아일랜드 서버에 저장된 범죄 혐의자의 이메일…
FBI의 접근권을 둘러싼 마이크로소프트 vs. 미 법무부의 분쟁
미국 ‘클라우드 법’ vs. EU 개인정보보호법(GDPR) 충돌 가능성
[divide style=”2″]
미국의 수사 기관은 아일랜드의 마이크로소프트 서버에 저장되어 있는 이메일 정보에 접근할 권한이 있을까? 그곳에 저장된 이메일 정보는 마이크로소프트 소유일까, 아니면 해당 이메일의 이용자 소유일까? 아일랜드에 위치한 마이크로소프트의 서버는 아일랜드의 법 적용을 받을까, 아니면 마이크로소프트가 소속된 미국의 법 적용을 받을까?
지난 4월17일 미국의 연방 대법원은 정보 프라이버시를 둘러싼 마이크로소프트와 미 법무부 간의 법리 다툼을 다룰 필요가 없어졌다며 심리를 기각했다. 2018년 3월에 발효된 법률이 해당 사안을 고려할 가치가 없게 만들었기 때문이라는 이유였다.
지난 몇년 동안 마이크로소프트와 미 법무부는, 이용자의 이메일과 다른 개인정보가 미국 영토 ‘밖에’ 저장되어 관리되는 경우에도 미국의 법 집행 기관이 수사 목적으로 접근할 권리가 있는지를 놓고 법리 다툼을 벌여 왔다.
2013년으로 거슬러 올라가는 분쟁
분쟁은 2013년으로 거슬러 올라간다. 당시 연방 수사관들은 마약 거래에 이용된 것으로 추정되는 마이크로소프트 아웃룩의 계정 정보를 찾아내고, 법원 영장과 함께 마이크로소프트 측에 해당 정보를 요구했다. 문제는 해당 이메일이 미국이 아닌 아일랜드에 저장되어 있다는 점이었다. 해당 이메일을 쓰는 익명의 소유자는 아일랜드 거주자로 등록되어 있었다.
법무부는 1986년에 제정된 ‘전자통신프라이버시법'(ECPA)의 일부인 ‘저장통신법'(SCA)의 의 규정을 근거로, 마이크로소프트에 불법 마약 거래 수사와 연관된 인물의 개인 이메일과 데이터를 넘기라고 요구했다. 마이크로소프트는 미국 서버에 저장된 이메일은 당국에 넘겼지만, 아일랜드 서버에 저장된 데이터는 제공할 수 없다고 거부했다.
이에 법무부와 FBI는 IT 기업들이 ‘소유, 해외에 저장된 클라우드 데이터의 제공을 거부함으로써 순조로운 법 집행을 가로막고 있다면서, “국내에서 컴퓨터 마우스의 클릭 한 번으로” 접근할 수 있다면 그 데이터가 어디에 저장되어 있느냐는 중요하지 않다고 주장했다. 그 반대로 마이크로소프트는 법무부가 수색 영장의 근거로 삼은 ‘저장통신법'(1986)이 새로운 IT 기술과 이용 현실을 제대로 반영하지 못한다고 거부 이유를 밝혔다.
항소 법원은 둘의 공방에서 마이크로소프트의 손을 들어주었다. 아일랜드의 서버에 저장된 이메일은 미국의 관할권 밖이기 때문에 수색영장의 효력이 미치지 못한다는 판결이었다.
연방대법원의 ‘심리 기각’
법무부는 이에 불복했고, 결국 ‘미국 대 마이크로소프트(US vs Microsoft)’의 싸움은 연방 대법원의 최종 판결로 옮겨 갔다. 그리고 2017년 10월 대법원은 법무부가 마이크로소프트에 대해 아일랜드의 데이터 센터에 저장된 피의자의 이메일을 제공하도록 요구할 권리가 있는지 심의할 것이라고 밝혔다. 언론과 법조계, IT업계는 대법원이 어떤 판결을 내릴지에 촉각을 곤두세웠다.
클라우드 컴퓨팅과 온라인 세계의 관할권에 막대한 영향을 끼칠 판결로 전망되었기 때문이다. 여기에서 제기되는 핵심 질문은 다음 몇 가지였다.
- 클라우드 시스템이나 서버는 어느 나라의 법률 적용을 받는가? 서버가 물리적으로 위치한 나라인가, 아니면 서버를 소유한 기업이 소속된 나라인가?
