사단법인 한국국가기록연구원

월간브리프 기록하자 [haja]

2015년 12월

Contents 활동 KBS 1TV “시사기획 창 - ‘야만’과의 전쟁, IS 척결되나” 제작기록 아카이빙 에너지기후정책연구소 ‘시민참여형 대안 에너지 시나리오’ 활동기록 입수 이우학교 아카이브시스템 교육지원 따복공동체지원센터 사회적경제조직 활동가 기록관리교육 국립문화재연구소 AtoM 기반의 연구정보자원관리시스템 구축

이슈 국립현대미술관 - 미술관 인포매틱스 심포지엄 후기

연구 NGO 기록관리 - 시민참여형 프로젝트 아카이빙 방법 연구

정책 클라우드컴퓨팅과 공공기록관리(2) - 클라우드발전법 기본계획이 기록관리에 미칠 영향 클라우드컴퓨팅과 공공기록관리(3) - 해외 국가기록관의 클라우드컴퓨팅 대응 검토

(사)한국국가기록연구원은 월간브리프 기록하자[haja]를 통해 연구원의 활동과 고민을 정리하여 공유하고자 합니다

RIKAR (사)한국국가기록연구원

�/�1 31

2015년 9월 월간브리프 - 기록하자

[haja]

RIKAR 활동 브리핑

RIKAR 활동브리핑은 (사)한국국가기록연구원의 다양한 활동(연구, 교육, 오픈소스아카이브시스템 확산, 대외협력, 출판 등)에 대한 소개와 구체적인 실행 내역의 공유를 지향합니다

KBS 1TV “시사기획 창 - ‘야만’과의 전쟁, IS 척결되나” 제작기록 아카이빙

개요

지난 11월 13일, 프랑스 파리에서 연쇄 테러가 발생했다. 300여 명이 넘는 희생자가 발생하며 프랑스는 물론 국제사회에 테러 위협에 대한 공포를 안겨줬다. 이 사건에 대한 시사 다큐프로그램을 기획하고 있던 한 방송사 제작진이 연구원과 함께 이 프로그램 제작 기록을 수집, 관리하는 방법을 연구할 것을 제안했다. 방송국의 여러 부서 가운데 보도국은 특히 이와 같은 사건사고가 일어나면 관련 프로그램을 긴급히 제작하여 방영해야 하는 경우가 많은데, 이 때 그들의 활동을 일상에서 기록화하는 절차와 방법을 연구할 필요가 있었다. 이에 따라 연구원은 지난달 17일부터 일주일동안 제작진에 합류해 그들의 자료조사, 취재, 촬영, 편집 등 제작 과정에서 산출되는 기록물과 그 맥락정보를 수집하기로 했다.

이 프로그램은 지난 달 24일 밤 10시 KBS 1TV를 통해 방영되었는데, 이번 파리 연쇄테러 등 전 세계에서 거의 동시다발적으로 발생하는 테러 사건들의 배후로 알려진 IS

와 이를 진압하는 국제사회의 움직임을 심층 취재한 결과물이다. 해외에서 일어난 사건이고 그 이후에도 국제 사회가 대테러 위험에 공동으로 대응하는 분위기여서 이번 프로그램 제작에서는 AP와 로이터 등 국제 통신사의 영상자료들의 활용이 많았다. 이와 함께 국내 중동전문가 등의 인터뷰 화면과 중동 분쟁지역 문제에 대한 시청자들의 이해를 돕기 위한 컴퓨터그래픽(CG) 화면도 많이 활용되었다.

프로그램 특징

일반적으로 50분 이상 다큐멘터리가 2~3개월 이상의 제작 과정을 두는 것과 달리 이번 프로그램은 긴급한 현안에 따라 전체적인 제작 프로세스가 빠른 속도로 진행되었다. 아카이빙 과정에서도 이러한 특수성을 감안해야 했다. 특히, 일주일이라는 짧은 시간동안 스무 명이 넘는 많은 인력의 취재, 촬영, 편집 등이 동시에 이루어졌다는 점에 유의해야 했다. 따라서 이들의 작업결과 나오는 인터뷰 녹취록, 국제뉴스 수신영상 번역본, KBS내부 소장자료 목록, (가)편집용 원고 등이 동시다발적으로 생산되었다. 또한, 취재 내용에 대한 팩트체크와 관련 리서치자료, 실제 영상편집에 사용될 사진이나 영상파일까지 카카오톡 단체채팅을 통해 이루어졌기 때문에, 여기에서 주고받은 자료를 백업하고 제작 맥락정보를 수집하는 데에도 아키비스트가 기민하게 대응해야 한다는 점을 알 수 있었다. 카카오톡 단체채팅 대화내용을 갈무리하여, 기록물의 생산자, 생산일시, 생산과정 등을 목록화할 필요가 있었다. 하단의 표는 이번 프로그램 제작에서 과정별로 수집해야할 기록물 목록이다. 이는 제작진 구성이나 프로그램의 분량, 성격, 취재방법 등에 따라 조금씩 달라진다.

제작과정별 수집대상

편집구성안의 경우. 거의 1시간 단위로 내용 수정이 이루어졌는데 이는 사실관계에 대한 취재/데스킹 내용의 변동이나 영상편집에 사용된 원본이 방송용으로 적합한지에 대한 제작진들의 고민과 때에 따라서는 치열한 논쟁의 결과로 볼 수 있다. 한편, 이번 제작에 활용된 인터뷰 원본영상과 국제뉴스 영상 사본은 저작권 문제로 인해 저해상도로 수집하기로 하였다.

현재 국내 방송사들은 ‘특집’ 프로그램은 물론 데일리 취재 과정에서 생산되거나 수집되는 각종 취재정보와 기록물에 대한 관리와 보관 시스템이 제대로 갖추고 있지 못하다는 지적을 지속적으로 받고 있다. 영상자료의 경우 해당 자료에 대한 메타데이터와 함께 미디어자산관리시스템

�/�2 31

2015년 9월 월간브리프 - 기록하자

[haja]

(Media Asset Management, 통상 방송사 내부에서는 MAM, ‘맴’이라 부름)을 구축하여 중장기적 자료관리를 하고 있다. 이 시스템은 현장에서 촬영되었거나 이후 편집에 활용된 영상물과 그에 대한 정보는 보관하지만, 해당 주제에 대한 전체적인 취재맥락을 담지 못하며 10분 이상의 긴 포맷 프로그램인 경우 모든 제작 기록을 관리하지는 못한

다. 특히 TV나 라디오프로그램 제작은 특정 프로그램에 대한 공익/상업 광고라든지 유관 기관/단체에서 제작지원과 이에 대한 편성국의 기록을 함께 관리해야 한다. 이번 ‘파리 테러 특집’ 아카이빙을 통해 향후 프로그램 포맷별로 취재 결과를 어떻게 관리해야 하는가에 대한 연구를 더욱 구체화하여 관련 절차와 매뉴얼 등을 제작해 볼 예정이다.

