9 research outputs found
A study on socio-spatial exclusion of ‘NONGMINGONG’ through Chinese society management scheme
Get PDF空间注。受到关更为理应题些问下,这的情况面因素也日益凸现排他性等负或者地区主义激烈。因此,在地区日趋争竞就业动人口增加和劳整,下岗的大力调结业着城市产和,随饱能力逐渐城和城市承载进村人口相继,农已深受全球化潮流的影响理日益加强,政治和经本论机制和资市场内社会,中国此同时化。但与生一些变合作用,在制度和政策方面也发力量和因素的复多种民工外,由于社会工具。
目前,除农利的一种代权成时,可演变制本身的性质体离管理制度脱象,然而社会期的现型时转使是社会象即现种之外。就是说在社会排挤把他们民工,并生不少农村人口,产化,但仍然分割于城市人口和农有所变过然经些制度虽制的要求,建立的这家和体代的国得注意的是,按照计值民工置在城市之外的主要机制。还的政策就是把这管理制度相应旧是与仅不仅程要得出的结的过样究通过外。
本研城市拒之门民工从管理制度,将籍制度等不公平的社会理再度利用户及其论主的城市计为层些城市及其城市人、以主流阶这,即论得到如下结,并容之一 --改造北京城中村计及其主要内中的北京的城市计行当之外,探索了目前在进置社会民工的理解和他们居住在北京城中村的农民工和城中村,尤其是基于对些农的作用。
这民工聚居区,城中村起到农型和非正式空间的角落类城市空间究了作为等等,还念、形成机制及含义城中村的概外,通过人。另缘城市的边之为城市的正式人口,而视民为农管理制度不视籍制度等社会城,然而仍有一系列的户民可以进然农放以后,虽改革开民,然后表示自从村和农待农和制度如何分割对容以及结籍制度的出台及其内、户构二元结代的城乡时济经划究首先探索计此,该。
为该视歧之外,并在城市社会民工排挤--农群体城市最具代表性的弱势管理制度却把中国式社会行的旧首的现籍制度为述了以户象,阐究对研民工"为生活基地的"农首都北京的"城中村"及以其为究主要以中国本研제1장 서론 = 1
제1절 문제제기 및 연구의 필요성 = 1
제2절 이론적 배경 = 4
1. 사회적 배제와 중국의 도시 공간 = 4
2. 선행연구의 분석 = 9
제3절 연구의 흐름과 내용 = 13
제2장 본론 = 16
제1절 계획경제시대 도농이원구조와 개혁개방후의 변화 = 16
1. 도농이원의 사회경제구조 및 제도와 도농차별 = 17
2. 개혁개방과 정치경제의 변화 = 22
제2절 농민공의 탄생과 베이징 농민공 = 25
1. 중국사회 신(新)계층-농민공의 탄생 = 25
2. 농민공의 현황과 사회적 위치 = 31
3. 농민공에 대한 사회적 배제와 호적제도의 함의 = 38
제3절 베이징 성중촌(城中村)과 농민공의 생활 = 40
1. 성중촌의 개념과 함의 = 40
2. 베이징의 성중촌과 거주 농민공의 생활 = 48
제4절 베이징 성중촌의 정리와 농민공에 대한 배제 = 56
1. 베이징시정부의 도시계획과 성중촌 정리의 논리 = 56
2. 베이징 성중촌의 정리계획과 거주 농민공의 배제 = 61
제3장 결론 = 69
제1절 연구결과의 정리 = 69
제2절 연구의 한계 및 계속 연구할 과제 = 73
참고문헌 = 7
Improving Bayesian Inference : a comparison between ecological rationality and nested-set structure
No full textUnder uncertainty, people make judgment and decisions by estimating probability. Bayesian inference is a method which estimates desired value using given probabilities, however, not only the public but also the experts are not good at Bayesian reasoning. Bayesian inference is common in daily life and sometimes it is a matter of life or death situation. As a result, researchers have been trying to improve performance of Bayesian reasoning. When Bayesian problem is presented in frequency format or with a picture, Bayesian inference is improved. Unfortunately, Bayesian problems are not usually provided in frequency format or with a picture, so teaching Bayesian reasoning is an important issue.
How to teach Bayesian inference effectively? Sedlmeier(1999, 2000), Sedlmeier and Gigerenzer(2001) tested the effectiveness of different teaching methods using a computer program. Teaching how to represent inference problem was superior than rule teaching in the short-term and long-term. Especially among them only natural frequency tree condition was effective in the long term.
This study is designed to identify the best way to teach Bayesian reasoning using minimal example and short interval between test and retest. In addition to the treatments used in previous research, this study used probability descriptive condition and frequency descriptive condition. Adding these conditions, this research tests whether ecological rationality hypothesis or nested-set hypothesis is verified. The main results of this study are as follows. First, there is a difference in effectiveness between treatments right after learning. All treatments are more effective than control condition, and frequency tree condition leads better Bayesian inference than probability descriptive condition. Second, long term effect of frequency tree condition which identified by previous research has not been confirmed. Its effectiveness of learning which was the best in short term was not repeated in long term. Conditions which maintain the long-term effect are Bayesian formula, probability tree, and frequency descriptive conditions. Third, this study supports sub-set structure hypothesis rather than ecological rationality hypothesis. Unlike ecological rationality, frequency tree condition is not superior to probability tree condition, and frequency descriptive condition is not better than probability descriptive condition. On the other hand, consistent with nested-set hypothesis, frequency tree condition which shows sub-set structure using frequency format and the picture leads better Bayesian reasoning than probability descriptive condition which does not use both representations.
This result shows that one example training alone can improve Bayesian inference immediately, and this improvement is due to seeable sub-set structure rather than frequency format itself. Also, this study introduces how memory load influences on Bayesian reasoning training. The immediate training effect of frequency tree condition disappears after 19 days. Only Bayesian formula, probability tree, and frequency descriptive conditions have long-term learning effect. This implies that working memory is operated in short-term, so frequency tree condition which shows sub-set structure by using two kinds of representations has the biggest learning effect. However, memorizing both representations may serve as a long-term disadvantage. Probability tree and frequency descriptive conditions both using only one representation have a long-term effect. In case of frequency tree condition, its immediate learning effect is big, nevertheless in order to sustain the effect, it requires repeated training.;불확실한 상황에서 사람들은 확률 값을 추정하여 판단과 결정을 한다. 베이즈 추론은 제시된 확률 값을 사용하여 원하는 값을 추정해내는 과제이나, 일반인과 전문가 모두 이 추론을 잘 하지 못한다. 베이즈 추론은 일상에서 흔히 접할 수 있고 때로는 생명과 직결된 중요한 문제이므로 연구자들은 이를 향상시키려고 노력해왔다. 베이즈 추론 문제를 빈도 형식으로 제시하거나 그림과 함께 제시하면 추론이 향상되었다. 그러나 보통 베이즈 문제는 빈도나 그림과 함께 제시되지 않으므로 베이즈 추론이 어렵고 이를 위한 효과적인 교수법(teaching method)이 중요한 연구 주제이다.
베이즈 추론을 어떻게 효과적으로 가르칠 수 있을까? Sedlmeier(1999, 2000), Sedlmeier와 Gigerenzer(2001)는 컴퓨터 프로그램을 이용하여 여러 교수법의 효과를 검증했다. 그 결과, 추론 규칙의 학습보다 추론 문제를 표상하는 학습법이 장, 단기적으로 효과가 뛰어나다는 사실이 밝혀졌다. 특히 표상 학습에 사용된 조건들 중 빈도 나무조건은 장기적인 학습 효과를 보인 유일한 조건이었다.
