SPRi - 소프트웨어정책연구소

미국의 디지털 데이터 압수수색 관련 입법 동향

이현승산업정책연구실 실장

2018.09.20

18912

글자크기

미국의 디지털 데이터 압수수색 관련 입법 동향 1
- 1928년 미국 연방대법원이 Olmsted v. U.S. 사건에서 전화도청이 부당한 압수수색에 해당하지 않는다고 판결하자 1934년 미국 의회는 연방통신법을 제정해 도청을 금지하게 되었고, 이후 정보통신기술의 발전에 따라 통신의 자유를 폭넓게 인정하는 방향으로 1986년 저장통신법까지 제정되었음
- 2013년 12월 발생한 마약밀매사건 수사를 위해 미국 뉴욕남부 연방지방법원은 저장통신법(Stored Communications Act)에 따라 마이크로소프트사에 특정 계정의 이메일을 제출 하라는 영장을 발부했으나, 마이크로소프트사는 이메일이 해외 데이터센터에 있어 제출할 수 없다면서 철회해 줄 것을 요청하였고, 2014년 1심에서 이메일 제출의무를 인정한 반면 2016년 2심에서는 이메일 제출의무를 인정하지 않아 연방대법원에 계류 중이었음
- 2018년 3월 23일, 해외 소재 디지털 데이터에 대하여 법원의 영장에 따른 제출의무를 인정하되 해당 소재지 국가의 법에 따라 거부할 수 있도록 개정된 CLOUD(Clarifying Lawful Overseas Use of Data)법이 시행되면서 이번 사건은 종결되었음
- 이처럼 미국은 클라우드 등 달라진 정보통신환경에 맞춰 사법절차 제도를 계속 정비해 나가고 있으며, 정부도 이에 관심을 가지고 대응해 나갈 필요가 있음
- I n 1928, the US Supreme Court ruled that wiretapping did not constitute an unfair seizure and search in the Olmsted v. U.S case and as a result, in 1934, the United States Congress enacted the Federal Communications Act and banned eavesdropping without a legal warrant. After that, in accordance with the development of information and communication technology, the United States Congress enacted Stored Communications Act for the freedom of Communication.
- To investigate an drug trafficking case occurred in December 2013, the US District Court for the Southern District of New York issued a warrant to Microsoft to produce a suspect’s email in accordance with the Stored Communications Act, Microsoft challanged the warrant because those emails existed in the abroad data center. Appeal court was in favor of Microsoft even though they lost the trial in the district court and the case was in the Supreme Court.
- On March 23, 2018, the Clarifying Lawful Overseas Use of Data(CLOUD) law was enacted to give internet and data service providers the obligation to follow the warrant by the court regardless of whether the data are stored in foreign countries and the right to motion for quash or modification under the laws of foreign countries. Then, this case was rendered moot and vacating.
- United States is constantly improving its judicial process system in accordance with the evolving information and communication environment, such as the cloud, and the korean government needs to review and prepare for the future cases.

통신비밀보호에 관한 미국 입법 역사

(미국 수정헌법 제4조와 대한민국헌법) 통신의 비밀 또는 자유는 각국 헌법에 언급된 국민의 중요한 기본권 중 하나이며, 적법한 절차에 따르지 않고는 침해되지 않아야 함을 명시하고 있음.
이러한 통신의 비밀 또는 자유를 침해하게 되는 적법한 압수수색은 사법당국이 발부하는 영장에 의하도록 되어 있어 같은 조문에 언급된 경우도 상당히 많음

표 1 각국 통신비밀 관련 헌법 조문

<표 1> 각국 통신비밀 관련 헌법 조문
국가	조문 내용
미국(수정헌법)	제4조(수색 및 체포 영장) 부당한 수색, 체포, 압수로부터 신체, 가택, 서류 및 통신의 안전을 보장받는 인민의 권리는 이를 침해할 수 없다. 체포, 수색, 압수의 영장은 상 당한 이유에 의하고, 선서 또는 확약에 의하여 뒷받침되고, 특히 수색될 장소, 체포 될 사람 또는 압수될 물품을 기재하지 아니하고는 이를 발급할 수 없다.
대한민국	제12조 ① 모든 국민은 신체의 자유를 가진다. 누구든지 법률에 의하지 아니하고는 체포·구속·압수·수색 또는 심문을 받지 아니하며, 법률과 적법한 절차에 의하지 아니하고는 처벌·보안처분 또는 강제노역을 받지 아니한다. ③ 체포·구속·압수 또는 수색을 할 때에는 적법한 절차에 따라 검사의 신청에 의하여 법관이 발부한 영장을 제시하여야 한다. 다만, 현행범인인 경우와 장기 3년 이상의 형에 해당하는 죄를 범하고 도피 또는 증거인멸의 염려가 있을 때에는 사후에 영장을 청구할 수 있다. 제17조 모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다. 제18조 모든 국민은 통신의 비밀을 침해받지 아니한다.