- 클라우드에 담긴 정보나 데이터는 어떤가? 데이터를 담은 서버가 물리적으로 위치한 나라인가, 아니면 서버를 소유한 클라우드 회사가 소속된 나라인가?
- 클라우드에 담긴 정보와 데이터의 권리는 누가 갖는가? 해당 정보나 데이터와 직결된 개인이나 기업인가, 아니면 그런 데이터를 보관해 주는 클라우드 회사인가?
대법원의 판결은, 그러나 ‘심리 기각’이라는 다소 허망한 결론으로 끝났다. 지난 3월 트럼프 미국 대통령이 서명한 ‘데이터의 해외 이용에 관한 법을 명확히 하는 법'(Clarifying Law Overseas Use of Data Act, CLOUD Act, 이하 ‘클라우드법’)의 발효를 계기로, 마이크로소프트와 법무부 간의 법리 논쟁을 심리하는 작업은 무의미하다는 판단이었다. 단기적으로는 마이크로소프트의 승리인 셈. 그러나 대법원 심리 기각의 속내를 들여다보면 사안은 그리 간단치 않다.
[box type=”info”]
참고: 클라우드 법(Clarifying Law Overseas Use of Data Act, CLOUD Act)의 작명
미국은 이처럼, 법의 성격이나 맥락에 맞는 단어를 하나 미리 정한 뒤 그 단어의 각 철자에 맞는 단어를 찾아 법의 이름을 정하는 묘한 경향이 있다. 이미 통용되는 이름의 두문자를 쓰는 ‘애크로님’ (Acronym)과는 반대 순서인 셈. 이를 영어로는 이니셜리즘(Initialism)이라고 한다. 예컨대 OECD, USA, CIA, FBI 같은 단어는 애크로님이고, ‘애국자법’으로 불리는 ‘USA PATRIOT Act’는 이니셜리즘이다. 9.11 사태 직후 대테러리즘 법을 만들면서 먼저 법 이름을 잡은 뒤, 그에 맞춰 ‘2017년 10월 ‘Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001’라고 짜맞춘 것이다. 클라우드 법의 작명도 비슷한 맥락이다.
[/box]
클라우드 법, ‘찬성'(IT 대기업) vs. ‘반대'(인권단체)
전자통신프라이버시법(ECPA)의 관련 조항을 개정한 클라우드 법은, 해외에 저장된 미국인의 데이터와 통신 데이터에 대한 연방 정부 기관의 접근 권한을 분명히하고 있다. 클라우드 서비스를 제공하는 기업은 수집해 관리하는 정보가 미국 안이나 밖 어디에 저장되어 있든 법원 영장이 나오면 그에 응해야 한다고 명시하고 있는 것이다.
그러나 클라우드 법은 해외에 저장된 데이터에 대한 접근 절차를 새로 규정했기 때문에, 정부 기관으로서는 그에 부합한 수색 영장을 새로 발급받아야 한다 (마이크로소프트로서는 얼마간의 시간을 번 셈이다). 한편 기업 측에서는 정부의 요구가 해외 현지의 법을 위반할 ‘실질적인 위험'(material risk)이 될 수 있다는 논리로 영장을 파기해달라고 요구할 수 있다.
미국 법무부는 끝까지 이 사안을 물고 늘어지겠다는 입장이다. 클라우드 법이 그간의 논쟁을 무의미하게 만들었을 뿐 아니라 오히려 적법한 수사 절차를 지원하기 때문에 문제의 데이터를 취득하는 것은 시간 문제라고 자신감을 보인다. 법무부는 법리 논쟁의 시발점이 된 기존 영장을 철회하고, 클라우드 법의 절차상 요구에 맞춘 새 영장을 발부했다. 마이크로소프트는 새로운 영장을 검토하고 어떻게 대응할지 결정하겠다고 밝혔다.
클라우드 법은 개정 내용이 나왔을 때부터 논쟁거리였다. 마이크로소프트, 애플, 구글, 페이스북, 그리고 버라이즌의 자회사로 야후, AOL 등을 소유한 오스(Oath) 등 미국의 주요 IT 대기업들이 지원하고, 미국 의회도 초당적 지지를 보냈지만, ACLU 같은 인권 단체와 EFF 같은 프라이버시 옹호 단체 들은 클라우드 법이 “해외 인권 운동가와 국내 시민들의 권리를 위협한다”며 맹렬히 반대했다. 클라우드 법이 ‘국경을 초월한 수사 기관의 데이터 감시 능력을 가공할 수준으로 확대한다’는 이유였다.