본 연구는 어떻게 베이즈 추론을 가르치는 것이 장, 단기적으로 문제 해결에 긍정적 영향을 미치는지 검토하였다. 본 연구의 특징은 오랜 시간 동안 여러 예제로 학습시킨 선행 연구와는 달리 하나의 예제로 학습시켜 짧은 시간 안에 가장 큰 효과를 낼 수 있는 교수법을 알아보는 것이었다. 선행 연구에 사용된 처치 외에 확률 설명과 빈도 설명조건을 추가하여 생태학적 합리성 가설과 하위 구조설 중 어느 것이 학습 효과 측면에서 타당한지 검증하였다. 본 연구의 주요 결과들은 다음과 같다. 첫째, 학습 직후 처치들 간의 차이가 나타났다. 모든 처치가 통제 조건에 비해 효과가 있었고, 빈도 나무조건이 확률 설명조건보다 더 나은 베이즈 추론을 이끌었다. 둘째, 선행 연구에서 확인된 빈도 나무조건의 장기적인 학습 효과가 확인되지 않았다. 학습 직후 가장 우수한 수행을 보였던 이 조건의 효과는 19일 후 재검사에서 반복되지 않았다. 학습 19일 후에 효과가 유지된 조건은 베이즈 공식, 확률 나무, 빈도 설명 조건이었다. 셋째, 본 연구는 생태학적 합리성 가설이 아닌 하위 구조설을 지지하는 결과를 얻었다. 생태학적 합리성 가설과는 달리 빈도 나무조건은 확률 나무조건보다 그리고 빈도 설명조건은 확률 설명조건보다 우수한 베이즈 추론을 보이지 않았다. 반면 하위 구조설의 주장대로 빈도 형식과 결정 나무 그림을 모두 사용하여 하위 구조를 잘 나타낸 빈도 나무 조건이 확률 설명 조건에 비해 우수한 베이즈 추론을 보였다.
본 연구 결과는 하나의 예제 학습만으로도 베이즈 추론은 즉각적으로 향상될 수 있으며, 이 향상은 빈도 형식 자체 때문이 아니라 빈도 형식과 결정 나무 표상이 전체 집단에 대한 하위 구조를 한 눈에 보게 해주기 때문이라는 것을 시사한다. 또한 베이즈 추론 학습에서 기억 부담의 영향을 확인할 수 있었다. 학습 직후 가장 큰 효과를 보였던 빈도 나무조건이 19일 후 효과를 보이지 않았다. 베이즈 공식, 확률 나무, 그리고 빈도 설명조건이 19 일 후 효과를 보였다. 작업 기억이 작동하는 학습 직후에는 두 표상을 모두 사용하여 하위 구조를 보인 빈도 나무조건이 가장 큰 효과를 보였으나 이들을 모두 기억해야 한다는 것이 장기적으로는 단점으로 작용하였을 것이다. 때문에 각각 습한 표상만을 사용한 확률 나무와 빈도 설명조건이 재검사에서 효과를 유지하였다. 빈도 나무조건의 경우 즉각적인 학습 효과는 크지만 효과를 장기적으로 유지하기 위해서는 반복 학습이 필요한 것으로 보인다.Ⅰ. 서론 = 1
Ⅱ. 이론적 배경 = 4
A. 베이즈 추론(Bayesian Inference) = 4
B. 베이즈 추론의 향상 = 6
1. 문제 제시 방법 조작 = 6
1.1. 정보 형식의 영향: 확률 대 빈도 = 6
1.2. 시각 도구의 사용: 그림 표상의 효과 = 8
2. 베이즈 추론 학습 = 8
C. 베이즈 추론 향상을 보는 두 관점 = 9
1. 생태학적 합리성 가설 = 9
2. 하위 구조설 = 10
D. 연구 문제 = 11
Ⅲ. 방법 = 12
A. 참여자 = 12
B. 재료 및 설계 = 12
C. 절차 = 19
Ⅳ. 결과 = 21
Ⅴ. 논의 = 29
참고문헌 = 32
부록 = 35
ABSTRACT = 4
디지털 유산의 처리 방안
No full text학위논문 (석사)-- 서울대학교 대학원 : 법학과, 2015. 2. 정상조.디지털 유산이란 사망한 자가 디지털의 형태로 남긴 부호, 문자, 음성, 음향, 화상, 동영상 등의 정보를 의미한다. 이미 집적된 디지털 유산의 양이 방대할 뿐만 아니라, 스마트폰과 같은 기기 사용의 증가로 디지털 유산은 점점 더 늘어날 것이므로, 디지털 유산을 어떻게 처리할 것인지는 법률적으로 중요한 문제이다. 그럼에도 불구하고, 디지털 유산은 온라인상에 소재하고, 다양한 성격을 가진 디지털 정보가 혼재하는 특성을 가지고 있기 때문에, 민법이 규정한 물건이나 지적재산권과 같은 기존의 개념에 잘 들어맞지 않는다. 따라서 디지털 유산을 어떻게 처리할지에 관한 사회적 합의와 법률적인 검토가 필요함에도, 아직까지 디지털 유산을 어떻게 처리할 것인지에 관한 논의가 충분히 이루어지지 않았다. 그 결과 많은 디지털 유산이 사장되고 있으므로, 이에 관한 논의가 필요하다.
먼저 이 논문에서는 별도의 입법이 없이 현행 법률의 해석론으로도 디지털 유산의 상속을 인정할 수 있다는 입장을 취하였다. 디지털 유산의 법적 성격과 관련하여, 디지털 유산은 민법이 정한 물건에 해당한다고 볼 수 없고, 부동산이나 동산에도 해당하지 않으므로, 물권으로 보호를 받을 수는 없다. 그러나 온라인에서 사망자가 축적한 디지털 정보 일반에 대한 권리를 재산권의 성격을 가진 하나의 권리로 보아, 물권 이외의 재산적 권리로 인정할 수 있다. 또한 디지털 유산이 저작권법과 같이 개별 법률이 정한 요건을 충족하는 경우 이에 따른 보호를 받을 수 있고, 디지털 유산이 정보통신서비스 제공자와 이용자의 서비스이용계약에 따라 정보통신서비스 제공자의 서버에 저장되어 있는 경우 사망한 이용자의 상속인은 위 서비스이용계약의 내용에 따른 채권적 권리를 가진다. 이와 같이 디지털 유산은 재산권의 성격을 가지고, 일신에 전속한 권리에 해당하지 않으므로, 민법 제1005조 본문에 따라 상속인에게 포괄적으로 승계된다.
다음으로 디지털 유산의 많은 부분이 정보통신서비스 제공자가 제공하는 서비스를 이용한 계정 내에 존재하기 때문에, 디지털 유산의 처리에 있어서는 정보통신서비스 제공자가 제공하는 이용약관에 따라 성립하는 정보통신서비스 이용계약의 내용이 중요하다. 이를 검토함에 있어서는 크게 계정정보와 계정 내 내용물을 나누어 살펴보아야 한다. 계정정보를 알지 못하면 계정 내 내용물에 접근할 수 없으므로, 계정정보는 내용물에 접근하기 위한 관문의 역할을 한다. 우선 내용물과 관련하여, 대부분의 정보통신서비스 제공자는 이용약관에서 내용물을 작성한 이용자가 내용물에 대한 권리를 갖는 것으로 정하고 있다. 이용약관에 의해 이용자가 작성한 내용물에 대한 권리를 정보통신서비스 제공자가 갖는 것으로 정할 경우, 이용자에게 상당한 대가 등을 제공한다는 등의 특별한 사정이 없는 한, 이는 약관의 규제에 관한 법률에 위배되는 것으로서 무효라고 보아야 할 것이다. 한편 대부분의 이용약관에서 계정정보를 제3자에게 이전하거나 알려주지 못하게 하고 있고, 그로 인해 계정을 상속할 수 있는지에 대하여 논란이 있으나 상속인은 제3자에 해당한다고 할 수 없고 상속은 포괄승계로 특정승계인에 대한 이전이나 양도와는 구별되므로, 계정 역시 상속의 대상이라고 보는 것이 타당하다. 나아가 상속인이 사자의 계정에 접근하는 행위나 정보통신서비스 제공자가 상속인들에게 사망자의 계정정보를 알려주는 행위는 형벌법규나 개인정보 보호규정 등에도 위배되지 않는 것으로 볼 수 있다. 다만 이용약관에서 이용자가 사망할 경우 계정과 내용물을 폐기하는 것으로 정한 경우, 해당 디지털 유산은 이용자의 사망 시 소멸을 전제로 하여 형성된 것이므로 이에 대한 상속을 허용하는 것은 어려울 것이다.
