국문요약 13
제1부 클라우드 컴퓨팅 환경과 사이버범죄(이성식) 25
제1장 클라우드 컴퓨팅의 개요 27
제1절 클라우드 컴퓨팅의 등장 및 정의 29
1. 클라우드 컴퓨팅의 등장 29
2. 클라우드 컴퓨팅의 정의 31
제2절 클라우드 컴퓨팅의 유형 및 특징 34
1. 클라우드 컴퓨팅의 유형 34
가. 서비스 내용에 따른 분류 34
나. 서비스 범위 및 대상에 따른 분류 36
2. 클라우드 컴퓨팅의 특징 38
제3절 클라우드 컴퓨팅의 장점과 위협 41
1. 클라우드 컴퓨팅의 장점 41
2. 클라우드 컴퓨팅 시대의 위협 43
제2장 클라우드 컴퓨팅 상의 사이버범죄 47
제1절 클라우드 컴퓨팅 상의 사이버범죄의 정의와 유형 49
1. 클라우드 컴퓨팅 상의 사이버범죄의 정의 49
2. 클라우드 컴퓨팅 상의 사이버범죄의 유형 50
가. 행위주체별 분류 50
나. 피해자별 분류 51
다. 서비스유형별 분류 52
라. 범죄내용별 분류 52
마. 주요현상별 분류 53
제2절 클라우드 컴퓨팅 상의 사이버범죄의 특성 54
제3장 클라우드 컴퓨팅 상의 사이버범죄 주요 현상 59
제1절 해킹 및 보안침해 61
1. 클라우드 컴퓨팅 상의 해킹 및 보안침해의 정의 및 사례 61
2. 클라우드 컴퓨팅 서비스 상의 해킹 및 보안침해 특징 63
제2절 개인정보침해 70
1. 클라우드 컴퓨팅 상의 개인정보침해의 정의 및 사례 70
2. 클라우드 컴퓨팅 상의 개인정보침해 특징 72
제3절 저작권침해 81
1. 클라우드 컴퓨팅 상의 저작권침해의 정의 및 사례 81
2. 클라우드 컴퓨팅 상의 저작권침해 특징 82
제4절 불법정보 85
1. 클라우드 컴퓨팅 상의 불법정보의 정의 및 사례 85
2. 클라우드 컴퓨팅 상의 불법정보 특징 86
제4장 클라우드 컴퓨팅 상의 사이버범죄 89
제1절 조사개요 91
제2절 클라우드 컴퓨팅 이용실태 94
1. 인터넷 사용현황 94
가. 사용목적 94
나. 사용시간 95
다. 주 사용기기 96
2. 클라우드 컴퓨팅에 대한 지식 및 인지 97
3. 클라우드 컴퓨팅 이용현황 98
4. 클라우드 컴퓨팅 이용목적 100
5. 클라우드 컴퓨팅 이용평가 101
가. 이용만족도 101
나. 서비스제공자에 대한 신뢰도 102
다. 향후 이용의도 102
제3절 클라우드 컴퓨팅 상의 사이버범죄 실태 103
1. 클라우드 컴퓨팅 상의 사이버범죄 가해 및 피해경험 103
가. 클라우드 컴퓨팅 상의 사이버범죄 가해경험 103
나. 클라우드 컴퓨팅 상의 사이버범죄 피해경험 104
2. 클라우드 컴퓨팅 상의 사이버범죄 특징 인지 105
가. 전체 105
나. 클라우드 컴퓨팅 서비스 상의 주요 현상별 특징 인지 109
1) 보안/해킹 109
2) 개인정보침해 112
3) 저작권침해 114
4) 불법정보 117
3. 클라우드 컴퓨팅 서비스 상의 사이버범죄 위협 인지 119
4. 클라우드 컴퓨팅 서비스 상의 사이버범죄 책임 인지 123
5. 클라우드 컴퓨팅 서비스 상의 사이버범죄 대책 인지 124
제2부 클라우드 컴퓨팅 환경에서의 사이버범죄 대응방안(이원상) 127
제1장 서론 129
제2장 클라우드 컴퓨팅 환경에서의 개인정보침해 방지방안 133
제1절 개인의 정보관련 기본개념 135
1. 개인정보의 정의 135
2. 일반정보 139
3. 개인의 비밀정보 140
4. 개인의 지식정보 141
5. 개인정보보호법률 142
제2절 클라우드 컴퓨팅 환경에서의 개인의 정보침해 위험 143
1. 기업의 개인정보수집 143
2. 클라우드 컴퓨팅 환경에서 개인정보침해 사례들 144
3. 개인정보침해에 대한 비교법적 검토 146
가. EU 및 APEC 146
