2012.03.27

법 집행으로 클라우드의 내 데이터가 꼼짝달싹 못한다면

Thomas J. Trappler | Computerworld
기업 활동에 없어서는 안 되는 데이터때문에 소송 당하거나 정부의 조사를 받을 수 있다. 이는 누구나가 아는 사실이다. 특히 클라우드에 데이터를 보관해두고 있을 때는 이와 관련된 위험이 가중되곤 한다.
 
클라우드 컴퓨팅의 경우, 여러 고객의 데이터를 같은 서버에 뒤섞어 두는 것이 일반적이다. 즉 자신의 비즈니스와 전혀 관련이 없는 고객에게 소송이 제기되더라도 파급 효과가 미칠 수도 있다. 
 
기소나 소송 대상인 다른 누군가와 동일한 서버에 데이터가 저장되어 있다는 이유때문에 데이터를 사용하지 못하게 되는 것이다. 예를 들어, 다른 누군가의 데이터에 압수수색 영장이 발부되면, 자신의 데이터 역시 압수 대상이 된다는 의미다.
 
올해 초, 클라우드 파일 스토리지 서비스인 메가업로드(Megaupload) 사건은 사용자가 자신과 상관없는 기소나 소송때문에 클라우드에 보관해 둔 데이터를 사용할 수 없게 되는, 조금은 극단적인 사례를 제시하고 있다. 
 
메가업로드 사건이란 연방 정부가 메가업로드의 실제 운영자인 킴 닷컴을 사기, 저작권 침해 등으로 기소한 사건이다. 그 결과 법 집행 기관들이 메가업로드의 5,000만 달러에 달하는 자산을 압수했다. 자산을 압수한 이유는 범죄 행위를 막고, 메가업로드 기소에 필요한 증거를 수집하려는 목적에서였다.
 
그러나 합법적으로 메가업로드를 사용해왔던 많은 사람들까지 피해를 입었다. 정부가 범죄자를 대상으로 행동을 취하면서, 합법적인 사용자들까지 데이터에 대한 접근권을 잃어버린 것이다. 
 
이 사건은 클라우드 컴퓨팅에서 발생한 새로운 문제들을 다루는 것과 같이, 법의 능력에 기술이 항상 앞서나가는 전형적인 사례를 제시하고 있다. 
 
예를 들어, 누가 책임을 지고 적법한 사용자에게 데이터를 돌려 줄 것인가?
 
메가업로드가 폐쇄되고 나자 적법한 사용자조차 과거처럼 자신들의 데이터를 직접 회수할 수 없었다. 정부는 증거 수집 목적에서 일시적으로 압수한 데이터를 방출하지 않을 것이다. 또 증거 수집이 끝난다해도 이 데이터를 분류해 돌려주는 책임을 떠안지 않을 것이다. 
 
대신 메가업로드가 사용했던 2개 IaaS 서비스에 문의하라고 주장할 확률이 높다. 그러나 IaaS 제공사들은 자신들은 원천 기반만 책임졌을 뿐 고객 데이터에 접근조차 하지 않았다고 말할 것이다. 그리고 책임을 메가업로드에 다시 전가할 것이다. 일렉트로닉 프론티어 재단(Electronic Frontier Foundation)이 이런 혼란을 정리하기 위해 끼어들었다.
 
그렇다면 메가업로드의 적법한 사용자들은 어떻게 이런 문제를 피할 수 있을까? 
 
대부분은 클라우드 서비스 사용 전에 서비스 제공사의 배경과 업무 방식을 살펴보는 것이 좋은 출발점이 된다. 또한 클라우드 서비스 제공업체들이 고객 데이터를 효과적으로 나눠놓도록 계약적인 의무를 부과하는 방법이 있다. 
 
이렇게 해 놓아야 정부가 다른 누군가의 데이터를 압수한다 하더라도 자신의 데이터에는 손을 대지 못하도록 하는 기회나마 생긴다.
 