<표> 방송 제작과정별 수집대상 기록물

최효진 (한국국가기록연구원 선임연구원)

제작과정 수집대상

기획 기획안, 가구성안, 예상 인터뷰이 목록

사전취재

관련 언론기사 목록KBS 보도본부/아카이브관리부 소장 영상자료 목록일자별 통신사(AP, 로이터) 수신영상 목록국제뉴스 수신자료 번역본

전문가 인터뷰이가 제공한 학술자료취재/편집에 사용된 사진 및 영상자료 웹 리서치 결과 취재진들 사이에 공유된 웹문서 (링크형태로 카카오톡에서 공유)

촬영인터뷰이에게 제공된 예상질문지프리뷰노트 (인터뷰 전사자료) + 인터뷰 영상화면 캡처

편집

편집용 영상자료 목록편집구성안 (버전별로 수집)

더빙용 원고 CG(컴퓨터그래픽) 제작 의뢰서저해상도 CG영상자막 원고

엔딩크레딧 원고 (제작진 명단)종합편집영상 (자막, 색보정 작업 이후 생산)방송용 편집영상 (더빙, 사운드마스터링 이후 생산)

홍보

서브타이틀 서체

예고영상

보도자료

방영On Air 영상 시청률 자료

�/�3 31

2015년 9월 월간브리프 - 기록하자

[haja]

에너지기후정책연구소 - ‘시민참여형 대안 에너지 시나리오’ 활동기록 입수

수량

기록물 입수 과정

‣ 1차 입수(준비과정~2차 모임 진행, 9/9) :기록물건 480건 + 직접 생산 43건 총 523건

‣ 2차 입수(3차 모임 진행기록, 9/30) : 기록물건 140건 + 직접 생산 88건 총 228건

‣ 3차 입수(4차 모임 진행기록, 10/27) : 기록물건 47건 + 직접생산 64건 총 114건

‣ 4차 입수(최종보고회 기록, 11/19) : 기록물건 3６건 + 직접생산 16건 총 52건

주요 내용

프로젝트 지원 관련 서류, 사업설명회 및 진행자 퍼실리테이터 교육, 운영위원회 진행, OT 및 예비모임 행사 진행, 조별토론 영상 및 사진, 전체토론 영상 및 사진, 2차 워크숍 발표 자료, 시나리오 선정 과정 영상 및 사진, 최종 시나리오 및 과정 발표 영상 등

온라인 전시 구성

1차 입수 후 시민패널간 소통을 위해 시민패널 친해지기, 미래 상상과 예측, 행사진행, 참고자료 4개 섹션으로 1

차 전시 구성. 3차 입수 후 1,2차 워크숍까지 시민패널 활동 종료 후 생성 기록물을 추가적으로 구성함. 1차 워크숍 조별토론, 1차 워크숍 전체토론, 2차 워크숍 시나리오 선정 3개 섹션이 추가되어 총 7개 섹션으로 구성함

향후 작업

Omeka 구성한 기록은 AtoM으로 이관, 입수 기록은 복본 및 저품질 기록 가리는 1차 선별 후 AtoM에 등록 예정(11~12월중), 시민참여형 프로젝트 아카이빙 매뉴얼 도출(12월중)

<그림> 인간과기억아카이브 온라인 전시 페이지 (http://hmarchives.org/omeka/exhibits/show/

people_energy/introduce)

주현미 (한국국가기록연구원 선임연구원)

유형 수량

문서 122건

그림 18건사진 604건

음성 1건영상 168건

박물(대자보) 4건

합 계 917건

�/�4 31

2015년 9월 월간브리프 - 기록하자

[haja]

이우학교 아카이브시스템 교육 지원 이우학교의 아카이브 위원들을 대상으로 11월 16일부

터 12월 14일까지 총 4강에 걸쳐 오픈소스 기록관리프로그램인 Omeka와 AtoM 활용방법에 대한 강의를 진행하고 있다. 이우학교는 2014년 졸업생들을 시작으로 3년 동안의 활동기록을 Omeka 시스템에 자율적으로 제출하도록 하였으며, 아마존 웹 서비스(AWS)의 EC2, S3, Glacier 등을 이용한 AtoM 기반의 아카이브시스템 구축을 구상하고 있다.

따복공동체지원센터 사회적경제조직 활동가 기록관리교육

12월 8일, 10일에 걸쳐 경기도 따복공동체지원센터 주최로 경기도 내 사회적경제 관련 조직 및 활동가를 대상으로 기록관리 교육을 실시할 예정이다.

주현미 (한국국가기록연구원 선임연구원)

국립문화재연구소 AtoM 기반의 연구정보자원관리시스템 구축 연구원은 (주)비타소프트와 함께 국립문화재연구소의

연구정보자원관리시스템 구축용역을 수행하고 있다. 국립문화재연구소의 1센터, 6실, 5개 지방연구소가 수행한 문화재 연구 결과물의 원천데이터를 연구자가 직접 등록할 수 있도록 하기 위해 13개의 기능요건을 작성하였다. 이번 프로젝트에서는 이 중 8개의 기능요건을 수용하였다. 핵심적인 커스터마이징 요소는 ISAD(G)와 RAD 등 기록물 기술표준을 기반으로 문화재 연구정보에 적합한 기술항목을 신규 템플릿으로 생성하는 것이다. 또한 대용량 업로드 기능 등을 포함하였다.

안대진 (한국국가기록연구원 선임연구원)

<그림> 사회적경제 기업 기록 및 자료관리 교육 포스터

�/�5 31

2015년 9월 월간브리프 - 기록하자

[haja]

이슈 브리핑 정치, 사회, 경제, 문화 등 제 영역에서 최근 이슈로 제기된 사안들 중 기록관리적 관점에서 되짚어 볼 필요가 있는 지점들을 포착하여 그 시사점을 살펴봅니다

국립현대미술관 - 미술관 인포매틱스 심포지엄 후기

심포지엄 개요

국립현대미술관 서울관 디지털정보실에서는 미술관 전문직 연수 프로그램의 일환으로 지난 11월 13일(금) 심포지엄을 개최했다. 이 날 행사에는 관련 전문가, 전공자 및 일반인 200명이 참여하였다. 오전 10시 홍콩 아시아아트아카이브(이하 AAA)와 일본 도쿄국립근대미술관의 기조강연을 시작으로 오후에는 2개의 주제발표와 6개의 사례발표가 진행되었다.

미술관 인포매틱스

미술관 인포매틱스(Museum Infomatics)는 디지털 기술 및 정보과학, 문화의 상호작용에 초점을 맞춘 인문정보학을 말한다. 정보 디자인과 상호작용, 디지털 큐레이션, 문화유산에 대한 서술, 소셜미디어, 디지털 도구의 응용에 관련된 학술분야이다.

문화예술기관들의 디지털 아카이브 열풍

최근 몇 년 사이 국내 문화예술계는 아카이브 열풍이었다. 아카이브는 호기심이나 실험의 수준을 넘어 이들이 지향하는 미래의 프로그램을 보장해 주는 토대로 인식되고 있다. 근대적 미술관이나 문화유산기관들은 전문적이고 학구적인 전시를 중심으로 활동해 왔다. 최근의 미술관 인포매틱스는 미술이나 문화유산의 공공적 가치를 최우선으로 두고 있다. 따라서 소장품 정보의 효율적인 운용과 대중의 편리한 접근을 위해 디지털 아카이브를 필수적으로 고려하게 된 것이다.