나. 미국 148
1) 미국 애국법(Patriot Act) 149
2) 전자통신 프라이버시법(ECPA) 151
3) 정보보안관리법(FISMA) 152
4) 금융정보보호법(GLBA) 153
5) 의료정보보호법(HIPAA) 154
6) 의료정보기술법(HITECH) 155
7) 사이버 정보공유 및 보호법안(CISPA) 156
다. 캐나다의 개인정보보호 및 전자문서에 관한 법률(PIPEDA) 158
라. 호주 사생활법 159
제3절 클라우드 컴퓨팅에서의 개인정보침해 대응방안 160
1. 클라우드 컴퓨팅에서의 개인정보보호 관리체계 설정 160
2. 개인정보 관련 법령정비 163
3. 개인정보수집 제한장치마련 170
4. 개인의 대응력 향상 173
가. 개인정보유출고지 173
1) 개인정보유출고지 관련 현황 173
2) 대응방안 175
나. 잊혀질 권리의 실현 178
5. 개인정보침해와 국가안보의 균형 180
6. 실질적인 개인정보영향평가 수행 182
제4절 결론 183
제3장 수사절차의 대응방안 187
제1절 클라우드 컴퓨팅 환경에서의 압수·수색 대응방안 189
1. 서론 189
2. 디지털 증거 압수·수색 논의의 발전 191
가. 디지털 증거 압수·수색에 대한 개관 191
나. 디지털 증거의 압수·수색 대상여부 193
1) 외국의 사례 193
2) 우리나라의 논의 상황 195
다. 디지털 증거의 압수·수색 범위 196
라. 디지털 증거의 압수·수색 방법 199
3. 클라우드 컴퓨팅 환경에서의 디지털 증거 압수·수색 200
가. 압수·수색의 새로운 도전과제 200
나. 사법부와 수사기관의 인식의 지평 동조화 201
다. 형사소송법 규정의 재검토 202
라. 정보제출명령(subpoena) 및 제3자 협력의무 206
마. 온라인 수색의 도입방안 209
4. 소결 210
제2절 클라우드 컴퓨팅 환경에서의 디지털 포렌식 211
1. 서론 211
2. 관련 개념 정리 212
가. 디지털 포렌식의 개념 212
나. 프로파일링의 개념 213
다. 사이버범죄 프로파일링 214
3. 클라우드 컴퓨팅 환경에서의 디지털 포렌식 216
가. 기존의 디지털 포렌식 216
1) 수집 단계 216
2) 분석의뢰 단계 217
3) 운송 단계 217
4) 분석 단계 218
5) 보고서 작성 단계 219
6) 결과보고서 통보 및 증거물 반환 219
7) 증거물의 보관 220
나. 클라우드 컴퓨팅 환경에서의 디지털 포렌식 절차 제안 220
1) 디지털 포렌식에서 중요한 네가지 요건(quadrants) 220
2) 디지털 포렌식 수사관의 과제 222
3) 클라우드 컴퓨팅 환경 특징에 따른 디지털 포렌식 방안 224
4) 프로파일링을 적용한 분류 모델을 통한 대응방안 227
다. 소결 234
제3절 결론 235
제4장 결론 및 요약 237
참고문헌 251
Abstract 257
부록 261
본 연구의 목적은 클라우드 컴퓨팅 환경이 우리사회에서 어떤 영향을 미치고 있으며, 새로운 환경 속에서 어떤 유형의 범죄가 발생할 개연성이 큰 지를 살펴보고, 이에 대한 대응책을 모색해 보는 것에 있다. 이에 제1부에서는 클라우드 컴퓨팅에 대한 일반적인 내용들과 대학생들을 대상으로 클라우드 컴퓨팅 사용실태를 살펴보았다. 그리고 제2부에서는 이를 바탕으로 해서 개인정보침해를 클라우드 컴퓨팅 환경에서 큰 위협요소로 판단하여 클라우드 컴퓨팅 환경에서의 개인정보침해를 방지하기 위한 방안들을 모색하였고, 제3장에서는 클라우드 컴퓨팅 환경으로 인해 생겨날 수 있는 수사절차에서의 문제점들을 해결하기 위한 대책들을 고려해 보았다. 이를 통해 나타난 결론들을 요약해 보면 다음과 같다.
