1 3
법과 도덕적 관점
13.1사이버범죄와 컴퓨터범죄
13.2 지적 재산권
13.3프라이버시
13.4윤리적 문제
13.5추천 자료와 웹 사이트
13.6주요 용어, 복습문제와 연습문제
Network Security Essentials
CHAPTER
개들 중에는 나름대로 내려진 존재로서 품격 있는 행동을 하는 종들이 있다. 내가 훈련시키 고 있는 아주 영리하고 사려 깊은 한 독일산 셰퍼드를 예로 들면 셰퍼드는 다른 개들이 복 종을 하지 않으면 그 개들을 향해 시끄럽게 짖어댄다. 또 물건을 물어오는 훈련을 시킬 때 장난삼아 물건의 한쪽 끝 위에 아령을 올려놓았다. 셰퍼드는 그냥 무작정 물고 댕겨서 물건 을 물고 오는 대신, 이건 안 된다는 듯이 아령과 나를 번갈아 쳐다본 다음 그것을 조심스럽 게 밀어서 물건을 물어 올릴 수 있게 한 다음 물어서 가지고 온다.
—《애덤의 일(Adam's Task): 이름으로 동물부르기(Calling Animals by Name)》, 비키 헌(Vicki Hearne)
컴퓨터 보안의 법적 도덕적 관점은 넓은 범위의 주제와 관련되며 전부 다룬 다는 것은 이 책에서 한계가 있다. 이 장에서 우리는 몇 가지 중요한 주제만 발췌하여 다루기로 한다.
이 책의 대부분에서 컴퓨터와 네트워크 공격을 탐지, 예방, 복구하는 기술적인 방 법에 대해 다루고 있다. 한 가지 좀 다른 도구가 법 집행기관의 제지 요인이다. 다 양한 컴퓨터 공격은 범죄행위로 간주되고 일반적으로 형사상 제제조치가 내려진 다. 이 절에서는 컴퓨터범죄 유형을 분류해보고 컴퓨터범죄를 처리하는 법 집행기 관만이 가진 어려운 점에 대해 살펴보기로 한다.
법과 도덕적 관점
1 3
13.1 사이버범죄와 컴퓨터범죄
컴퓨터범죄 유형
컴퓨터범죄(computer crime) 또는사이버범죄(cyber crime)는 컴퓨터나 컴퓨터 네 트워크를 도구로 사용하거나, 목표로 삼거나, 범법 행위를 수행하는 장소로 사용 하는 범죄행위를 나타내는 데 가장 널리 쓰이는 용어이다1). 이 분류는 절대적이지 는 않으며 많은 행위가 한 범주 또는 여러 범주에 속하는 특성을 가지고 있다. 사 이버범죄는 네트워크를 이용한 범죄와 연관되며 컴퓨터범죄는 네트워크를 이용하 기도 하고 안 하기도 하다.
미국 법무부[DOJ00]에서는 범죄 행위에 사용된 컴퓨터의 역할이 무엇이냐에 따라 컴퓨터범죄를 다음과 같이 분류한다.
●컴퓨터가 목표(Computers as targets): 컴퓨터 시스템을 목표로 한 범죄 유형.
범죄 목적은 컴퓨터 시스템에 저장된 정보 획득, 허가나 대가 없이 목표 시스템 을 통제(서비스 도난), 데이터 무결성 침해 및 컴퓨터나 서버의 가용성 방해이다.
제1장의 용어를 빌리자면 이런 유형의 범죄는 데이터 무결성, 시스템 무결성, 데 이터 기밀성, 프라이버시, 가용성에 대한 공격이다.
●컴퓨터를 저장장치로 사용(Computers as storage devices): 컴퓨터나 컴퓨터 장치를 수동적인 저장매체로 사용하여 훨씬 더 불법적 행위를 하기 위해 컴퓨터 를 사용할 수 있다. 예를 들면, 훔쳐온 패스워드 목록, 신용카드 번호나 호출카드 번호, 소유권이 있는 회사의 정보, 음란 이미지 파일 또는‘warez’(소프트웨어 해적판)을 감춰두기 위해 컴퓨터를 이용할 수 있다.
●컴퓨터를 통신 도구로 사용(Computers as communication tools): 이 영역에 속하는 많은 범죄는 온라인상에서 행해지는 전통적 범죄행위이다. 예를 들면 불 법적 처방약품, 규제약물, 주류 및 총기류 거래, 사기, 도박 그리고 아동 외설물 과 관련된다.
표 13.1에 나타낸 더 자세한 범죄목이 국제 사이버범죄 조약(Convention on Cyber crime)에서 정의한 내용이다.2)이 목록에는 무엇이 컴퓨터범죄나 사이버범
1) 이 용어의 정의는 뉴욕 법대 과목인 사이버범죄, 사이버테러리즘, 디지털 법집행이라는 과목에서 사용되 고 있다(information-retrieval.info/cybercrime/index.html).
2) 2001년 사이버범죄조약은 최초의 국제적 협약으로 국가법 간의 통일성, 수사기법 개선, 국가 간 협력증 진을 통해 인터넷 범죄에 대처하고자 하였다. 유럽연합이 개발하였고 미국을 포함한 43개 국가가 비준하 였다. 이 조약에는 각 서명 국가는 반드시 자국의 법 조항에 삽입해야만 하는 범죄목록이 포함되어 있다.
제2조 불법 접근
권리 없이 컴퓨터 시스템 전체나 일부에 접근하는 것 제3조 불법 가로채기
기술적 수단으로 허가없이 공개되지 않은 컴퓨터가 시스템 내에서 오고 가는 동안에 전송 데이 터를 가로채는 것. 가로채는 대상에 속하는 것으로는 이런 컴퓨터 데이터를 담고 가는 컴퓨터 시스템으로부터 나오는 전자기적 방출도 포함된다.
제4조 데이터 간섭
권리 없이 컴퓨터 데이터에 대한 파손, 제거, 능력저하, 수정 및 억압하는 행위.
제5조 시스템 간섭
컴퓨터 시스템의 기능에 대한 권리 없이 컴퓨터 데이터에 삽입, 전송, 파손, 제고, 능력저하, 수 정 및 억압을 통해 심각한 방해를 하는 것.
제6조 장치 오용
a. 생산, 판매, 이용 목적의 입수, 수입, 배포 또는 이용 가능하게 하는 것.
i. 위의 제2조부터 5조에 따라 이루아진 모든 침해 행위를 주요 목적으로 해서 설계하거나 수용한 컴퓨터 프로그램을 포함한 장치.
ii. 위의 제2조부터 5조에 따라 이루어진 모든 침해 행위를 주요 목적으로 해서 컴퓨터 시스 템의 일부 또는 전체에 대해 접근할 수 있도록 하는 컴퓨터 패스워드, 접근 코드, 또는 유 사한 데이터.
b. 위의 제2조부터 5조에 따라 이루어진 모든 침해 행위를 주요 목적으로 해서 위의 a. i 또는 ii 문장에 참조된 아이템을 소지하는 것. 소송 당사자는 형사책임이 부여되기 이전에 여러 개의 이런 아이템을 소유해야만 한다는 것을 법으로 요청한다.
제7조 컴퓨터 관련 위조
데이터가 직접적으로 읽을 수 있거나 이해되는 것과는 무관하게, 데이터가 원본인 것처럼 법적 목적에서 사용하거나 효력을 발휘하게 할 목적으로 컴퓨터 데이터에 대한 삽입, 수정, 제거 및 억제를 통해 원래 데이터와 다르게 만드는 것.
제8조 컴퓨터 관련 사기
다음과 같은 행위로 다른 사람의 재산에 손실을 끼치는 것 a. 컴퓨터 데이터에 대한 삽입, 수정, 제거하거나 억제하는 것.
c. 자신이나 다른 사람을 위한 경제적 이득을 취하기 위해 사기 치거나 속일 의도로 권리 없이 컴퓨터 시스템의 기능에 대한 모든 간섭.
제9조 미성년 음란물 관련 침해
a. 컴퓨터 시스템을 이용한 배포 목적으로 미성년 음란물을 생성하는 것.
d. 컴퓨터 시스템을 이용하여 미성년 음란물을 제공하거나 이용하게 하는 것.
e. 컴퓨터 시스템을 이용하여 미성년 음란물을 배포하거나 전송하는 것.
f. 자신이나 다른 사람을 위해 컴퓨터 시스템을 이용하여 미성년 음란물을 생성하는 것.
g. 컴퓨터 시스템이나 컴퓨터-데이터 저장 매체를 통해 미성년 음란물을 처리하는 것.