두 개의 화두: 협력, 글로벌 표준

1990년대 중반 이후 전 세계의 미술관과 박물관들이 소장작품과 유물정보를 웹페이지에 공개하기 시작했다. 미국 워싱턴의 국립미술관(National Gallery of Art)은 10만 점 이상의 작품을 그룹별, 작품별로 접근할 수 있도록 하여 방대한 소장품의 미술사적 문맥을 심층적으로 제공했다. 이런 데이터베이스 형태의 정보구축은 미술사나 소장품, 미술행정까지도 연구할 수 있는 방대한 원천이 되었다. 국내에서는 아직 통합적인 소장품정보 목록이나 색인 등이 구축되어 있지 않다. 한국미술의 위상에 비추어 공신력 있는 작품정보나 작가정보가 부족하다는 지적은 끊임없이 제기되어 왔다. 따라서 지금 국내 미술계의 화두는 관련기관의 협력과 글로벌 표준이다. 누가 나서서 책임을 지고 통합정보체계를 구축하느냐, 그리고 미술정보의 국제적 상호운용성 확보를 위한 기술적 고려사항은 무엇이냐이다.

큐레이터의 아카이브

이번 심포지엄에서 아쉬웠던 점은 발표된 6개 사례들이 디지털 기술이나 정보학의 접목보다는 아카이브 구축을 위한 자료수집과 생산 논의에 머무르고 있다는 것이었다. 또한 미술계에서 열광했던 대상이 아카이브 자체라기보다는 예술작품으로서의 아카이브, 또는 리서치 기반의 아카이브 전시가 아니었을까 하는 의구심마저 들었다. 세번 째 사례발표자

�/�6 31

2015년 9월 월간브리프 - 기록하자

[haja]

인 박기현 큐레이터(vitrine by AAM)는 아키비스트의 아카이브와 큐레이터의 아카이브에 대한 차이를 이렇게 설명한다. “아키비스트가 아카이브의 맥락과 원질서를 유지하려 하는 데 반해 큐레이터는 탈 맥락의 관점에서 바라본다. 따라서 아트 아카이브는 기록학의 과학적 방법을 차용한 아카이브 형태의 전시 혹은 작품이며 큐레이터가 만든 도록은 특정의 미학적 주제로 만든 유사 아카이브 혹은 가상의 아카이브가 된다” 이러한 해석은 작품으로서의 아카이브와 기록학에서 말하는 아카이브의 차이를 명확히 인식하지 못하여 제기된 것 같다. 예술가들이 녹취, 사진, 영상 등을 이용해 기억을 수집하고 자신의 작품으로 끌어들이는 아카이브 전시와 문화예술기관/작가가 활동 및 작품정보를 축적하고 공유하는 아카이브 중 후자에 대한 이야기를 하자는 것이다.

국립아시아문화전당의 라이브러리파크 구축이나 Vitrine by AAM의 사례는 이 지점을 극명하게 보여준다. 라이브러리파크는 아시아의 국가 형성, 냉전, 문화라는 세 가지 키워드로 아시아의 근현대 건축, 사진, 소리와 음악 등 13개의 주제전문관을 구축하였다. 주제별로 각국의 예술가나 연구자, 큐레이터 등 전문가 그룹이 구성되고 이들이 연구를 수행하며 관련 기록을 수집하는 방식이다. 이는 기존의 기획전시 방법론을 기반으로 수집 대상만 작품에서 아트 아카이브로 바뀐 것이 아닌가 하는 오해를 불러일으킨다. 박기현 큐레이터 역시 큐레이터가 만드는 아트 아카이브의 한계를 지적하고 있다. 지역 문화기금에서 공모하는 지역 리서치 및 아카이브 프로젝트 등에 예술가가 참여하는 경우 제한적인 시간과 참여자들의 관점 차이로 결과물 또한 한계를 드러낼 수밖에 없다는 것이다. 이러한 결과물이 방법론적으로나 의미적으로 가치를 지니고 있음은 분명하지만 지속적으로 작동하는 총체적인 아트 아카이브를 구축하는 것과는 구별되어야 한다. 개별 아트 아카이브가 작품과 관련된 증거와 기억을 축적하고 공유하는 것을 사명으로 인식할 때 지금 직면한 시대적 요구에 공감하고 이를 극복하기 위한 협력이나 상호운용성을 논의할 수 있을 것이다.

AAA의 아시아 시각예술자원 소장품관리시스템 모색

AAA는 많은 시사점을 준다. AAA가 구축하고 있는 디지털자원관리시스템(DAMS)은 예술작품과 관련된 기록물의 효율적 관리와 정보공유를 목표로 하고 있다. 따라서 작품 관리를 위한 박물관이나 미술관의 컬렉션 관리시스템과는 근본적으로 다르다. 발표자료에 제시된 Art Object의 개체관계모델(ERD)을 통해서도 이를 확인할 수 있었다. 시스템에서 관리하고자 하는 대상정보는 저작권 승인, 디지털

자료의 품질관리, 그리고 예술정보 이용자의 이용행태 분석을 위한 로그정보 등이 포함되어 있었다.

AAA는 2003년부터 물리적 컬렉션에 최적화된 도서관시스템을 운영해 오다가 점점 큰 비중을 차지하고 있는 디지털 객체의 처리를 위해 최근 3년간 새로운 시스템을 구축하게 되었다. 도서관장인 리디아 나이는 이 시스템을 구축하기 위해 4인의 인하우스 개발자를 고용하였고 IT컨설턴트의 도움을 받아 27개 기능요건을 작성하였다. 이는 막대한 재정적 부담을 초래했으나 기관의 자산을 운영할 수 있는 훌륭한 툴이 필요하다는 절실함을 부인할 수 없었다. 그가 가장 자랑하고 있는 핵심적인 기능은 아카이브 자료의 계층구조를 보여주는 트리 형태의 시각화이다.

<그림> AAA 온라인 컬렉션 - 트리구조 시각화 출처: http://www.aaa.org.hk/Collection/

CollectionOnline/SpecialCollectionFolder/912

�/�7 31

2015년 9월 월간브리프 - 기록하자

[haja]

27개 기능요건에는 협력과 공유를 위한 기능들이 대거 포함되어 있다. 예를 들어 여러 시스템의 메타데이터를 통합하는 기능, 공공영역의 링크드 오픈 데이터(LOD) 등 제3자가 생산한 데이터를 수집하고 융합하고 하는 기능, 인터넷 연결이 어려운 지역에서의 원거리 이용과 자료 업로드, 아시아에서만 통용되는 유의어 사전(시소러스), 다언어 데이터 인풋 처리 및 검색 지원, 저작권 추적 및 승인 기능 등이다. 이러한 27개 항목들은 위시리스트일 뿐이며 지속적으로 개발될 것이다. 향후 AAA는 파트너 개발자의 참여와 관련분야 종사자의 협력을 통해 위시리스트를 현실로 만들어낼 계획이다. 인하우스 개발보다는 좀 더 오랜 시간이 걸릴 것이다. 기술변화와 이용자 요구에 귀기울이며 지속 가능한 현실적 대안을 모색하는 이 기관의 행보를 국내 기관들은 주목해야 한다.