제1부 클라우드 컴퓨팅 환경에서의 사이버범죄
- 클라우드 컴퓨팅 환경에 대한 이해
세계 IT산업은 기존의 하드웨어에 기반한 컴퓨팅 환경에서 점차 소프트웨어 중심의 클라우드 컴퓨팅 환경으로 변화하고 있다. IT 산업은 1차 IT혁명으로 불리는 기존의 메인프레임 시대로부터 PC 분산처리 시대로의 변화를 거쳐 클라우드 컴퓨팅 시대로 변화하는 2차 IT혁명을 통해 국내외적으로 클라우드 컴퓨팅 환경을 급속도로 만들어나가고 있다. 하지만 아직까지도 클라우드 컴퓨팅을 제대로 이해하는 것은 쉽지 않은 실정이다. 따라서 클라우드 컴퓨팅의 정의는 각 기관이나 학자마다 다르며, 새로운 컨셉이 자주 등장하여 기존의 정의가 새로운 정의로 대체되기도 한다. 다만, 공통된 점을 추려 정의한다면 ‘네트워크 환경에서 이용자의 요구에 따라 실시간으로 소프트웨어, 플랫폼, 인프라 등 IT 자원이 필요한 만큼 공급되고 그에 따른 비용을 지불하는 서비스’라고 정의할 수 있다.
클라우드 컴퓨팅의 유형은 그 기준에 따라서 다양하게 나누어 질 수 있다. 이 가운데 서비스 내용에 따라 소프트웨어를 제공하는 SaaS(Software as a service), 표준화된 플랫폼을 제공하는 PaaS(Plaform as a service), 컴퓨팅 인프라를 제공하는 서비스인 IaaS(Infrastructure as a service)로 분류하는 방법이 가장 보편적이다. 이외에도 서비스 범위 및 대상에 따라 일반 이용자를 대상으로 하는 퍼블릭 클라우드, 조직 구성원이나 협력사만 이용할 수 있도록 하는 프라이빗 클라우드, 비슷한 속성의 조직과 기관들이 모여 사용하는 커뮤니티 클라우드, 퍼블릭 클라우드와 프라이빗 클라우드를 혼재하여 사용하는 하이브리드 클라우드 등의 네 가지로 구분하는 방법도 있다.
개인용 컴퓨터 환경과 인터넷 환경을 클라우드 컴퓨팅 환경과 비교할 때, 클라우드 컴퓨팅 환경이 가지는 몇 가지 특징이 있다. 개인용 컴퓨터 환경에서는 컴퓨터와 응용소프트웨어에 대한 구매 및 폐기 권한이 이용자에 있었던 반면, 클라우드 컴퓨팅 환경에서는 소프트웨어, 하드웨어, 인프라까지 모두 서비스 사업자에게 제공받아 임대하여 사용하게 된다. 또한 제공받는 서비스의 종류가 오프라인에서 응용 인터넷 서비스와 IT 융합 서비스로 변화하였고, 또한 클라우드 환경에서는 가상화, 분산컴퓨팅, 다중소유, 멀티디바이스로 대표되는 핵심 기술들을 사용한다.
무엇보다 클라우드 컴퓨팅을 사용하게 되면 인터넷이 연결된 상태에서 단말기만으로 이용이 가능해져, 개발자는 어플리케이션 개발 및 유지비용이 줄어들고, 소비자는 간편하게 소프트웨어를 이용할 수 있게 된다. 그리고 하드웨어 및 소프트웨어에 투자되는 비용과 전력 사용량이 줄어들고, IT자원의 효율적인 활용도 가능해진다. 이외에도 클라우드 컴퓨팅은 다양한 디바이스를 이용하기 때문에, 이동성이 향상되고, 클라우드 서비스를 통해 보안이 안정되고 신뢰도가 증가한다는 장점이 있다.
하지만 클라우드 컴퓨팅을 이용함에 있어 전문기업에 아웃소싱하는 경우 아웃소싱한 업체에 이상이 생겨 자사의 서비스가 중단되거나, 데이터가 손실될 가능성이 있다. 이러한 사고가 발생했을 경우에, 서비스업체의 일반적인 약관에 따라 보상이 이루어지는 등 클라우드 서비스에 합당한 표준화된 SLA(Service Level Agreement)가 없어 실질적인 보상이 제대로 이루어지지 못하는 문제가 발생할 수 있다. 그리고 클라우드 컴퓨팅은 인터넷을 기반으로 하기 때문에 외부에 노출이 쉽게 되어 범죄의 위험성이 높다. 또한 방대한 데이터가 클라우드에 저장되는 특성 때문에, 이용자가 서비스를 변경하거나 탈퇴하는데 큰 어려움이 발생할 수 있다는 점 역시 클라우드 이용에 있어 위험요소가 될 수 있다.
