[기획/클라우드 강국 ③] 클라우드 활성화 위해 필요한 법 개정은?

[디지털데일리 백지영‧이유지기자] 최근 세계 최대 퍼블릭 클라우드 서비스인 ‘아마존 EC2’가 장애를 일으키면서 트위터와 포스퀘어, 넷플릭스 등 이를 이용하는 다수의 서비스가 중단되는 사태가 발생했다.
 
클라우드 컴퓨팅은 IT자원을 직접 보유하지 않고 외부 업체의 자원을 이용하는 것인 만큼, 클라우드 서비스 제공업체의 데이터센터에 장애가 발생하면 이를 이용하는 기업들은 속수무책일 수 밖에 없다.
 
실제로 이번 장애로 서비스가 중단된 다수의 업체들은 이틀이 넘도록 아마존이 문제를 해결하기를 기다릴 수밖에 없었다.
 
아마존은 관련 서비스에 대한 보안 및 SLA(서비스수준협약) 등을 제시하고 있지만, 서비스 장애라던가 고객 정보 노출, 데이터 손실 등에 대한 보상 및 책임에 대한 법적 내용은 충분히 명시하고 있지 않다.

이처럼 개인이나 기업의 데이터를 보관‧관리하는 클라우드 서비스 사업자의 법적 책임과 권한에 대한 명확한 규정이 없는 현재의 상황에서 이를 이용하는 사용자들은 항상 서비스 중단에 대한 우려를 안고 있을 수밖에 없다.

이러한 사용자들의 우려는 실제 클라우드 서비스로 전환하는데 큰 장애물이 되고 있다. 특히 금융권 등 불과 1~2시간의 서비스 중단만으로도 엄청난 피해를 입을 수 있기 때문이다.

이 때문에 클라우드 서비스에 대한 사용자들의 거부감을 줄이고 시장을 활성화하기 위해서는 서비스 사업자에게 서비스의 안정성과 보안, 이용자 권익보호 등과 관련한 법적 책임을 명확히 부여할 필요성이 제기되고 있다.

더욱이 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 등 현행법에서 사업자들이 클라우드 컴퓨팅 서비스 자체를 제공하기 어렵게 만드는 규정도 곳곳에 존재해, 현재의 법·제도 체계는 제대로 된 클라우드 서비스를 보장하지 못하고 있다는 것이 전문가들의 지적이다. 

이에 따라 국내에서도 클라우드 서비스 장애 요소를 걷어내고 이용을 활성화할 수 있도록 법·제도 개선과 정비가 필요하다는 의견이 제기되고 있다. 그러나 별도로 특별법을 만드는 것이 필요한지, 기존 법을 클라우드 서비스 환경에 맞게 개정하는 것이 올바른 방향인지에 대해선 아직까지 의견이 분분하다.

범정부 차원에서도 본격적인 클라우드 서비스 활성화에 앞서 정보관리와 장애발생시 법적 분쟁에 대비해 관련 법·제도 정비를 서두르고 있는 것으로 알려져 있다.

◆클라우드 활성화 막는 과도한 규제 제거해야=해외 보다 뒤쳐져 있는 클라우드 서비스가 국내에서 보다 활성화되려면 무엇보다 현행 법규제에서 나타나는 걸림돌이나 충돌요소를 제거할 수 있는 접근이 필요하다고 지적된다.

업계에서는 클라우드 컴퓨팅 서비스 장애 요소에 대한 규제를 완화하고 관련 사업의 원활한 수행을 위한 행정·재정적 지원은 물론, 서비스 중단 등에 대한 책임·배상책임 보험 등을 규정해 이용자를 보호할 수 있는 별도의 장치를 마련해야 한다는 주장이다.

현재 클라우드 컴퓨팅 및 서비스에 적용되는 법률만 해도 정보통신망법, 전기통신사업법, 신용정보의 이용 및 보호에 관한 법률(신용정보보호법) 등 무려 30여개나 된다는 점도 문제다. 서로 다른 법률의 규제를 받다보면 당연히 충돌도 발생한다.

가장 대표적으로 적용될 수 있는 정보통신망법의 경우엔 클라우드 컴퓨팅 서비스 제공자에게 과도한 규제 사항이 포함돼 있고 클라우드 컴퓨팅의 특성을 고려한 규정도 미흡하다는 것이 전문가들의 의견이다.

정보통신망법 적용 대상이 주로 회선사업자, 데이터센터(IDC) 운영업체, 전자상거래업체 등이어서 클라우드 IT서비스를 제공하는 다양한 주체들을 포괄하기도 어렵다고 분석된다.

아울러 데이터 국외 이전시 이용자 동의를 의무화한 규정 역시 클라우드 사업 추진에 있어 대표적인 장애물로 작용할 것이란 지적이 나오고 있다.

현재 정보통신망법 제63조에서는 개인정보를 국외 이전할 경우, 이용자의 동의를 받도록 하고 있다. 서비스를 시작할 초창기에는 약관 등에 의해 동의받는 것이 가능하지만 서비스 제공업체가 추후에 데이터센터 비용이 저렴한 다른 국가로 서버나 데이터를 이전할 경우 사실상 동의를 받는 것은 어렵다.

따라서 데이터가 국외로 이전할 경우, 이용자의 동의 없이도 가능하도록 규제를 완화할 필요가 있다는 지적이다.