한편 아이튠스의 음원과 같이 온라인상에서 저작권자가 거래에 제공한 것을 구매한 경우 최초판매의 원칙이 적용되지 않으므로 이를 상속할 수 없다. 저작권법에서 배포와 전송을 구별하고 있어 온라인상에서 소프트웨어를 다운로드 받아 사용하는 경우에는 배포권에 대한 예외로서 최초판매의 원칙이 적용되지 않고, 최종사용자계약에서도 서비스이용자가 라이선스를 갖는 것에 불과하다고 정하고 있기 때문이다. 결국 소프트웨어를 다운로드받은 스마트폰이나 노트북과 같은 기기를 상속하는 방식으로 디지털 저작물을 상속하는 것만이 가능하다. 또한 개인이 온라인상에 작성한 각종 데이터를 더 이상 처리하지 못하게 할 권리인 잊혀질 권리를 상속인에게 인정할 것인지에 관하여, 현행 법률상 잊혀질 권리를 인정하기 어렵고, 그러한 이상 상속인에게 사자의 정보에 대한 잊혀질 권리를 인정할 수 없다는 입장을 취한다.
이와 같이 현행 법률의 해석론으로도 디지털 유산을 상속하는 것이 가능하지만, 디지털 유산의 처리를 둘러싸고 현행 법률의 해석이 명확하지 않은 부분이나 현행 법률 규정이 부족한 부분은 입법을 통하여 명확하게 하는 것이 필요하다. 입법은 디지털 유산에 대한 권리 주체의 재산권과 자기결정권, 인격권과 그 상속인의 이해관계를 존중하고, 정보통신서비스 제공자가 받게 될 경제적 부담을 고려하여 이루어져야 한다. 입법이 필요한 부분으로는 ① 디지털 유산 상속의 방법과 절차, ② 상속인이 없거나 상속인을 찾을 수 없는 경우 디지털 유산의 삭제를 위한 방안, ③ 민법상 유언법정주의를 완화함으로써, 디지털 유산의 권리 주체가 디지털 유산의 처리에 관한 의사표시를 현행 민법 규정과 다른 방식으로 하더라도 유효한 것으로 하기 위한 방안, ④ 디지털 정보에 관하여 물권적 권리를 인정하는 것이다. 다만, 빠르게 변화하고 다양한 형태를 갖는 디지털 정보가 결합한 디지털 유산의 특성을 고려하여, 주요한 사항은 법률에 규정하되, 세부적인 부분은 정보통신서비스 제공자의 자율에 맡기거나, 하위법규로 정하는 것이 바람직하다.
이미 디지털 유산과 관련하여 18대 국회에 3개, 19대 국회에 2개의 입법안이 발의되었고, 방송통신위원회에서도 법률시안과 권고안을 마련하였다. 그럼에도 불구하고 디지털 유산의 처리에 관하여 충분한 논의나 사회적 합의가 이루어지지 않았고, 입법안은 입법으로 이어지지 못하고 있다. 그 결과 디지털 유산은 정보통신서비스 제공자의 개별적인 정책이나 방침에 따라 처리되고 있고, 정보통신서비스 제공자들은 형사법적 책임 등에 대한 염려나 현실적인 부담을 고려하여 서비스이용자들의 요청에 소극적으로 대응하고 있다. 현행 법률에 따를 때에도 디지털 유산을 상속할 수 있음에도 상속인이 권리를 행사하지 못하고 막대한 디지털 유산이 폐기되거나 인터넷 공간을 떠도는 현실은 문제가 있다. 디지털 유산의 처리에 대한 공론화와, 현행 법률상 디지털 유산의 처리에 관한 체계적인 해석론, 나아가 입법이 필요한 부분에 대한 입법을 통한 해결이 절실하다.제1장 서론 1
제1절 연구의 목적과 필요성 1
제2절 연구의 구성 3
제2장 디지털 유산의 개념과 처리 현황 6
제1절 디지털 유산의 의의와 범위 6
1. 디지털 유산의 의의 6
2. 디지털 유산의 범위 6
제2절 디지털 유산의 특성 8
1. 디지털의 형태 8
2. 다양한 정보가 혼재 8
3. 정보통신서비스 제공자의 역할 증대 9
제3절 디지털 유산의 처리 현황 10
1. 국외 10
가. 사례 10
(1) 계정정보를 요청한 사례 10
(2) 계정과 내용물의 삭제를 요청한 사례 14
나. 정보통신서비스 제공자 15
(1) 디지털 유산의 이전 내지 보존과 관련된 서비스 15
(2) 계정이나 내용물의 삭제와 관련된 서비스 17
다. 입법례 19
(1) 독일 19
(2) 미국 21
(3) 일본 27
2. 국내 - 정보통신서비스 제공자 28
가. 다음(Daum) 28
나. NHN 28
다. SK커뮤니케이션즈 29
제3장 현행 법률에 의한 디지털 유산의 규율 30
제1절 디지털 유산의 상속 가능성 30
1. 개관 30
2. 디지털 유산이 민법상 물건에 해당하는지 여부 30
가. 통설적 견해 31
나. 물건 개념의 확대 논의 31
다. 검토 32
3. 디지털 유산이 물권 이외의 재산적 권리에 해당하는지 여부 33
가. 다양한 견해 33
나. 검토 36
4. 디지털 유산의 주요 유형별 법적 성질 37
가. 저작물 37
나. 게임 아이템 39
다. 홈페이지 40
5. 재산적 가치가 없는 디지털 유산 41
가. 논의의 필요성 41
나. 견해의 대립 42
(1) 상속을 부정하는 견해 42
(2) 상속을 긍정하는 견해 43
다. 검토 45
6. 디지털 유산의 공동상속 46
가. 민법의 규정 46
(1) 상속재산공유의 성질 46
(2) 검토 47
나. 저작권법상 공유 저작재산권의 행사 48
다. 디지털 유산의 공동상속 51
제2절 정보통신서비스 이용계약과 관련한 법적 문제 51
1. 논의의 필요성 51
2. 정보통신서비스 이용관계의 법적 성질 52
3. 정보통신서비스 이용계약의 내용 53
4. 온라인 계정 내 내용물의 상속 54
5. 온라인 계정의 상속 55
가. 문제점 55
나. 온라인 계정의 상속 가능 여부에 관한 견해 대립 56
다. 제3자에 대한 이전․양도를 금지하는 이용약관의 문제 57
6. 이용자가 사망한 경우를 규정한 이용약관의 문제 58
가. 이용약관의 내용 58
나. 계정과 내용물을 삭제하는 것으로 정한 경우 59
다. 내용물을 이전할 수 있도록 정한 경우 60
7. 국제재판관할을 외국으로, 준거법을 외국법으로 정한 약관 60
가. 정보통신서비스 이용약관의 규정 60
나. 약관에 의한 국제재판관할이 유효하기 위한 요건 61
(1) 국제사법의 규정 61
(2) 대법원 판례 61
(3) 검토 63
다. 약관에 의한 준거법이 유효하기 위한 요건 63
라. 준거법을 외국법으로 정한 경우 약관규제법의 적용 여부 63
(1) 문제점 64
(2) 대법원 판례 64
(3) 검토 65
마. 약관규제법과 행정적 규제 66
제3절 디지털 유산을 둘러싼 형사법적 문제 66
1. 정보통신망법 제48조 제1항에 위배되는지 여부 66
가. 문제점 66
나. 제3자의 경우 67
(1) 견해의 대립 67
(2) 대법원의 입장 69
(3) 검토 69
다. 상속인의 경우 69
2. 정보통신망법 제49조에 위배되는지 여부 70
가. 문제점 70
나. 타인의 정보를 훼손한 행위 71
다. 타인의 비밀을 침해․도용 또는 누설하는 행위 74
라. 검토 74
3. 정보통신서비스 제공자의 정보통신망법 등 위반 가능성 75
가. 정보통신망법 제21조 75
나. 개인정보 보호규정 76
다. 통신비밀보호법 77
제4절 디지털 저작물 거래와 상속의 문제 77
1. 문제점 77
2. 최초판매의 원칙의 적용 요건 79
가. 원본 또는 복제물 79
나. 판매 등의 방법으로 거래에 제공 80
3. 최종사용자계약(EULA)을 통한 최초판매의 원칙 배제 81
가. 최종사용자계약의 배경 81
나. 최종사용자계약의 내용 82
다. 최종사용자계약의 효과 83
4. 최초판매의 원칙을 적용할 수 있는지 여부 84
가. 우리나라의 경우 84
나. 미국의 경우 85
(1) 연방저작권법의 규정 85
(2) Vernor v. Autodesk 사건 85