- 클라우드 컴퓨팅 환경에서의 사이버범죄
클라우드 컴퓨팅이라는 새로운 패러다임이 등장함에 따라 다양한 디바이스를 통해 발생하는 모든 범죄가 사이버범죄로 정의될 수 있기 때문에 사이버범죄의 개념이 재정의 될 필요가 있다. 이러한 점을 고려하여 클라우드 컴퓨팅 상의 사이버범죄는 ‘클라우드 컴퓨팅 데이터센터에 접근 가능한 모든 기기에서 이루어지는 범죄행위’로 정의될 수 있고, 행위 주체, 피해자, 서비스 유형, 범죄 내용, 주요 현상에 따라 범죄유형을 분류할 수 있다.
클라우드 컴퓨팅 시대의 사이버범죄는 새로운 특성이 추가되기도, 기존의 특성이 강화되기도 하며 그 양상이 달라진다. 또한 클라우드 상에서는 의사소통에서의 표현이 더 직설적이고 노골적일 수 있으며, 시공간 제약이 없어짐에 따라 사이버범죄가 언제 어디서나 일어날 수 있다. 특히 클라우드 컴퓨팅에서 핵심기술로 사용되는 가상화, 분산컴퓨팅 기술은 범죄자의 전문기술적인 능력을 요구하고, 이러한 특성에 따라 범죄 피해 규모가 대형화될 수 있다. 이외에도 휴대이동성, 암수성 및 범죄피해 비인지성, 책임의 불분명성, 다중소유기술의 취약점을 이용한 해킹, 아웃소싱으로 인한 자기 정보에 대한 권한 축소 등의 특징을 가지며, 부적절한 모니터링으로 인해 각 이용자 개인이 타깃이 되는 범죄가 발생할 수 있다는 특징이 있다.
클라우드 컴퓨팅 상의 사이버범죄 주요 현상에는 해킹 및 보안침해, 개인정보 침해, 저작권 침해, 불법정보 등이 있다. 이 중에서도 해킹 및 보안침해는 클라우드 컴퓨팅 상 사이버범죄의 주요 현상 중 하나이다. 컴퓨팅의 핵심 보안 요소를 종합하여 클라우드 컴퓨팅 상의 해킹 및 보안침해의 특징을 도출할 수 있다. 클라우드 서비스의 가상화 기술은 해킹이나 악성코드에 노출 시 다른 이용자에게 쉽게 확산되어 피해의 대형화를 유발하고, 대규모 분산처리 기술은 시스템 버그 및 보안 적용의 어려움을 발생시킨다. 또한 수많은 고객의 정보가 가상화된 서버에 저장, 관리되는 구조 때문에 정보들이 혼재하여 서비스 장애가 일어날 수 있다. 이외에도 정보 유출 위협, IaaS를 이용한 공격 가능성 등이 있을 수 있고, 기존 컴퓨팅 환경과 완전히 다른 기술이 사용된다는 점, 아웃소싱으로 인해 책임의 소재가 불분명할 수 있다는 등의 특징이 있다.
개인정보란 개인을 식별할 수 있는 기록된 정보 중 주로 체계적으로 관리되고 이용되는 정보를 말하고, 프라이버시는 ‘개인 사생활이나 사적인 일, 또는 그것을 남에게 간섭받지 않을 권리’를 나타낸다. 즉 개인정보 침해는 프라이버시 침해를 말하는 것이라 할 수 있다. 이러한 개인정보의 침해는 개인이 자기정보에 대한 통제권을 상실한다는 특징을 가지며, 클라우드에 저장된 개인정보의 분석을 통해 개인이 지배 또는 통제될 가능성이 크다. 또한 개인정보가 불법적으로 거래 및 유통되거나, 데이터 접근 권한이 있는 내부자가 정보를 유출해 개인정보를 침해할 위험성이 있다. 개인정보가 유출될 경우 상업적 이용에 관한 침해로 이어지고, 개인에게 정확히 조응하는 광고가 유통될 수 있다. 또한 클라우드에 저장된 개인정보가 파기되었는지 자신이 확인하기 어렵기 때문에, 파기되지 않은 개인정보가 오용 될 수 있다. 마지막으로 클라우드 컴퓨팅에 대한 사법권의 부재로 인해 각 국가의 법이 충돌할 가능성이 있다.