디지털 미술정보의 상호운용성 확보를 위한 검토사항

첫 번째 주제발표자 임진희 교수(명지대학교 기록정보과학전문대학원)는 문화자원 정보의 상호운용 사례로 CIDOC-CRM과 EDM 데이터모델을 소개하였다. 나아가 상호운용성이 정보기술 측면에서만 논의되는 경향을 지적하며 ISO 7-레이어를 통해 응용, 표현, 세션, 전송, 네트워크, 전송, 링크, 물리적 레이어 등 다양한 층위에서 고려되어야 함을 설명하였다. 임진희 교수의 제안은 다음과 같다.

무엇을?

공유할 미술정보의 범위를 정해야 할 것이다. 작품별, 작가별 정보의 종류를 정하는 것과 함께 갤러리, 미술관, 비평가 관람객 등 각 주체들이 형성하는 정보 또한 공유의 대상이 될 수 있다.

누구와?

미술정보를 공유하고 소통하려는 주체를 크게 미술인과 대중으로 양분할 수 있다. 미술인 내에서 공유와 소통 욕구의 차이를 보일 수 있는 집단으로 작가, 평론가와 연구자를 포함한 연구자, 창작 후원가, 작품거래자 등이 있을 수 있고 대중 내에서도 미술애호가, 학생, 전시관람객 등으로 구분할 수 있다.

어떻게?

1. 우선 유로피아나와 같은 허브시스템이 모색되어야 한다. 국내의 박물관, 미술관, 도서관, 아카이브들이 주제 영역별 구심점을 만들어 연계체계를 만들어야 한다.

2. 시스템 구축 시 디지털 미술정보 데이터베이스의 상호운용성 확보를 필수 전제로 해야 한다. 1)미술정보 항목을 결정하는 과정에서 CIDOC-CRM이나 EDM의 어떤 엔티티와 속성에 해당하는지 매핑해야 한다. 2) RDF 등 시맨틱 웹 기반의 XML로 내보내기할 수 있어야 한다. 3)미술정보에만 존재하는 특별한 엔티티와 속성을 파악하고 표준화 모델에 추가 반영되도록 해야 한다.

3. ISO 7-레이어별로 상호운용성을 고려해야 한다. 국립현대미술관을 예로 든다면, 1)응용 레이어 수준에서는 이용자별 접근채널 제공, 2)표현 레이어 수준에서는 다국어 메타데이터 및 풍부한 맥락정보 제공, 3)세션 레이어 수준에서는 정보공유의 대상을 국내외 허브시스템으로까지 확장하고 제휴협정하는 것을 검토해 볼 수 있다. 4)전송 레이어 수준에서는 목록 뿐만 아니라 썸네일 이미지, 유료 다운로드, 벌크 전송, DVD배포 등 제공방식의 다양화, 5)네트워크 레이어 수준에서는 미술정보 교류협정 체결기관, 단체, 개인의 접속정보를 수집/정리하고 교환주기와 방식 등 기술적 협약 내용을 관리하는 방법, 6)링크 레이어 수준에서는 미술정보의 저장/공유 표준 제정, 품질보증 프로세스 개발, 7)물리적 레이어 수준에서는 현재의 데이터 모델을 표준으로 조정해 가는 것 등을 고려해 볼 수 있다.

제언

한국영상자료원의 KMDB, 한국만화영상진흥원의 웹툰아카이브, 목천 김정식재단의 건축아카이브 등은 해당 분야의 어그리게이터(aggregator) 역할을 수행하고 있다. 이호신 교수(한성대)가 지적했듯이 국내의 미술인 인명정보를 제공하는 13개 주체들의 고립적인 작업과 비구조화된 데이터는 미술계의 어그리게이터가 필요함을 시사한다. 아카이브 분야 또한 마찬가지다. 아카이브와 예술의 공동선은 공유인 것 같다. 초기비용이 들더라도 정보의 상호운용성이 확보되면 자원의 가치도 상승하게 된다는 확신이 필요하다.

안대진 (한국국가기록연구원 선임연구원)

�/�8 31

2015년 9월 월간브리프 - 기록하자

[haja]

연구 브리핑 (사)한국국가기록연구원 소속 연구원들의 관심주제별 연구 결과를 지속적으로 공유하고자 합니다.

[ NGO 기록관리 ] 시민참여형 프로젝트 아카이빙 방법 연구

연구 개요

본 연구는 NGO기록관리 연구의 도입부로서 재정적인 문제와 인력부족의 문제로 기록관리 도입을 망설이고 있는 단체들을 위해 사업별로 아카이빙을 시도해볼 수 있는 사례를 보여줌으로써 기록관리의 문턱을 낮추고자 한 첫 번째 시도이다. 많은 단체들이 조직을 운영하기 위한 기본적인 행정업무 외에 단체 고유의 기능을 수행하는 프로젝트들을 운영하고 있다. 프로젝트는 외부의 지원을 받거나 특별기금을 모아서 운영되는 경우가 많으며 단기적으로는 3개월, 장기적으로는 회기연도를 가로질러 몇 년씩 진행되기도 한다. 외부의 지원을 받는 경우 그 과정과 결과를 보고해야할 의무가 있고 외부 지원금이 아닌 내부 재정으로 수행하더라도 특별보고의 의무가 있는 경우가 많다. 그동안 일상적인 업무가 누적되어 어디에서부터 기록을 정리해야할지, 새로이 기록관리를 도입하더라도 이전 기록을 어떻게 해야 할지 막막한 단체들은 시작과 끝이 분명하고 일정한 성과를 내야 하는 프로젝트 기록관리를 통해 기록관리를 경험하고 도입의 장단점에 대해 분석해볼 수 있을 것이다. 특히 기관의 고유 기능을 수행하기 위한 프로젝트라면 프로젝트 기록관리만으로도 매년 중복되는 업무의 일정부분을 줄일 수 있는 효과를 얻을 수도 있다.

시민참여형 대안에너지 시나리오 프로젝트

그 첫 번째 사례로 연구한 사업은 (사)정의로운 전환을 위한 에너지기후정책연구소의 <시민참여형 대안에너지 시

나리오>프로젝트이다. 이 프로젝트는 아름다운재단의 ‘변화의 시나리오 인큐베이팅 사업 지원’으로 일환으로 2014년부터 2016년까지 진행되는 프로젝트의 2015년 사업이다. 2014년 사업은 연구 중심의 프로젝트였고 이번 2015년 사업은 다양한 연령층, 남녀성비, 직업군 등을 고려하여 선정된 20명의 시민패널들이 4차례의 모임을 진행하면서 토론과 합의를 통해 2050년 에너지 소비량.에너지 믹스 방향.온실가스 배출량의 목표를 설정하고 이를 실행할 수 있는 세부목표들을 설정해보는 시민참여형 프로젝트이다.(관련 자료 : 기록하자 9월호 [기록수집]시민참여형 대안적 에너지시나리오 아카이빙)

아카이빙 목적 및 방법

이번 아카이빙 작업은 ① 시민참여형 프로젝트 기록화의 사례를 남겨 단체들이 프로젝트 기록을 스스로 쉽게 남길 수 있도록 모델 제시 ② 프로젝트 운영 중 기록을 통한 시민패널과의 소통 도구 제공 ③ 당대 에너지 문제에 대한 인식과 미래 에너지 정책 목표 설정 과정 기록화한다는 목적을 가지고 시작했다. 사실 이미 기획된 사업의 중간에 아카이빙 작업을 추가하는 것이 쉽지는 않은 일이다. 그럼에도 사업 수행 기관이 에너지기후정책연구소와 협력관계를 맺을 수 있었던 것은 아키비스트인 연구자가 해당 기관의 회원이고 이전부터 몇몇 사업을 함께 했던 경험으로 인한 신뢰 관계를 맺고 있던 것이 밑바탕이 되었고 여기에 최근 부쩍 높아진 아카이브에 대한 사회적인 관심과 프로젝트가 시민참여형인만큼 기록을 통한 참여자와의 공유 또는 사업 이후 결과에 대한 사회적 공유의 필요성 등이 반영된 것이다.

