국외 클라우드 컴퓨팅 서비스 이용자에 대한 압수·수색

Abstract

n번방 사건은 국외 메신저 서비스와 국외 클라우드 컴퓨팅 서비스를 이용하여 이루어진 범행이다. 국외 클라우드 컴퓨팅 서비스의 경우 국가관할권이 미치지 않기 때문에 국외 클라우드 서비스 제공자에 대하여 압수·수색영장을 발부받더라도 이를 집행할 수 없다. 국외 클라우드 서비스 제공자에 대하여 가능한 방안인 국제형사사법공조는 많은 시간이 소요될 뿐만 아니라 해당 전자정보가 저장되어 있는 장소를 특정하기 어려운 클라우드 컴퓨팅의 특성상 효과적이지 않다. 이러한 이유로 국외 클라우드 서비스를 이용한 범죄에 대한 증거 확보는 클라우드 서비스 이용자에 대한 압수·수색영장을 발부받아 서비스 제공자의 서버에 저장되어 있는 범죄혐의사실 관련 전자정보를 서비스 이용자의 정보처리장치로 내려 받은 다음 압수하는 방식으로 이루어지고 있다. 전자정보를 직접 관리하는 정보저장매체에 저장했던 과거와 달리, 클라우드 컴퓨팅 환경에서는 클라우드 서비스 제공자가 제공하는 서버에 전자정보가 원격 저장된다. 이와 같은 클라우드 컴퓨팅의 특성으로 인하여 클라우드 서비스 이용자에 대한 압수‧수색에서는 항상 원격 압수‧수색의 문제가 발생한다. 형사소송법은 원격 압수수색이 허용되는지에 관한 규정을 두고 있지 않다. 그러나 클라우드 서비스 이용자는 서비스 제공자와의 서비스이용계약에 따라 클라우드 계정과 관련하여 서버에 대한 접속권한을 가지고, 해당 클라우드 계정에서 생성한 전자정보에 관한 처분권한과 권리보호이익을 가지는 주체로서, 클라우드 서비스 제공자가 관리하는 서버에서 서비스 이용자가 계정정보를 입력한 정보처리장치로 해당 계정의 전자정보를 가져올 권한이 있다. 따라서 현행 형사소송법 하에서도 서비스 이용자를 상대로 한 원격 압수·수색은 전자정보에 대한 배타적, 독립적 재산권자를 상대로 해당 전자정보를 압수·수색하는 것은 허용된다. 또한 국외 클라우드 서비스 이용자에 대한 압수·수색에서 전자정보가 저장된 서버는 국외에 소재하는 것이 일반적이므로, 역외 압수·수색이 허용되는지 문제된다. 클라우드 서비스 이용자는 서버의 소재지와 관계없이 클라우드 서비스 이용계약에 따라 클라우드 계정의 전자정보를 가져올 권한이 있고, 클라우드 서비스 제공자 역시 이와 같은 접근을 전제하고 있다. 또한 디지털 증거인 전자정보는 유체물에 대한 압수·수색과는 달리 압수·수색을 위하여 수사기관이 물리적으로 국외에 위치한 서버 소재지에 갈 필요 없이 네트워크로만 이루어지므로, 역외 압수·수색은 허용된다고 본다. 국외 클라우드 서비스 이용자를 상대로 한 압수‧수색의 방법으로 전자정보를 확보하기 위해서는 클라우드 서비스의 아이디와 비밀번호를 확보하는 것이 필요하다. 수사기관이 피의자인 서비스 이용자로 하여금 클라우드 서비스 아이디와 비밀번호를 진술하도록 강제하는 것은 피의자에게 불리한 자료로 이어질 수 있는 내용을 진술하도록 하는 것이므로, 헌법에서 정한 진술거부권 위반에 해당한다. 피의자에게 정보처리장치에 클라우드 서비스 아이디와 비밀번호를 입력하라고 하거나 입력한 상태로 정보처리장치를 제공하도록 하는 것 또한 이러한 행위를 함으로써 피의자가 아이디와 비밀번호를 알고 있고, 아이디와 비밀번호의 입력으로 접근할 수 있는 계정 내 전자정보에 대한 권한을 가지고 있다는 사실을 나타내도록 하는 것으로 진술을 포함하고 있고, 비밀번호를 말하도록 하는 것과 효과에 있어 실질적으로 차이가 없으므로 마찬가지로 진술거부권의 대상이다. 이를 형사소송법 제120조 제1항에서 규정한 압수·수색에 필요한 처분으로 볼 수도 없다. 아이디와 비밀번호, 잠금해제를 위한 생체정보를 압수·수색의 대상으로 한 압수·수색영장이 발부된 경우라 하더라도 허용된다고 볼 수 없다. 클라우드 서비스 이용자가 자발적으로 아이디와 비밀번호를 제공하지 않는 경우 수사기관이 취할 수 있는 조치는 제한적이다. 정보통신망 이용촉진 및 정보보호에 관한 법률 제48조 제1항은 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하는 행위를 금지하고 있고, 이때 접근권한의 범위를 설정하는 것은 서버를 관리하는 클라우드 서비스 제공자이므로, 수사기관이 프로그램을 이용한 계속적·반복적 접근, 시스템의 보안상 취약점을 이용하여 클라우드 계정에 접근하는 것은 허용되지 않는다. 수사기관이 사용할 수 있는 방식은 적법하게 압수한 증거로부터 클라우드 서비스의 아이디와 비밀번호를 확보하거나 적법하게 압수한 정보처리장치에 클라우드 서비스의 자동로그인 기능이 설정된 것을 이용하여 접속하는 등으로 제한된다. 클라우드 서비스 이용자의 클라우드 계정에 접속한다 하더라도 클라우드 컴퓨팅에서는 클라우드 서비스 제공자가 클라우드 인프라와 자원을 제공하기 때문에 클라우드 서비스 이용자에 대한 압수·수색으로 확보할 수 있는 포렌식 데이터는 제한적이고, 기존의 포렌식 도구로는 클라우드 포렌식을 하는 데 한계가 있다. 또한 클라우드 서비스 이용자에 대한 압수‧수색은 클라우드 서비스 이용자가 전자정보를 변경한 경우 변경한 상태로의 전자정보를 압수할 수밖에 없는 등 피압수자의 휴대폰, PC 등 정보처리장치에 대한 압수‧수색이나 클라우드 서비스 제공자에 대한 압수‧수색에 비해 제한적이다. 한편 클라우드 서비스 이용자로부터 확보한 전자정보의 동일성과 무결성을 인정받는 것은 최초의 저장물 1개만을 원본으로 보고 이후의 복제본은 사본으로 보는 대법원 판례의 입장에 따르면 어려울 수 있다. 그러나 매체에서 매체로 전자정보가 그대로 복제된 경우 원본과 자료의 동일성이 인정되고, 이러한 복제본에 대하여 원본과 동일한 효력을 부여할 수 있으므로, 클라우드 서비스 제공자가 관리하는 서버에서 수색장소의 정보처리장치로 내려 받은 전자정보는 복제본으로서 원본과 같은 효력이 있다. 이와 같이 보면 클라우드 서비스 이용자로부터 확보한 전자정보의 동일성과 무결성을 용이하고 매끄럽게 인정할 수 있다. 국외 클라우드 컴퓨팅 서비스와 관련하여 클라우드 서비스 이용자에 대한 압수‧수색의 방식으로 대응하는 것에는 이미 한계가 있고, 2요소 인증, 다중 요소 인증의 확산과 기술의 발전에 따라 제약은 더욱 커질 것이다. 세계 여러 나라는 기술의 발전과 변화한 환경, 초국경성, 휘발성, 전파용이성 등의 특성을 가진 디지털 증거의 압수·수색을 위하여 전자정보를 압수·수색의 대상으로 명시하고 원격 압수·수색을 허용하는 규정을 신설하는 등으로 법률을 정비하고 다른 국가에 소재한 전자정보의 확보를 위한 방안을 마련하고 있다. 또한 전자정보가 저장된 위치를 특정하는 것조차 쉽지 않고 전자정보가 여러 국가에 흩어져있을 가능성이 높은 클라우드 컴퓨팅의 특성상 국제적인 차원의 논의와 국가들 간의 협력이 필요하다. 사이버범죄협약은 일정한 경우 서비스 제공자에게 데이터의 보존명령, 협조의무 등을 부과할 수 있도록 규정하고 있고, 협약당사국이 다른 협약당사국에 저장된 컴퓨터 데이터의 신속한 보존을 요청할 수 있는 법적 근거를 제공하고 있다. 미국 CLOUD Act는 국외에 소재한 전자정보에 대해서도 접근할 수 있는 법률적 근거를 명확히 하였고, 기존 국제형사사법공조절차의 대안으로 미국과 행정협정을 체결한 해외 정부기관이 미국 기업에 직접 데이터를 요청할 수 있도록 규정하는 등의 방안을 마련하고 있다. 국외 클라우드 서비스에 대하여 현재와 같이 클라우드 서비스 이용자를 상대로 한 압수·수색만으로는 한계가 있으므로, 국외 클라우드 서비스 제공자에 대한 조치의 근거를 마련하기 위하여 사이버범죄협약에 가입하고 미국 CLOUD Act에 따른 행정협정 체결에 대하여도 고민할 필요가 있다.