제10조 저작권 및 관련 권리 위반 제11조 지원 및 사주 시도
위에 열거한 현재의 협정 제2조부터 제10조에 따라 이루어진 모든 침해 행위를 실행할 목적으 로 지원하거나 사주하는 것. 협정 제3조부터 5조, 7조, 8조, 9.1.a 항과 c 항에 따라 이루어진 모든 침해 행위를 시도하는 것.
<표 13.1>
사이버범죄 학술대회 에서 인용한 사이버 범죄
죄 요건인지 그리고 어떤 범죄가 중요하게 다루어져야 하는지에 대한 국제적 공조 를 나타내고 있기 때문에 유용하다.
또 다른 분류를 CERT 2006년별 E-범죄 조사에 사용하였고, 그 결과를 표 13.2에 나타내었다. 두 번째 열에 나타난 숫자는 해당 열에 속하는 범주 안에 적어 도 한 경우에 응답한 퍼센트를 나타내고 있다. 나머지 3개 열이 숫자는 공격 소스 를 밝힌 응답자의 비율이다.3)
3) 행의 끝 3개의 열의 값을 더하면 100%를 초과하는데, 그 이유는 응답자 중에서 중복된 출처 범위에 중복 해서 응답하였기 때문이다(예를 들면 응답자가 내부 또는 외부 서비스거부공격 모두 경험했을 때).
<표 13.2>
CERT 2006 E-Crime Watch Survery Reaults 실행
(net %)
내부자 (%)
외부자 (%)
출처불분 명(%)
지적 재산권 도용 30 63 45 5
고객 기록, 재정 기록 등을 포함한 기타 정보 절도 36 56 49 9
서비스거부 공격 36 0 84 20
바이러스, 웜 또는 기타 악성 코드 72 23 80 16
사기(신용카드 사기 등) 29 47 69 18
고객 신원 도용 19 46 79 4
불법 스팸 메일 생성 40 10 78 20
피싱(등록자나 직원으로부터 개인 데이터를 수집할
목적에서 회사 온라인으로 위장하는 사람) 31 0 77 26
시스템이나 네트워크에 비합법적 접근/정보 사용 60 47 60 13 태업은 정보나 시스템이나 네트워크를 의도적으로
방해, 제거, 파괴하는 행위 33 49 41 15
강탈 33 49 41 15
웹사이트 외형 훼손 14 22 78 6
조직 네트워크상의 좀비 컴퓨터/봇/BotNets에 의한
네트워크 사용 20 16 72 28
사적이거나 민감한 정보를 의도적으로 노출하기 11 71 36 7
스파이웨어(애드웨어는 제외) 51 17 73 17
기타 11 50 43 21
법 집행기관의 어려움
컴퓨터와 네트워크 공격에 대한 법 집행기관의 제지 효과는 범죄자 체포율이나 기 소 성공률과 연관이 있다. 사이버범죄 특성상 일정하게 성공률을 유지하는 것은 매우 어렵다. 이에 대해 알아보기 위해 법 집행기관, 사이버 범죄자, 사이버 범죄 희생자가 얽힌 사이버범죄의 악순환을 고려해보자(그림 13.1).
법 집행기관의 입장에서 보면, 사이버범죄를 다룰 때에만 생기는 몇 가지 어려 움을 가지고 있다. 수사를 제대로 하려면 기술에 대해 매우 정교한 지식을 가지고 있어야만 한다. 비록 대규모 기관을 중심으로 몇몇 기관은 이 분야에서 기술을 갖 추어가고 있지만 많은 법 집행기관에는 이런 종류의 범죄를 처리하는 데 지식이나
[그림 13.1]
사이버범죄 악순환
법�집행기관의�특성
협력/글로벌�협조�결여
사이버범죄 희생자�특성
사이버�범죄자 특성
법�집행�에이전트의 자신감�부족 약한�방어�체계
사이버범죄의�국제화
성공률/자신감�확대
낮은�수준의�보고율
사이버�범죄자의 요구에�수긍하기
사이버범죄�기술을�따라잡는�데�
실패
사이버범죄에�대한�경험�부족 사이버범죄�해결능력�부족 산업체와의�협력�결여
수준�높은�기술 조직�범죄와의�연관 전문가/경험 유일한�프로파일
경험을 가진 수사관이 부족하다. 범죄 처리에 필요한 자원부족도 또 다른 약점이 다. 어떤 사이버범죄를 수사하려면 엄청난 컴퓨터 처리 능력, 통신 능력, 저장 능 력이 필요한데, 이런 능력 구비에 필요한 예산은 단일 법 집행기관의 예산을 초과 하기도 한다. 사이버범죄가 글로벌 환경에서 저질러지는 것은 또 다른 어려운 점 이다. 많은 범죄가 목표 시스템으로부터 멀리 있어서 다른 관할권 심지어는 다른 국가에 있는 범죄자에 의해 일어난다. 원격 법 집행기관과의 협력이나 협조가 부 족하여 수사에 큰 장애가 된다. 국제 사이버범죄 조약 같은 제안은 희망적인 징조 이다. 이 조약은 적어도 범죄에 대한 통일된 용어와 글로벌하게 법을 통일해 나가 기 위한 구조이다.
사이버 범죄자를 법정까지 불러올 성공률이 상대적으로 낮기 때문에 범죄자 수 가 늘어나고, 범죄가 대범해지고, 국제적인 범죄공모가 이뤄지고 있다. 다른 범죄 의 경우 재범자의 유형 프로파일을 작성할 수 있지만 사이버 범죄자의 프로파일 작성은 어렵다. 사이버 범죄자는 주로 어리고 매우 컴퓨터에 전문적이며 범죄 특 성은 너무 광범위하다. 더구나 수사관에게는 누가 혐의가 있는지를 알려줄 만한 사이버범죄 데이터베이스도 없다.
사이버 범죄자의 범죄 성공과 법 집행기관의 상대적 낮은 집행 성공률 때문에 사이버범죄 피해자(cybercrime victims)의 행동도 달라졌다. 법 집행기관과 마찬가 지로 공격의 목표가 될 수 있는 많은 조직은 공격을 예방하기 위한 기술적, 물리 적, 인적 자원 투자를 충분히 하지 않았다. 피해 보고율은 낮은데 그 이유는 법 집 행기관에 대한 신임도가 낮고, 기업의 평판이 나빠질 것에 대한 걱정과 민사상 책 임 때문이다. 낮은 보고율과 피해자 측에서 법 집행기관과 협업하는 것에 대한 거 리낌 때문에 법 집행기관의 업무에 장애가 되며 이것이 악순환된다.
법 집행기관과의 협업
관리 책임자와 보안 관리자는 법 집행기관을 기술, 물리적, 인적 자원과 더불어 하 나의 다른 자원이나 도구로 여길 필요가 있다. 법 집행기관을 성공적으로 활용하 기 위해서는 기술적인 능력보다는 사람을 다루는 기술이 더 필요하다. 관리를 하 려면 범죄 수사 절차에 대해서 이해하고, 수사관이 필요로 하는 게 무엇인지 알 필 요가 있으며, 수사에 피해자가 긍정적으로 기여할 방법이 있다는 것을 이해해야 한다.
미국의 법률 시스템과 일반적인 법률 시스템에서는 재산을 3가지 유형으로 분 류한다.
●부동산(Real Property): 나무, 건물, 고정식 이동주택 같은 땅에 영원히 붙어있 는 토지와 물건.
●동산(Personal property): 자동차, 은행 구좌, 임금, 증권, 소규모 비즈니스, 가 구, 보험 정책, 보석, 특허, 애완동물, 야구시즌티켓 같은 개인 소유물로서 이동 이 가능한 재산이나 물건.
●지적 재산권(Intellectual property): 무형 자산으로서 지식이나 아이디어로 구성 된 것. 예를 들면 소프트웨어, 데이터, 소설, 음원, 새로운 쥐덫 설계, 질병 치료 법 등.
이 절에서는 지적 재산권 관점의 컴퓨터 보안에 대해 중점적으로 다룬다.
지적 재산권 유형
3가지 법적 보호가 가능한 지적 재산권 유형이 있다. 그것은 저작권, 상표권, 특허 권이다. 저작권, 상표권, 특허권에 의한 권리에 대한 공격인침해(infringement)에 대한 법적 보호를 말한다. 자신의 재산을 침해하는 누군가에 대항해서 민사상 의 지를 추구하는 권리는 지적 재산권(IP: Intellectual Property)의 소유자가 가진 다. IP 유형에 따라 침해도 달라진다(그림 13.2).
저작권
저작권 법(copyright law)은 아이디어 자체가 아니라 구체적이고 고정된 아이디어 의 표현물을 보호해준다. 창안자는 다음과 같은 조건을 만족할 수 있을 때, 저작권 을 주장할 수 있고 국가 정부 저작권 사무소에 저작권을 등록한다.4)
●제안된 업적은 원천성이 있어야 한다.