이런 신뢰 관계와 아카이빙 필요성에 대한 공감을 바탕으로 본격적인 사업 진행에 앞서 의사결정단위인 운영위원회 회의(8/12,17)에 참여해 프로젝트의 전반적인 운영에서 기록관리의 역할과 원칙 등을 함께 확인하였고 협의를 통해 기록화의 방식과 기록물의 기증 형식, 두 기관의 역할 등을 결정하였다. 이번 사례와 같이 외부에서 기록화를 지원하지 않고 기관 내부에서 기록화를 진행할 경우에도 사업 기획 단계부터 의사 결정 단위에서의 논의는 매우 중요하며 사업 운영 과정에서 생길 수 있는 기록을 분석하고 이를 효과적으로 기록화할 수 있는 방법을 결정하는 것이 매우 중요하다. 아래와 같이 사업 진행 전 기획 단계 – 사업 진행단계 – 사업 완료 단계 로 나누어 각 활동에서 기록의 종류를 정할 수 있다.

�/�9 31

2015년 9월 월간브리프 - 기록하자

[haja]

"

<그림> 기획단계 수집대상 기록물

"

<그림> 진행단계 수집대상 기록물

"

<그림> 완료단계 수집대상 기록물

시사점1. 아키비스트 참여

에너지기후정책연구소와 인간과기억아카이브는 협력관계를 맺고 기증 방식으로 기록을 공유하기로 결정했다. 다만 에너지기후정책연구소의 경우 영상장비를 갖추고 있지 않았기 때문에 시민패널들이 역동적으로 토론하는 모습을 기록화하는 데에 제한이 있었다. 이에 인간과기억아카이브가 영상기록화를 지원하기로 했다. 또한 시민패널들에게도 그들의 활동이 기록화되고 이후 사회적으로 공유될 것이라는 인식을 심어줘야 하기 때문에 첫 번째 모임인 오리엔테이션에서 아카이빙 작업을 설명하고 활동이 기록되고 공유될 수 있다는 데에 동의하는 서명을 받았다.

시사점2. 영상기록의 중요성

NGO의 프로젝트는 다양한 방식으로 진행될 수 있는데 크게 연구사업, 지원사업, 시민참여형사업으로 등으로 나눌 수 있을 것이다. 이번 프로젝트의 경우 4차례에 걸쳐 토론방식으로 진행되는 숙의적 ‘시민참여형’인데 시민참여형 방식이라 해도 참여방식이 다양하고 이에 따라 핵심기록이 달라지기 때문에 이번 한 번의 아카이빙으로 대표적인 모델 제시는 어렵다. 특히 기록화 방법에 있어 주로 주어진 주제에 대해 현장에서 토론하고 합의하는 방식으로 이루어지기 때문에 영상기록이 중요한 상황이었는데 현재 시민단체들 상황을 볼 때 장비, 인력 등의 문제로 일반적인 기록화방식으로 정착시키기 어려운 점이 있다. 따라서 이번 사례를 매뉴얼화해 다른 단체에서 적용할 경우‘영상기록화 방안 또는 대체 방안 마련’이 제시될 필요가 있다. 이에 대해서는 요즘 미디액트 등 미디어장비를 대여해주는 업체들이 있으므로 장비를 대여하는 방식으로 예시를 줄 수 있을 것으로 보인다. 영상기록화를 진행할 경우 사업 진행 인력이 부족할 때는 자원봉사인력을 활용할 수 있는데 다만 이때에는 기록화 작업에 대한 사전 공유와 기록화의 중점사항 확인 등이 선행되어야 한다.

시사점3. 자료공유 및 소통 툴로서의 Omeka 활용

한편 이번 프로젝트는 8월22일 오리엔테이션, 9월5일 예비모임, 9월19~20일 1박2일의 1차 워크숍, 10월24일 2차워크숍 총 4차례의 시민패널 활동과 11월18일 결과발표 심포지엄으로 진행되었고 이 모든 활동에 기록화를 지원하였다. 여기에 추가적으로 긴 사업기간동안 시민패널들과 자료를 공유하고 소통할 수 있는 채널이 필요했고 이에 인간과기억아카이브 오메카에 활동자료와 참고자료 등을 전시하였다. 오메카를 활용함으로써 프로젝트 운영 관련

� /�10 31

2015년 9월 월간브리프 - 기록하자

[haja]

기록을 온라인에 정리하는 동시에 전시할 수 있는 오픈소스 프로그램에 대한 관심과 다양한 활용성에 대한 가능성을 인식시키는 효과가 있었다. Omeka는 필수 정보 항목이 간단한 반면 필요한 기능을 선택해서 활용할 수 있어 활동가들이 어렵지 않게 활용해볼 수 있다는 평가가 있었다. 이를 통해 NGO 프로젝트 운영에 적합한 플러그인을 발굴해 기록을 쉽게 정리할 수 있는 기록관리 도구의 모델을 만들어볼 수 있을 것으로 보인다. 다만 사업 중간에 온라인 전시 사이트를 열어 중간 과정을 전시하고 코멘트를 달거나 기록을 더 기증할 수 있도록 도구를 제공하였으나 시민패널들의 참여를 이끌어내기가 쉽지 않았다.‘시민참여형’이라고 해도 기록 생산까지 참여하도록 하는 것은 어려운 일이었다. 그래도 자신들의 활동을 보여주는 고유한 공간이 생긴 것에 대해서는 만족하는 분위기였다.

향후 계획

현재 이 프로젝트는 심포지엄까지 진행하였고 사업보고를 앞두고 있다. 인간과기억아카이브도 모든 기록을 인수한 상태이고 이후로 인간과기억아카이브의 AtoM에 기록을 등록할 예정이다. 또한 이번 작업 매뉴얼화해서 NGO 기록관리의 한 방법으로 남길 예정이다.

컬렉션 관리방안

① 시민참여형 프로젝트 기록의 일상아카이브MAP에서의 의미와 위치

‣ 조직과 네트워크 > 공익단체 > NGO 활동 ‣ 조직과 네트워크 > 정치 > 비공식 정치활동 또는 자치활동 ‣ 통치 > 사회운동 > 대안운동 ‣ 기본물질생활 > 환경 > 에너지

② AtoM 컬렉션 구성안 우측 <그림> (가칭)공익활동 컬렉션 계층구조 참고

<그림> OMEKA에 시민패널 활동이 등록된 모습

<그림> (가칭)공익활동 컬렉션 계층구조

주현미 (한국국가기록연구원 선임연구원)

� /�11 31

2015년 9월 월간브리프 - 기록하자

[haja]

정책 브리핑 (사)한국국가기록연구원은 기록관리 법제화의 실효성을 높이고, 새로운 기록문화 정착을 위한 사회적 합의를 조성하기 위해 기록관리분야의 정책적 의제를 개발․연구․확산하려 합니다.