실제 클라우드 서비스의 가장 큰 특징은 정보 자원을 공동으로 활용하는데 있기 때문에, 단순히 국내 자원을 활용하는 것뿐만 아니라 해외 데이터센터를 통한 자원 활용을 전제로 하고 있다.

◆세제지원혜택 강화…서비스 사업자 진입 장벽 낮춰야=클라우드 서비스에 대한 사업자의 활발한 진입을 위해선 세제지원 및 조세공제 혜택을 줘야 한다는 의견도 제기되고 있다.
 
현재 클라우드 서비스는 ‘조세특례제한법’ 제24조제1항제6호부터 8호까지의 시설 규정에 포함될 수 있다.

다만 조세특례제한법상 클라우드 컴퓨팅 서비스의 적용 여부가 명확하지 않기 때문에, 동일한 법안 내용에서 클라우드 서비스 사업자들도 세제 지원을 받도록 규정할 필요가 있다는 설명이다.
 
한 업계 관계자는 “무엇보다 자본과 기술이 함께 유통될 수 있는 시장이 마련돼야 한다”며 “실제 클라우드 서비스 업체들을 지원할 수 있는 창업지원제도 등을 마련해 관련 산업을 촉진시키는 것이 필요하다”고 말했다.

그는 “미국이나 유럽 등 개별 경제권과는 달리 한국은 시장이 작기 때문에 정부가 초기에 투자를 해줘야 하는 부분이 있다”며 “기술개발과 투자활성화, 융자제도 등 종합적인 부분에서 정부가 어느 정도 산업 기반을 마련할 필요가 있다”고 덧붙였다.

특히 금융이나 의료 기관의 경우는 관련 법상 허가 등을 위한 요건으로 전산설비 구비를 의무화하고 있는데, 이는 이들 기관이 클라우드 서비스를 이용하는 것을 막는 요인이 될 수 있다.

금융 관련법의 경우 보험업이나 금융투자업, 신용카드업 등의 사업을 영위하기 위해서는 허가 요건으로 자체 전산시설의 보유를 의무화하고 있기 때문이다.
 
의료기관의 경우도 진료기록부 등을 전자문서로 저장, 보관할 경우 안전한 관리 및 저장을 위한 시설과 장비를 갖추도록 하고 있다.
 
◆“만약 내가 이용하는 클라우드 서비스에 장애가 발생한다면…”책임은 누가?=클라우드 서비스의 신뢰성을 확보하기 위한 인증제도나 안전기준, 사업자 간 호환성 보장을 견인할 장치를 제도적으로 마련해야 할 필요성도 제기된다.

클라우드 서비스는 다른 사업자로 기존 데이터를 전환하는 것이 쉽지 않아 사실상 한 업체에 종속될 우려가 있기 때문에 이를 위한 호환성과 보안유지, 서비스 이전 비용에 대한 명확한 규정이 필요하다는 것이 전문가들의 중론이다.

또한 만약 클라우드 서비스 제공업체가 파산했거나 시스템 장애에 따른 서비스 중단, 침해사고 발생으로 정보가 손상됐을 때에는 이에 대한 책임도 명확히 해야 한다.

예를 들어 B2B2C(기업-기업-사용자) 형태의 클라우드 서비스일 경우, 중간에 이를 중계해주던 기업이 망했을 때 데이터에 대한 통제권은 누가 행사할 것인가에 대한 부분도 향후 문제가 될 가능성이 있다.

클라우드 서비스 이용자가 데이터 통제권을 보장받을 수 있도록 하기 위해서는 데이터 파괴 혹은 이를 되돌려 받을 수 있는 체계가 반드시 형성돼야 한다는 것이 업계 관계자들의 설명이다. 즉, 파산관재인이 이용자에게 뜻하지 않는 피해를 받지 않도록 해주는 장치가 마련돼야 한다는 주장이다.

이밖에도 클라우드 서비스 제공업체가 어느 범위까지 서비스 가용성을 보증할 것인지에 대한 서비스수준협약(SLA)도 반드시 필요하다.

명확한 서비스 품질 기준을 만드는 것은 물론, 서비스 제공자가 미처 발견하지 못한 결함에 관해서는 책임분배원칙을 만들어 양자가 일정부분 책임지게끔 하는 조항도 만들 필요가 있다는 지적이다.

한 업계 관계자는 “새로운 기술로 인한 일부 장애는 이용자가 수용할 수 밖는 것이 현실”이라며 “추후 이에 대한 보험이 개발되는 등 보상체계가 만들어질 것으로 보고 있다”고 말했다.

이밖에도 클라우드 서비스 환경과 특성에 맞는 독자적인 안전기준이나 정보보호관리체계 인증제 등도 신뢰성 확보를 위한 대안으로 제시되고 있다.  

이같은 업계의 의견에 대해 한국인터넷진흥원(KISA) 경영기획실 이창범 단장은 “전세계적으로 IT인프라·서비스가 클라우드로 전환되고 있는 가운데 우리나라도 서비스가 활성화될 수 있는 기반을 갖출 수 있도록 기술, 제도적 측면을 모두 고려한 법체계가 마련돼야 한다”며 “이용자 보호와 정보보호에 중점을 두면서도 서비스 제공자의 부담을 줄여줄 수 있는 체계가 마련돼야 할 것”이라고 강조했다.

<백지영 기자>jyp@ddaily.co.kr
<이유지 기자>yjlee@ddaily.co.kr