올해 국내외 대형 IT기업들이 국내 시장에 클라우드 사업을 본격화할 전망이다. 하지만 정작 클라우드 기술 확산의 순기능으로 꼽히는 빅데이터 분석, 인공지능(AI) 기술 고도화에는 어려움이 따를 것이라는 전망도 나온다. 국내 개인정보보호법에 의해 클라우드에 쌓인 데이터 활용에 많은 제약이 따르기 때문이다.
1일 정보통신산업진흥원(NIPA)이 발간한 '클라우드컴퓨팅 산업진흥 법제도 연구'에 따르면 현재 국내 클라우드 사업자에게 적용되는 클라우드컴퓨팅법은 '개인정보 보호법', '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 등 과거에 제정된 법적 제약에 따라 사실상 유명무실한 것으로 나타났다.
한국 정부와 국회는 클라우드가 미래 ICT 환경을 좌우할 것으로 판단하고 2007년부터 클라우드컴퓨팅 발전법의 제정을 위해 노력해 왔으며, 그와 같은 노력의 결실로 지난 2015년 3월 '클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률'을 제정해 공포한 바 있다. 클라우드컴퓨팅의 발전만을 목적으로 제정된 법률로는 세계 최초라고 할 수 있다.
하지만 클라우드법에서 다루는 개인정보보호와 관련해서는 개인정보보호법 등 기존 법률에서 정하는 바를 준수하도록 규정돼 있다. 공공기관, 비영리단체 등은 개인정보보호법이 적용되고, 일반 기업들이 제공하는 클라우드 서비스의 경우 정보통신망법이 적용된다. 문제는 클라우드에 저장되는 데이터의 활용을 위한 데이터 위탁·수탁 규정이 모호하고 논쟁적이어서 데이터 기반의 새로운 비즈니스 가치 창출이 어렵다는 것이다.
국내법은 클라우드 서비스가 타인을 대신해 데이터를 보관, 관리해주거나 데이터의 가공, 분석 등을 대신한다는 의미에서 기존에 클라우드 서비스 업체와 사용자간의 관계를 법률상 위탁·수탁 관계로 간주하고 있다. 즉 사용자 정보의 위·수탁 관계가 엮이면서 한층 더 강화된 개인정보보호법의 규제를 받는 셈이다. 하지만 업계에서는 클라우드 서비스의 데이터 유통 구조는 현행법 체계상 어떤 형태의 전형화된 계약 유형에도 포함하기 어려운 새로운 형태의 계약인만큼 기존의 정보 위·수탁 개념으로 정의해 규제하는 것은 맞지 않다고 주장한다.
IT업계 관계자는 "일반 소비자들이 클라우드에 올린 데이터를 클라우드 사업자들이 분석하고 활용할 수 있는지에 대한 여부를 판단하려면 데이터의 위수탁 관계 문제가 확실히 정립될 필요가 있다"며 "유럽연합의 경우 굳이 데이터 위탁이나 수탁 문제를 정의하지 않고 클라우드 서비스를 제공하는 기업들을 데이터 프로세서(처리자)로 정의해 포괄적인 지위를 부여하고 있다"고 설명했다.
일각에서는 이같은 개인정보보호법 자체가 클라우드 산업의 등장을 감안하지 않은 과거에 제정된 법이어서 불필요한 규제로 작용하고 있다는 비판이 나온다. 가령 클라우드 서비스는 원칙적으로 주문형(On-demand) 방식으로 제공된다. 개인정보에 대한 기술적·관리적 보호조치도 서비스 이용자의 요구에 따라 맞춤형으로 제공되는 것이다. 개인정보의 암호화 여부, 암호화 수준 등을 서비스 이용자가 선택할 수 있고 그 밖의 보안서비스도 선택이 가능하다.
하지만 정보통신망법에 따라 사업자들은 소비자가 클라우드에 올린 모든 데이터의 기술적·관리적 보호조치를 취할 의무를 부담하게 된다. 모든 정보통신 서비스를 사용자의 편의에 따라 주문형 방식으로 제공한다는 클라우드 서비스의 기본적인 형태와 맞지 않다는 얘기다. 또 사용자가 클라우드에 올린 데이터의 어느 부분까지를 개인정보로 판단할 수 있는 지 여부도 불분명하다.
업계에서도 이같은 현실에 동떨어진 규제를 개선해야 한다는 목소리가 나오고 있다. 전인호 VM웨어코리아 사장은 최근 열린 기자간담회에서 "개인정보보안에 대해 시행하고 있는 (동떨어진) 규제 때문에 한국의 클라우드 서비스 발전이나 사용속도가 매우 느리다"며 "국민의 개인정보 자산을 보호하려는 것이 나쁜 건 아니지만 이 규제 때문에 서비스가 발전하지 못하고 있다"고 주장했다.
NIPA 관계자는 "개인정보보호 규제는 클라우드컴퓨팅서비스의 출현을 예상하지 못해 상태에서 입법화된 것이므로 클라우드 서비스 이용에 방해가 되지 않도록 기술 중립적으로 개정하거나 클라우드컴퓨팅법을 개정해 예외 규정을 신설하는 것이 바람직하다"며 "혹은 개인정보보호법을 그대로 적용하되 데이터 활용에 대한 이용자 동의, 관리적 의무조치 등을 새로운 환경에 맞게 특별규정을 신설하는 방안도 있다"고 설명했다.