우드 리포지터리의 존재와 그 내용을 확인하는 것 외에 데이터 맵은 또한 그 서비스에 위치된 데이터를 수집 및 보존하는 방법에 관한 세부내용을 담고 있어야 한다.

서비스를 선택하기 전 이미 이를 해결했다면, 이 단계는 쉬울 것이다. 데이터 맵은 또한 앞서 언급한 것처럼 소송 관련 의무를 결정하는데 중점적인 서비스 협약을 사본을 포함하고 있어야 한다.


수집과정에서 예기치 않게 뭔가 일이 잘못된다면, 소비자는 그런 노력이 갖는 합리성에 대한 증거로써 데이터 맵을 사용할 수 있고, 아마 그것이 가장 심한 수집제재를 막을 수 있을 것이다.

일반적으로 데이터의 저장 및 처리 방법과 장소에 관련해 사용자 관리 기능이 단순한 보급형 서비스부터 사용자에게 많은 관리 권한을 부여하는 고급 서비스에 이르기까지 클라우드 기반 서비스의 종류는 다양하고 많다.

한 조직의 위험을 관리하는 최고의 방법은 어떤 정보는 클라우드에 전혀 포함되지 않는다는 경고와 함께, 확인된 준수위험을 감안해 그 의도된 적용에 적절한 클라우드 서비스를 선택하는 것이다.


*Nolan Goldberg는 국제 로펌 프로스카우어 로즈의 특허그룹에서 시니어 어소시에이츠로 있으며, 소송부서의 전자 증거개시 태스크포스의 일원이기도 하다.  eidtor@idg.co.kr


<출처 : IDG코리아>

IDG코리아
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널