13.2 지적 재산권
4) 대부분의 국가가 가입하고 있는 베른(Berne) 조약에 가입된 국가에서 저작권은 자동적으로 새로 창안된 업적에 지정된다. 미국 같은 나라에서는 등록된 업적에 대해 추가로 법적 보호를 제공한다.
●창안자는 하드 카피본(종이), 소프트웨어, 또는 멀티미디어 형태와 같이 원천 아 이디어를 구체적 형태로 나타내어야 한다.
저작권의 예로는 다음과 같은 것이 있다[BRAU01].
●문학 작품: 소설, 논픽션 산문, 시, 신문 기사와 신문, 잡지 기사와 잡지, 카탈로 그, 브로슈어, 광고(문구), 비즈니스 디렉터리 같은 편집물
●음악 작품: 노래, 광고 노래, 악기
●드라마 작품: 연극, 오페라, 희극
●판토마임과 무용 작품: 발레, 현대 무용, 재즈 댄스, 마임 작품
●사진, 그림, 조각 작품: 사진, 포스터, 지도, 그림, 소묘, 그래픽 작품, 전시 광고, 만화 스트립과 만화 주인공, 박제 동물, 동상, 예술 작품
●영화와 시청각 작품: 영화, 다큐멘터리, 여행기, 교육용 영화와 비디오, 텔레비전 쇼, 텔레비전 광고, 대화형 멀티미디어 작품
●녹음: 음악, 음원, 언어의 녹음
●건축 작품: 건축학적 계획의 형태로의 건물 디자인, 또는 건축된 건물 자체
●소프트웨어-관련 작품: 컴퓨터 소프트웨어, 소프트웨어 문서 및 매뉴얼, 훈련 매 뉴얼, 기타 매뉴얼
저작권 소유자는 다음과 같은 침해로부터 보호된 독점적 권리를 갖는다.
[그림 13.2]
지적 재산권 침해 특허
허가받지�않은�제조, 사용이나�판매
상표
허가받지�않은�사용이나 위조 저작권
허가받지�않은�사용
●재생산 권리: 소유자는 작품의 복제를 할 수 있다.
●수정 권리: 파생작품 권리라고 알려진 것으로서 새롭고 변화된 작품을 창조하기 위해 작품을 수정하는 것과 관련
●배포 권리: 소유자는 공개적으로 작품을 복제하여 판매, 임차, 임대, 대여할 수 있다.
●공개-공연 권리: 주로 실황 공연에 적용
●공개-전시 권리: 소유자는 공개적으로 작품을 직접 또는 영상물, 슬라이드, 또는 텔레비전 이미지를 통해 전시할 수 있다.
특허권
발명 특허권은 재산권을 발명자에게 주어지는 것이다. 미국 법령에 명기된 언어로 특허권에 수여되는 권리는 미국에서 발명을“다른 사람이 제조, 사용, 제공, 판매, 거래를 하지 못하게 하는 권리”또는 미국으로 발명을“수입”하는 것이라고 하였 다. 유사한 표현으로 다른 나라에서도 명기하고 있다. 3가지 특허권이 있다. 그것 은 다음과 같다.
●유틸리티 특허: 새롭고 유용한 절차, 기계, 제조 물품, 물품 부품이나 모든 새롭 고 유용한 개선책을 발명하거나 발견한 사람에게 주어진다.
●설계 특허: 새롭고, 창의적이고, 제조 물품의 장식 설계를 발명한 사람에게 주어 진다.
●식물 특허: 무성생식으로 다르고 새로운 다양한 식물을 발명하고 발견한 사람에 게 주어진다.
컴퓨터 보안 공동체의 특허 예로는 RSA 공개키 암호시스템이 있다. 1983년에 주어졌고 2000년에 파기된 이 특허 소유권은 RSA Security 사에 주어졌고, RSA 사용자로부터 사용료를 받을 수 있는 권리가 있었다.
상표권
상표권은 단어, 이름, 심벌 또는 장치로서 상품과 같이 사용되며 해당 상품의 출처 를 나타내고 다른 상품과 차별화하는 데 이용된다. 직무포장도 상표와 마찬가지이 지만 상품의 출처보다는 서비스 출처를 나타내거나 명기한다는 것만 다르다. 등록
상표나 상표는 보통 상표권이나 직무포장권을 나타내는 데 사용된다. 상표권은 다 른 사람이 동일한 상표를 사용해서 혼동을 초래하는 것을 막는 데 사용된다. 하지 만 다른 사람이 동일한 상품 생산이나 다른 상표를 달고 동일한 물건이나 서비스 를 판매하는 것까지 막지는 못한다.
네트워크 및 컴퓨터 보안과 관련된 지적 재산권
많은 지적 재산권 유형은 네트워크나 컴퓨터 보안 분야와도 관련이 깊다. 가장 두 드러지는 몇 가지를 여기서 언급해보면 다음과 같다.
●소프트웨어: 여기에는 상업적 소프트웨어 판매상이 생산한 프로그램(예를 들면 운영체계, 유틸리티 프로그램, 응용프로그램)뿐만 아니라 셰어웨어, 내부용으로 조직에서 개발한 소유권이 분명한 소프트웨어, 개인이 만든 소프트웨어까지 포 함된다. 이들 모든 소프트웨어에 대해 저작권 보호가 필요하다면 할 수 있다. 어 떤 경우에는 특허를 통한 보호가 적합할 수도 있다.
●데이터베이스: 데이터베이스란 상업적 가치가 있는 형태로 데이터를 수집하고 조 직화 한 것이다. 예를 들면 경제 예측 데이터베이스 같은 것이 있을 수 있다. 이 런 데이터베이스는 저작권법에 의해 보호받을 수 있다.
●디지털 콘텐츠: 이 범주에 속하는 것으로는 컴퓨터나 기타 디지털 장치로 표현될 수 있는 오디오 파일, 비디오 파일, 멀티미디어, 교육용프로그램, 웹사이트 내 용, 그리고 모든 원천성 있는 디지털 작품이 있다.
●알고리즘: 특허권 있는 알고리즘의 예로 들을 수 있는 것은 앞에서 말했던 RSA 공개키 암호시스템이다.
디지털 밀레니엄 저작권법
미국 디지털 밀레니엄 저작권법(The U.S. Digital Millennium Copyright Act (DMCA))은 미국뿐만 아니라 전 세계에서 디지털 콘텐츠 권리를 보호하는 데 중요 한 영향을 미쳐왔다. DMCA는 1998년에 법으로 통과되었는데 1996년에 합의된 세계 지적 재산권 조직(World Intellectual Property Organization(WIPO)) 조약 을 구현하기 위한 것이다. 핵심만 말해보면, DMCA는 디지털 형태로 된 저작권이 있는 상품 보호를 강화하기 위한 것이다.
DMCA에서는 저작권 소유자가 기술적인 방법을 통해 저작권이 있는 작품을 보
호하길 권장한다. 이러한 방법에는 두 가지가 있다. 작품에 접근을 막는 방법과 작 품 복제를 막는 방법이다. 더구나 법에서는 이런 방법을 우회하는 시도도 금하고 있다. 구체적으로 법에는“어떤 사람도 이 법으로 보호되고 있는 작품에 접근을 효 과적으로 통제하는 기술적 방법을 피해가서는 안 된다.”라고 명시하고 있다. 이 조 항의 또 다른 효과 중의 하나는 이 법에 의해 어떤 허가되지 않은 콘텐츠는 해독도 불가하다는 것이다. 더구나 이 법은 저작권 소유자의 허락 없이 물건을 복제하거 나 접근을 막기 위해 설계된 암호를 깰 수 있는 상품, 서비스, 장치의 제조, 양도, 판매를 금지하고 있다. 기술적 방법을 우회하려고 시도하거나 지원하는 경우에는 형사 민사상 처벌을 받게 된다.
어떤 조치는 DMCA 규정이나 기타 저작권법에서 예외가 되는데 그런 예로는 다 음과 같은 것이 있다.
●공정 사용: 이 개념은 아주 명확하게 정의되지 않은 상태이다. 이것은 다른 사람 이 특정 목적에 작품의 일부를 공연, 보여주기, 인용, 복사 또는 배포하는 것을 허락하도록 하는 것이다. 여기에 속하는 것으로는 저작권을 가진 작품을 검토, 논평, 토론하는 것이다.