일본국	제21조 ① 집회, 결사 및 언론, 출판, 그 밖에 모든 표현의 자유는 보장된다. ② 검열을 하여서는 아니된다. 통신의 비밀을 침해하여서는 아니된다. 제35조 ① 누구든지 제33조의 경우를 제외하고 정당한 이유에 의하여 발부되고 수색하는 장소 및 압수하는 물건을 명시한 영장이 없으면 그 주거, 서류 및 소지품에 대하여 침입, 수색 및 압수당하지 아니할 권리를 침해당하지 아니한다. ② 수색 또는 압수는 권한있는 사법당국이 발부하는 특별한 영장에 따라 행한다.
중화인민공화국	제40조 중화인민공화국 공민은 통신의 자유와 통신의 비밀을 법률로 보호받는다. 국가 안전 또는 형사범죄 수사의 필요에 의하여 공안기관이나 검찰기관이 법률이 정하는 절차에 따라 통신에 대한 검사를 하는 경우를 제외하고는, 어떠한 조직이나 개인이든지 어떠한 이유로든 공민의 통신의 자유와 통신의 비밀을 침해할 수 없다.

(1928년 Olmsted 사건2과 1934년 연방통신법 제정) 1928년 영장 없이 실시한 도청을 수정헌법 제4조의 부당한 압수 또는 수색에 해당하지 않는다고 본 연방대법원 판결에 반대여론이 거세지자, 미국 의회는 1934년 연방통신법3을 제정하여 도청을 금지하였음
(사건개요) 연방수사관이 밀주 대량밀매행위를 한 혐의를 받고 있던 전직 경찰관 Roy Olmsted의 전화내용을 영장 없이 도청하여 Olmsted와 그와 결탁된 경찰관들을 기소하였음
(법적 쟁점) 도청이 압수 또는 수색에 해당한다면 영장이 없는 부당한 압수 또는 수색이므로, 그 이전에 확립된 위법하게 수집한 증거는 배제해야 한다는 원칙에 따라 도청으로 획득한 밀주 대량밀매의 증거를 유죄의 근거로 쓸 수가 없게 되어 무죄가 될 가능성이 있음
(연방대법원 판결) 5:4의 근소한 차이로 도청이 압수 또는 수색이 아니라고 판단하였는데, 수색은 물리적인 침입이 있어야 하고, 압수는 유형물을 대상으로 하는 것이어야 하는데 전화도청은 이에 해당하지 않으므로 연방헌법 수정 제4조의 적용을 받지 않는다는 논리였으며, 도청을 금지하려면 입법이 필요하다고 판결함
(연방통신법의 제정) 미국 의회가 제정한‘연방통신법(Federal Communications Act)’에서는 권한 없이 통신의 내용을 도청하거나 도청한 내용을 공개하는 행위를 금지하였음4
(연방통신법의 한계) 해당 조항은 전신, 전화 및 무선(Radio) 도청(Wiretapping)만을 규율했기 때문에 입법 이후의 기술발전에 따라 등장한 다른 도구에 의한 도청행위에 적용될 수 없었으며, 수사당국은 도청 결과를 누설하는 행위만 금지한다고 자의적으로 해석하여 도청을 막는 데 한계가 있었음
(1968년 범죄단속 및 가두안전 종합법 제정) 연방대법원이 각종 도청방법에 대해 위법하다고 판결하면서 통신의 비밀의 보호범위를 지속적으로 확대하자, 미국 의회는 도청을 비롯한 전자감시에 대한 포괄적인 규제를 위해‘범죄단속 및 가두안전 종합법(Omnibus Crime Control and Safe Street Act)’을 제정함
(1967년 Katz v. U.S. 사건) 찰스 카츠(Charles Katz)가 공중전화로 마이애미와 보스턴에 불법적인 도박정보를 전달했는데, 연방수사관이 카츠가 사용한 공중전화 부스에 도청장치를 설치해 녹음한 대화내용을 증거로 제출하자, 연방대법원이 공중전화라 해도 고립된 공간이므로 사생활을 기대하는 것은 정당하며, 그러한 기대에 반하여 대화를 도청한 것은 연방헌법 수정 제4조에 위반한다고 판시하여 사건별로 침입여부를 따지는 침입이론을 전면 폐기하였음
(범죄단속 및 가두안전 종합법 개요) 전화통신과 구두대화에 대해 일방 당사자가 동의 하지 않는 한 법원의 허가 없이 이뤄지는 모든 도청을 금지하고, 법집행기관은 열거된 종류의 범죄에 한하여 법원의 허가를 얻어 도청장치를 사용하도록 하면서 요건과 절차, 허가기간, 연장 및 예외에 관하여 상세히 규정하였음
(1986년 전자통신비밀보호법 제정) 통신기술이 계속 발전하고 컴퓨터를 이용한 데이터 교환도 보편화되자, 미국 의회는 범죄단속 및 가두안전 종합법의‘도청편’을 개정하는 ‘전자통신비밀보호법(Electronic Communications Privacy Act)’을 제정하여 통신의 비밀을 보다 폭넓게 보장하고자 함