The Nth Room Case was a crime made possible by offshore instant messaging services and cloud computing. As national courts have no jurisdiction over offshore instant messaging services, Search and Seizure Orders for offshore cloud computing service providers were rendered unenforceable. Of course, Search and Seizure Orders against offshore cloud computing service providers may be enforced through international judicial assistance but such procedures are time consuming, and moreover ineffective as it is difficult to pinpoint the exact location where the targeted electronic data are saved. For such reasons, investigators would rather obtain Search and Seizure Orders against the individual user when investigating crimes related to offshore cloud computing services. Such orders would allow the investigators to download electronic data related to crimes stored in the target individuals cloud computing service account. When the electronic data is downloaded to a separate data storage or computing device, the device would then be seized by the investigators under the Search and Seizure Order. In cloud computing, electronic data are stored in remote servers provided by cloud computing service providers. This is in contrast to electronic data being directly stored in data storage devices which was more frequent in the past. Because of such shift in the way data are stored, Search and Seizure Order against cloud computing service providers will invariably lead to issues relating to remote Search and Seizure, the legality of which the Korean Criminal Procedure Act is silent on. Under the terms of contract between cloud service users and providers, users would typically enjoy a right to access the server connected to his/her account. Also, users would normally have disposal rights and legally protected interests with regard to electronic data stored in his/her cloud computing account. This would allow the individual user to access his/her account and download electronic data stored in remote servers to any data storage devices of his/her choosing. This would mean that under the current Criminal Procedure Act, remote search and seizure against individual service users would be deemed legal as it would be a form of Search and Seizure Order against a person who holds exclusive and undivided right over the seized electronic data. Furthermore, as it is typical for data to be stored in offshore servers, Search and Seizure Orders against cloud computing service users would also raise issues relating to extra-territorial Search and Seizure Orders. Cloud service users retain a right to access and download electronic data stored in his/her account regardless of the servers location. Such right forms the basic premise of cloud computing services. Therefore, in contrast to Search and Seizure Orders against physical properties located abroad, Search and Seizure Orders against electronic data in cloud computing can be conducted through electronic networks which allows the Order to be enforced within