(3) 입법적 해결을 위한 논의 87
5. 검토 88
제5절 디지털 유산과 잊혀질 권리 89
1. 논의의 필요성 89
2. 잊혀질 권리(Right to be forgotten)의 정의 91
3. 유럽사법재판소(ECJ)의 잊혀질 권리를 인정한 판결 92
가. 잊혀질 권리에 대한 최초의 판결 92
나. 잊혀질 권리의 실행을 위한 가이드라인 93
다. 표현의 자유와 개인정보 보호의 충돌 93
4. 잊혀질 권리에 관한 미국의 논의동향 94
가. 표현의 자유에 대한 존중 94
나. 미성년자에 대한 캘리포니아 주법 95
5. 우리나라에서의 논의 96
가. 잊혀질 권리의 내용과 현행 법률 내용의 비교․검토 96
(1) 삭제(요구)권 96
(2) 검색차단(요구)권 98
(3) 사정변경사실의 고지(요구)권 99
나. 개정안 100
(1) 이노근 의원안 100
(2) 평가 100
6. 잊혀질 권리를 인정할 수 있는지 여부 101
가. 현행 법률상 잊혀질 권리의 인정 가능성 101
나. 디지털 유산에 대한 잊혀질 권리의 인정 가능성 101
제4장 디지털 유산의 처리 방안에 대한 입법 103
제1절 입법의 방향 103
제2절 입법이 필요한 부분 104
1. 디지털 유산 상속의 범위와 절차 104
가. 제공하는 디지털 유산의 범위 105
(1) 온라인 계정 105
(2) 상속범위를 제한할 수 있도록 할 것인지 여부 106
나. 제공 대상자의 범위 106
다. 이용자의 의사표시 방법 107
라. 상속의 절차 107
2. 디지털 유산의 삭제를 위한 방안 108
3. 민법이 정한 유언법정주의에 대한 해결책 109
4. 디지털 정보에 대한 물권적 권리 인정의 필요성 111
제3절 입법안 112
1. 18대 국회에 제출된 입법안 112
가. 박대해 의원안 112
나. 유기준 의원안 113
다. 김금래 의원안 113
2. 19대 국회에 제출된 입법안 114
가. 손인춘 의원안 114
나. 김장실 의원안 114
3. 방송통신위원회의 정보통신망법 법률시안 및 권고안 115
가. 정보통신망법 법률시안 115
(1) 법률시안의 내용 116
(2) 평가 116
나. 권고안 117
(1) 권고안의 내용 117
(2) 평가 119
제4절 입법안에 대한 검토 120
1. 입법 목적의 측면 120
2. 규율 대상의 측면 121
3. 디지털 유산을 관리할 수 있는 자의 범위 122
4. 디지털 유산의 처리방법 123
제5장 결론 124
참고문헌 126
Abstract 137Maste
Search and Seizure Against Offshore Cloud Computing Service Users
No full text학위논문(석사) -- 서울대학교대학원 : 융합과학기술대학원 수리정보과학과, 2022.2. 이상원.n번방 사건은 국외 메신저 서비스와 국외 클라우드 컴퓨팅 서비스를 이용하여 이루어진 범행이다. 국외 클라우드 컴퓨팅 서비스의 경우 국가관할권이 미치지 않기 때문에 국외 클라우드 서비스 제공자에 대하여 압수·수색영장을 발부받더라도 이를 집행할 수 없다. 국외 클라우드 서비스 제공자에 대하여 가능한 방안인 국제형사사법공조는 많은 시간이 소요될 뿐만 아니라 해당 전자정보가 저장되어 있는 장소를 특정하기 어려운 클라우드 컴퓨팅의 특성상 효과적이지 않다. 이러한 이유로 국외 클라우드 서비스를 이용한 범죄에 대한 증거 확보는 클라우드 서비스 이용자에 대한 압수·수색영장을 발부받아 서비스 제공자의 서버에 저장되어 있는 범죄혐의사실 관련 전자정보를 서비스 이용자의 정보처리장치로 내려 받은 다음 압수하는 방식으로 이루어지고 있다.
전자정보를 직접 관리하는 정보저장매체에 저장했던 과거와 달리, 클라우드 컴퓨팅 환경에서는 클라우드 서비스 제공자가 제공하는 서버에 전자정보가 원격 저장된다. 이와 같은 클라우드 컴퓨팅의 특성으로 인하여 클라우드 서비스 이용자에 대한 압수‧수색에서는 항상 원격 압수‧수색의 문제가 발생한다. 형사소송법은 원격 압수수색이 허용되는지에 관한 규정을 두고 있지 않다. 그러나 클라우드 서비스 이용자는 서비스 제공자와의 서비스이용계약에 따라 클라우드 계정과 관련하여 서버에 대한 접속권한을 가지고, 해당 클라우드 계정에서 생성한 전자정보에 관한 처분권한과 권리보호이익을 가지는 주체로서, 클라우드 서비스 제공자가 관리하는 서버에서 서비스 이용자가 계정정보를 입력한 정보처리장치로 해당 계정의 전자정보를 가져올 권한이 있다. 따라서 현행 형사소송법 하에서도 서비스 이용자를 상대로 한 원격 압수·수색은 전자정보에 대한 배타적, 독립적 재산권자를 상대로 해당 전자정보를 압수·수색하는 것은 허용된다.
또한 국외 클라우드 서비스 이용자에 대한 압수·수색에서 전자정보가 저장된 서버는 국외에 소재하는 것이 일반적이므로, 역외 압수·수색이 허용되는지 문제된다. 클라우드 서비스 이용자는 서버의 소재지와 관계없이 클라우드 서비스 이용계약에 따라 클라우드 계정의 전자정보를 가져올 권한이 있고, 클라우드 서비스 제공자 역시 이와 같은 접근을 전제하고 있다. 또한 디지털 증거인 전자정보는 유체물에 대한 압수·수색과는 달리 압수·수색을 위하여 수사기관이 물리적으로 국외에 위치한 서버 소재지에 갈 필요 없이 네트워크로만 이루어지므로, 역외 압수·수색은 허용된다고 본다.
국외 클라우드 서비스 이용자를 상대로 한 압수‧수색의 방법으로 전자정보를 확보하기 위해서는 클라우드 서비스의 아이디와 비밀번호를 확보하는 것이 필요하다. 수사기관이 피의자인 서비스 이용자로 하여금 클라우드 서비스 아이디와 비밀번호를 진술하도록 강제하는 것은 피의자에게 불리한 자료로 이어질 수 있는 내용을 진술하도록 하는 것이므로, 헌법에서 정한 진술거부권 위반에 해당한다. 피의자에게 정보처리장치에 클라우드 서비스 아이디와 비밀번호를 입력하라고 하거나 입력한 상태로 정보처리장치를 제공하도록 하는 것 또한 이러한 행위를 함으로써 피의자가 아이디와 비밀번호를 알고 있고, 아이디와 비밀번호의 입력으로 접근할 수 있는 계정 내 전자정보에 대한 권한을 가지고 있다는 사실을 나타내도록 하는 것으로 진술을 포함하고 있고, 비밀번호를 말하도록 하는 것과 효과에 있어 실질적으로 차이가 없으므로 마찬가지로 진술거부권의 대상이다. 이를 형사소송법 제120조 제1항에서 규정한 압수·수색에 필요한 처분으로 볼 수도 없다. 아이디와 비밀번호, 잠금해제를 위한 생체정보를 압수·수색의 대상으로 한 압수·수색영장이 발부된 경우라 하더라도 허용된다고 볼 수 없다.
클라우드 서비스 이용자가 자발적으로 아이디와 비밀번호를 제공하지 않는 경우 수사기관이 취할 수 있는 조치는 제한적이다. 정보통신망 이용촉진 및 정보보호에 관한 법률 제48조 제1항은 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하는 행위를 금지하고 있고, 이때 접근권한의 범위를 설정하는 것은 서버를 관리하는 클라우드 서비스 제공자이므로, 수사기관이 프로그램을 이용한 계속적·반복적 접근, 시스템의 보안상 취약점을 이용하여 클라우드 계정에 접근하는 것은 허용되지 않는다. 수사기관이 사용할 수 있는 방식은 적법하게 압수한 증거로부터 클라우드 서비스의 아이디와 비밀번호를 확보하거나 적법하게 압수한 정보처리장치에 클라우드 서비스의 자동로그인 기능이 설정된 것을 이용하여 접속하는 등으로 제한된다.
