e-Discovery 수행시 ‘개인정보보호법’ 등 관련법 및 국내환경 고찰
우리나라에서 어떤 정보관리 시스템 사용하는지 확인·이해 필요
본지에서는 현재 우리나라에서 이슈가 되고 있는 e-Discovery에 대한 개념적인 이해를 돕고, 나아갈 방향을 제시하기 위해 현재 기업보안담당자로 근무하고 있는 유정호 씨의 기고를 6회에 걸쳐 연재합니다. 독자 여러분들의 많은 관심 부탁드립니다. [편집자주]
연재목차-----------------------------
1회 e-Discovery의 필요성과 수행환경
2회 e-Discovery의 정의와 목적
3회 e-Discovery와 Digital Forensics
4회 e-Discovery 절차(1)
5회 e-Discovery 절차(2) EDRM vs. EDBP
6회 우리나라에서의 e-Discovery
7회 e-Discovery를 위한 준비
------------------------------------
[보안뉴스 유정호, 기업보안담당자]1회부터 5회까지의 기고에서는 e-Discovery가 이루어지는 환경과 미국의 사법체계, e-Discovery의 개념적인 정의와 달성하고자 하는 목적, 디지털 포렌식과의 비교와 활용 방안, e-Discovery의 세부 절차와 참조모델에 대해서 언급했다.
지금까지 언급된 내용은 국내에서는 아직 많이 알려지지 않거나 부분적으로 알려져 많은 법조인들과 기술자, 경영자들이 오해하고 있는 e-Discovery가 어떤 것이고, 어떻게 이루어지는 것인지에 대한 설명이었다고 볼 수 있다.
이어지는 6회와 7회에서는 미국이 아닌 우리나라 기업과 사법환경에서 e-Discovery를 준비하거나 실행 중인 사람들이 어떤 것을 준비하고, 어떻게 대응해야 하는 지의 방법에 대해서 방향을 제시하고자 한다.
앞서 언급됐던 내용들은 e-Discovery 제도를 직접 시행하는 국가인 미국의 환경을 중심으로 설명했다. 여기서 말하는 환경이라는 것은 소송과 재판이 이루어지는 사법 환경부터 기업에서의 정보관리, 보안, 자원관리, 조직 구성 등 모든 배경이 반영된 것이라고 볼 수 있다.
e-Discovery 업무를 담당하는 관리자나 경영진에게는 복잡하고, 번거롭겠지만 우리나라에서 e-Discovery를 준비하고, 수행하려면 미국의 환경 뿐만 아니라 우리나라 환경도 고려해야 한다. 그 중 가장 먼저 선행되어야 할 것은 우리나라의 법률이다.
일반적으로 생각하기에 e-Discovery는 법률에 의해서 이루어지는 활동이기 때문에 법원에서 지시되는 모든 e-Discovery 내용은 합법적이고, 정당한 것이라고 생각할 수 있다. 하지만 우리는 이러한 지시가 미국의 법원에서 미국의 법률을 근거로 이루어진 것이라는 것을 간과해서는 안 된다.
미국 판사는 자국의 법률만 고려할 뿐 다른 국가의 법률은 고려하지 않는다. 하지만 세계의 모든 국가는 법률을 제정하는데 있어 영국과 미국, 독일과 같은 나라의 법률을 참고하여 유사하게 만들기도 하지만 자국만의 정치, 문화, 경제를 고려하여 해당 국가만의 특징적인 법률을 만들기도 한다.
우리나라도 미국과는 다른 고유의 법이 있기 때문에 미국 법원이 지시한 내용을 그대로 수행하게 되면 우리나라에서는 위법행위가 될 수도 있다. 그렇다면 e-Discovery의 수행에 있어 우리나라 법률 중 어떤 것들이 문제가 될 수 있을까? 대표적인 법으로 법률 제11690호 ‘개인정보보호법’을 들 수 있다.
개인정보보호법은 ‘살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함)’를 보호하기 위해 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 하는데 있어 그 과정에 대한 엄격한 제한과 절차를 정립해 놓은 법이다.