the territorial boundaries of judicial competence, without having to physically venture out into extra-jurisdictional territories where the server is located. Hence, it must be concluded that such extra-territorial Search and Seizure is also allowed under current legal settings. In order to search and seize electronic data stored in individual cloud service accounts, it would be necessary to acquire the exact ID and password of the targeted account. As the Korean Constitution guarantees the right to remain silent during criminal proceedings, individuals may not be forced to disclose his/her ID and password to the investigating authorities. Moreover, compelling the individual to type in his/her ID and password in the log-in page or forcing the individual to hand over his/her computing device with the cloud computing service already logged on would also lead to similar constitutional violations. This is because such acts would show that the individual is in knowledge of the ID and password to the account which in turn is a statement that (s)he has proprietary rights over the data stored in that account. Such statements will be deemed incriminating whilst individuals are constitutionally guaranteed against making forced incriminating statements. It is also obvious that such compulsions may not constitute necessary measures under Article 120(1) of the Criminal Procedures Act. Even in situations where investigators have obtained a Search and Seizure Order for biological informations in order to log-in to the account, the aforementioned coercions can not be deemed legal. Therefore, when individual cloud computing service users do not voluntarily provide his/her ID and password, there is little that investigators may achieve. Article 48(1) of the 「Act on Promotion of Information and Communications Network Utilization and Information Protection」 prohibits intrusion on an information and communication network without rightful authority for access or beyond a permitted authority for access. In cloud computing, the perimeters of authorized access would be set by cloud computing service providers. Therefore, it would be illegal for investigators to access cloud computing accounts by using certain brute force attacks or by exploiting certain security weaknesses in the cloud computing system. Legally viable options left for investigators would be to acquire the ID and password from other legally seized evidence or to utilize the default log-in status of cloud accounts in certain computing devices that have already been legally seized. Even when investigators succeed in accessing individual cloud service accounts, only limited forensic data can be acquired and existing forensic tools may be ineffective. This is due to the fact that in cloud computing, the infrastructure and resources for the cloud system is provided by the service provider, as opposed to the individual user him/herself. If the data in the cloud system has been adulterated, the investigators have no other option but to search and seize the adulterated information, without having the tools to recover the unadulterated version. This is in contrast to Search and Seizure Orders against smart-phones or personal computers and renders Search and Seizure Orders in cloud computing services less effective. The Korean Supreme Court only acknowledges the initially stored data as