클라우드 서비스 이용자의 클라우드 계정에 접속한다 하더라도 클라우드 컴퓨팅에서는 클라우드 서비스 제공자가 클라우드 인프라와 자원을 제공하기 때문에 클라우드 서비스 이용자에 대한 압수·수색으로 확보할 수 있는 포렌식 데이터는 제한적이고, 기존의 포렌식 도구로는 클라우드 포렌식을 하는 데 한계가 있다. 또한 클라우드 서비스 이용자에 대한 압수‧수색은 클라우드 서비스 이용자가 전자정보를 변경한 경우 변경한 상태로의 전자정보를 압수할 수밖에 없는 등 피압수자의 휴대폰, PC 등 정보처리장치에 대한 압수‧수색이나 클라우드 서비스 제공자에 대한 압수‧수색에 비해 제한적이다.
한편 클라우드 서비스 이용자로부터 확보한 전자정보의 동일성과 무결성을 인정받는 것은 최초의 저장물 1개만을 원본으로 보고 이후의 복제본은 사본으로 보는 대법원 판례의 입장에 따르면 어려울 수 있다. 그러나 매체에서 매체로 전자정보가 그대로 복제된 경우 원본과 자료의 동일성이 인정되고, 이러한 복제본에 대하여 원본과 동일한 효력을 부여할 수 있으므로, 클라우드 서비스 제공자가 관리하는 서버에서 수색장소의 정보처리장치로 내려 받은 전자정보는 복제본으로서 원본과 같은 효력이 있다. 이와 같이 보면 클라우드 서비스 이용자로부터 확보한 전자정보의 동일성과 무결성을 용이하고 매끄럽게 인정할 수 있다.
국외 클라우드 컴퓨팅 서비스와 관련하여 클라우드 서비스 이용자에 대한 압수‧수색의 방식으로 대응하는 것에는 이미 한계가 있고, 2요소 인증, 다중 요소 인증의 확산과 기술의 발전에 따라 제약은 더욱 커질 것이다. 세계 여러 나라는 기술의 발전과 변화한 환경, 초국경성, 휘발성, 전파용이성 등의 특성을 가진 디지털 증거의 압수·수색을 위하여 전자정보를 압수·수색의 대상으로 명시하고 원격 압수·수색을 허용하는 규정을 신설하는 등으로 법률을 정비하고 다른 국가에 소재한 전자정보의 확보를 위한 방안을 마련하고 있다. 또한 전자정보가 저장된 위치를 특정하는 것조차 쉽지 않고 전자정보가 여러 국가에 흩어져있을 가능성이 높은 클라우드 컴퓨팅의 특성상 국제적인 차원의 논의와 국가들 간의 협력이 필요하다. 사이버범죄협약은 일정한 경우 서비스 제공자에게 데이터의 보존명령, 협조의무 등을 부과할 수 있도록 규정하고 있고, 협약당사국이 다른 협약당사국에 저장된 컴퓨터 데이터의 신속한 보존을 요청할 수 있는 법적 근거를 제공하고 있다. 미국 CLOUD Act는 국외에 소재한 전자정보에 대해서도 접근할 수 있는 법률적 근거를 명확히 하였고, 기존 국제형사사법공조절차의 대안으로 미국과 행정협정을 체결한 해외 정부기관이 미국 기업에 직접 데이터를 요청할 수 있도록 규정하는 등의 방안을 마련하고 있다. 국외 클라우드 서비스에 대하여 현재와 같이 클라우드 서비스 이용자를 상대로 한 압수·수색만으로는 한계가 있으므로, 국외 클라우드 서비스 제공자에 대한 조치의 근거를 마련하기 위하여 사이버범죄협약에 가입하고 미국 CLOUD Act에 따른 행정협정 체결에 대하여도 고민할 필요가 있다.The ‘Nth Room Case’ was a crime made possible by offshore instant messaging services and cloud computing. As national courts have no jurisdiction over offshore instant messaging services, Search and Seizure Orders for offshore cloud computing service providers were rendered unenforceable. Of course, Search and Seizure Orders against offshore cloud computing service providers may be enforced through international judicial assistance but such procedures are time consuming, and moreover ineffective as it is difficult to pinpoint the exact location where the targeted electronic data are saved. For such reasons, investigators would rather obtain Search and Seizure Orders against the individual user when investigating crimes related to offshore cloud computing services. Such orders would allow the investigators to download electronic data related to crimes stored in the target individual’s cloud computing service account. When the electronic data is downloaded to a separate data storage or computing device, the device would then be seized by the investigators under the Search and Seizure Order.
In cloud computing, electronic data are stored in remote servers provided by cloud computing service providers. This is in contrast to electronic data being directly stored in data storage devices which was more frequent in the past. Because of such shift in the way data are stored, Search and Seizure Order against cloud computing service providers will invariably lead to issues relating to remote Search and Seizure, the legality of which the Korean Criminal Procedure Act is silent on. Under the terms of contract between cloud service users and providers, users would typically enjoy a right to access the server connected to his/her account. Also, users would normally have disposal rights and legally protected interests with regard to electronic data stored in his/her cloud computing account. This would allow the individual user to access his/her account and download electronic data stored in remote servers to any data storage devices of his/her choosing. This would mean that under the current Criminal Procedure Act, remote search and seizure against individual service users would be deemed legal as it would be a form of Search and Seizure Order against a person who holds exclusive and undivided right over the seized electronic data.
Furthermore, as it is typical for data to be stored in offshore servers, Search and Seizure Orders against cloud computing service users would also raise issues relating to extra-territorial Search and Seizure Orders. Cloud service users retain a right to access and download electronic data stored in his/her account regardless of the server’s location. Such right forms the basic premise of cloud computing services. Therefore, in contrast to Search and Seizure Orders against physical properties located abroad, Search and Seizure Orders against electronic data in cloud computing can be conducted through electronic networks which allows the Order to be enforced within the territorial boundaries of judicial competence, without having to physically venture out into extra-jurisdictional territories where the server is located. Hence, it must be concluded that such extra-territorial Search and Seizure is also allowed under current legal settings.
In order to search and seize electronic data stored in individual cloud service accounts, it would be necessary to acquire the exact ID and password of the targeted account. As the Korean Constitution guarantees the right to remain silent during criminal proceedings, individuals may not be forced to disclose his/her ID and password to the investigating authorities. Moreover, compelling the individual to type in his/her ID and password in the log-in page or forcing the individual to hand over his/her computing device with the cloud computing service already logged on would also lead to similar constitutional violations. This is because such acts would show that the individual is in knowledge of the ID and password to the account which in turn is a statement that (s)he has proprietary rights over the data stored in that account. Such statements will be deemed incriminating whilst individuals are constitutionally guaranteed against making forced incriminating statements. It is also obvious that such compulsions may not constitute ‘necessary measures’ under Article 120(1) of the Criminal Procedures Act. Even in situations where investigators have obtained a Search and Seizure Order for biological informations in order to log-in to the account, the aforementioned coercions can not be deemed legal.
Therefore, when individual cloud computing service users do not voluntarily provide his/her ID and password, there is little that investigators may achieve. Article 48(1) of the 「Act on Promotion of Information and Communications Network Utilization and Information Protection」 prohibits intrusion on an information and communication network without rightful authority for access or beyond a permitted authority for access. In cloud computing, the perimeters of authorized access would be set by cloud computing service providers. Therefore, it would be illegal for investigators to access cloud computing accounts by using certain brute force attacks or by exploiting certain security weaknesses in the cloud computing system. Legally viable options left for investigators would be to acquire the ID and password from other legally seized evidence or to utilize the default log-in status of cloud accounts in certain computing devices that have already been legally seized.