자신의 데이터가 법적 조치의 대상이 되는 경우에도 클라우드가 일을 더욱 복잡하게 만든다. 예를 들어 데이터 소환 명령이 떨어지거나 접근을 위한 요청이 있을 경우, 내부 IT 시스템에 데이터를 보관하고 있을때 이를 내주기가 훨씬 간편하다. 
 
자신과 데이터를 요청한 당사자 외에는 끼어드는 사람이 없기 때문이다. 그러나 데이터를 클라우드에 보관해두고 있다면, 해당 클라우드 서비스 제공업체에 소환장이 직접 발부될 수 있다. 정작 자신은 모르는 상태에서 데이터가 방출될 수 있다는 의미다.
 
이런 위험을 줄이려면, 클라우드 서비스 계약에 앞서 제공업체가 이런 법적 요청에 어떻게 대처하는지를 판단하는 것이 중요하다. 
 
클라우드 제공업체는 이와 관련된 정책을 수립해두고 있어야 하며, 이는 해당 고객의 요구에 부합해야 한다. 그리고 모든 조건이 맞아 떨어진다면 계약서에 이를 규정해야 한다.
 
또한 계약서는 데이터가 소환이나 법적 조치의 대상이 될 경우 제공업체가 해야 할 일을 규정하고 있어야 한다. 예를 들어, 클라우드 제공업체가 다음과 같은 조항을 이행하도록 계약서가 작성돼야 한다.
 
- 소환장이나 기타 법적 요청이 들어오는 즉시 통보한다. 데이터에 대한 접근이 이뤄지기 전에 통보하도록 하는 것이 이상적이다(단, 주의할 부분이 있다. 미국 애국자법에 해당한다면 이런 통보가 불가능하다).
- 데이터 방출을 막고, 제한하고, 적절히 관리하는 활동에 협력한다.
- 법적으로 가능한 정도에서 최대한 데이터 방출을 제한한다.
- 데이터 접근과 관련된 법적 요청이나 소환장과 관련해 조치한 내용의 사본을 제공한다. editor@itworld.co.kr


2012.03.27

법 집행으로 클라우드의 내 데이터가 꼼짝달싹 못한다면

Thomas J. Trappler | Computerworld
기업 활동에 없어서는 안 되는 데이터때문에 소송 당하거나 정부의 조사를 받을 수 있다. 이는 누구나가 아는 사실이다. 특히 클라우드에 데이터를 보관해두고 있을 때는 이와 관련된 위험이 가중되곤 한다.
 
클라우드 컴퓨팅의 경우, 여러 고객의 데이터를 같은 서버에 뒤섞어 두는 것이 일반적이다. 즉 자신의 비즈니스와 전혀 관련이 없는 고객에게 소송이 제기되더라도 파급 효과가 미칠 수도 있다. 
 
기소나 소송 대상인 다른 누군가와 동일한 서버에 데이터가 저장되어 있다는 이유때문에 데이터를 사용하지 못하게 되는 것이다. 예를 들어, 다른 누군가의 데이터에 압수수색 영장이 발부되면, 자신의 데이터 역시 압수 대상이 된다는 의미다.
 
올해 초, 클라우드 파일 스토리지 서비스인 메가업로드(Megaupload) 사건은 사용자가 자신과 상관없는 기소나 소송때문에 클라우드에 보관해 둔 데이터를 사용할 수 없게 되는, 조금은 극단적인 사례를 제시하고 있다. 
 
메가업로드 사건이란 연방 정부가 메가업로드의 실제 운영자인 킴 닷컴을 사기, 저작권 침해 등으로 기소한 사건이다. 그 결과 법 집행 기관들이 메가업로드의 5,000만 달러에 달하는 자산을 압수했다. 자산을 압수한 이유는 범죄 행위를 막고, 메가업로드 기소에 필요한 증거를 수집하려는 목적에서였다.
 
그러나 합법적으로 메가업로드를 사용해왔던 많은 사람들까지 피해를 입었다. 정부가 범죄자를 대상으로 행동을 취하면서, 합법적인 사용자들까지 데이터에 대한 접근권을 잃어버린 것이다. 
 
