작성일 : 19-11-09 11:26
[보안뉴스] '해외 데이터도 사법기관 손에?'··· 美-英 '데이터 공유 협정'의 의미
 글쓴이 : happy
조회 : 1  

'해외 데이터도 사법기관 손에?'··· 美-英 '데이터 공유 협정'의 의미

영국과 미국 정부가 사법당국이 상대국의 디지털 서비스 제공자가 보유한 데이터에 더 쉽고 빠르게 접근할 수 있는 새로운 데이터 공유 협정을 체결했다. 이에 따라 사법기관이 대서양 반대편의 데이터 기업의 클라우드 저장소에 더 쉽게 접근할 수 있게 됐다.
 
ⓒ Getty Images Bank

미국 CLOUD 법과 영국 COPOA 법
이번 협정 논의는 FBI가 마이크로소프트에 아일랜드에 위치한 서버에 저장된 데이터를 강제로 요청하는 데 어려움이 발생하면서 시작됐다. 그 결과 미국에서 2018년 CLOUD(Clarifying Lawful Overseas Use of Data) 법이 만들어졌다. 이 법에 따라 미국 사법기관은 자국의 IT 기업에 미국 또는 해외에 위치한 서버에 저장된 데이터를 합법적으로 요구할 수 있게 됐다. 또한 해외 정부와 합의해 미국에서 전자 데이터를 요청하는 양자 협정을 맺는 것도 가능해졌다.

이후 2019년에 만들어진 것이 영국의 COPOA(Crime Overseas Production Order) 법이다. 이 법을 통해 영국 중대범죄수사청(Serious Fraud Office, SFO)이 협정이 체결된 국가에 있는 해외 데이터에 접근할 수 있게 됐다. 결국 이 두 법률에 따라 영국과 미국은 대서양 양쪽에 위치한 두 국가가 상대국에 위치한 서버에 저장된 데이터에 더 신속하게 접근하는 데이터 공유 협정을 체결했다.

이 협정은 CLOUD 법에 따라 광범위하게 이메일 제공자, 스마트폰 기업, 소셜 미디어 네트워크, 클라우드 저장소 서비스로 정의된 IT 기업에 영향을 끼칠 것으로 보인다. 단, 무작위로 이뤄지는 것은 아니다. 여전히 판사나 기타 사법당국의 승인 등 사법적인 절차가 필요하며, 암호화된 메시지에 대한 접근이 허용되는 것도 아니다.

법률 기업 베이커 매켄지(Baker McKenzie)의 변호인 이안 왈든은 “CLOUD 법에 규정된 양자 간 데이터 접근 협약(Data Access Agreement, DAA)을 통해 사법기관은 오랜 시간이 걸리는 기존 일반적 양자 간 법률지원 절차 대신 상대국의 서비스 제공자에게 직접 데이터를 요청할 수 있게 됐다”라고 말했다.

CLOUD 및 COPOA 법에 따른 데이터 요청 방식
실제로 이전에는 사법기관이 데이터를 확보하기 위해 수년은 아니더라도 최소한 수개월이 소요될 수 있는 관료적 절차를 통해야 했다. 그러나 이제는 사법당국이 해외기업에 전자 데이터 생성 또는 접근성 제공을 요청하는 OPO(Overseas Production Order)를 보낼 수 있으며, 표준적인 OPO 준수 기간은 서비스일로부터 7일이다

이를 통해 사법기관 조사에는 큰 도움이 될 것이다. 그러나 이는 법률적으로 단순히 절차의 시간을 줄이는 것일 뿐 새로운 권한이 부여되는 것은 아니다. 왈든은 “이 협정은 사법기관에 새로운 권한을 부여하지 않는다. 단순히 사법기관이 서비스 제공자로부터 증거를 획득하는 더 효율적인 수단을 제공하는 것이다. 이 협정을 통해 사법기관이 요청할 수 있는 새로운 법적 근거가 수립되는 것은 아니다"라고 말했다. 즉, 양자 간 협약을 체결했다고 해도 실제 내용은 여전히 해당 국가법에 귀속되는 것이다. 예를 들어, 미국의 CLOUD 법은 기본적으로 해외에 위치한 미국 서버에 대한 SC(Stored Communications) 법의 조항을 적용받는다.

그러나 절차적 개선일뿐 새로운 권한이 부여되는 것이 아니라는 점이 오히려 IT 기업에 혼란을 초래할 가능성이 있다. 예를 들어 미국 기업은 이미 미국 국내법에 따라 사법기관에 데이터를 제공하는 요건을 알고 있지만, 해외 사법기관의 요청에 어떻게 대응해야 하는지는 법적 요건을 더 자세히 확인할 필요가 있는 것이다.