(전자통신비밀보호법의 개요) 새로운 감시방법인 이동 추적 장치(Mobile Tracking Devices), 전화이용기록장치(Pen Register) 및 발신자 추적 장치(Trap and Trace Device) 등을 고려하여 기존의 관련법률 문구와 내용 등을 수정하고 전자통신의 정의를 신설하면서 법집행기관의 전자통신에 대한 감청, 통신기록과 전자적으로 저장된 통신에 대한 접근 등에 대한 절차를 명시함
(저장통신법의 등장) 특히 전자통신비밀보호법은 저장통신법5으로 불리는 새로운 장을 신설하여 인터넷서비스제공자가 보관하고 있는 서비스이용자에 대한 각종 기록들을 자발적으로 또는 의무적으로 제출하는 것에 관해 규정함
(저장통신법의 중요성) 지금까지 다루었던 도청은 실시간으로 이뤄지는 현재의 통신기록이나 정보에 대한 것인 반면, 저장통신법은 유선 및 전자통신사업자와 원격 컴퓨팅 서비스6 사업자가 보관하고 있는‘과거의’이용자 통신기록이나 통신내용(특히 이메일 포함)에 대한 수사기관의 수집권과 허용범위를 다루는 법률이어서 아래에서 다룰 연방정부(정확히는 연방수사국)와 마이크로소프트사 간의 이메일 제출 여부에 대한 분쟁의 직접적인 대상 법률이었음

표 2 저장통신법 세부내용

<표 2> 저장통신법 세부내용
구분		내용
용어정의	유선(음성)통신	각종 연결선을 활용한 음성 통신방식
	구두대화	어떠한 전자적 통신방식을 포함하지 않는 말로 하는 대화
	전자통신7	유무선, 전자기, 광통신 등으로 이뤄지는 부호, 신호, 글, 이미지, 소리, 데이터 또는 어떠한 특성의 정보의 전송을 의미함 - 유선통신과 구두대화는 제외 - 알림전용 호출장치, 추적장치, 전자적 자금이체정보는 제외
	전자통신 서비스8	이용자에게 유선(음성)통신 또는 전자통신의 송수신을 가능하게 하는 모든 종류의 서비스
	원격 컴퓨팅서비스9	전자통신시스템에 의해 여러 사람들에게 컴퓨터 저장장치나 정보처리장치를 제공하는 것을 의미
원칙10		‘사업시설에 고의로 무단 접근하거나’혹은‘사업시설에 대해 허용된 접근권한을 초과하여’, 전자기기 내에 보관된 유선 혹은 전기형태의 통신기록이나 정보의 수집을 원칙적으로 금지
예외		수사기관이‘적법한 목적에 의거하고 그리고/혹은 일정한 요건을 충족하여’, 이용자 통신 정보나 기록을 요청하는 경우에 해당 사업자는 정보나 기록을 제공
자발적 공개요건		사망의 위험이나 심각한 신체적 상해가 관련된 긴급한 상황으로 이러한 상황을 지체 없이 공개할 필요가 있다고 선의로 판단하는 경우, 통신사업자는 통신의 내용(Contents of Communications) 혹은 고객기록(Customer Records)을 정부 기관에게 공개 가능
의무적 공개대상		1. 전자적 저장장치 또는 원격 컴퓨팅 서비스에 있는 유선(음성)통신과 전자통신의 내용 2. 전자통신서비스 또는 원격 컴퓨팅 서비스와 관련된 기록 - 이름, 주소, 지역·장거리전화 접속의 기록, 횟수, 시간, 임시할당 네트워크 주소, 전화·장비번호, 가입자번호 및 신원정보, 그리고 가입자의 서비스 이용대금 지급방법 및 출처(신용카드, 은행 계좌번호 포함) 등등
의무적 공개의 절차적 요건		법원의 영장(Court Warrant) - 적법한 절차에 따라 관할법원이 발부한 영장을 획득한 경우
		법원의 명령(Court Order) - 규정에 따라 법원의 공개 명령을 획득한 경우
		정부기관의 문서제출요청(Administrative Subpoena) - 정부기관이 적합한 문서제출요청서를 제시한 경우
의무적 공개의 내용상 요건		수집대상 정보가 현재 진행 중인 범죄수사와‘관련되고 중대하다(Relevant and Material)’고 인정할 만한‘구체적이고 명확한 사실관계(Specific and Articulable Facts)’가 증명되어야 함 - 도청과 같이‘실시간’통신의 내용을 수집하고자 할 때 요구하는 가장 엄격한 요건인‘상당한 근거(Probable Cause)’보다는 완화된 것임

마이크로소프트사 이메일 사건의 개요11
- (사건배경) 2013년 12월 발생한 마약밀매사건의 수사를 위해 수사기관이 뉴욕남부 연방지방 법원에 마이크로소프트사를 대상으로 범죄와 연루된 특정 이메일 계정에 관한 정보 및 관련 이메일의 제출을 요구하는 영장을 신청했고, 연방치안판사(Magistrate Judge)는 저장통신법 제2073조에 따라 영장을 발부했는데, 마이크로소프트사는 이의를 제기함