Even when investigators succeed in accessing individual cloud service accounts, only limited forensic data can be acquired and existing forensic tools may be ineffective. This is due to the fact that in cloud computing, the infrastructure and resources for the cloud system is provided by the service provider, as opposed to the individual user him/herself. If the data in the cloud system has been adulterated, the investigators have no other option but to search and seize the adulterated information, without having the tools to recover the unadulterated version. This is in contrast to Search and Seizure Orders against smart-phones or personal computers and renders Search and Seizure Orders in cloud computing services less effective.
The Korean Supreme Court only acknowledges the initially stored data as originals and deems subsequently copied data as mere copies. According to such rules, it may be difficult to establish the identity and integrity of electronic data acquired from individual cloud service accounts. However, when electronic data are exactly copied from a device to another device, the identity of the copied data may be matched with that of the original data, which would allow the copied data to have the same legal force afforded to the original data. This would mean that the electronic data downloaded from cloud computing servers would be deemed as copies that have equal legal weight as originals stored in the server itself. In this way, the identity and integrity of electronic data acquired from individual cloud service users may be established in a simple and smooth fashion.
In crimes relating to offshore cloud computing services, Search and Seizure Orders against individual users clearly have its limits. The spread of Two-Factor Authentication and Multi-Factor Authentication along with other technological advances would only create more hurdles for investigators. In response to such technological advances and the changes it entails, many nations are devising ways to seize electronic data stored abroad and have enacted legislations explicitly stipulating that electronic data are objects of Search and Seizure Orders as well as creating new rules legalizing Remote Search and Seizure Orders. Such actions were taken in order to facilitate the search and seizure of electronic data, which is becoming evermore extra-territorial, volatile and transmissible in nature. Given the difficulty of locating the server where electronic data are saved and the possibility that such data may be stored in more than one jurisdictions, criminal investigations relating to cloud computing calls for international actions and inter-state cooperations. The Convention on Cyber-crime(so-called the ‘Budapest Convention’) allows for certain preservation orders against cloud service providers in Article 16(Expedited preservation of stored computer data) and Article 17(Expedited preservation and partial disclosure of traffic data). It also empowers authorities to issue cooperation orders to cloud service providers and provides legal basis upon which member states may require other member states to preserve certain stored computer data more swiftly(Article 29 – Expedited preservation of stored computer data). The CLOUD Act of the United States also provides clear legal grounds allowing for the access of electronic data stored abroad. Furthermore, where a foreign state organ has entered into an executive agreement with the US government, the Act empowers such foreign state organs to directly request US private companies to hand over certain electronic data. Such measure was adopted as an alternative to international judicial cooperation procedures.
It is clear that the current practice of issuing Search and Seizure Orders against individual users falls short of effective Search and Seizure in relation to offshore cloud computing services. To counter such ineffectiveness, clear legal grounds providing for direct measures against offshore cloud service providers should be established. Joining the Budapest Convention and entering into an Executive Agreement with the U.S government under the US CLOUD Act should certainly help in achieving such goals.Ⅰ. 서론 1
Ⅱ. 클라우드 컴퓨팅의 정의, 유형과 필요한 기술 6
1. 클라우드 컴퓨팅의 정의 6
2. 클라우드 컴퓨팅의 유형 9
가. 클라우드 서비스 모델 9
나. 클라우드 배포 모델 13
3. 클라우드 컴퓨팅에 필요한 기술 13
Ⅲ. 원격 압수·수색과 역외 압수·수색 15
1. 원격 압수·수색 15
가. 원격 압수·수색의 정의와 문제점 15
나. 외국의 입법례 18
다. 원격 압수·수색이 허용되는지 여부 26
2. 역외 압수·수색 43
가. 역외 압수·수색의 정의와 문제점 43
나. 외국의 사례와 입법례 44
다. 역외 압수·수색이 허용되는지 여부 57
Ⅳ. 클라우드 서비스 이용자에 대한 압수‧수색 62
1. 국외 클라우드 서비스 이용자에 대한 압수·수색의 방식 62
2. 클라우드의 보안 64
가. 클라우드 서비스 제공자와 서비스 이용자의 책임 공유 모델 64
나. 클라우드에 대한 보안의 강화 65
3. 클라우드 서비스 아이디‧비밀번호의 확보와 진술거부권 68
가. 문제점 69
나. 인증의 유형 69
다. 수사기관의 암호 해제 요구와 진술거부권 74
라. 진술거부권 위반인지 여부 81
4. 클라우드 서비스 이용자가 아이디와 비밀번호 제공에 협조하지 않는 경우 89
가. 수사기관이 클라우드 계정 접속을 위해 할 수 있는 조치의 판단기준 89
나. 구체적인 범위 94
Ⅴ. 클라우드 포렌식과 전자정보의 확보 96
1. 클라우드 포렌식 96
가. 클라우드 포렌식의 정의 96
나. 클라우드 포렌식의 어려움 97
다. 클라우드 컴퓨팅 계층별 포렌식의 어려움 100
라. 클라우드 포렌식 절차와 절차별 포렌식의 어려움 103
2. 확보할 수 있는 전자정보의 범위와 한계 116
3. 클라우드에서 확보한 전자정보의 동일성과 무결성 118
가. 동일성과 무결성의 의의 118
나. 원본증거의 법칙 119
다. 수집한 전자정보의 동일성과 무결성의 확보 124
4. 클라우드 서비스 접속에 이용한 정보처리장치에 대한 압수·수색 129
가. 클라우드 계정 내 전자정보와 정보처리장치에 대한 압수·수색 129
나. 클라우드 서비스 이용자의 정보처리장치에 대한 포렌식 130
다. 정보처리장치에 대한 잠금해제 132
라. 휴대폰에 저장된 전자정보 확보를 위한 클라우드의 활용 135
Ⅵ. 결론 140
참고문헌 145
Abstract 151석
Search and Seizure Against Offshore Cloud Computing Service Users
No full textn번방 사건은 국외 메신저 서비스와 국외 클라우드 컴퓨팅 서비스를 이용하여 이루어진 범행이다. 국외 클라우드 컴퓨팅 서비스의 경우 국가관할권이 미치지 않기 때문에 국외 클라우드 서비스 제공자에 대하여 압수·수색영장을 발부받더라도 이를 집행할 수 없다. 국외 클라우드 서비스 제공자에 대하여 가능한 방안인 국제형사사법공조는 많은 시간이 소요될 뿐만 아니라 해당 전자정보가 저장되어 있는 장소를 특정하기 어려운 클라우드 컴퓨팅의 특성상 효과적이지 않다. 이러한 이유로 국외 클라우드 서비스를 이용한 범죄에 대한 증거 확보는 클라우드 서비스 이용자에 대한 압수·수색영장을 발부받아 서비스 제공자의 서버에 저장되어 있는 범죄혐의사실 관련 전자정보를 서비스 이용자의 정보처리장치로 내려 받은 다음 압수하는 방식으로 이루어지고 있다.
전자정보를 직접 관리하는 정보저장매체에 저장했던 과거와 달리, 클라우드 컴퓨팅 환경에서는 클라우드 서비스 제공자가 제공하는 서버에 전자정보가 원격 저장된다. 이와 같은 클라우드 컴퓨팅의 특성으로 인하여 클라우드 서비스 이용자에 대한 압수‧수색에서는 항상 원격 압수‧수색의 문제가 발생한다. 형사소송법은 원격 압수수색이 허용되는지에 관한 규정을 두고 있지 않다. 그러나 클라우드 서비스 이용자는 서비스 제공자와의 서비스이용계약에 따라 클라우드 계정과 관련하여 서버에 대한 접속권한을 가지고, 해당 클라우드 계정에서 생성한 전자정보에 관한 처분권한과 권리보호이익을 가지는 주체로서, 클라우드 서비스 제공자가 관리하는 서버에서 서비스 이용자가 계정정보를 입력한 정보처리장치로 해당 계정의 전자정보를 가져올 권한이 있다. 따라서 현행 형사소송법 하에서도 서비스 이용자를 상대로 한 원격 압수·수색은 전자정보에 대한 배타적, 독립적 재산권자를 상대로 해당 전자정보를 압수·수색하는 것은 허용된다.