클라우드컴퓨팅과 공공기록관리(2)

클라우드발전법 기본계획이 기록관리에 미칠 영향

월간브리프 <기록하자> 11월호 정책브리핑에서는 ‘클라우드 서비스의 공공부문 확산 정책에 따른 기록관리의 이슈’라는 제목으로 현재 추진되고 있는 정부의 클라우드 정책과 기록관리상의 이슈들을 개괄적으로 다루었다. 앞으로 월간브리프 <기록하자>는 클라우드컴퓨팅 관련 정부 정책의 동향을 지속적으로 추적하고, 공공기록관리에 미칠 영향 및 시사점 등에 착안하여 관련 자료를 수합하고 분석한 후 그 결과를 공유하고자 한다. 이글에서는 지난 11월호에 이어 정부가 추진하고 있는 클라우드 서비스의 공공부문 확산정책을 보다 상세히 들여다보고, 그에 따른 공공기록관리의 현재의 대응 상황을 점검하고자 한다.

‘K-ICT 클라우드컴퓨팅 활성화 계획’의 주요 내용

지난 9월 시행된 ‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률(클라우드발전법)’에 따라 마련된 <K-ICT 클라우드컴퓨팅 활성화 계획(기본계획)>이 11월 10일 국무회의에서 확정되었다. 이 기본계획은 “① 공공부문이 마중물 역할을 하도록 선제적인 클라우드 도입, ② 민간부문의 클라우드 이용 확산, ③ 국내 클라우드 산업의 성장생태계 구축 등 3대 전략, 9대 과제”로 구성되어 있다. 1단계 계획(‘16년~’18년)을 통해 클라우드 산업 성장의 모멘텀을 마련하고, 2단계 계획(‘19년~’21년)이 완료되는 2021년에는 클라우드 선도국가로 도약하는 비전을 설정하였다. 또한, 2018년까지 현재 3% 수준인 클라우드 이용률을 10배 이상인 30% 이상으로 확대하고, 3년간 4조 6,000억 원(공공부문 1조 2,000억 원)의 클라우드 시장을 창출하여 시장에 활력을 불어넣을 것으로 기대하고 있다.

이 중 공공기록관리체계에 미칠 시사점을 구체적으로 도출할 수 있는 전략과 과제는 <표1>과 같다.

<표1> 기본계획의 전략 및 과제

‘정부 G-클라우드 전환 가속화’와 시사점

“정부 G-클라우드 전환 가속화” 과제를 위해 정부는 2018년까지 정부통합전산센터(1,2센터)를 클라우드로 전환하고, 제3센터 구축(현재 예비타당성 中)도 추진할 계획이다. 이 과제와 관련하여 현재 구체적으로 추진되고 있는 공공기록관리 분야의 사업은 2015년 전자정부지원사업인 <정부지식 공유활용기반 고도화 - 클라우드 플랫폼 구축 및 업무관리(온-나라) 전환>과 <2015년 정부통합전산센터 기록관리시스템 클라우드 교체 사업>을 들 수 있다.

<정부지식 공유활동기반 고도화 (행정자치부)> 사업의 제안요청서에는 ‘기록관리 클라우드 전환 검증(전자기록의 장기보존성 확보)’와 ‘클라우드 기반 업무관리시스템(온-나라) 개발’이 중점과제로 설정되어 있다. 즉, 클라우드 기반 업무관리시스템(온-나라)이 개발됨에 따라 RMS 프로세스 기능을 검증하고 향후 클라우드 RMS 설계에 반영할 수 있도록 표준과 제도를 수정할 계획이다. 이는 클라우드 서비스의 적용이 전자기록물의 보존단계 이전 생산단계부터 적용되고, 기록관리시스템 역시 클라우드 기반으로 재설계됨으로써 전통적인 생산처-기록관-기록원 등 단계별 프로세스 대신 ‘전 주기 통합관리’ 개념의 도입이 보다 앞당겨질 수 있음을 시사하고 있다. 이 경우 기록의 이관 역시 기록물의 이전보다는 통합시스템 체계상에서의 권한의 변경으로 이해할 수 있게 된다.

전략 (기록관리체계 변화와 관련된)과제

① 공공부문의 클라우드 선제적 도입

(1) 정부 G-클라우드 전환 가속화 정부 자체(Private) 클라우드인 G-클라우드로의 전환

(2) 공공기관의 민간 클라우드 이용 확대 2018년까지 공공기관의 민간 클라우드 이용률 40% 달성

② 민간부문의 클라우드 이용 확산

(3) 클라우드 친화적 제도개선 의료, 교육 등 각종 법령에서 클라우드 이용을 사실상 제한하는 규제를 집중 발굴하고 순차적으로 개선

� /�12 31

2015년 9월 월간브리프 - 기록하자

[haja]

<2015년 정부통합전산센터 기록관리시스템 클라우드 교체 사업>은 정부통합전산센터가 노후장비 교체 사업의 하나로 진행하는 것으로 기록관리시스템 단독서버를 클라우드시스템으로 전환하는 것을 의미한다. 서버, 스토리지, 네트워크 및 OS, 시스템SW, 데이터 이관 등의 변경 및 변환작업은 정부통합전산센터가 담당하고, 표준기록관리시스템 및 상용SW 이관 설치, 데이터 정합성 검증과 서비스 확인 등은 해당 기관이 수행하는 방식이다. 앞서 설명한 <정부지식 공유활동기반 고도화 (행정자치부)> 사업의‘기록관리 클라우드 전환 검증’을 일부 시범적으로 수행하는 것으로도 이해할 수 있다. 이와 관련하여, 2015년 클라우드 교체 사업 대상 기관으로 선정되어 클라우드 전환을 추진하고 있는 농촌진흥청은 지난 8월 <기록관리시스템 클라우드 체계 이전 용역>을 발주하고 12월 중순 그 결과를 기다리고 있다. 농촌진흥청은 이번 사업에서 국가기록원의 전자정부 표준프레임워크가 적용된 신규 표준RMS가 배포('15.1월)됨에 따라 WAS 등 운영환경을 업그레이드 하고, 노후화 된 기록관리시스템을 정부통합전산센터의 클라우드시스템으로 교체하며, 운영중인 상용SW를 클라우드시스템의 하드웨어 장비에 이관․설치하여 안정적인 시스템 운영환경을 구축할 예정이다.

정부통합전산센터의 G-클라우드는 센터가 직접 구축․운영하고 다양한 서비스를 제공하는 정부 전용 사설(private) 클라우드로 센터 내 입주한 부처에 한해 정보자원을 제공하는 유형이지만, 공공기록물법과 지침 등에서 규정하고 있는 기록물의 안전한 보존, 접근관리 및 보안, 이관 등의 이슈가 명확히 확인되지도 않은 상태이기 때문에 클라우드 체계로의 이전에 대한 우려가 상존하는 것도 사실이다. 국가기록원이 G-클라우드 전환 정책에 따른 공공기록관리의 대응책을 얼마나 어떤 수준으로 강구하고 있는지 묻지 않을 수 없는 상황이다. 농업진흥청의 과업지시서에는 이전 전후로 기록관리적 원칙에 입각한 검증작업이 아예 설정되어 있지 않다. 실제로 농촌진흥청의 경우 기록관리시스템의 클라우드체계로의 전환 사업을 정보화담당관실에서 주도하고 있어 기록전문요원의 전문성과 기록관리의 원칙 등이 얼마나 사업에 반영되고 있는지 확인이 필요하다.