- 이메일계정에 관한 정보는 미국 내의 마이크로소프트사의 서버에 저장되어 있어 이의 없이 제출하였는데, 이메일은 해외인 아일랜드(Ireland)의 수도 더블린(Dublin)에 위치한 서버에 저장되어 있었음
- 2013년 12월 18일 마이크로소프트사는 이메일을 제출하라는 영장을 무효화해 줄 것을 법원에 신청하였음
- (마이크로소프트의 패소) 2014년 5월 치안판사는 저장통신법의 영장은 영장(Warrant)과 소환장(Subpoena)12을 겸하고 있으므로 마이크로소프트사는 이메일을 제출해야 한다는 취지의 결정을 내렸고, 마이크로소프트사는 연방지방법원에 다시 항소하였으나 역시 같은 결정이 내려짐
- 치안판사는 저장통신법의 연혁을 살펴보면서 해당 영장은 일반 영장과 달리 소환장의 의미를 같이 가지고 있어 영토상 제한을 받지 않는다고 결정했는데 해외 이메일 서버라고 해도 마이크로소프트사가 실질적으로 관리하고 있다는 점을 고려하였다고 알려져 있음
- 우리가 흔히 아는 압수수색영장은 수사기관에게 특정 기관 또는 단체를 대상으로 명시된 범위의 압수수색을 허용하는 허가장의 성질을 가진 것인데, 저장통신법 상의 영장은 허가장과 함께 대상이 된 마이크로소프트사가‘이메일을 찾아서 제출할 의무가 있는’ 소환장의 성질도 같이 있다고 본 것으로 판단되며 소환장이기 때문에 영토상의 제한을 받지 않는다고 결정한 것임
- (마이크로소프트의 승리) 마이크로소프트가 항소를 제기한 제2순회항소법원의 3인 재판부는 2016년 7월 전원 일치된 의견으로 1심 결정을 파기, 영장을 무효화했고, 연방정부가 신청한 전원합의체 재심리에서도 2017년 1월 같은 결정이 내려지자 연방정부는 2017년 6월 연방 대법원에 상고하였음
- 항소법원의 심리 중 아일랜드 정부가 중립적 입장에서 의견서를 제출하였고, 유럽의회 의원 장 필립 알브레히트가 마이크로소프트 편에서 의견서를 제출하였음
- (아일랜드 정부의 의견) 미국 연방정부의 이메일 관련 수사는 유럽연합의 개인정보보호 지침과 아일랜드의 개인정보보호법에 위배되며, 아일랜드 영토 내의 이메일은 2001년 미국과 아일랜드 사이에 체결된 사법공조조약에 따라서만 제출될 수 있고 해당 절차를 신속히 진행할 의사가 있다는 것이었음
- (장 필립 알브레히트의 의견) 이번 사건에서 법원이 영장의 집행을 허용한다면(미국 국적의 인터넷서비스사업자들의) 해외 데이터센터에 존재하는 상당한 데이터들에 대해서도 적용될 수 있다며 우려를 표명함
- 2016년 7월 항소심 재판부는 2010년‘Morrison v. National Australia Bank’사건에서 연방대법원이‘다른 의도가 명시되지 않는 한, 미국 의회가 제정한 법률은 미국의 사법 관할권 내에서만 적용되는 것이 오랫동안 지속된 미국 법의 원칙’라고 명시한 것에 따라서 저장통신법의 취지에 미국 사법관할권 이외의 지역에도 적용한다는 것이 없다는 이유로, 1심 결정을 만장일치로 파기하고 이메일 제출 영장을 무효화하였음
- 일부 판사는 보충의견으로 저장통신법의 영장은 단순한 수색영장이 아니라는 연방 정부의 의견에는 동의하면서도 이메일의 소유자가 미국 시민권자 또는 영주권자라는 증거가 없으며, 의회는 저장통신법의 취지를 명확하게 하고(발달한 정보통신환경에 맞춰) 조속히 입법을 해야 한다는 의견을 표명함
- 2016년 10월 연방정부는 제2순회항소법원에 전원합의체 재심리를 신청했는데, 2017년 1월 4:4로 동수를 이뤄 해당 결정이 유지되자, 일부 보수적인 판사는, 정부가 법집행에 심각한 부담을 안게 되었고, 범죄가 보다 손쉽게 되었으며, 미국과 동맹국의 국가안보에 지장을 받게 되었다며 조속한 입법을 촉구하는 의견을 표명하였음
- (유사 사건에서의 구글의 패소) 마이크로소프트사와 유사한 압수수색영장을 받은 구글도 같은 요청을 하였지만, 2017년 2월 해당 치안판사는‘이메일 제출을 위한 데이터 송수신은 압수 및 수색에 해당하지 않는다’는 논리를 내세워 구글의 신청을 기각하여 해외 데이터에 관한 저장통신법의 해석에 논란이 가중되었음
- 구글 사건의 경우에는 이메일 중 일부가 해외에 있었다는 점에서 마이크로소프트의 경우와는 조금 다르지만, 해당 연방치안판사는 제2순회항소법원의 판결을 알면서도 새로운 논리를 내세워 다른 결정을 내렸음
- 이 판사는 이메일의 제출을 위한 데이터의 송수신은 영장에 명시된 압수 및 수색에 해당하지 않고, 미국 영토 내에 존재하는 연방수사국에서 제출된 이메일을 열람 및 복사할 때 압수 및 수색이 발생하므로, 저장통신법의 영장은 유효하다는 논리로 구글의 신청을 기각하였음