originals and deems subsequently copied data as mere copies. According to such rules, it may be difficult to establish the identity and integrity of electronic data acquired from individual cloud service accounts. However, when electronic data are exactly copied from a device to another device, the identity of the copied data may be matched with that of the original data, which would allow the copied data to have the same legal force afforded to the original data. This would mean that the electronic data downloaded from cloud computing servers would be deemed as copies that have equal legal weight as originals stored in the server itself. In this way, the identity and integrity of electronic data acquired from individual cloud service users may be established in a simple and smooth fashion. In crimes relating to offshore cloud computing services, Search and Seizure Orders against individual users clearly have its limits. The spread of Two-Factor Authentication and Multi-Factor Authentication along with other technological advances would only create more hurdles for investigators. In response to such technological advances and the changes it entails, many nations are devising ways to seize electronic data stored abroad and have enacted legislations explicitly stipulating that electronic data are objects of Search and Seizure Orders as well as creating new rules legalizing Remote Search and Seizure Orders. Such actions were taken in order to facilitate the search and seizure of electronic data, which is becoming evermore extra-territorial, volatile and transmissible in nature. Given the difficulty of locating the server where electronic data are saved and the possibility that such data may be stored in more than one jurisdictions, criminal investigations relating to cloud computing calls for international actions and inter-state cooperations. The Convention on Cyber-crime(so-called the Budapest Convention) allows for certain preservation orders against cloud service providers in Article 16(Expedited preservation of stored computer data) and Article 17(Expedited preservation and partial disclosure of traffic data). It also empowers authorities to issue cooperation orders to cloud service providers and provides legal basis upon which member states may require other member states to preserve certain stored computer data more swiftly(Article 29 – Expedited preservation of stored computer data). The CLOUD Act of the United States also provides clear legal grounds allowing for the access of electronic data stored abroad. Furthermore, where a foreign state organ has entered into an executive agreement with the US government, the Act empowers such foreign state organs to directly request US private companies to hand over certain electronic data. Such measure was adopted as an alternative to international judicial cooperation procedures. It is clear that the current practice of issuing Search and Seizure Orders against individual users falls short of effective Search and Seizure in relation to offshore cloud computing services. To counter such ineffectiveness, clear legal grounds providing for direct measures against offshore cloud service providers should be established. Joining the Budapest Convention and entering into an Executive Agreement with the U.S government under the US CLOUD Act should certainly help in achieving such goals.