●리버스 엔지니어링: 만약 사용자가 프로그램을 사용할 권리를 가졌을 경우 소프 트웨어 상품에 대한 리버스 엔지니어링을 할 수 있다. 그리고 만약 리버스 엔지 니어링 목적이 프로그램 기능복제가 아니라 상호운영을 하기 위한 것이라면 가 능하다.
●암호 연구: ‘선의’의 암호 연구는 허락된다. 핵심을 말하면, 암호 기술개발을 선 진화 하기 위해 복호 시도를 하는 행위는 예외로 간주된다는 뜻이다.
●보안 점검: 소유자나 운영자의 허락하에 선의의 점검, 조사 또는 보안 결함 및 취 약점 수정을 목적으로 컴퓨터나 네트워크에 접속하는 것을 의미한다.
●개인 프라이버시: 접근하려면 개인적으로 식별되는 정보가 반드시 노출되거나 기록되어야 하는데, 기술적 방법만이 이런 접근을 차단하는 유일한 합리적 수단 이라면 일반적으로 그 기술적 방법을 사용하지 않고 개인 정보를 노출하는 우회 수단을 그냥 허락한다.
법률상에 명시한 예외 규정에도 불구하고, 특히 연구나 학술 집단에서는 심각한 문제로 생각하고 있는 것이 있는데, 정단한 보안과 암호 연구가 법률적으로 제한 받고 있다는 점이다. 이에 동조하는 사람은 DMCA가 혁신과 학문적 자유를 억제
해서 소스를 개방하는 소프트웨어 개발에 위협이 되고 있다고 생각한다[ACM04].
디지털 권리 관리
디지털 권리 관리(DRM: Digital Rights Management)은 디지털 권리 소유자를 분명히 나타내고 디지털 작품에 대한 약정된 지불액을 받을 수 있도록 하는 시스 템이나 절차를 말한다. 이 시스템이나 절차에는 인쇄물로 출력하지 못하도록 하거 나 배포를 금지하는 조항 같은 디지털 객체의 사용과 관련된 추가적인 제한요건이 있다.
DRM 표준이나 아키텍처는 한 가지만 있는 게 아니다. DRM은 콘텐츠를 배포 하고 사용하는 것을 통제하기 위해 안전하고 신뢰할 수 있는 자동화된 서비스를 제공해서 지적 재산권 관리와 집행에 대한 다양한 방법을 포괄한다. DRM은 일반 적으로 콘텐츠와 연관된 권리정보 관리를 포함해서 완전한 콘텐츠 관리 생존주기 (창작, 추가적인 다른 사람의 기여, 접근, 배포, 사용) 동안 필요한 메커니즘을 제공 하는 것이 목적이다.
DRM 시스템은 반드시 다음과 같은 목적에 맞아야만 한다.
1.디지털 콘텐츠에 합법적 허가를 가진 사람에게만 접근을 제한하고 허가 받지 않은 접근으로부터 일관성 있게 콘텐츠를 보호해야 한다.
2.다양한 디지털 콘텐츠 유형(예를 들면 음악 파일, 비디오 스트림, 디지털 북, 이미지)을 지원한다.
3.다양한 플랫폼(예를 들면 PC, PDA, iPod, 이동 전화)에서 콘텐츠를 사용할 수 있어야 한다.
4.CD-ROM, DVD, 플래시 메모리 같은 다양한 미디어로 콘텐츠를 배포할 수 있어야 한다.
[LIU03]을 토대로 한 그림 13.3은 DRM 시스템 주요 사용자를 중심으로 한 전 형적인 DRM 모델을 나타내고 있다.
●콘텐츠 제공자: 콘텐츠에 대한 디지털 권리를 가지고 있으며 그 권리를 지키려고 한다. 예를 들면 음악 레코드 음반사와 영화 스튜디오가 있다.
●배급자: 온라인 상점이나 웹 소매상 같은 배급 채널을 제공한다. 예를 들면, 온라
인 배급자는 디지털 콘텐츠를 콘텐츠 제공자로부터 받아서 콘텐츠 홍보를 위해 콘텐츠를 설명하는 웹 카탈로그와 권리 메타데이터를 제작한다.
●소비자: 시스템을 이용하여 다운로드가 가능한 콘텐츠나 배포 채널을 통한 스트 리밍 콘텐츠를 검색해서 디지털 콘텐츠에 접근하고 디지털 콘텐츠 사용 허가를 위해 지불을 한다. 소비자가 사용하는 재생장치/뷰어 기기는 정보센터에 허가를 요청하고 콘텐츠 사용 권리를 집행하는 책임을 진다.
●클리어링하우스: 디지털 허가를 소비자에게 발급해주고 콘텐츠 제공자에게 로열 티 수수료를 지불하고, 배급자에게 해당되는 배급 수수료를 지불하는 재정적 거 래를 취급한다. 또한 클리어링하우스는 모든 소비자에 대해 허가된 사용을 기록 하는 책임을 진다.
이 모델에서 배급자는 접근 권리를 집행할 필요가 없다. 대신에 콘텐츠 제공자 는 소비자가 반드시 클리어링하우스로부터 디지털 허가와 접근 역량을 구매해야 만 하는 방식(주로 암호화)으로 콘텐츠를 보호한다. 클리어링하우스는 어떤 접근이 허락되어야 하는지와 특정 유형의 접근 수수료를 결정하기 위하여 콘텐츠 제공자 가 제공하는 사용 규칙을 컨설팅한다. 수수료를 받은 뒤에 클리어링하우스는 콘텐 [그림 13.3]
DRM 요소
클리어링하우스
콘텐츠�
제공자 소비자
로열티�
비용 지불
사용�
규칙
라이선스와�
지불을 요구
배포�비용�지불
보호된�
콘텐츠
정보�흐름 자금�흐름
디지털�
라이선스
보호된�
콘텐츠
배포자
츠 제공자와 배급자에게 적절한 금액을 지불한다.
[IANN06]에서 발췌한 그림 13.4에는 DRM 기능을 지원하기 위한 기본 시스템 아키텍처를 나타내고 있다. 시스템은 3가지 역할을 하는 개체가 접근하는 것이다.
권리 소유자(Right holders)란 콘텐츠 제공자로서 콘텐츠를 생성하거나 콘텐츠에 대한 권리를 획득한 자이다. 서비스 제공자(Service provider)란 배급자와 클리어 링하우스를 말한다. 소비자(Consumer)란 특정 목적을 가지고 콘텐츠에 접근 권한 을 구매하는 자이다. DRM 시스템에 의해 제공된 서비스로의 시스템 인터페이스 가 다음과 같다.
●신원관리(Identity management): 단체나 콘텐츠 같은 개체를 유일하게 구별하 는 메커니즘.
●콘텐츠 관리(Content management): 콘텐츠의 관리에 필요한 절차와 기능.
●권리 관리(Rights management): 권리, 권리 소유자와 연관된 요구조건을 관리 하는 데 필요한 절차와 기능.
이 관리 모델 하위에는 일반적인 기능이 있다. 보안/암호(security/encryption) 모듈은 콘텐츠를 암호화하고 면허합의에 사인하는 기능을 제공한다. 신원 관리 서
[그림 13.4]
DRM 시스템 구조
권리소유자 서비스
제공자
인증
허가 배포
장치
장치
장치 과금
지불 보안
암호화
소비자
권리 관리 서비스 인터페이스
시스템 인터페이스 콘텐츠 관리 신원관리
비스는인증(authentication)과허가(authorization) 기능을 이용해서 관계된 모든 개체를 인식한다. 이 기능을 이용하여 신원 관리 서비스는 다음과 같은 것을 포함 한다.
●유일한 개체 식별자 할당
●사용자 프로파일과 선호도
●사용자의 장치 관리
●공개키 관리
과금/지불(Billing/payment) 기능을 이용하여 소비자로부터 사용료를 수금하고 권리 소유자와 배급자에게 지불을 한다. 배급(Delivery) 기능은 콘텐츠를 소비자에 게 전달한다.
컴퓨터 보안과 상당히 중복되는 문제 중의 하나가 프라이버시다. 한편으로, 정보 시스템에서 수집하고 보관하는 개인 정보의 규모와 상호연관성은 상당히 증가했 으며, 법률 집행기관이나, 국가 안전과 경제적 인센티브에 의해 프라이버시가 중 요하게 인식된다. 이 중에서 프라이버시가 중요한 이유는 경제적 인센티브가 아마 가장 주요한 이유일 것이다. 글로벌 정보 경제에서 경제적 가치가 있는 전자적 자 산의 대부분은 개인에 대한 정보 집합체이다[JUDY09]. 다른 각도에서 보면 개인 은 정부기관, 비즈니스 그리고 인터넷 사용자까지 그들의 개인정보와 생활과 활동 의 사적 세밀한 부분까지 알려고 한다는 것을 잘 알고 있다.