‘미래를 위한 투쟁’이라는 이름의 단체는 트위터를 통해 “클라우드 법은 당신의 프라이버시를 위협합니다 — 하지만 IT 대기업들은 의회가 서둘러 이를 입법화하기를 원합니다. 당신의 지역구 의원에게 클라우드 법을 옴니버스 법안에서 제외하라는 청원에 서명해주십시오”라고 반대 운동을 벌이기도 했다. 그러나 클라우드 법은 결국 통과되었다.
공권력 확대 ‘클라우드법’ vs. 개인정보 보호 ‘GDPR’
실제로 마이크로소프트 – 법무부의 법리 논쟁과, 클라우드 법에 대한 마이크로소프트의 지지 및 로비 행태를 나란히 놓고 보면, 고개를 갸웃하지 않을 수 없다. 전자의 법리 논쟁에서 ‘아일랜드의 서버에 저장된 이메일은 미국의 관할권 밖이어서 수색영장의 효력이 미치지 못한다’고 주장해 온 마이크로소프트가, 정보가 미국 안이나 밖 어디에 저장되어 있든 법원 영장이 나오면 그에 응해야 한다는 내용의 클라우드 법은 오히려 쌍수를 들어 환영했기 때문이다.
마이크로소프트가 내세우는 논리는 클라우드 법 제정을 계기로 미국 정부가 다른 여러 나라들과 이와 비슷한 사안을 어떻게 처리할지에 관한 국제 협약과 규칙을 세우게 될 것이라는 기대 섞인 전망이다. 그것이 순조로운 협의와 공감대로 이어질지는 멀지않아 판가름 날 것으로 보인다. 오는 5월 25일부터 유럽연합 (EU)의 새로운 개인정보보호법(General Data Protection Regulation, GDPR)이 발효되면 특히 클라우드 서비스를 둘러싼 법리 다툼이 불가피할 것이기 때문이다.
당장 마이크로소프트와 법무부가 갈등을 빚는 데이터 서버의 소재지 아일랜드는 유럽연합 회원국이고, 따라서 GDPR의 적용을 받는다. 법원의 영장이 나오면 데이터의 지리적 위치와 상관없이 이를 제공해야 한다고 규정한 미국의 클라우드 법과 유럽연합 거주자의 개인정보 보호를 더욱 강화한 GDPR이 충돌할 수밖에 없는 대목이다.
문제가 된 피의자는 아일랜드 국적이다(물론 이 사안의 경우 불법 마약 거래에 관한 법 집행 기관의 공식 수사의 일환이라는 점에서 두 나라의 공조는 별로 어렵지 않아 보이고, 따라서 아일랜드 서버에 담긴 피의자의 개인 정보도 미국으로 이전될 공산이 높다).
하지만 그처럼 목적과 취지가 뚜렷하지 않은 경우, 미국의 클라우드 법과 유럽연합의 GDPR은 적지 않은 사안과 층위에서 많은 혼동과 갈등의 소지를 안고 있는 것처럼 보인다. 마이크로소프트는 연방 대법원의 심리 기각 결정에 대해 이런 성명을 발표했다:
“우리는 클라우드 법의 제정을 계기로 우리의 사안을 기각한 대법원의 결정을 환영합니다. 우리의 목표는 항상 강력한 프라이버시 보호를 명문화한 새 법률과 국제 협약이 제정되어 국경을 초월한 디지털 증거 수집 방식이 명확하게 관장되는 것이었습니다. 영국과 오스트레일리아의 정부도 인정했듯이, 클라우드 법은 이런 종류의 협약 체결을 독려할 것입니다. 미국 정부가 신속하게 다른 나라들과 협상에 나서기를 촉구합니다.”
마이크로소프트의 바람대로 클라우드 법이 지리적 제약을 초월한 디지털 데이터에 대한 사법 기관들의 적법한 수사를 돕는 촉매제가 될지, 아니면 여러 시민단체와 인권단체의 우려처럼 국적을 초월한 새로운 차원의 ‘빅 브라더’를 만들게 될지는 향후 1, 2년 안에 판가름날 것으로 보인다. 그와 함께 ‘인터넷의 탄생 이후 가장 획기적인 온라인 프라이버시 법’이라는 평가와 기대를 받는 유럽연합의 GDPR은 여기에 어떤 영향이나 파장을 몰고올지도 주목되는 부분이다.