이 사건은 클라우드 컴퓨팅에서 발생한 새로운 문제들을 다루는 것과 같이, 법의 능력에 기술이 항상 앞서나가는 전형적인 사례를 제시하고 있다. 
 
예를 들어, 누가 책임을 지고 적법한 사용자에게 데이터를 돌려 줄 것인가?
 
메가업로드가 폐쇄되고 나자 적법한 사용자조차 과거처럼 자신들의 데이터를 직접 회수할 수 없었다. 정부는 증거 수집 목적에서 일시적으로 압수한 데이터를 방출하지 않을 것이다. 또 증거 수집이 끝난다해도 이 데이터를 분류해 돌려주는 책임을 떠안지 않을 것이다. 
 
대신 메가업로드가 사용했던 2개 IaaS 서비스에 문의하라고 주장할 확률이 높다. 그러나 IaaS 제공사들은 자신들은 원천 기반만 책임졌을 뿐 고객 데이터에 접근조차 하지 않았다고 말할 것이다. 그리고 책임을 메가업로드에 다시 전가할 것이다. 일렉트로닉 프론티어 재단(Electronic Frontier Foundation)이 이런 혼란을 정리하기 위해 끼어들었다.
 
그렇다면 메가업로드의 적법한 사용자들은 어떻게 이런 문제를 피할 수 있을까? 
 
대부분은 클라우드 서비스 사용 전에 서비스 제공사의 배경과 업무 방식을 살펴보는 것이 좋은 출발점이 된다. 또한 클라우드 서비스 제공업체들이 고객 데이터를 효과적으로 나눠놓도록 계약적인 의무를 부과하는 방법이 있다. 
 
이렇게 해 놓아야 정부가 다른 누군가의 데이터를 압수한다 하더라도 자신의 데이터에는 손을 대지 못하도록 하는 기회나마 생긴다.
 
자신의 데이터가 법적 조치의 대상이 되는 경우에도 클라우드가 일을 더욱 복잡하게 만든다. 예를 들어 데이터 소환 명령이 떨어지거나 접근을 위한 요청이 있을 경우, 내부 IT 시스템에 데이터를 보관하고 있을때 이를 내주기가 훨씬 간편하다. 
 
자신과 데이터를 요청한 당사자 외에는 끼어드는 사람이 없기 때문이다. 그러나 데이터를 클라우드에 보관해두고 있다면, 해당 클라우드 서비스 제공업체에 소환장이 직접 발부될 수 있다. 정작 자신은 모르는 상태에서 데이터가 방출될 수 있다는 의미다.
 
이런 위험을 줄이려면, 클라우드 서비스 계약에 앞서 제공업체가 이런 법적 요청에 어떻게 대처하는지를 판단하는 것이 중요하다. 
 
클라우드 제공업체는 이와 관련된 정책을 수립해두고 있어야 하며, 이는 해당 고객의 요구에 부합해야 한다. 그리고 모든 조건이 맞아 떨어진다면 계약서에 이를 규정해야 한다.
 
또한 계약서는 데이터가 소환이나 법적 조치의 대상이 될 경우 제공업체가 해야 할 일을 규정하고 있어야 한다. 예를 들어, 클라우드 제공업체가 다음과 같은 조항을 이행하도록 계약서가 작성돼야 한다.
 
- 소환장이나 기타 법적 요청이 들어오는 즉시 통보한다. 데이터에 대한 접근이 이뤄지기 전에 통보하도록 하는 것이 이상적이다(단, 주의할 부분이 있다. 미국 애국자법에 해당한다면 이런 통보가 불가능하다).
- 데이터 방출을 막고, 제한하고, 적절히 관리하는 활동에 협력한다.
- 법적으로 가능한 정도에서 최대한 데이터 방출을 제한한다.
- 데이터 접근과 관련된 법적 요청이나 소환장과 관련해 조치한 내용의 사본을 제공한다. editor@itworld.co.kr


X