또한 국외 클라우드 서비스 이용자에 대한 압수·수색에서 전자정보가 저장된 서버는 국외에 소재하는 것이 일반적이므로, 역외 압수·수색이 허용되는지 문제된다. 클라우드 서비스 이용자는 서버의 소재지와 관계없이 클라우드 서비스 이용계약에 따라 클라우드 계정의 전자정보를 가져올 권한이 있고, 클라우드 서비스 제공자 역시 이와 같은 접근을 전제하고 있다. 또한 디지털 증거인 전자정보는 유체물에 대한 압수·수색과는 달리 압수·수색을 위하여 수사기관이 물리적으로 국외에 위치한 서버 소재지에 갈 필요 없이 네트워크로만 이루어지므로, 역외 압수·수색은 허용된다고 본다.
국외 클라우드 서비스 이용자를 상대로 한 압수‧수색의 방법으로 전자정보를 확보하기 위해서는 클라우드 서비스의 아이디와 비밀번호를 확보하는 것이 필요하다. 수사기관이 피의자인 서비스 이용자로 하여금 클라우드 서비스 아이디와 비밀번호를 진술하도록 강제하는 것은 피의자에게 불리한 자료로 이어질 수 있는 내용을 진술하도록 하는 것이므로, 헌법에서 정한 진술거부권 위반에 해당한다. 피의자에게 정보처리장치에 클라우드 서비스 아이디와 비밀번호를 입력하라고 하거나 입력한 상태로 정보처리장치를 제공하도록 하는 것 또한 이러한 행위를 함으로써 피의자가 아이디와 비밀번호를 알고 있고, 아이디와 비밀번호의 입력으로 접근할 수 있는 계정 내 전자정보에 대한 권한을 가지고 있다는 사실을 나타내도록 하는 것으로 진술을 포함하고 있고, 비밀번호를 말하도록 하는 것과 효과에 있어 실질적으로 차이가 없으므로 마찬가지로 진술거부권의 대상이다. 이를 형사소송법 제120조 제1항에서 규정한 압수·수색에 필요한 처분으로 볼 수도 없다. 아이디와 비밀번호, 잠금해제를 위한 생체정보를 압수·수색의 대상으로 한 압수·수색영장이 발부된 경우라 하더라도 허용된다고 볼 수 없다.
클라우드 서비스 이용자가 자발적으로 아이디와 비밀번호를 제공하지 않는 경우 수사기관이 취할 수 있는 조치는 제한적이다. 정보통신망 이용촉진 및 정보보호에 관한 법률 제48조 제1항은 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하는 행위를 금지하고 있고, 이때 접근권한의 범위를 설정하는 것은 서버를 관리하는 클라우드 서비스 제공자이므로, 수사기관이 프로그램을 이용한 계속적·반복적 접근, 시스템의 보안상 취약점을 이용하여 클라우드 계정에 접근하는 것은 허용되지 않는다. 수사기관이 사용할 수 있는 방식은 적법하게 압수한 증거로부터 클라우드 서비스의 아이디와 비밀번호를 확보하거나 적법하게 압수한 정보처리장치에 클라우드 서비스의 자동로그인 기능이 설정된 것을 이용하여 접속하는 등으로 제한된다.
클라우드 서비스 이용자의 클라우드 계정에 접속한다 하더라도 클라우드 컴퓨팅에서는 클라우드 서비스 제공자가 클라우드 인프라와 자원을 제공하기 때문에 클라우드 서비스 이용자에 대한 압수·수색으로 확보할 수 있는 포렌식 데이터는 제한적이고, 기존의 포렌식 도구로는 클라우드 포렌식을 하는 데 한계가 있다. 또한 클라우드 서비스 이용자에 대한 압수‧수색은 클라우드 서비스 이용자가 전자정보를 변경한 경우 변경한 상태로의 전자정보를 압수할 수밖에 없는 등 피압수자의 휴대폰, PC 등 정보처리장치에 대한 압수‧수색이나 클라우드 서비스 제공자에 대한 압수‧수색에 비해 제한적이다.
한편 클라우드 서비스 이용자로부터 확보한 전자정보의 동일성과 무결성을 인정받는 것은 최초의 저장물 1개만을 원본으로 보고 이후의 복제본은 사본으로 보는 대법원 판례의 입장에 따르면 어려울 수 있다. 그러나 매체에서 매체로 전자정보가 그대로 복제된 경우 원본과 자료의 동일성이 인정되고, 이러한 복제본에 대하여 원본과 동일한 효력을 부여할 수 있으므로, 클라우드 서비스 제공자가 관리하는 서버에서 수색장소의 정보처리장치로 내려 받은 전자정보는 복제본으로서 원본과 같은 효력이 있다. 이와 같이 보면 클라우드 서비스 이용자로부터 확보한 전자정보의 동일성과 무결성을 용이하고 매끄럽게 인정할 수 있다.
국외 클라우드 컴퓨팅 서비스와 관련하여 클라우드 서비스 이용자에 대한 압수‧수색의 방식으로 대응하는 것에는 이미 한계가 있고, 2요소 인증, 다중 요소 인증의 확산과 기술의 발전에 따라 제약은 더욱 커질 것이다. 세계 여러 나라는 기술의 발전과 변화한 환경, 초국경성, 휘발성, 전파용이성 등의 특성을 가진 디지털 증거의 압수·수색을 위하여 전자정보를 압수·수색의 대상으로 명시하고 원격 압수·수색을 허용하는 규정을 신설하는 등으로 법률을 정비하고 다른 국가에 소재한 전자정보의 확보를 위한 방안을 마련하고 있다. 또한 전자정보가 저장된 위치를 특정하는 것조차 쉽지 않고 전자정보가 여러 국가에 흩어져있을 가능성이 높은 클라우드 컴퓨팅의 특성상 국제적인 차원의 논의와 국가들 간의 협력이 필요하다. 사이버범죄협약은 일정한 경우 서비스 제공자에게 데이터의 보존명령, 협조의무 등을 부과할 수 있도록 규정하고 있고, 협약당사국이 다른 협약당사국에 저장된 컴퓨터 데이터의 신속한 보존을 요청할 수 있는 법적 근거를 제공하고 있다. 미국 CLOUD Act는 국외에 소재한 전자정보에 대해서도 접근할 수 있는 법률적 근거를 명확히 하였고, 기존 국제형사사법공조절차의 대안으로 미국과 행정협정을 체결한 해외 정부기관이 미국 기업에 직접 데이터를 요청할 수 있도록 규정하는 등의 방안을 마련하고 있다. 국외 클라우드 서비스에 대하여 현재와 같이 클라우드 서비스 이용자를 상대로 한 압수·수색만으로는 한계가 있으므로, 국외 클라우드 서비스 제공자에 대한 조치의 근거를 마련하기 위하여 사이버범죄협약에 가입하고 미국 CLOUD Act에 따른 행정협정 체결에 대하여도 고민할 필요가 있다.The ‘Nth Room Case’ was a crime made possible by offshore instant messaging services and cloud computing. As national courts have no jurisdiction over offshore instant messaging services, Search and Seizure Orders for offshore cloud computing service providers were rendered unenforceable. Of course, Search and Seizure Orders against offshore cloud computing service providers may be enforced through international judicial assistance but such procedures are time consuming, and moreover ineffective as it is difficult to pinpoint the exact location where the targeted electronic data are saved. For such reasons, investigators would rather obtain Search and Seizure Orders against the individual user when investigating crimes related to offshore cloud computing services. Such orders would allow the investigators to download electronic data related to crimes stored in the target individual’s cloud computing service account. When the electronic data is downloaded to a separate data storage or computing device, the device would then be seized by the investigators under the Search and Seizure Order.
In cloud computing, electronic data are stored in remote servers provided by cloud computing service providers. This is in contrast to electronic data being directly stored in data storage devices which was more frequent in the past. Because of such shift in the way data are stored, Search and Seizure Order against cloud computing service providers will invariably lead to issues relating to remote Search and Seizure, the legality of which the Korean Criminal Procedure Act is silent on. Under the terms of contract between cloud service users and providers, users would typically enjoy a right to access the server connected to his/her account. Also, users would normally have disposal rights and legally protected interests with regard to electronic data stored in his/her cloud computing account. This would allow the individual user to access his/her account and download electronic data stored in remote servers to any data storage devices of his/her choosing. This would mean that under the current Criminal Procedure Act, remote search and seizure against individual service users would be deemed legal as it would be a form of Search and Seizure Order against a person who holds exclusive and undivided right over the seized electronic data.