이러한 개인정보보호법이 e-Discovery의 준비와 실행에 있어 문제가 되는 이유는 소송의 상대방이 요구하는 정보 중에 개인정보가 포함되어 있을 수 있기 때문이다.
동법 제17조의 1항과 2항에는 개인정보를 제3자에게 제공할 시 개인의 동의를 구해야 함과 동의를 구할 때 고지해야 할 내용을 명시하고 있고, 3항에서는 국외의 제3자에게 개인정보를 제공하는 경우 정보주체에게 반드시 고지 후 동의를 구해야 함을 명시하고 있다.
동법 제17조의 1항과 2항에는 개인정보를 제3자에게 제공할 시 개인의 동의를 구해야 함과 동의를 구할 때 고지해야 할 내용을 명시하고 있고, 3항에서는 국외의 제3자에게 개인정보를 제공하는 경우 정보주체에게 반드시 고지 후 동의를 구해야 함을 명시하고 있다.
만약 과거 수집된 정보 중 개인정보가 포함되어 있고, 이들 정보를 국외의 제3자에게 제공함에 대해서 동의가 없는 상태라면 e-Discovery 수행 간 개인정보가 포함된 정보를 제공하는 것은 국내에서는 위법행위가 될 수 있다.
또한, 개인정보보호법은 보유기간이 경과했거나 정보의 처리에 대한 목적이 완료된 개인정보를 복구가 불가한 방법으로 파기하도록 명시하고 있다. 이러한 개인정보들 중에서 향후 ‘보존의 의무’에 해당될 수 있는 파일이 존재한다는 이유로 보존을 하게 된다면 이것 역시 국내에서는 위법행위가 될 수 있다.
법률 제11731호 ‘통신비밀보호법’의 경우도 고려를 해야 한다. 최근 모바일 보안 솔루션을 제공하는 업체들 중 일부는 시스템에서 스마트폰 등 모바일 단말기를 인증하기 위해 단말기기 고유번호를 수집하는 경우가 종종 있다.
단말기기 고유번호는 ‘이동통신사업자와 이용계약이 체결된 개인의 이동전화 단말기기에 부여된 전자적 고유번호’를 말하는 것으로서 통신비밀보호법 제3조 3항에는 이동전화 단말기 제조업체 또는 이동통신사업자가 단말기의 개통처리 및 수리 등 정당한 업무의 이행을 위하여 단말기기 고유번호를 제공하거나 제공받는 경우를 제외하고는 누구도 이를 제공하거나 제공받을 수 없도록 명시되어 있다.
이러한 경우 보안 솔루션에서 ‘단말기기 고유번호를 개인의 동의를 구한 후에 수집할 수 있는지 여부’에 대해서도 고민을 해야 하고, 이미 수집된 단말기기 고유번호가 포함된 정보를 국외의 제3자에게 제공했을 때 위법행위가 되지 않는지에 대해서도 확인을 해야 한다.
혹자는 e-Discovery 절차 수행 간 정보를 제공할 때 국내 법에서 문제가 될 수 있는 부분은 제외하고 공개하면 된다고 생각할 수도 있다. 만약 평소부터 개인정보 등과 같이 민감한 정보를 구분해서 관리하고 있으면 좋겠지만 현재 우리나라에서 기업들이 보유하고, 관리하는 정보들 중 민감한 정보를 독립적으로 추출할 수 있는 솔루션과 시스템을 구축한 곳은 많지 않기 때문에 쉽지 않을 것이다.
또한, 기업에서 운영 중인 각종 시스템의 정보가 저장된 서버의 경우, 소수의 대기업을 제외하고 정보의 체계적인 저장과 관리가 이루어지지 않는 경우가 많다. 초기 보관해야 할 정보의 양이 많지 않던 시절 구축된 장비 위에 저장장치만 추가하거나, 새롭게 도입되는 시스템이 발생할 때마다 이를 구분하지 않고 가용한 장비에 임시방편의 형태로 운영파일들을 설치하다 보면 데이터베이스는 정리되지 않고, 복잡해지게 된다.