- (연방대법원의 소송종료) 법무부는 2017년 6월 연방대법원에 상고하였고, 10월에 상고 허가가 나서 2018년 2월에 공개변론까지 열렸지만, 2018년 3월에 CLOUD(Clarifying Lawful Overseas Use of Data) 법이 2018년 예산안과 같이 통과되어 3월 22일 시행되자, 법무부와 마이크로소프트사의 동의하에 연방대법원은 소송이 의미 없다고 판단하고 제2순회항소법원으로 파기 환송하였음
- 당시 법무부는 구글, 마이크로소프트, 야후 등 거대 인터넷서비스사업자들이 해외 데이터에 대한 수사를 어렵게 만들고 있다고 주장하면서 33개 주의 동참을 이끌어냈는데, 마이크로소프트사는 이번 상고는 불허되어야 한다면서 의회는 빨리 법 개정을 서둘러야 한다는 의견을 표명함
- 2018년 2월에 열린 공개변론에서 대법관들 사이에서 제2순회항소법원의 마이크로 소프트에 우호적인 결정에 대해 찬성, 반대, 절충안 등으로 의견이 갈리는 듯한 양상을 보였으며, 2018년 6월내에 판결이 내려질 것으로 전망되었음13
- CLOUD법이 통과되자 법무부는 바로 해당 법에 따른 새로운 영장을 청구하여 발부 받았으며, 연방대법원에도 이번 사건을 무효화(Moot)하여 파기환송해 줄 것을 요청했고 마이크로소프트도 이에 동의하자 2018년 4월 17일 연방대법원은 이번 사건을 무효화 하고 제2순회항소법원으로 파기 환송함
CLOUD 법의 개요14
- (입법과정) 마이크로소프트사 이메일 사건을 입법으로 해결하고자, 2015년‘해외저장데이터 획득에 관한 법’(Law Enforcement Access to Data Stored Abroad Act)과 2017년‘국제통신 개인정보보호법’(International Communications Privacy Act)이 제출되었고, 이들을 합쳐서 CLOUD법이 만들어졌음
- 입법과정에서 사법공조조약을 활용하는 방안은 미체결국가와는 새로운 조약을 맺어야 하며 기체결국가의 경우에도 데이터를 확보하는 것이 오래 걸릴 수 있어서 이를 보완하는 별도의 절차를 입법하였음
- (주요내용) CLOUD법의 주요내용은 다음과 같음
- 전자통신서비스 또는 리모트컴퓨팅서비스 제공자는 자신들이 소유, 관리하고 있는 범위에서 데이터의 저장장소가 미국 내이든지 해외이든지 상관없이 이 법에 따라서 유선통신 또는 전자통신의 내용과 사용자 관련 기록과 정보들을 보전, 백업, 제출해야 함(저장통신법 2713조 신설)
- 다만 사업자들은 가입자 또는 고객이 미국인이 아니며 미국 내에 거주하지 않고 그러한 공개로 인해 서비스제공자가 자격 있는 외국정부(Qualifying Foreign Government)의 법률을 위반할 중대한 위험을 발생시킬 것이라고 합리적으로 믿는 경우에는 해당 영장에 대한 각하(Quash) 또는 변경을 요청할 수 있음(저장통신법 2703조 개정)
- 사법공조조약의 대안으로는 행정부가 별도로 간소화된 행정협정을 맺을 수 있도록 하였는데, 이 협정을 통해 국무부장관의 동의하에 법무부장관이 특정 국가가 충분한 개인정보보호제도를 갖추고 있다고 인정하는 경우에 한해서는 쌍방 국민들에 관한 데이터의 제공이 서로 가능함(저장통신법 제2523조 신설)
- 다만, 협정체결국가는 의도적으로 미국인이나 미국 내에 거주하는 사람을 대상으로 하거나 미국인이나 미국 내에 거주하는 사람과 관련된 정보를 획득하기 위한 목적으로 미국 밖에 위치한 비(非) 미국인을 대상으로 명령을 발부해 서는 안 되는 등의 제약이 존재함
- 법무부 장관이 체결한 행정협정은 행정심사나 사법심사의 대상이 되지 않는다고 명시되어 있음
- (CLOUD법에 대한 비판) CLOUD법에 대해 수사기관의 데이터 감시능력을 너무 확대했다든지15, EU의 새 개인정보보호법인 GDPR과의 충돌 여지가 있다거나16, 미국 정부가 가상화폐를 통한 자금 불법 거래와 돈세탁 등을 감시한다는 명분하에 전 세계 가상화폐 계좌를 조사할 수 있다17는 내용이 대부분임
- (데이터 감시능력의 확대) 미국 사법기관이 해외 서버의 데이터를 이전보다 편리하게 조사할 수 있다는 점에서는 맞지만, 미국 내의 사업자가 실질적으로 관리하는 미국인의 계정으로 한정되고, 법원의 심사를 거친다는 점에서는 전 세계인이 대상이 되거나, 사법적 통제를 벗어났다고 보기는 어려움