‘공공기관의 민간 클라우드 이용 확대’와 시사점

기본계획에 따르면 공공기관의 민간 클라우드 이용을 대폭 확대하기 위하여 정부는 민간 클라우드 이용지침, 보안 인증제 등 세부제도와 클라우드 방식에 적합한 조달체계를 올해 안에 마련하여 2016년부터 민간 클라우드 이용

이 가능하게 할 예정이다. 2016년 정보화사업 대상으로 클라우드 적용 우선 사업을 선별(’15.12월)하고 공표(’16.3월)하며, 연도별 공공부문 클라우드 전환 계획을 수립(’16.상반기)하고, ‘클라우드 우선원칙’을 위해 예산편성지침을 개정(’15년 완료)한 후 정보화 시행계획 작성지침을 마련(’16년)할 계획이다.

2018년까지 민간 클라우드를 이용하는 공공기관을 40%(시스템수 기준으로는 2020년 최대 15% 예상)까지 끌어올릴 계획이다. 이를 위해 기관과 정보자원 중요도에 따라 등급을 부여하고 낮은 등급 자원부터 단계적으로 민간 클라우드 이용을 확대(‘16년~)한다. 기본계획안에서 제시하고 있는 정보자원 중요도에 따른 클라우드 우선 적용 원칙은 <표2>와 같다.

<표2> 정보자원 중요도별 클라우드 우선적용 원칙

현재 국회에 계류 중인 공공기록물법 개정안 처리를 위해 국가기록원이 내세우고 있는 주요 논거는 클라우드발전법 제정 등 인접 법령과의 형평성과 상호모순 등이다. 그리고 개정안의 주요골자는 공공기관의 전자기록물 보존업무를 외부전자기록물저장시설에 위탁하여 관리할 수 있는 근거와 제도를 마련하는 것이다. 외부전자기록물저장시설에서 ‘외부’는 해당 기관의 물리적, 공간적 차원의 의미가 아니라 정부기관 외의 법인을 상정하고 있으므로 ‘민간’을 실질적으로 의미한다. 즉, 클라우드 서비스 중에서도 G-클라우드와 같이 정부에서 자체 운영하는 사설(private) 클라우드가 아니라 민간기업이 운영하는 서비스에 한정한다고 볼 수 있다. 기본계획에서 제시하고 있는 클라우드 우선 적용원칙과 국가기록원의 개정안 추진 논거를 종합해보면 민간 클라우드를 공공기관이 이용할 수 있는 길을 열어놓는 한편, 공공기관 기록의 중요도를 낮게 평가하고 있다고 판단된다. 기록관 특성에 따른 클라우드 이용지침과 보안인증제 등이 아직 마련되지도 않은 상태에서 법률 개정을 추진하고, 더 나아가 선도적인 사례를 만들려는 시도 자체는 무

대상기관정보자원 중요도

상 중 하

중앙행정기관 ‣G-클라우드 ‣G-클라우드 ‣G-클라우드 우선

지자체 ‣G-클라우드 ‣자체클라우드 ‣민간클라우드 검토

‣자체클라우드 ‣민간클라우드 검토

공공기관 ‣G-클라우드 ‣자체클라우드 ‣민간클라우드 검토 ‣민간클라우드 우선

� /�13 31

2015년 9월 월간브리프 - 기록하자

[haja]

책임하다는 비판을 피할 수 없을 것이다. 영국 TNA의 사례처럼 6개 기관에 시범 적용하여 그 위험성 등을 면밀히 판단한 후 확대실시 하는 것이 아니라, 593여 개(공공기록물법 개정안 행안위 검토보고서 참고자료)에 달하는 공공기관이 자체 결정에 따라 민간 클라우드를 이용할 수 있도록 한 조치는 큰 우려를 일으킬 수밖에 없다

최근 아마존이 국내에 리전 구축을 공언하며 대대적인 진입을 예고하고 있는 상황에서 공공기관은 글로벌 클라우드(IaaS) 기업에 좀 더 노출될 확률이 높다. 국내 기업의 클라우드 경쟁력이 취약한 상황임을 고려하면 클라우드 서비스의 인가 시설 장비 보안 기준이 대폭 완화된 채 통과된 클라우드발전법이 국내 중소기업 경쟁력 확보보다는 되려 기술력과 브랜드 인지도를 보유한 글로벌 기업의 수월한 국내진출의 교두보 역할을 할 수 있다는 우려마저 나오고 있다. 이럴 경우 공공기관의 전자기록물 보존은 보다 큰 위험에 노출될 수 있다. 데이터의 분산 저장이 클라우드의 기본 속성이기는 하지만 글로벌 기업의 경우 국경을 넘어 데이터가 분산될 우려가 있고(호주 국가기록관은 이를 위험요소로 인지하고 대응책을 제안하고 있다), 보안이나 접근상의 문제가 발생하였을 때 책임소재(복구 및 보상) 및 분쟁 관할권 등의 이슈가 붉어질 가능성이 더 높다.

‘클라우드 친화적 제도개선’과 시사점

민간부문에서 클라우드 도입률은 현저히 낮은 수준(국내 사업체의 3.3%)이다. 정부는 보안우려, 클라우드 인식부재가 그 주요요인이며, 금융․의료 분야 등에서 클라우드 이용을 제한하는 제도관행이 지속되어 확산에 한계가 있다고 판단하고 있다. 이에 기본계획을 통해 클라우드를 믿고 사용할 수 있는 이용환경을 우선 마련 후 친(親) 클라우드적인 제도개선을 추진할 예정이다. 특히, 클라우드 친화적인 제도개선은 2014년 9월 개최된 제2차 규제개혁장관회의에서 대통령이“클라우드컴퓨팅 등 새로운 시장의 먹거리를 만들기 위해서는 개별 법률에서의 전산시설 구비 의무 같은 규제들을 걷어 내는 게 중요하다고 생각한다”고 직접 언급함에 따라 클라우드발전법에도 그대로 적용되어 있다. 클라우드발전법 제21조(전산설비 구비 의무)는 명시적으로 또는 사실상 클라우드를 제한하는 규정이 있는 경우를 제외하고는 클라우드를 이용할 경우 전산설비를 구비하지 않아도 되도록 네거티브 방식으로 규제를 일괄 완화하였다. 이번 기본계획에서는 법령상의 예외사항마저 규제로 파악하고 관련한 개별 법령 개정을 추진하려는 것이다. 관련한 추진상황은 <표3>과 같다.