특히, 여러 개의 계열사를 가지고 있는 그룹 형태의 대기업이 계열사의 구분 없이 장비를 구축하거나 통합 e-Mail 서버, 통합 출입관리 시스템 서버 등을 사용한다면 e-Discovery 과정에서 개인정보를 추출하기가 쉽지 않을 것이다.
미국법원 역시 국내법을 근거로 정보를 제출하지 않는 것에 대해 허용하지 않기 때문에 e-Discovery를 준비하는 사람들은 심각하게 고민하여 국내법과 미국법의 요구 조건을 모두 만족시키는 방법을 찾아야 한다.
미국법원 역시 국내법을 근거로 정보를 제출하지 않는 것에 대해 허용하지 않기 때문에 e-Discovery를 준비하는 사람들은 심각하게 고민하여 국내법과 미국법의 요구 조건을 모두 만족시키는 방법을 찾아야 한다.
법률 외에도 우리나라에서 e-Discovery의 준비와 실행을 위해 고려해야 할 요소로 기업의 전산 시스템을 들 수 있다. 일반적으로 e-Discovery와 관련된 참고서적들을 보면 기존에 발행된 디지털 포렌식 서적들과는 조금 다른 양상을 볼 수 있을 것이다.
여러 가지 상이한 양상 중에서 가장 큰 차이점은 기존의 디지털 포렌식 서적들이 데이터의 복구와 분석을 하는 기술자들에 의해서 주로 작성된 반면에 e-Discovery에 대해서 언급된 서적들은 법조계에 종사하는 법률가들에 의해서 주로 작성되고 있는 데 기인한다.
여러 가지 상이한 양상 중에서 가장 큰 차이점은 기존의 디지털 포렌식 서적들이 데이터의 복구와 분석을 하는 기술자들에 의해서 주로 작성된 반면에 e-Discovery에 대해서 언급된 서적들은 법조계에 종사하는 법률가들에 의해서 주로 작성되고 있는 데 기인한다.
그렇다보니 디지털 포렌식 서적들은 증거수집과 데이터 복구, 분석에 필요한 기술적인 측면이 세부적으로 잘 설명된 반면에 e-Discovery 서적들은 증거개시제도의 세부절차에 대한 법적인 의미와 각종 판례의 해석 위주로 작성되는 경향이 강하다.
그리고 이러한 서적들 중에 정보의 저장과 관리 시스템에 대한 내용을 언급한 것들을 보면 미국 기업의 시스템을 기준으로 설명하는 것이 많고, 포괄적으로 설명한 부분이 많아 실제 우리나라의 기업에서 e-Discovery를 준비하고 실행할 때 적용하기 어려운 부분들을 발견할 수 있다.
그 예로 데이터의 훼손에 대비하여 정보에 대한 사본을 보존하는 백업 시스템을 들 수 있다. e-Discovery를 설명한 서적들에서는 백업 시스템에 저장된 정보를 확인하고, 복구하거나 검토를 할 때 자기테이프(magnetic tape)에 대한 내용을 주로 설명하는 반면에 우리나라의 기업들 중에는 백업시스템으로 자기테이프를 사용하지 않고 있거나 최근 들어 자기테이프를 구매하는 기업들이 많다.
이는 국가별로 생산되거나 판매되는 장비들의 가격에 차이가 있고, 많은 기업들이 전산 시스템이나 문서관리 시스템을 구축하는데 있어 시대적인 영향을 받기 때문이다. 그래서 e-Discovery의 준비와 실행을 할 때 우리나라에서 어떤 정보관리 시스템을 사용하고 있는지 확인하고, 이해하는 것이 선행되어야 할 필요가 있다.
보안 시스템 역시 e-Discovery의 준비에 있어 반드시 이해해야 하는 부분이다. 문서보안, 정보보안, 물리보안 시스템을 보면 다양한 솔루션과 로그파일이 존재한다. 그 중에서 암호화 시스템을 보면 회사마다 차별화된 암호화 시스템을 사용하는 것을 볼 수 있다.