개인 프라이버시가 침해될 수 있다는 우려 때문에 다양한 법적이고 기술적인 방 법으로 프라이버시 권리를 강화하고 있다.
프라이버시 법과 규제
많은 국제 조직과 국가 정부에서는 개인 프라이버시를 지키기 위한 법과 규제를
13.3 프라이버시
도입하고 있다. 여기서 이런 활동에 대한 두 가지를 살펴보기로 하자.
유럽연합 데이터 보호지령
1998년에 EU는 (1) 회원국이 개인정보를 처리할 때 기본적으로 프라이버시 권리 를 보호하고, (2) 회원국이 EU 간의 개인정보가 자유롭게 이동하는 것을 제한하지 못하게 하려고 데이터 보호지령(Directive on Data Protection)을 수용했다. 이 보호지령은 법이 아니고, 회원국이 이런 취지를 담은 법을 제정하도록 요구하고 있다. 이 보호지령은 개인정보 사용시 다음과 같은 원칙으로 구성되어 있다.
●공지(Notice): 조직은 반드시 개인에게 어떤 개인정보를 수집하는지, 정보의 용 도가 무엇인지 그리고 개인이 어떤 선택을 할 수 있는지를 공지해야만 한다.
●동의(Consent): 개인은 개인정보를 제3자에게 제공하거나 사용하도록 할 것인 지 아닌지와 어떻게 사용되는지를 선택할 수 있어야만 한다. 허락 없이 민감한 정보가 수집되거나 사용되지 못하도록 할 권리가 있다.
●일관성(Consistency): 조직은 데이터 주체에게 알려준 공지 조항에 따를 때와 주 체가 그 정보를 사용하는 것과 관련해서 모든 선택을 할 수 있을 때만 개인정보 를 사용할 수 있다.
●접근(Access): 개인은 정보에 접근, 그리고 정보의 일부를 정정, 수정 및 삭제할 수 있는 권리와 능력을 가져야만 한다.
●보안(Security): 조직은 개인정보의 기밀성과 무결성 보호를 위해 기술적인 방법 이나 기타 수단을 통해 적절한 보호조치를 제공해야만 한다.
●제 3자 전송(Onward transfer): 개인정보를 수신한 제3자는 해당 개인정보를 보 내준 조직과 동일한 프라이버시 보호 수준을 제공해야만 한다.
●법 집행(Enforcement): 지령에서는 조직이 법을 준수하지 않을 경우 데이터 주 체에게 사적 소송권을 부여한다. 추가로 각 EU 회원국은 프라이버시 권리 집행 과 관련한 규제집행 기관을 둔다.
미국의 프라이버시 발의
미국에서 처음으로 수용한 포괄적 프라이버시 법률안은 1974년에 발효된 프라이 버시 법이다. 이 법률은 연방기관에서 수집하고 사용하는 개인정보에 대한 내용을 다루고 있다. 이 법률이 의도한 바는 다음과 같다.
1.관련된 어떤 기록을 수집, 유지, 이용, 배포할지를 개인이 결정할 수 있도록 허락한다.
2.한 목적으로 수집한 기록을 동의 없이 다른 목적에 사용하는 것을 개인이 금 할 수 있도록 허락한다.
3.관련된 기록에 개인이 접근해서 정정하고 적절하게 수정할 수 있도록 허락한다.
4.기관이 개인정보를 원래 의도했던 대로 해당 시간에, 적합하고, 관련되며, 범 위를 넘지 않게 이용하도록 하는 방법으로 개인 정보를 수집, 유지, 이용하는 것을 보장해야 한다.
5.법을 준수하지 않고 개인정보를 사용할 경우 개인은 프라이버시 소송권을 부 여한다.
모든 프라이버시 법과 규제에서와 마찬가지로, 이 법령에 부가되는 예외와 조건 이 있다. 여기에 속하는 것으로는 범죄 수사, 국가 안보문제, 개인 프라이버시 권 리 간의 충돌이 발생할 경우이다.
1974년에 프라이버시 법이 정부 기록물에 대해 적용되었지만, 많은 미국 법으 로는 다음과 같은 다른 영역에 적용하도록 제정되었다.
●은행 및 재정 기록: 은행 개인정보는 최근의 재정 서비스 현대화 법(Financial Services modernization Act)을 포함해서 여러 가지 법에 의해 보호받고 있다.
●신용 기록: 공정 신용 신고 법(Fair Credit Reporting Act)은 개인이 특정 권리 를 부여하고 신용 보고 기관의 의무를 부여하였다.
●의료 및 건강 보험 기록: 의료 기록 프라이버시를 수십 년 간 취급해온 곳에 다양 한 법이 시행되고 있다. 의료보험 이동성 및 책임 법(HIPAA: Health Insurance Portability and Accountability Act)은 환자 자신의 건강정보에 접 근하고 보호할 수 있는 중요하고 새로운 권리를 부여하고 있다.
●어린이 프라이버시: 어린이 온라인 프라이버시 보호법(Children’s Online Privacy Protection Act)은 온라인 조직에서 13세 미만의 어린이로부터 데이터 를 수집하는 것을 제한하고 있다.
●전자 통신: 전자통신 프라이버시 법(Electronic Communications Privacy Act) 은 일반적으로 허가받지 않고 의도적으로 전송 중인 유선 및 전자통신을 도청하 고 허가 없이 전자적으로 저장된 유선 및 전자통신에 접근하는 것을 금하고 있다.
조직의 반응
조직은 프라이버시와 관련한 법과 규정을 준수하는 것뿐만 아니라 직원 프라이버 시와 관련된 기업정책을 구현하기 위해 관리 통제와 기술적 방안 모두를 사용할 필요가 있다. ISO 17799(Code of Practice for Information Security Management)에 서는 다음과 같이 선언했다.
프라이버시와 데이터 감시
국가 안전과 대테러리즘에 대한 요구 때문에 개인 프라이버시에 대한 새로운 위협 이 생겼다. 법 집행기관과 정보기관은 임무 수행을 위해 공격적으로 데이터 감시 기술을 확대 이용하고 있다. 게다가 사설 조직은 자세한 개인 프로파일 확보를 위 한 능력을 신장하는 여러 가지 방법을 이용하고 있다. 이런 방법이 가능한 이유는 인터넷의 확산, 전자 지불방법의 확산, 이동통신 장치의 글로벌한 사용, 유비쿼터 스 컴퓨팅, 센서 웹 등이 가능하기 때문이다.
정부나 비정부 기구에서 개인정보를 가능하면 더 많이 알려고 노력하고 있기 때 문에 프라이버시 보호를 하려면 정책과 기술적 방법 모두 필요하다. 기술적 방법 에서 정보 시스템의 프라이버시 보호 요구사항으로는 데이터베이스 보안의 개념 이라고 할 수 있다. 즉, 프라이버시 보호에 적합한 방법이란 데이터베이스 보안용 으로 개발된 기술적 수단이란 뜻이다.
데이터베이스 보안 방법에 대한 별도의 제안으로는 [POPP06]에 대략적으로 소 개된 것과 그림 13.5에 설명한 내용이 있다. 프라이버시 기기는 침해에 대한 저항 성을 가지고 있고, 암호학적으로 보호된 장치로서 데이터베이스와 접근 인터페이 스 사이에 위치한다. 마치 침입차단시스템이나 침입예방장치와 같다. 프라이버시 기기는 프라이버시 보호 기능을 구현하는데 사용자 접근 허가와 기밀정보를 점검
ISO 17799: 데이터 보호와 개인정보 프라이버시
조직 데이터 보호와 프라이버시 정책은 반드시 개발해서 구현해야만 한다. 이 정책을 개인정보를 처리하는 모든 사람에게 반드시 알려야만 한다. 이 정책을 준소하고 관련 데이터 보호법과 규제는 적절한 관리 구조를 통해 제어되어야만 한다. 이를 수행하기 위해 가장 좋은 방법은 데이터 보호 관 같은 책임자를 지정해서 운영하는 것이다. 데이터 보호관은 관리자, 사용자 그리고 서비스 제 공자에게 개별적 책임한계가 무엇인지와 그 책임에 따라 반드시 지켜야 하는 특정 절차에 관한 지 침을 내려야만 한다. 개인정보 취급과 데이터 보호원칙을 인지하도록 하는 책임은 반드시 유관 법 률 및 규제에 따라 처리되어야만 한다. 적절한 기술과 조직의 수단을 통해 반드시 개인정보를 해 야만 한다.