- (가상화폐 분야에 대한 영향) 법의 적용을 받는 사업자가 유선통신과 전자통신, 원격 컴퓨팅 서비스 사업자라는 점에서 금융기관이 직접적인 대상이 된다고 보기는 어렵고, 대상범위에 계좌내역이나 거래내역이 포함된다고 보기도 어려워서 이 법에 따라 가상화폐 계좌에 대한 압수수색 영장이 발부될 가능성은 낮음
- (EU GDPR이나 외국 국내법과의 충돌 여부) GDPR은 EU 비회원국에 의해 발부된 법원의 영장에 따른 데이터 제공과 같이 EU 내에 저장된 데이터를 EU 외부로 이전(transfer)할 경우 국제형사사법공조 조약과 같은 국제협정만을 인정하는데 CLOUD법에 따른 행정협정이 국제협정에 해당되지 않을 가능성이 있어 충돌가능성이 있으며, 기타 미국 기업의 데이터센터가 설치된 국가의 국내법과의 충돌여부는 해당 국가의 대응을 지켜볼 필요가 있음
국내 사례 검토
- 마이크로소프트사 이메일 사건은 수사대상자의 해외 이메일 계정만 알고 비밀번호를 몰랐기 때문에 법원의 영장으로 인터넷서비스사업자의 협조를 얻어 이메일의 압수수색이 가능한지가 쟁점이었는데 국내에서는 수사기관이 피의자의 이메일 계정과 비밀번호를 모두 취득한 경우에 이메일을 압수수색할 수 있다는 판례만 존재하며, 지난 8월 30일 헌법재판소가 인터넷 상의 패킷감청에 관한 법률규정을 헌법에 불합치한다고 결정내리기도 하였음
- (시나닷컴 사건18) 수사과정에서 피의자 소유의 중국 소재 시나닷컴(sina.com) 이메일 계정의 아이디와 비밀번호를 적법하게 취득해 압수수색영장을 발부받아 15건의 이메일을 압수했는데, 이 이메일 압수과정이 위법한지 여부가 쟁점이었음
- (피고인의 주장) 피고인은 a) 시나닷컴 서버는 대한민국의 형사재판관할권이 미치지 않아 영장의 효력이 미치지 않고, b) 수사기관은 효력 없는 영장을 근거로 피고인의 개인정보를 수집하여 개인정보보호법을 위반했으며, c) 외국계 이메일 서버 관리자의 의사에 반하여 피고인의 계정 및 비밀번호를 입력한 것은 법질서 전체의 체계에 비추어 위법하다고 주장함
- (서울고등법원 2017노23판결 19 - 위법 판단) 2017년 6월 13일 재판부는 피고인의 해외 서버 이메일 계정에 로그인하여 압수수색을 하는 것은, 처분을 받는 자에게 압수수색 영장을 반드시 제시하도록 정하고 있는 형사소송법 제118조와 압수수색이 피고인·피의자의 주거지 외에서 이뤄질 경우 해당 집주인이나 관리인 등을 참여하도록 정하고 있는 형사소송법 제123조의 규정을 실질적으로 회피하게 되므로 위법하다고 판단하면서 이렇게 압수한 이메일의 증거능력도 부정하였음
- (대법원 2017도9747판결 - 합법 판단) 수사기관이 영장에 근거하여 피의자의 컴퓨터 등 정보처리장치 내에 저장되어 있는 이메일 등 전자정보를 압수·수색하는 것이 합법적 이듯이, 피의자의 이메일 계정 아이디와 비밀번호를 입력해서 원격지 서버의 이메일을 압수수색하는 것도 피의자 소유의 전자정보를 대상으로 하고 인터넷서비스제공자의 의사에 반한다고 볼 수도 없으며, 수색에서 압수에 이르는 일련의 과정이 모두 압수·수색영장에 기재된 장소에서 행해지기 때문에 합법적이라고 판단하여, 구글 사건의 치안판사와 유사한 논리를 펼쳤음
- (헌법재판소 - 패킷감청 헌법불합치 결정) 2018년 8월 30일 헌법재판소도 인터넷 회선의 패킷감청과 관련된 통신비밀보호법 조항이 수사기관의 권한 남용을 통제하고 관련 기본권의 침해를 최소화하기 위한 제도적 조치가 제대로 마련돼 있지 않다는 이유로 헌법불합치 결정을 선고하고, 2020년 3월 31일까지 개선입법을 명령함20
- 헌법재판소는 불특정 다수가 하나의 인터넷회선을 공유하는 경우가 많아서 법원이 허가한 피의자·피내사자의 통신자료 외에 다른 자료들도 막대하게 수집되는데, 수사기관의 권한 남용을 통제하고 관련 기본권의 침해를 최소화하기 위한 제도적 조치가 미흡해서 침해의 최소성 요건을 충족하지 못하고 사생활의 비밀과 자유에 심각한 위협을 초래해 법익의 균형성도 충족하지 못한다고 판단함
- 다만, 헌법재판소는 인터넷 사용이 일상화되어 있어 국가 및 공공의 안전, 국민의 재산 이나 생명·신체의 안전을 위협하는 범행의 저지나 이미 저질러진 범죄수사에 필요한 경우 인터넷 통신망을 이용하는 전기통신에 대한 감청을 허용할 필요가 있으므로 수사기관의 권한 남용을 방지하고 관련 기본권 제한이 최소화될 수 있도록 입법적 조치가 제대로 마련하라고 헌법불합치 결정을 내렸음