저작권은 저작물을 창작한 저작권자가 자신의 저작물을 배타적이고 독점적으로 이용할 권리이며, 이러한 저작권에 대한 침해는 권리자의 경제적 이익을 포함하여 저작자의 인격적 이익을 침해하는 행위를 말한다. 저작권 침해의 특징으로는 먼저 저작권 데이터에 대한 접촉이 용이해 다양한 기기에서 자유롭게 저작자료를 이용할 수 있다는 점, 이동성 향상에 따라 침해장소에 대한 제한이 없다는 점, 저장 시스템이 변화함에 따라 여러 저작권자료들이 일시에 침해당할 수 있는 위협을 가지고 있다는 점 등이 있다. 특히 클라우드 컴퓨팅의 공유기술에 의해 적발이 어렵고 대량 확산의 위험을 가지며, 서비스 제공자의 저작권 침해가 발생 가능하며, 저작권을 침해한 데이터에 대한 책임이 서버 제공자에게 있는 것으로 착각해 양심의 가책을 덜 느끼게 될 수 있다는 점 또한 클라우드 컴퓨팅 상 저작권 침해의 특징이다.
인터넷 불법정보란 정보의 내용이 법에 위반되는 불법적인 것으로서 개인과 국가의 법을 침해하는 유통에 적합하지 않은 정보를 말한다. 클라우드 상의 불법정보는 개인정보 분석을 통해 타깃화 된 불법정보라는 특징을 가진다. 따라서 범죄자들은 클라우드 서버 안에 저장된 정보들을 분석하여 개인에 맞는 불법정보를 보내는 등 기존보다 더 민감한 개인정보들을 쉽게 손에 넣을 수 있게 된다. 무엇보다 클라우드의 공유기술과 멀티디바이스는 불법정보의 확산을 용이하게 하고, 서버를 임대하는 기업이 전 세계에 분포하기 때문에 사법회피적 성격을 띤다. 이러한 서버에 저장되어있는 불법정보가 완전히 삭제되었는지 감지하기 어렵다는 점은 불법정보 재사용의 위협으로 이어진다. 또한 서버를 임대하여 사용한다는 특성은 불법정보의 책임이 관리자와 불법정보유통자 중 누구에게 있는지 알기 어렵게 한다.
- 클라우드 컴퓨팅 환경에 대한 인식조사내용
클라우드 컴퓨팅 환경에서의 사이버범죄에 대해 좀 더 경험적인 이해를 위해 클라우드 컴퓨팅 환경에 익숙한 대학생들을 대상으로 설문조사를 시행하였다. 우선 조사대상자의 특성을 조사하였는데, 주요 인터넷 사용목적은 여가(TV/영화/음악)이라고 응답하였고, 하루 인터넷 사용시간은 1시간~2시간이 가장 많았으며, 대부분 노트북, 데스크탑, 스마트폰으로 인터넷을 이용하는 것으로 나타났다.
클라우드 컴퓨팅에 대한 인지 및 지식에 관한 응답에서는 클라우드 컴퓨팅에 대해 알고 있다고 한 응답자 대부분이 개념을 정확히 알고 있었지만, 개념을 모르는 응답자가 과반을 넘는 것으로 나타났다. 클라우드 컴퓨팅 이용현황에 관한 응답에서는 아직 클라우드 컴퓨팅 서비스가 대중화되지 않은 것으로 나타났고, 사용해 본 적이 있는 응답자는 IaaS의 저장도구를 가장 많이 사용하는 것으로 나타났다.
클라우드를 이용하는 목적에 관해서는 대다수가 자료 및 정보 저장목적으로 클라우드 컴퓨팅을 이용했다고 응답하였고, 저장하는 자료의 종류는 문서종류가 가장 많았다. 이용평가에 있어서는 전반적으로 서비스에 만족한다고 응답하였고, 서비스제공자에 대한 신뢰도에 있어서는 모르겠다는 응답이 가장 많았고 뒤이어 신뢰하지 않는다는 응답이 많았다. 향후 클라우드 이용의도에 관해서는 모르겠다는 응답이 가장 많았고, 다음으로 이용하겠다는 응답이 많았다.
클라우드 컴퓨팅 상의 사이버범죄 가해 및 피해경험에 대한 설문에서 가해 경험이 있다고 응답한 사람의 수는 적었고, 이 중 대부분은 저작권침해 가해경험이 있다고 응답하였다. 피해경험에 대하여는, 개인정보침해 피해경험이 가장 많았다. 클라우드 컴퓨팅 상 사이버범죄의 특징을 인지하고 있는지에 대한 질문에는 대다수의 응답자가 그 특징을 인식하고 있으며, 그 중에서도 정보유출의 위험을 가장 많이 인지하였다.