[그림13.5] 프라이버시기기의 개념 관련된�메모리�목록�포함 실시간�업데이트 인증 허가 익명화 감사�추적에�대한�면역성
선택적�공개 데이터�전환 정책�반영 AMI�생성 추정�점검
사용자�쿼리 응답
크로스-자원 프라이버시�기기 사설�및�에이전시 소유독립적 운영정부�소유
프라이버시 기기데이터 자원
데이터 자원 데이터 자원
프라이버시�기기 프라이버시�기기
하고 감사 로그를 생성한다. 이들 기기가 가진 몇 가지 특정 기능을 다음에 나열하 였다.
●데이터 변환(Data transformation): 이 기능을 이용하면 데이터의 일부를 코드화 하거나 암호화해서 프라이버시를 보전하지만 효과적으로 사용하기 위해 필요한 데이터 분석기능을 그대로 유지할 수 있다. 데이터 분석기능의 예로는 테러분자 활동패턴을 감지가 있다.
●익명화(Anonymization): 이 기능을 이용하면 쿼리 결과의 이름의 성이나 전화번 호 같은 특정 인식 정보를 제거할 수 있다. 하지만 이 기능을 사용하면 어느 정도 익명화된 유일한 인식자가 생성되기 때문에 해독자가 쿼리 사이의 연결을 감지 할 수 있다.
●선택적 공개(Selective revelation): 잠재적으로 상호 연결된 데이터를 지속적으 로 분석하도록 하면서도 개인정보 노출을 최소화하는 방법이다. 이 기능을 사용 하면 처음에는 분석가에게 오직 안전한 형태로 정보를 공개한다. 안전한 형태란 통계적으로나 분류상 어떤 사람의 사적 정보도 (직접 혹은 간접으로) 제공하지 않는다는 뜻이다. 만약 분석가가 걱정할 만한 이유가 있다고 생각하면 분석가는 더 정확한 정보를 얻기 위해 허가를 얻는 조치를 취한다. 만일 초기에 제공했던 정보가 충분해서 더 자세한 정보제공을 허락할 수 있다면 법적이나 정책적 지침 을 위반하지 않는 범위에서 허가한다.
●불변의 감사(Immutable audit): 어디로 데이터가 가고 있는지와 누가 데이터를 보았는지를 인식할 수 있는 침해에 대한 저항성이 있는 방법이다. 감사 함수는 자동적이고 영구적으로 모든 데이터 접근기록을 남긴다. 이렇게 해서 데이터 제 거, 수정 및 불법적 사용을 막을 수 있다.
●연상 메모리(Associative memory): 패턴을 인식하고 사용자가 놓치거나 존재성 을 모르는 데이터 조각 간의 연결을 하는 소프트웨어 모듈이다. 이 방법으로 대 규모 데이터 안의 데이터 포인트 간의 관계를 신속하게 찾아낼 수 있다.
그림 13.5에 나타내었듯이, 데이터베이스 소유자는 데이터베이스 콘텐츠와 구 조에 맞추고 외부 조직에서 사용할 의도에 맞춘 프라이버시 기기를 설치한다. 독 립적으로 운용하는 프라이버시 기기는 여러 조직에 속한 다수의 데이터베이스와 상호 교환하여 법 집행기관, 정보 감시자 또는 다른 적절한 사용자가 궁극적으로 사용할 데이터를 수집하거나 상호 연결한다.
모든 유형의 조직 안이 유비쿼터스적이며 중요한 정보시스템 때문에, 정보나 전자 통신을 오용하거나 남용하여 프라이버시와 보안 문제를 일으키는 경우가 많다. 법 적인 문제에 더해서 오용이나 남용은 윤리적 문제도 안고 있다. 윤리란 특정 행동 에 해를 입히거나 이득을 주는 것 그리고 행동에 대한 동기와 결과에 대한 옳고 그 름과 관련된 도덕적 원칙 시스템을 말한다. 이 절에서는 컴퓨터와 정보 시스템 보 안과 연관해서 윤리적 문제를 살펴보기로 하자.
윤리와 IS 전문성
어느 면에서 보면, 정보 시스템을 가지고 업무를 하고 이 시스템에 접근하는 사람 의 윤리적 행동이 무엇인지를 나타내는 특성은 여기서 유일하게 표현하기가 어렵 다. 기본적 윤리 원칙은 문명화되면서 생겨났다. 그러나 컴퓨터와 정보시스템을 포함한 분야에서는 어느 정도 유일하다고 생각할 수 있다. 첫 번째, 컴퓨터 기술로 인해 이전에는 규모 있는 일이 불가능했는데 이제는 처리가 가능해졌다. 처리가 가능해진 일로는 대규모 자료저장, 특히 개인정보 저장이다. 그뿐만 아니라 개인 정보수집도 더 정교해졌고 더 정확한 데이터 마이닝과 데이터 매칭이 가능하다.
인터넷 덕분에 확장된 통신 규모와 확장된 상호 연결로 인해 개인에 대한 침해 가 능성이 훨씬 커졌다. 두 번째, 컴퓨터 기술이 진화하면서 데이터베이스라든가, 웹 브라우저, 채팅룸, 쿠키 같은 새로운 유형의 개체를 만들어 내었지만 이들에 대해 사전에 어떤 합의된 윤리 규칙도 없었다.
더구나, 특별한 지식이나 특수한 기능을 가진 사람이 모든 인류에 보편적인 수 준을 넘는 추가적 윤리적 도리를 지켜야 한다는 것이 경우에 맞다. 이에 대해서 [GOTT99]에서 토의된 것을 바탕으로 윤리적 계층(그림 13.6)이란 용어를 통해 설 명해보기로 하자. 계층의 가장 상위에는 존엄성, 공정성, 정의 같은 전문가가 모든 인류와 공유해야 하는 윤리적 가치가 있다. 특수 훈련과정을 거친 전문가라는 말 은 그의 업무에 영향 받는 사람에 대해 추가로 윤리적 도리를 지켜야 한다는 뜻이 다. 모든 전문가에게 적용되는 일반 원칙이 이 수준에서 생겨난다. 끝으로, 각각의 전문성은 전문가의 특정 지식과 다른 사람에게 영향을 끼칠 수 있는 그들이 가진 힘에 따른 특정 윤리적 가치와 도리와 연관된다. 대부분의 전문성은 이런 모든 수
13.4 윤리적 문제
준에서 전문성 있는 행동강령을 담고 있다.
컴퓨터 및 정보시스템과 연관된 윤리적 문제
컴퓨터 기술 분야에서 생기는 윤리적 문제에 대해 좀 더 구체적으로 알아보기로 하자. 컴퓨터는 은행 기록, 보안 기록 및 재정 정보 같은 개인정보와 양도 가능한 자산 모두를 저장할 수 있는 주요한 장소이다. 기타 유형의 데이터베이스는 통계 적이건 그렇지 않건 모두 가치가 큰 자산이다. 이런 자산은 기술적이고 자동화된 수단을 통해 보고, 생성하고, 수정할 수 있다. 기술을 이해하고 활용할 수 있는 사 람과 접근 허가를 얻은 사람은 이들 자산과 연관해서 힘을 가지게 된다.
컴퓨터와 윤리에 대한 이전의 한 논문에서는 윤리적 문제가 다음과 같은 컴퓨터 의 역할 때문에 생겼다고 지적한다[PARK88b].
●정보 저장소와 정보 프로세서: 컴퓨터 서비스를 안 쓰는 것과는 다른 의미에서, 불법적으로 컴퓨터 서비스를 하기 때문에, 또는 컴퓨터에 저장된 정보를 불법적
[그림 13.6]
윤리적 계층
인간성
전문성
개별�
전문성
존엄성, 공정성,배려...
고수준�
배려, 사회적�
웰빙
전문성별�
유일�
표준과�
전문성,
전문가�
윤리강령�
표준
으로 사용하기 때문에 적합성이나 공정성에 대한 의문이 생긴다.
●새로운 형태의 자산 생성자: 예를 들면, 컴퓨터 프로그램은 아주 새로운 유형의 자산이다. 하지만 다른 자산에 대한 소유권과는 좀 다른 의미에서의 소유권이다.
●법률 문서: 컴퓨터 서비스와 컴퓨터나 데이터나 프로그램을 사용하는 사람이 컴 퓨터 출력물에 대한 무결성과 타당성에 대해 어디까지 책임을 져야 하는가?
●협박과 기만의 상징: 생각하는 기계, 절대 진리 생성자, 무오류, 책임지는, 실수 를 하는 인간을 대신하는 의인화된 기계라는 컴퓨터에 대한 이미지를 조심스럽 게 새겨봐야 한다.