정리 및 결론
- 전 세계적으로 인터넷과 클라우드 같은 정보통신기술의 발전과 보편화에 따라 범죄예방과 수사를 위해서 디지털 데이터의 압수수색과 감청이 급증하고 있는데, 마이크로소프트사의 이메일 사건은 수사기관이 해외 소재 데이터를 필요로 할 때 어떤 절차를 통해 허용하고 금지할 것인지에 관한 미국 사법부의 고민과 입법부의 대응을 보여준 대표적인 사건임
- 뉴욕남부 연방지방법원의 저장통신법에 따른 이메일 압수수색영장에 대해 마이크로 소프트사가 철회를 요청하여 시작된 이 사건에서, 1심과 2심의 판단이 엇갈린 가운데 연방대법원에 상고되어 있던 상황에서 미국 의회의 CLOUD 법 제정으로 일단락되었음
- 만약 CLOUD법이 통과되지 않았다고 가정해 보면 연방대법원에서 저장통신법의 압수 수색 영장이 해외 서버의 이메일에도 적용된다고 판결했을 경우 1928년 Olmsted 사건 판결과 같은 논란이 발생해 결국 CLOUD법 제정으로 이어졌을 가능성도 있어 미국 의회의 대응이 적절했다고 보임
- 우리나라에서는 유사한 분쟁 사례는 아직까지 발생하지 않았지만, 미국과 CLOUD법에 따른 행정협정을 체결해야 할지 또는 현행 통신비밀보호법이나 형사소송법에 보완할 점이 있는지에 관해 살펴볼 필요가 있음
- 수사과정에서 피의자의 해외 이메일 계정의 아이디와 비밀번호를 모두 취득하고 법원의 영장에 따라 로그인하여 실시한 압수수색은 합법이라고 판단했으나, 이메일 계정만 알고 있는 경우에 대해서도 해외 인터넷사업자에 대한 압수수색영장이 효력이 있을지에 대해서는 아직 판단된 바 없음
- 앞으로 미국 CLOUD법의 제정을 계기로 디지털 데이터의 압수수색에 관한 현재의 사법제도를 살펴보고 보완책을 강구할 필요 있음
- 1 이번 동향은 영문 위키피디아의 아래 내용을 기초로 다수의 자료를 취합하여 정리한 것입니다. https://en.wikipedia.org/wiki/CLOUD_Act
- 2 이하의 내용은 고병민(2006),“미국의 통신비밀보호와 감청관련법규에 대한 고찰”에서 정리한 것임
- 3 미국에서 특정 법률이 제정되었다는 것은 대부분의 경우에 미국 연방법전의 특정 편(Title), 장(Chapter), 절(Subchapter)의 신설 외에 조항의 일부 개정 및 추가도 같이 포함하고 있음. 연방통신법은 연방법전 47편 통신의 제5장 유무선 통신을 의미함.(U.S. Code: Title 47 - TELECOMMUNICATIONS Chapter 5 - WIRE OR RADIO COMMUNICATION)
- 4 당시 해당 조항의 원문은 다음과 같음 “(전략) no person not being authorized by the sender shall intercept any communication and divulge or publish the existence, contents, purport, effect, or meaning of such intercepted communication to any person.” 출처 : https://law.justia.com/constitution/us/amendment-04/27-federal-communications-act.html#fn-405
- 5 저장통신법에 해당하는 18 U.S. Code Chapter 121(§2701 ~ §2712)의 영문 명칭은“STORED WIRE AND ELECTRONIC COMMUNICATIONS AND TRANSACTIONAL RECORDS ACCESS”으로“저장되어 있는 유선 및 전자 통신 그리고 업무상 기록에의 접근”으로 번역됨
- 6 the term“remote computing service”means the provision to the public of computer storage or processing services by means of an electronic communications system
