대검, 형사정책연구원 등과 국제 학술 대회"해당 정보는 아일랜드 서버에 저장돼 있다."2013년 마이크로소프트(MS)는 미국 법무부의 이메일 정보 제공 요구를 이같이 거절했다.

영장의 효력이 아일랜드에는 미치지 않는다는 주장이었다.

이 사건은 올해 3월 연방법인 이른바 ‘클라우드법(CLOUD Act·Clarifying Lawful Overseas Use of Data Act)’이 시행되는 계기가 됐다.

이 법에는 미 기업이 외국 서버에 저장된 데이터를 영장이나 제출 명령에 따라 내야 한다는 내용 등이 담겨 있다.

미 기업들은 법 제정을 대체로 환영했다.

해외 데이터를 수사기관에 제출하는 데 대한 민사상 손해배상 책임에서 벗어날 수 있어서다.

최근 클라우드 컴퓨팅 환경이 발달하면서 클라우드 서버 압수수색이 각국 수사기관의 최대 현안으로 떠올랐다.

국내에서도 관련 법 개정을 비롯한 논의가 활성화돼야 한다는 목소리가 높다.

올해 대검찰청 국가디지털포렌식센터(NDFC) 개관 10주년을 맞아 지난 5일 서울 서초구 대검 NDFC에서 열린 과학수사 국제 학술 대회에 토론자로 나선 김영미 대검 검찰연구관은 미국과 유럽연합(EU) 사례를 들며 클라우드컴퓨팅법과 형사소송법 개정의 필요성을 강조했다.

지난해 7월 시행된 클라우드컴퓨팅법은 "클라우드 컴퓨팅 서비스 제공자는 법원의 제출 명령이나 법관이 발부한 영장에 의하지 않고는 이용자 동의 없이 이용자 정보를 제삼자에게 제공하거나 서비스 제공 목적 외의 용도로 이용할 수 없다"고만 규정하고 있다.

김 연구관은 "수사와 재판이란 법 집행기관 입장에서 보면 법에 부족한 부분이 많아 개정이 필요하다"고 꼬집었다.

일례로 서비스 제공자가 수사기관으로부터 정보 제공을 요청받은 사실을 누설했을 때 제재하는 조항을 만드는 방안을 검토해야 한다는 설명이다.

김 연구관은 또 "형사소송법 106조 3항은 압수 목적물이 ‘정보 저장 매체’인 경우 기억된 정보의 범위를 정해 압수하도록 하고 있는데, 압수 목적물을 ‘전자정보’로 명시화할 필요도 있다"고 덧붙였다.

이처럼 클라우드 서버의 전자정보를 압수수색하는 데 현실적으로 어려움이 적지 않다.

모두 열람해야 사건 관련성을 확인할 수 있는데다 파일 생성 시간 등을 조작할 수 있어서다.

국제형사사법 공조도 쉽지 않다.

현행 국제형사사법 공조는 ‘데이터가 어디에 있는지 안다’는 점을 전제로 한다.

이 전제는 클라우드 컴퓨팅 환경에서는 적용되지 않는다.

이 같은 애로사항을 해결하기 위한 국제적 노력도 이어지고 있다.

유럽 사이버범죄 협약은 일정한 요건을 갖추면 국제형사사법 공조 없이 전자정보를 바로 받아볼 수 있게 하고 있다.

사이버 사기나 저작권법 위반, 아동 포르노 같은 사건이거나 제출 명령 등이 있는 경우에 한한다.

2004년 발효한 이 협약은 지난해 말 기준 미국·일본 등 71개국이 가입했다.

우리나라는 아직 가입하지 않은 상태다.

클라우드법도 미 법무부와 행정협정을 맺은 국가가 미 인터넷서비스사업자(ISP)에게 전자정보를 직접 요청할 수 있게 규정하고 있다.

또 다른 토론자로 참석한 송영진 경찰대 국제사이버범죄연구센터 선임연구원은 "클라우드 서버의 전자정보 증거 수집에 대한 논의가 활성화돼야 한다"면서 "수사 실무에서 개인의 인권과 프라이버시를 보장하면서도 증거 확보를 효율적으로 가능하게 하는 최선의 방안이 모색돼야 한다"고 지적했다.

박진영 기자 jyp@segye.com