Furthermore, as it is typical for data to be stored in offshore servers, Search and Seizure Orders against cloud computing service users would also raise issues relating to extra-territorial Search and Seizure Orders. Cloud service users retain a right to access and download electronic data stored in his/her account regardless of the server’s location. Such right forms the basic premise of cloud computing services. Therefore, in contrast to Search and Seizure Orders against physical properties located abroad, Search and Seizure Orders against electronic data in cloud computing can be conducted through electronic networks which allows the Order to be enforced within the territorial boundaries of judicial competence, without having to physically venture out into extra-jurisdictional territories where the server is located. Hence, it must be concluded that such extra-territorial Search and Seizure is also allowed under current legal settings.
In order to search and seize electronic data stored in individual cloud service accounts, it would be necessary to acquire the exact ID and password of the targeted account. As the Korean Constitution guarantees the right to remain silent during criminal proceedings, individuals may not be forced to disclose his/her ID and password to the investigating authorities. Moreover, compelling the individual to type in his/her ID and password in the log-in page or forcing the individual to hand over his/her computing device with the cloud computing service already logged on would also lead to similar constitutional violations. This is because such acts would show that the individual is in knowledge of the ID and password to the account which in turn is a statement that (s)he has proprietary rights over the data stored in that account. Such statements will be deemed incriminating whilst individuals are constitutionally guaranteed against making forced incriminating statements. It is also obvious that such compulsions may not constitute ‘necessary measures’ under Article 120(1) of the Criminal Procedures Act. Even in situations where investigators have obtained a Search and Seizure Order for biological informations in order to log-in to the account, the aforementioned coercions can not be deemed legal.
Therefore, when individual cloud computing service users do not voluntarily provide his/her ID and password, there is little that investigators may achieve. Article 48(1) of the 「Act on Promotion of Information and Communications Network Utilization and Information Protection」 prohibits intrusion on an information and communication network without rightful authority for access or beyond a permitted authority for access. In cloud computing, the perimeters of authorized access would be set by cloud computing service providers. Therefore, it would be illegal for investigators to access cloud computing accounts by using certain brute force attacks or by exploiting certain security weaknesses in the cloud computing system. Legally viable options left for investigators would be to acquire the ID and password from other legally seized evidence or to utilize the default log-in status of cloud accounts in certain computing devices that have already been legally seized.
Even when investigators succeed in accessing individual cloud service accounts, only limited forensic data can be acquired and existing forensic tools may be ineffective. This is due to the fact that in cloud computing, the infrastructure and resources for the cloud system is provided by the service provider, as opposed to the individual user him/herself. If the data in the cloud system has been adulterated, the investigators have no other option but to search and seize the adulterated information, without having the tools to recover the unadulterated version. This is in contrast to Search and Seizure Orders against smart-phones or personal computers and renders Search and Seizure Orders in cloud computing services less effective.
The Korean Supreme Court only acknowledges the initially stored data as originals and deems subsequently copied data as mere copies. According to such rules, it may be difficult to establish the identity and integrity of electronic data acquired from individual cloud service accounts. However, when electronic data are exactly copied from a device to another device, the identity of the copied data may be matched with that of the original data, which would allow the copied data to have the same legal force afforded to the original data. This would mean that the electronic data downloaded from cloud computing servers would be deemed as copies that have equal legal weight as originals stored in the server itself. In this way, the identity and integrity of electronic data acquired from individual cloud service users may be established in a simple and smooth fashion.
In crimes relating to offshore cloud computing services, Search and Seizure Orders against individual users clearly have its limits. The spread of Two-Factor Authentication and Multi-Factor Authentication along with other technological advances would only create more hurdles for investigators. In response to such technological advances and the changes it entails, many nations are devising ways to seize electronic data stored abroad and have enacted legislations explicitly stipulating that electronic data are objects of Search and Seizure Orders as well as creating new rules legalizing Remote Search and Seizure Orders. Such actions were taken in order to facilitate the search and seizure of electronic data, which is becoming evermore extra-territorial, volatile and transmissible in nature. Given the difficulty of locating the server where electronic data are saved and the possibility that such data may be stored in more than one jurisdictions, criminal investigations relating to cloud computing calls for international actions and inter-state cooperations. The Convention on Cyber-crime(so-called the ‘Budapest Convention’) allows for certain preservation orders against cloud service providers in Article 16(Expedited preservation of stored computer data) and Article 17(Expedited preservation and partial disclosure of traffic data). It also empowers authorities to issue cooperation orders to cloud service providers and provides legal basis upon which member states may require other member states to preserve certain stored computer data more swiftly(Article 29 – Expedited preservation of stored computer data). The CLOUD Act of the United States also provides clear legal grounds allowing for the access of electronic data stored abroad. Furthermore, where a foreign state organ has entered into an executive agreement with the US government, the Act empowers such foreign state organs to directly request US private companies to hand over certain electronic data. Such measure was adopted as an alternative to international judicial cooperation procedures.
It is clear that the current practice of issuing Search and Seizure Orders against individual users falls short of effective Search and Seizure in relation to offshore cloud computing services. To counter such ineffectiveness, clear legal grounds providing for direct measures against offshore cloud service providers should be established. Joining the Budapest Convention and entering into an Executive Agreement with the U.S government under the US CLOUD Act should certainly help in achieving such goals.Ⅰ. 서론 1
Ⅱ. 클라우드 컴퓨팅의 정의, 유형과 필요한 기술 6
1. 클라우드 컴퓨팅의 정의 6
2. 클라우드 컴퓨팅의 유형 9
가. 클라우드 서비스 모델 9
나. 클라우드 배포 모델 13
3. 클라우드 컴퓨팅에 필요한 기술 13
Ⅲ. 원격 압수·수색과 역외 압수·수색 15
1. 원격 압수·수색 15
가. 원격 압수·수색의 정의와 문제점 15
나. 외국의 입법례 18
다. 원격 압수·수색이 허용되는지 여부 26
2. 역외 압수·수색 43
가. 역외 압수·수색의 정의와 문제점 43
나. 외국의 사례와 입법례 44
다. 역외 압수·수색이 허용되는지 여부 57
Ⅳ. 클라우드 서비스 이용자에 대한 압수‧수색 62
1. 국외 클라우드 서비스 이용자에 대한 압수·수색의 방식 62
2. 클라우드의 보안 64
가. 클라우드 서비스 제공자와 서비스 이용자의 책임 공유 모델 64
나. 클라우드에 대한 보안의 강화 65
3. 클라우드 서비스 아이디‧비밀번호의 확보와 진술거부권 68
가. 문제점 69
나. 인증의 유형 69
다. 수사기관의 암호 해제 요구와 진술거부권 74
라. 진술거부권 위반인지 여부 81
4. 클라우드 서비스 이용자가 아이디와 비밀번호 제공에 협조하지 않는 경우 89
가. 수사기관이 클라우드 계정 접속을 위해 할 수 있는 조치의 판단기준 89
나. 구체적인 범위 94
Ⅴ. 클라우드 포렌식과 전자정보의 확보 96
1. 클라우드 포렌식 96
가. 클라우드 포렌식의 정의 96
나. 클라우드 포렌식의 어려움 97
다. 클라우드 컴퓨팅 계층별 포렌식의 어려움 100
라. 클라우드 포렌식 절차와 절차별 포렌식의 어려움 103
2. 확보할 수 있는 전자정보의 범위와 한계 116
3. 클라우드에서 확보한 전자정보의 동일성과 무결성 118
가. 동일성과 무결성의 의의 118
나. 원본증거의 법칙 119
다. 수집한 전자정보의 동일성과 무결성의 확보 124
4. 클라우드 서비스 접속에 이용한 정보처리장치에 대한 압수·수색 129
가. 클라우드 계정 내 전자정보와 정보처리장치에 대한 압수·수색 129
나. 클라우드 서비스 이용자의 정보처리장치에 대한 포렌식 130
다. 정보처리장치에 대한 잠금해제 132
라. 휴대폰에 저장된 전자정보 확보를 위한 클라우드의 활용 135
Ⅵ. 결론 140
참고문헌 145
Abstract 151석