- 7 “electronic communication”means any transfer of signs, signals, writing, images, sounds, data, or intelligence of any nature transmitted in whole or in part by a wire, radio, electromagnetic, photoelectronic or photooptical system that affects interstate or foreign commerce, but does not include- (A)any wire or oral communication; (B)any communication made through a tone-only paging device; (C)any communication from a tracking device (as defined insection 3117 of this title); or (D) electronic funds transfer information stored by a financial institution in a communications system used for the electronic storage and transfer of funds;
- 8 “electronic communication service”means any service which provides to users thereof the ability to send or receive wire or electronic communications
- 9 the term“remote computing service”means the provision to the public of computer storage or processing services by means of an electronic communications system
- 10 이 표의 일부 내용은 최창수(2016),“수사·정보기관의 통신이용 정보수집권에 관한 미국의 입법례와 그 함의 - 「2015년 미국 자유법」에 대한 검토를 중심으로 -”에서 인용하였음
- 11 이하의 내용은 https://en.wikipedia.org/wiki/Microsoft_Corp._v._United_States 을 토대로 작성하였음
- 12 소환장은 두가지 종류가 있음. 이 사건의 소환장은“subpoena duces tecum”로서 영장발부기관이 어떤 개인이나 기관에게 실제 증거를 제출할 것을 명령하는 소환장에 해당하며, 다른 나머지 소환장은 “subpoena ad testificandum”로서 어떤 개인에게 증언할 것을 명령하는 소환장임.
- 13 http://www.zdnet.co.kr/news/news_view.asp?artice_id=20180228140646
- 14 이하의 내용은 다음의 링크와 보고서를 참조함 https://www.congress.gov/bill/115th-congress/senate-bill/2383/text https://en.wikipedia.org/wiki/CLOUD_Act 송영진(2018),“미국 CLOUD Act 통과와 역외 데이터 접근에 대한 시사점”, 한국형사정책연구원, 형사정책연구 제29권 제2호(통권 제114호, 2018·여름)
- 15 http://slownews.kr/69339
- 16 송영진(2018) 165~166면 참조
- 17 http://m.coinreaders.com/a.html?uid=800
- 18 다음의 링크 또는 자료를 참조하였음 https://www.lawtimes.co.kr/Case-Curation/view?serial=10712&t=c https://www.lawtimes.co.kr/Legal-News/Legal-News-View?serial=119718 https://www.lawtimes.co.kr/Legal-Opinion/Legal-Opinion-View?serial=121018 대법원 2017.11.29. 선고 2017도9747 판결(http://www.scourt.go.kr/sjudge/1512108215099_150335.pdf)
- 19 이 사건 판결 이후인 2017년 7월 5일 서울고등법원의 2017노146 판결의 재판부는 수사기관이 적법하게 알아낸 피고인들의 아이디와 비밀번호를 입력하여 이메일을 취득하는 것은 합법적이라고 달리 판단하여, 대법원 판결의 귀추가 더욱 주목받음
- 20 http://news.khan.co.kr/kh_news/khan_art_view.html?art_id=201808301532011