우리나라에서 e-Discovery를 실행하기 위해서는 이러한 암호화 시스템에 대해 준비해야 할 필요가 있다. 물론 소송당사자 기업이 현재 사용 중인 암호화 시스템과 관련된 정보를 제공해 주고, e-Discovery 절차에서 정보를 확인할 수 있도록 조치해 주겠지만 준비되지 않은 기업의 경우 이 과정에서 많은 시행착오를 겪을 수 밖에 없을 것이다.
실제로 e-Discovery 기술 벤더들이 고객 기업에서 정보에 대한 복제본을 생성하거나 복사를 할 때 암호화를 고려하지 않고 사본을 생성했다가 검토를 하는 변호사가 검토를 하지 못해 일을 번복하는 경우가 발생하기도 한다. 또한, 단일 기업에서 여러 가지의 암호화 솔루션을 사용하거나 기존에 사용하던 암호화 솔루션을 도중에 변경하여 문서가 작성된 기간별로 암호화 해제 방법이 상이한 경우 정보의 검색과 선별에 있어 추가적인 비용과 시간이 소요되기도 한다.
이러한 시행착오를 미연에 방지하기 위해 e-Discovery를 준비하는 동안 제한사항이 될 수 있는 보안 솔루션과 그 환경에 대해서 이해하고, 제한사항을 어떻게 극복할 것인지에 대해서 준비해야 한다. 또한, 보안 솔루션에 의해서 생산되고 저장되는 로그 파일 중에는 소송과 관련하여 활용할 것이 없는지 확인하는 것이 좋다.
뿐만 아니라 해당 기업에서 운영 중인 보안 시스템 중에 특정 정보에 대한 접근제한, 일정 기간 경과 후 자동 삭제, 데이터 삭제 시 복구가 불가하도록 이루어지는 추가적인 조치 등이 있다면 사전에 파악하여 e-Discovery의 ‘보존의 의무’에 해당되는 정보가 보안 시스템에 의해서 훼손됐을 때 해당 과정에 대해서 입증해야 고의적인 훼손에 대한 책임을 면할 수 있다. 이러한 이유에서 우리나라의 기업들이 주로 사용하는 보안 시스템에 대한 이해는 e-Discovery의 선행조건이라고 볼 수 있다.
그 동안 1회에서 6회까지의 기고를 통해 e-Discovery의 개념과 정의, 환경, 이해해야 할 요소들에 대해 언급을 했다. e-Discovery를 준비하려면 미국법정에서 요구하는 미국의 법률과 디지털 포렌식 외에도 국내법과 기업들의 전산 시스템, 문화, 보안, 조직의 구성, 문서관리 시스템 등에 대한 이해가 필요하다.
6회에서 언급한 국내의 사법환경과 전산시스템, 보안시스템 등의 환경은 e-Discovery의 준비에 있어 필요한 일부를 예를 들어 제시한 것이고, 실제 고려해야 할 법률과 시스템들은 그 종류가 더 많을 것이며, 그 범위도 방대할 것이다.
만약 이러한 분야들에 대해서 전반적인 지식이 있는 사람이 e-Discovery를 준비한다면 각 기능별로 필요한 요소들을 확인하고, 종합하여 완벽에 가까운 계획 수립이 가능하겠지만 그렇지 않다면 e-Discovery의 계획수립과 준비는 결코 쉽지 않을 것이다. 또한, 서툰 이해로 해당 분야 전문가의 의견을 간과하는 사람이 e-Discovery의 준비를 총괄한다면 해당 기업을 주화입마(走火入魔)의 위기로 몰아넣을 수도 있다.
7회에서는 그 동안 언급된 내용을 바탕으로 체계적이고, 효율적으로 e-Discovery를 준비할 수 있는 방향에 대해서 논의하고자 한다.
[글_ 유 정 호(griphis77@me.com), 기업보안담당자]
[글_ 유 정 호(griphis77@me.com), 기업보안담당자]
댓글 없음:
댓글 쓰기