클라우드 컴퓨팅 서비스 상 주요 현상별 특징을 인지하고 있는지에 대한 설문도 진행하였다. 보안/해킹에 관한 질문에는 응답자 대부분이 클라우드 컴퓨팅의 특징들이 보안/해킹에 취약하여 그 위협이 더 증가하였다고 인식하고 있는 것으로 나타났다. 저작권침해에 관해서는 대체적으로 저작권침해의 위협이 더 높아졌다는 응답이 많았고, 침해기회의 증대, 일시적인 침해에 대한 우려가 가장 높았다. 불법정보에 대해서는 클라우드 컴퓨팅 상 사이버범죄의 특성으로 인해 불법정보의 유통에 대한 위협이 더 크다고 인지하고 있으며, 그 중에서도 불법정보 확산에 대한 우려가 높은 것으로 나타났다.
클라우드 컴퓨팅 상 사이버범죄 위협에 대해서는 응답자들 대부분이 기존 인터넷상의 사이버범죄보다 클라우드 컴퓨팅 상에서의 사이버범죄를 더 우려하고 있으며, 저작권침해와 개인정보침해를 가장 우려하는 것으로 나타났다. 책임 인지에 대하여는, 응답자들은 해킹/악성코드, 저작권침해, 불법정보 등의 범죄에서는 직접적으로 저지른 범죄 가해자에게 가장 큰 책임이 있다고 응답하였지만, 개인정보침해의 경우 서비스 제공자에게 가장 큰 책임이 있다고 인식하고 있었다. 클라우드 컴퓨팅 상 사이버범죄 책임 인지에 대하여는, 응답자들이 주요 현상별로는 모든 범죄에서 법적 처벌과 제도적 보완이 가장 중요하다고 인식하였다. 그러나 개인정보침해의 경우 법적 처벌과 제도적 보완뿐만 아니라 개인정보 암호화나 보안조치 등 기술적 대책이 중요하다고 응답한 사람이 많았다.
제2부 클라우드 컴퓨팅 환경에서의 사이버범죄 대응방안
- 클라우드 컴퓨팅 환경에서의 개인정보침해 방지방안
클라우드 컴퓨팅이라는 새로운 사이버 환경 속에서 다양한 사이버범죄 유형이 나타날 수 있지만, 그 중심에는 주로 개인정보가 위치하고 있다. 이는 제1부에서 시행되었던 조사를 보면 잘 나타나고 있다. 따라서 클라우드 컴퓨팅 환경에서의 사이버범죄는 개인정보를 보호하는 방법을 통해 사이버범죄를 방지하는 것이 보다 효과가 클 것으로 예상된다. 따라서 제2부 제1장에서는 클라우드 컴퓨팅 환경에서 개인정보를 보호함으로써 사이버범죄를 방지할 수 있는 방안들을 모색해 보았다. 이에 따라 그 대응책으로 개인정보보호 관리체계 설정, 개인정보 관련 법령 정비, 개인정보수집 제한장치 마련, 개인의 대응력 향상, 개인정보침해와 국가안보의 균형, 실질적인 개인정보영향평가 실시 등을 고찰해 보았다.
첫째로, 클라우드 컴퓨팅에서의 개인정보보호 관리체계를 설정하는 것이 중요하다. 현재 한국인터넷 진흥원이 개발한 KISA-PIMS와 같이 클라우드 컴퓨팅 환경에 적합한 것으로 제시되고 있는 ‘C-PIMS’를 한 예로 살펴보았다. C-PIMS는 ISO/IEC 27017가운데 개인정보보호와 관련된 내용을 반영하여 KISA-PIMS의 통제내용을 제시하고 있다. 이와 같이 클라우드 컴퓨팅 환경에서 개인정보보호 관리체계에 대한 사항들을 설정하게 될 경우 새로운 환경에서의 개인정보보호, 개인정보침해 예방, 개인정보 침해 시 대책 등이 체계적으로 이루어 질 수 있게 되어 개인정보침해가 최소화 될 수 있고, 클라우드 환경의 신뢰성을 확보하는데에도 많은 도움을 줄 수 있을 것으로 사료된다.
둘째로, 개인정보관련 법령을 정비하는 것이 필요하다. 현행 법률에서는 개인정보와 관련된 규정들이 개별적으로 규정되어 있다. 이처럼 여러 법률에서 다양한 수준으로 개인정보를 규정하고 있는 경우 문제가 될 수 있는 것은 한 부분에서 개인정보보호에 대한 취약점이 있는 경우 다른 법률에서 개인정보를 엄격하게 보호하고 있더라도 그 의미가 반감될 수밖에 없다는 점이다. 특히 우리나라는 주민등록번호가 모든 개인정보의 Primary Key 역할을 하고 있기 때문에 이를 통해 개인의 조각정보들이 개인들의 많은 부분을 보여줄 수 있게 된다. 따라서 개인정보에 있어서는 동일한 수준의 보안, 절차, 처벌 규정들이 필요하게 된다. 이를 위해 개인정보보호법을 중심으로 현행 개별법에 흩어져 있는 개인정보 관련 규정들에 대한 내용들을 고찰하여 개선할 필요성이 있다.