왈든은 “이런 요청을 받을 수 있는 기업은 해당 요청에 응답할지 아니면 거부할지 아니면 기존 법적 절차에 따라 요청하도록 할지에 대해 정책적 결정을 내려야 한다. 법적 절차 측면에서 일반적으로 서비스 제공자가 이 요청의 실질적인 근거의 유효성을 판단하는 것은 적절하지 않거나 가능하지 않다. 그러나 해당 법률에 명시된 대로 해당 요청서에 고지 제공자의 신원을 포함해 필요한 모든 정보가 포함되어 있는지 확인해 검증할 수는 있는 위치에 있다”라고 말했다.
CLOUD 법과 COPOA 법의 영향을 받는 기업들
또한 미국과 영국 간의 양자 협정은 전자 데이터를 보유한 모든 기업에 적용되지 않는다. 기술 제공자를 유의미하게 이용하는 기업에만 영향을 끼친다. 왈든은 “이 협정은 기본적으로 영국 내의 모든 기업이 아닌 전통적인 통신 사업자, OTT 통신 서비스 제공자, 클라우드 제공자 등 ‘관련된 제공자’에게만 적용된다. 따라서 이번 협정은 미국보다는 영국에 이익이 될 가능성이 크다. 영국 사법기관은 구글, 마이크로소프트, 페이스북 등 미국의 주요 서비스 제공자에게 데이터를 요청해야 할 때가 더 많기 때문이다”라고 말했다.

물론 이 협정을 통해 미국 사법기관이 증거 수집을 위해 영국의 서비스 제공자에게 직접 요청하는 것도 가능하다. 그러나 앞서 언급한 것처럼 영국의 서비스 제공자는 영국법을 근거로 요청에 응답하지 않을 권리가 있다. 즉 응답할 의무가 없다. 왈든은 "서비스 제공자에 불리한 집행 조치는 일반적으로 미국의 법원에서 미국법에 따라 절차를 밟아야 한다"라고 말했다.

이런 혼란 가능성이 제기되는 가운데, 일부 기업은 브렉시트(Brexit)를 앞두고 이미 데이터 전송에 관한 법적 문제를 피하고자 데이터와 운영 활동 중 일부를 영국에서 EU로 이전하는 방안을 검토하고 있다. 정부를 위해 사증 및 여권 발행 관련 업무를 처리하는 아웃소싱 기업 VFS글로벌은 브렉시트 불확실성 때문에 이미 인력 및 데이터 센터를 영국에서 유럽 본토로 이전했다.

왈든은 "이 협정 때문에 미국이 데이터에 더 쉽게 접근할 수 있다고 해도 영국 IT 시장의 매력이 떨어지지는 않을 것이다. 유럽연합 집행위원회(European Commission, EC)가 미국과 유사한 협정을 협상할 것이기 때문에 더 그렇다. 이를 통해 EU 회원국 간에도 데이터 요청에 대한 유사한 체계가 수립될 가능성이 크다. 결국, 언젠가는 미국과 최소한 일부 EU 국가 사이에서 (영국처럼) 상호 합의가 이루어질 것이다"라고 말했다.

따라서 영국 또는 EU에 있는 기업은 모두 결국은 해당 국가가 국경을 초월하는 데이터 접근성을 갖는 사법기관에 관한 협정을 체결할 것으로 보인다. 호주는 이미 CLOUD 법에 따라 협정을 체결하는 것을 고려하고 있다.

영국의 경우 EU를 떠난 후에도 추가적인 법적 데이터 보호 메커니즘에 대한 요건 없이 자유로운 데이터 흐름을 허용하는 충분한 결정권을 제공하는 것에 관한 협상이 이루어질 가능성이 크다. 단, 일부 법률 전문가는 EU가 EU 시민의 권리를 침해하기로 하는 경우 이런 결정이 영국의 조사권한법(Investigatory Powers Act, 일명 ‘Snooper's Charter’) 및 ‘다섯 개의 눈(Five Eyes)’ 회원자격 때문에 지연될 것이라고 지적한다. 이에 대해 왈든은 "영국에 이런 지위를 제공하는 것에 반대하는 사람이 이런 문제를 제기할 수 있다. 그러나 이 문제는 법적 문제보다는 정치적인 사안으로 다루어지게 될 것이다"라고 말했다. ciokr@idg.co.kr

원문보기: http://www.ciokorea.com/news/135762#csidx6bc2c66da5a649e99eb3a5e20fa637b