또 다른 윤리적 문제에 대한 목록을 [HARR90]으로부터 발췌하여 표 13.3에 나 타내었다. 두 가지 목록은 전문적 책임성과 윤리적 혹은 도덕적 책임성 사이의 균 형에 대해 말하고 있다. 여기서 컴퓨팅과 IS 전문가를 향한 윤리적 의문 유형에 대 한 두 개 분야를 언급하고 있다. 첫 번째는 IS 전문가가 전문가로서 윤리적 의무가 자신의 고용주에 대한 충성도와 충돌하는 일이 발생할 때 어떻게 행동해야 하는가 에 대한 문제이다. 이러한 충돌이 발생하면 고용된 당사자는‘비리를 고발’할 것을 고려하거나, 아니면 공익을 배반하고 자기가 속한 회사의 고객에게 불리해지는 상
<표 13.3>
정보 시스템의 윤리 적 딜레마
기술 침입
회사 내부 프라이버시 회사 외부 프라이버시 컴퓨터 감시 직원 모니터링 해킹
소유권 문제
본업 외의 부업 소유권 이해상충 소프트웨어 저작권 회사 자산의 개인적 유용 데이터, 소프트웨어, 하드웨어 절도
법적 문제와 사회적 책임
EFT나 ATM을 이용한 횡령, 사기 및 남용 데이터 정확성 및 적시성
과대 평가된 시스템 능력과 스마트 컴퓨터 데이터 독점
인적 문제
직원 태업
감성공학 및 인적 요소 업무 권태감 제거 훈련
황을 만들게 된다. 예를 들면, 소프트웨어 개발회사의 고용주가 상품 출시 기한에 맞추기 위해 테스트를 충분히 하지 않고 제품을 출시한다는 사실을 소프트웨어 개 발자가 알았을 때이다. 비리를 고발할 것인지 아닌지를 결정하는 것이 IS 전문가 가 부딪히는 가장 어려운 문제 중의 하나이다. 조직은 고발자가 문제를 발견하고 내부적으로만 터뜨리면 징계하지 않는다는 약속과 함께 고발자가 내부 옴부즈맨 같은 덜 극단적인 선택을 할 수 있도록 하는 우회적인 방안을 가지고 있다. 추가해 서 전문가 집단은 그 집단의 구성원이 처리 방법에 대한 조언을 받을 수 있는 방안 을 반드시 제공해야만 한다.
또 다른 윤리적 질문 예는 이해상충의 가능성에 대한 것이다. 예를 들면, 만일 한 컨설턴트가 어떤 벤더로부터 재무적 이익을 취하고 있다고 한다면, 그 컨설턴 트가 해당 벤더의 상품이나 서비스를 추천했는지 아닌지를 모든 고객에게 반드시 알려야만 한다.
행동 수칙
과학이나 공학 분야와는 다르게 윤리는 명확하게 법적으로 나타내거나 사실의 집 합 형태로 축약해서 나타낼 수 없다. 비록 전문성을 가진 고용주나 전문가 고객이 전문가는 내부적으로 도덕적 지침을 가지고 있을 거라고 기대하지만, 많은 영역에 서 윤리적 모호성을 발견할 수 있다. 전문가에게 지침을 내리고 고용주와 고객이 가질 권리가 무엇인지 명확하게 표현하기 위해서 수많은 전문가 집단에서 윤리 행 동수칙을 마련하였다.
전문가 행동수칙은 다음과 같은 기능을 가진다[GOTT99].
1. 수칙에는 두 가지 고무적인 기능을 가지고 있다. 한 가지는 전문성의 일부로 서 윤리적 행위에 대한 긍정적인 자극제 기능이고, 다른 하나는 IS 상품이나 서비스 고객이나 사용자에게 확신을 주는 기능이다. 하지만 고무적인 말만 제공하는 데서 멈추는 수칙은 애매모호해질 수 있고 다양한 방법으로 설명할 수 있다.
2.수칙은 교육적이다. 수칙을 통해 전문가는 적당한 질적 수준을 갖는 업무에 착수하기 위해 어떤 약속을 해야 하는지를 알게 되고, 그들의 상품 사용자의 행복과 상품이 미사용자에게 영향을 끼치게 될 범위에 있는 대중의 행복에 대한 책임도 알게 된다. 수칙을 통해 직원이 윤리적으로 행동하고 윤리적 책
임을 알도록 장려하고 지원하기 위해 관리자 책임이 무엇인지 관리자가 알도 록 교육할 수 있다.
3.수칙을 통해 고용주와 고객 사이에 발생할 수 있는 이해상충의 경우 윤리적 으로 행동하도록 결정하는 전문가를 지원하는 방법을 알려줄 수 있다.
4.수칙은 억제하고 훈련하는 수단이다. 전문가 집단은 수칙을 회원권이나 전문 면허를 취소하기 위한 합법적 근거로 이용할 수 있다. 직원은 수칙을 징계조 치의 근거로 사용할 수 있다.
5.수칙이 명예로운 일로 널리 알려지면, 수칙을 활용해서 전문가에 대한 대중 적 이미지를 제고할 수 있다.
컴퓨터 전문가를 위한 전문가 윤리 강령을 3가지 특정 예를 통해 설명해보자.
ACM(Association for Computing Machinery) Code of Ethics and Professional Conduct)(그림 13.7)은 컴퓨터 과학자에게 적용된다. IEEE Code of Ethics(그림 13.8)은 컴퓨터 공학자뿐만 아니라 다른 유형의 전기전자 공학자에 게도 적용된다. AITP(Association of Information Technology Professionals, 공식적으로는 Data Processing Management Association) Standard of Conduct(그림 13.9)는 컴퓨터 시스템과 프로젝트 관리자에게 적용된다.
여러 가지 일반적인 주제가 이 지침에서부터 파생되었다. 여기에 포함된 것으로 는 (1) 다른 사람의 존엄성과 가치, (2) 개인적 진실성과 정직성, (3) 업무 책임, (4) 정보의 기밀성, (5) 치안, 건강 및 복지, (6) 전문성 표준을 개선하기 위해 전문가 집단에 참여하기 그리고 (7) 기술에 대해 누구나 알고 접근할 수 있어야 한다는 생 각이 바로 사회적 권력이다.
이 3가지 지침은 다른 사람에 대한 해당 분야 전문가의 책임에 대해 강조하고 있다. 결국 이것은 윤리의 핵심적 의미이다. 기계나 소프트웨어보다 사람에 대해 강조하는 것이 바로 선이다. 그러나 이 지침에서는 컴퓨터나 정보시스템 같은 주 제 기술에 대해서는 별로 언급하지 않았다. 즉, 이 방법은 아주 원칙론적이고 대부 분의 전문가에게 적용될 수 있으며 컴퓨터나 IS 기술 이용과 개발과 관련된 유일 한 윤리 문제가 충분히 반영되지 않았다. 예를 들면, 이 지침은 특히 표 13.3에 언 급한 문제나 앞의 부 절에서 [PARK88b]에 나타난 목록을 다루지 않고 있다.
1. 일반 도덕적 의무
1.1. 사회와 인류 복지에 공헌한다.
1.2. 다른 사람에게 피해를 주지 않는다.
1.3. 정직하고 신뢰할 수 있도록 한다.
1.4. 공정하고 차별하지 않도록 한다.
1.5. 저작권과 특허를 포함한 재산권을 존중한다.
1.6. 지적재산권에 대해 적절한 보상을 한다.
1.7. 다른 사람의 프라이버시를 존중한다.
1.8. 기밀성을 존중한다.
2. 추가 구체적 전문가 책임
2.1. 전문적 업무의 절차와 제품에 있어서 최고의 질, 효과와 위엄을 유지하도록 노력한다.
2.2. 전문적 경쟁력을 획득하고 유지한다.
2.3. 전문적 업무와 관련된 기존의 법에 대해 인지하고 존중한다.
2.4. 적절한 전문적 검토를 수긍하고 제공한다.
2.5. 가능성 있는 위험분석을 포함해서 컴퓨터 시스템과 영향에 대해 종합적이고 충분한 평가 를 한다.
2.6. 계약, 합의와 부가된 책임성을 존중한다.
2.7. 컴퓨팅과 그에 따르는 결과에 대해 공적인 이해도를 증진시킨다.
2.8. 컴퓨팅과 통신 자원에 접근은 허가가 있을 경우에만 한다.
3. 조직 리더십 의무
3.1. 조직 단위의 구성원으로서 사회적 책임을 명확히 하고 이들 책임을 완전히 수용할 것을 권 장한다.
3.2. 업무 생활의 질을 향상시키기 위한 정보시스템의 설계와 구성에 자원과 인력을 관리한다.
3.3. 조직의 컴퓨팅과 통신 자원에 대해 이해하고 이에 대한 적합하고 허가된 사용을 지원한다.