셋째로, 개인정보수집 제한장치의 강화가 필요하다. 클라우드 컴퓨팅 환경에서는 개인의 정보가 자동화되어 클라우드에 저장되기 때문에 상당히 넓은 범위의 개인정보가 부지부식간에 클라우드 서비스 제공자에 의해 수집될 수 있다. 무엇보다 개인들은 단순히 한 번만의 동의로 클라우드를 통해 어떤 기기에서도 자신의 정보에 동일하게 접속하고, 작업을 수행할 수 있기 때문에 개인정보가 쉽게 공개될 수 있다. 그러므로 개인정보수집을 제한하는 장치들이 강화되어야 하는데, 가장 기본적으로는 금융기관이나 기업들, 정부기관 등이 개인정보수집을 필요최소한으로 유지하는 것이 중요하다. 그리고 이와 함께 부가적으로 개인에게 자신의 정보가 공개될 수 있다는 경고표시를 사이버공간 곳곳에, 자주 표출시킬 필요가 있는데, 이를 통해 사용자에게 적어도 자신의 개인정보가 공개될 수 있다는 경각심을 계속해서 높여 줄 수 있기 때문이다.
넷째로, 개인의 대응력을 향상시켜 줄 필요가 있다. 이를 위해 가장 먼저 고려해야 할 부분이 바로 개인정보 침해 시 개인에게 개인정보유출에 대한 고지를 해 주는 것을 강화하는 것이다. 이는 고지를 통해 개인에게 발생할 수 있는 2차적인 피해를 방지해주고, 개인으로 하여금 개인정보유출에 대한 대응책을 마련할 수 있는 기회를 줄 수 있기 때문이다. 이 때문에 해외의 경우에는 개인정보유출에 대한 고지를 엄격하게 적용하고 있다. 우리나라의 경우에는 형식적으로는 고지에 대한 대부분의 내용들이 규정되어 있지만, 실질적으로 고지가 제대로 행해지지 못하는 문제점이 있다. 또한 개인정보의 범위가 매우 넓기 때문에 기업들이 어떤 경우 고지를 하고, 어떤 경우에는 하지 않을 수 있을지에 대한 부분을 판단하는 것이 쉽지 않다. 그러므로 이에 대한 대안으로 개인정보의 등급을 나누어 적용하는 방법 등을 고려해 볼 수 있을 것이다.
다섯째, 개인정보침해와 국가안보의 균형을 고려하여야 한다. 최근 개인정보의 합법적인 침해 가능성이 높아지고 있는 이유는 국가안보라는 문제와 연관이 되기 때문이다. 특히 테러를 경험한 선진국들의 경우 국가안보를 위해 개인의 프라이버시를 침해하는 것을 허용하는 사례들이 속속 나타나고 있다. 그러나 이런 경우에도 개인의 프라이버시 보호와 국가안보 사이에 균형을 유지하려는 노력은 계속되고 있다. 북한과 대치하고 있는 우리나라의 경우에도 이런 문제에 봉착해 있다고 할 수 있다. 따라서 개인정보침해와 국가안보의 균형을 위해 기구설치나 규정도입 등과 같은 방법을 통해 합리적인 노력을 해야 할 것이다.
여섯째, 실질적인 개인정보영향평가가 수행되어야 한다. 클라우드 컴퓨팅이라는 새로운 환경이 개인정보에 어떤 영향을 미칠 수 있을지는 아직까지 명확하지 않은 측면이 있기 때문에 개인정보영향평가는 매우 중요하다. 미국이나 캐나다, 뉴질랜드, 호주 등과 같은 선진국들에서는 이미 오래전부터 시행하고 있는 제도이다. 우리나라는 2012년 3월 30일 개인정보보호법이 제정되면서 제33조에 이에 대한 내용들이 규정되어 시행되고 있지만, 법령이나 수행에 있어서 아직까지 만족할만한 수준이라고는 할 수 없다고 여겨진다. 그러므로 앞으로는 보다 실질적인 개인정보영향평가가 수행될 수 있도록 개선책을 마련해야 할 것이다.
앞서 언급한 방법이 클라우드 컴퓨팅 환경에서의 개인정보침해를 원천적으로 막아줄 수는 없더라도 그 위험성을 줄이는데는 많은 도움을 줄 수 있다고 생각된다. 현재 급속하게 클라우드 컴퓨팅 환경이 확장되고 있는 상황에서 이에 대한 대응책은 가능한한 빨리 수행될 필요성이 있을 것이다.
- 수사절차에서의 대응방안
클라우드 컴퓨팅 환경에서 범죄와 관련된 디지털 증거를 획득하는 것은 매우 중요하다. 특히 최근들어 상당수의 범죄증거들이 디지털화 되어 있기 때문에 현재 아날로그화 된 법체계에서 어떻게 이에 대한 대응책을 세울지가 매우 중요하다. 이 때문에 2012년 1월 1일부로 형사소송법에서 디지털 증거 압수·수색에 관한 규정이 도입되었다. 하지만 법률안이 성안되기까지 논의되었던 여러 내용들이 반영되어 디지털 증거 수집에 대한 체계를 만들었다기 보다는 기존의 수사기관에 의한 디지털 증거 획득 방법을 제한하기 위한 목적을 충족시키는 정도에 머물렀다는 인상을 갖게 된다. 이는 법률안이 통과되는 상황에서도 충분한 논의 없이 다른 조문들에 묻혀 통과된 국회의 기록들을 보면 보다 명확하게 된다. 따라서 본의 아니게 개정된 지 얼마 되지 않아 법무부가 새로운 법률안은 마련하고 있는 상황이 발생하였다.
결론적으로 현재 형사소송법상의 법률규정은 디지털 증거의 압수·수색에 대한 체계를 마련하지 못하였기 때문에 결국 기존의 관련 논의가 종결되었다고 할 수 없다. 특히 기술환경이 클라우드 컴퓨팅 환경으로 급속하게 변화되면서 기존의 논의에 더하여 사법공조 및 민간의 협조에 대한 논의도 함께 진행되어 법률에 명시될 필요성이 생겼다. 따라서 현행 법률 뿐 아니라 수사가 클라우드 컴퓨팅 환경에 대응하기 위해서는 사법부와 수사기관의 인식의 지평 동조화, 형사소송법 규정의 재검토, 정보제출명령 및 제3자의 협력의무에 대한 고찰, 온라인 수색의 도입 여부에 대한 심도 깊은 논의 등이 필요하다고 여겨진다. 이로 인해 디지털 증거의 압수·수색 체계를 세울 뿐 아니라 디지털 증거를 획득할 수 있는 실효적인 방법을 도출해 내어야 할 것이다.
압수·수색과 함께 클라우드 컴퓨팅 환경으로 인해서 가장 어려움을 겪을 수 있는 분야가 바로 디지털 포렌식 분야라고 할 수 있다. 특히 클라우드 컴퓨팅 환경에서의 디지털 포렌식을 어렵게 하는 이유는 아직까지 법이 클라우드 컴퓨팅 환경을 고려하지 않고 있기 때문이다. 그럼에도 불구하고 디지털 포렌식이 중단 될 수는 없다. 따라서 현재의 상황에서 최선의 방안이 될 수 있는 부분들을 살펴보았다. 이에 따르면 클라우드 환경에서의 디지털 포렌식은 클라우드 기술의 특징을 고려하여 기존과 다른 기술적 내용들을 디지털 포렌식에 포함시키는 것이다. 예를 들어 본문에는 상세히 기술하지 않았지만, IaaS에서 중요한 기술요소인 가상머신과 스토리지로 인해 특징지워질 수 있는 Snapshot, Volatile Data, Virtual Introspection 같은 특징들을 이용하는 것이다. 이는 클라우드 컴퓨팅 환경이 디지털 포렌식에 어려움을 줄 수 있음과 동시에 새로운 정보도 줄 수 있기 때문에 매우 유용하다고 할 수 있다.
그리고 수사를 해야할 수 많은 데이터의 범위를 의미 있게 축소시키기 위해서 프로파일링 기법을 사용하는 방안도 있을 수 있다. 디지털 포렌식을 해야 할 무수히 많은 데이터들 가운데 컴퓨터 사용자나 특정 범죄군, 특정 사건 등을 중심으로 1차적인 분석을 통해 컴퓨터 사용자의 특성을 알아내고, 이를 통해 수집할 필요성이 있는 정보의 종류, 크기, 양 등을 선택과 집중에 의해서 효과적으로 선별하는 것은 결과적으로 보다 신속하고 정확한 디지털 포렌식에 도움을 줄 수 있을 것이라고 사료된다. 이제 중요한 것은 장비나 전문인력, 수사기관의 시스템, 예산, 관련 법률 등이 이를 지원해 줄 수 있도록 하는 것이다.