3.4. 시스템에 의해 영향 받을 사람들과 사용자가 평가시나 요구사항을 설계할 때 분명히 할 수 있도록 해야 한다. 향후에 해당 시스템은 요구사항을 반영했는지 반드시 확인하도록 한다.
3.5. 사용자와 컴퓨팅 시스템에 의해 영향 받을 사람들의 존엄성을 보호하는 정책을 명확히 하 고 지원하도록 한다.
3.6. 조직 구성원에게 컴퓨팅 시스템의 원칙과 제한을 인지할 기회를 제공해야 한다.
4. 강령 준수
4.1. 이 강령의 원칙을 지지하고 촉진한다.
4.2. 이 강령을 위반할 경우 ACM의 구성원 자격이 없는 것으로 간주한다.
[그림 13.7]
ACM 전문가 윤리강 령(저작권 ⓒ 1997, Association for Computing Machinery, Inc.)
우리는 IEEE의 구성원으로서 전 세계의 삶의 질에 영향을 주게 될 우리의 기술의 중요성을 인식 하면서, 우리의 전문성과 구성원과 우리가 기여하는 공동체에 대한 개인적 의무를 받아들이며, 여기 우리 자신은 최고의 윤리성과 전문가 강령을 따르고 동의한다.
1. 공공의 안전, 건강, 복지를 위해 결정할 책임을 받아들이고, 즉각적으로 공공이나 환경에 해가 되는 요소를 공개한다.
2. 실제로 이해상충을 피하고 있을지 모를 이해상충 가능성을 피하고, 만약에 이해상충이 발생할 경우에는 영향을 받게 될 대상에게 알린다.
3. 가용한 데이터에 근거하여 주장하거나 추측할 경우에는 정직하고 현실적으로 한다.
4. 어떤 형태의 뇌물도 수수하지 않는다.
5. 기술, 기술의 적절한 응용 및 따라오게 될 결과에 대한 이해도를 증진시킨다.
6. 기술적 경쟁력을 유지하고 증진시키고, 훈련이나 경험에 의해 자격을 가졌거나 특정 제약사항 을 충분히 공개한 뒤에만 다른 사람들을 위해 기능적 업무를 수행한다.
7. 기술적 업무에 대해 정직한 비판을 구하고 받아들이며 제공하며, 오류를 인지하고 수정하며, 다른 사람의 공헌에 대해 제대로 인정한다.
8. 인종, 종교, 성별, 장애, 나이나 국적 요소와 무관하게 모든 사람을 공정하게 대한다.
9. 다른 사람, 재산, 평판에 해가 가지 않도록 하며, 위장 취업이나 악의적 행동을 행하지 않도록 한다.
10. 전문가적 개발을 하는 동료나 협력자를 도와주고 이 윤리강령에 따라 그들을 지원한다.
[그림 13.8]
IEEE 윤리 강령 (저작권 ⓒ 2006, Institute of Electrical and Electronics Engineers)
관리에 대한 나의 의무를 이해하면서 나는 다음을 지키겠다.
�개인적 지식을 최신으로 유지하고 적합한 전문성이 필요할 때 제공할 수 있도록 한다.
�내 지식을 다른 사람과 공유하며 사실에 기반한 객관적인 정보를 관리에 최선을 다해서 제공한다.
�내가 수행한 업무에 대해 모든 책임을 진다.
�나에게 부여된 권한을 요용하지 않는다.
�장치, 소프트웨어 및 시스템의 능력과 관련된 정보를 잘못 전달하거나 미제공하지 않도록 한다.
�다른 사람의 지적 결핍이나 미숙한 경험을 이용하지 않는다.
나의 동료 구성원과 전문가에 대한 나의 의무를 이해하면서 다음을 지키겠다.
�나의 전문가적 관계에 있어서 정직하게 행동한다.
�인지하게 된 비도덕적이거나 비윤리적인 어떠한 행동에 대해 적절한 행동을 취한다. 그러나 혐 의에 대해 진정으로 믿을 만한 합리적인 근거를 가졌고 개인적인 이익과 무관할 때만 다른 사람 에 대해서만 고발할 것이다.
�내가 가진 특별한 지식을 공유하도록 노력한다.
�다른 사람들과 협력하여 문제를 규명하고 이해를 도모하도록 한다.
�특별한 인지나 허가 없이 다른 사람의 업적을 이용하거나 공적을 가로채지 않는다.
�개인적 이익을 위해 다른 사람의 경험 미숙이나 지적 결핍을 이용하지 않는다.
사회에 대한 나의 의무를 이해하면서 다음을 지키겠다.
�나에게 부여된 모든 정보의 프라이버시와 기밀성을 지킨다.
�나의 전문성 전 분야에 걸쳐서 기능과 지식을 이용해서 공개한다.
�최선을 다해서 나의 업적 산물이 사회적으로 책임감 있는 방법으로 이용되도록 한다.
�적절한 지역적, 주, 연방법을 지원하고 존중하며 준수한다.
�공공 문제나 상황과 연관된 정보를 절대로 잘못 전달하거나 보류하지 않고, 알려진 정보가 제지 되지 않은 채로 남아 있지 않도록 한다.
�어떠한 불법적인 방법이나 개인적인 이득을 위해 기밀성을 갖거나 개인적 성격을 가진 지식을 이용하지 않도록 한다.
내가 고용한 사람에 대한 나의 의무를 이해하면서 다음을 지키겠다.
�내가 가장 최신 지식을 가지고 있도록 하고 적절한 전문성이 필요할 때 쓸 수 있도록 모든 노력 을 한다.
�이해상충을 피하고 내가 고용한 사람도 어떠한 충돌 가능성에 대해 알고 있도록 한다.
�공정하고, 정직하고 객관적인 관점을 유지한다.
�항상 고용한 사람의 적절한 이익을 보호한다.
�내게 부여된 정보에 대한 프라이버시와 기밀성을 보호한다.
�상황에 관련된 정보를 잘못 전달하거나 보류하지 않도록 한다.
�개인적 이익을 위하거나 적합한 허락 없이 어떠한 목적을 위해서라도 내가 고용한 사람의 자원 을 이용하지 않도록 한다.
�개인적 이익이나 개인적 만족을 위해 컴퓨터 시스템의 약점을 이용하지 않도록 한다.
[그림 13.9]
AITP 표준 강령(저 작권 ⓒ 2006, Association of Information Technology Professionals)
다음은 컴퓨터 범죄와 사이버범죄에 대한 유용한 논문이다. [KSHE06], [CYMR06] 그리고 [TAVA00]. [BRAU01]은 저작권, 특허, 상표권에 대해 잘 소개 하고 있다. [GIBB00]에서는 Digital Millennium Copyright Act에 대해 간결하 게 설명한다. Digital Rights Management에 대해 유용한 소개로는 [LIU03]이 있다. [CAMP03]에서는 법적인 관점에서 DRM에 대해 토론하고 상업적으로 판매 되는 시스템에 대해 설명하고 있다.
[ISAT02]는 보안과 프라이버시 관계에 대해 이해를 돕기 위한 설명을 하고, 프 라이버시를 보호하기 위한 기술적 보안 방안을 제시하였다. [GOTT99]는 소프트 웨어 엔지니어링 윤리 지침에 대해 자세하게 토론하고 있으며, 전문 분야에서 개 인에게 이것이 무슨 의미인지를 설명하고 있다. [CHAP06]은 정보 시스템의 생성 과 사용과 관련된 기본적 윤리 문제를 사려 깊게 토론하고 있다. [HARR90]에서는 의사결정에 윤리를 어떻게 포함시킬 것인지를 직원에게 훈련하는 문제와 정보 시 스템 및 컴퓨터 이용과 관련한 행동에 대해 자세히 다루고 있다. [ANDE93]은 많 은 사례 연구를 통해서 ACM 윤리지침이 실제로 적용했을 때 매우 유용한 분석을 했다.
ANDE93 Anderson, R., et al., “Using the New ACM Code of Ethics in Decision Making,”Communications of the ACM, February 1993.
BRAU01 Braunfeld, R., and Wells, T., “Protecting Your Most Valuable Asset: Intellectual Property,”IT Pro, March/April 2000.
CAMP03 Camp, L., “First Principles of Copyright for DRM Design,”IEEE Internet Computing, May/June 2003.
CHAP06 Chapman, C., “Fundamental Ethics in Information Systems,”
Proceedings of the 39th Hawaii International Conference on System Sciences, 2006.
CYMR06 Team Cymru, “Cybercrime: An Epidemic,”ACM Queue, November 2006.
GIBB00 Gibbs, J., “The Digital Millennium Copyright Act,”ACM Ubiquity, August 2000.