<표3> 전산설비 구비의무 규정 추진상황

금융정보와 전자의무기록은 개인정보 차원의 중요성과 공익적 측면의 가치가 판단되어 별도의 규정으로 기록관리의 의무를 부과한 영역이다. 이들은 민간부문에 속해있지만 그 성격상 공공기록관리의 원칙이 적용되어야 할 영역인 것이다. 전자의무기록의 외부시설 이용이 가능하도록 의료법 내 관련 규정 개정이 추진되면서 의료계와 시민단체는 크게 반발하고 있다. 복지부도 그동안 반대 입장을 견지하다가 작년 12월 경제단체 부단체장과 기획재정부 등 관계부처 차관이 참여하는 규제기요틴 '민관합동 회의'를 통해 114건 규제기요틴 과제를 발표하면서 '의료기관 진료기록 관리·보관의 편의성 제고'건이 포함되자 돌연 입장을 바꿔 진료기록 외부 보관을 위한 규제 개선에 착수한 것으로 확인됐다. 외부시설 이용에 반대하는 입장은 진료정보 유출 사고가 빈번한 데 전자의무기록의 외부보관이 허용되면 자칫 개인건강정보가 대량으로 유출되는 사고가 발생할 수 있다는 우려를 제기한다. 또한 원격의료 활성화와 무관치 않을 것이란 의구심도 제기되고 있다. 실제로 미국 등에서는 클라우드 기반으로 환자 정보를 공유하는 원격의료 시스템 구축이 적극 추진되고 있다. 당사자와의 협의나 여론의 형성 없이 클라우드산업 발전이라는 명목으로 추진되는 이러한 규정 완화 조치 등은 공익적 가치가 있는 기록들의 관리를 부실하게 만들 우려와 함께 개인정보의 유출과 그로 인한 파괴적인 결과를 낳을 수 있어 국가기록원, 학계 등의 지속적인 개입이 요구되는 분야라고 할 수 있다.

구분 추진상황

전산설비 구비 의무 완화 완료

(금융위) “금융회사의 정보처리 및 전산설비 위탁에 관한 규정”은 정보처리의 제3자 위탁을 제한하고 있었으나, 가능하도록 개정(’15.7월)

(경찰청) “운전학원 학사관리 전산시스템 표준규격 고시”는 학원 내에 서버 컴퓨터 등을 갖추도록 하고 있었으나 중앙집중식 서버 이용이 가능하도록 개정(’15.5.)

전산설비 구비 의무 완화 진행중

(복지부) ‘전자의무기록 관리·보존을 위한 장비·시설’을 병원에 갖추도록 하고 있어, 대안을 마련중(’15년)

(교육부) “원격교육 설비 기준 고시”는 서버 설비 기준 등에서 “물리적으로 별도의 서버를 구성”하여야 한다고 규정, 대안 검토 중(’16년)

� /�14 31

2015년 9월 월간브리프 - 기록하자

[haja]

시사점 종합

기본계획이 내포하고 있는 공공기록관리체계 개편의 방향성은 <표4>의 연관 사업 등을 통해 확인할 수 있다.

<표4> 과제별 기록관리 연관 사업

클라우드서비스의 공공부문 확산정책이 구체적으로 진행되면서 공공기록관리는 업무, 시스템 차원에서 커다란 변화에 직면하고 있다. 하지만 국가기록원은 이러한 정책 변화에 따른 국가적 차원의 대응책 마련에 있어 소극적이거나 추수적인 모습을 보이고 있다. 행정기관과 공공기관은 클라우드발전법에 따라 클라우드서비스를 활용하고 있거나 변화를 꾀하고 있지만 그에 대한 기록관리 원칙에 입각한 지침과 대응은 없는 상태이다. 공공기록물법 개정의 근거로 클라우드발전법과의 상충을 들고 있지만 사실 두 법사이의 상충관계는 거의 없다고 봐야 한다. 첫째, 기록물관리기관의 보존시설 및 장비의 기준(제60조제1항 관련)은 명시적이고 실질적으로 클라우드 이용을 제한하고 있지 않기 때문에(즉 서버, 스토리지 등이 어떤 방식으로 설치되어야 하는지는 명문화 되어 있지 않다) 클라우드서비스 이용의 근거는 마련되어 있다고 할 수 있다. 둘째, 기록물을 기록관으로 이관해야 한다는 조항이 규제라고 지적하지만 클라우드서비스는 국가기록원 스스로 인정하듯 저장과 스토리지 개념이므로 기록물 이관이라 하기 어렵다(즉, 해당기관이 단독 서버, 온라인, 클라우드 등 저장방식을 어떻게 설정할지는 기록물 이관과는 다른 차원이다). 셋째, 법령에서 기록물의 보존상소가 기록관으로 되어 있는데 전자기록

의 특성상 기록관의 범위는 물리적인 공간의 개념이라고 한정하기 어렵다. 따라서 공공기록물법 개정의 이유를 클라우드발전법과의 상충에서 찾는 건 무리라고 할 수밖에 없다. 그보다는 클라우드발전법 환경하에서 기록관리가 맞닥뜨릴 위험요인을 확인하고 그에 대한 실질적인 대응책을 강구하는 것이 국가기록원이 현재 주력해야 할 일이다. 클라우드 기반의 기록 생산시스템, 기록관리시스템 등이 제안되고 있는 지금 국가기록원은 어느 정도의 주도권을 갖고 관련 사업들에 개입하고 있는지, 그에 대한 대응책은 어느 수준으로 강구되고 있는지 묻지 않을 수 없다.

공공기록관리에 불어 닥치고 있는 이러한 변화들은 국가정보화기본법과 전자정부법 등 국가적 수준의 정책추진과 연동되어 있다. 국가정보화기본법(2014년 11월 시행)의‘정보’‘지식정보자원’, 전자정부법(2015년 6월 시행)의 ‘행정정보’‘전자문서’, 공공기록물법의 ‘기록물’이 각각 의미하는 바와 그에 따른 각 법의 상호연관성 혹은 상충지점 등도 면밀히 검토되어야 한다. 국가기록원은 <기록관리 거버넌스 포럼(2015년 9월)>에서 ‘IT기반의 전자기록관리 거버넌스 전략’을 발제하면서 기록을 정보, 지식, 자산의 의미로 생각할 수 있도록 기록관리 전문가들의 인식전환을 촉구했다. 하지만 지금의 현실은 기록전문가들의 인식전환에 앞서 기록과 정보와 지식이 각각 구체적인 법제에서 어떤 의미와 효력을 갖는지 밝히고, 다른 법률의 시행에 따라 공공기록관리의 원칙이 위협받지 않는지 검토해야 할 단계이다. 이러한 작업을 통해 기록관리계와의 공감대 형성이 전제되어야만 전자기록관리 거버넌스도 확보될 수 있을 것이다.

참고자료

‣ <K-ICT 클라우드 컴퓨팅 활성화 계획> 보도자료, 미래창조과학부, 2015.11.10. http://m.msip.go.kr/mobile/cms/contentsView.do?cateId=mssm15_12&artId=1283889&pageNum=1

‣ <기록관리시스템 클라우드 체계 이전사업> 과업지시서, 농업진흥청, 2015.9

‣ http://www.g2b.go.kr:8081/ep/invitation/publish/bidInfoDtl.do?bidno=20150905475&bidseq=00&releaseYn=Y&taskClCd=1

‣ <교육부 기록관리시스템 클라우드 체계 이전 사업> 과업지시서, 교육부, 2015.6

‣ http://www.g2b.go.kr:8081/ep/invitation/publish/bidInfoDtl.do?bidno=20150609844&bidseq=00&releaseYn=Y&taskClCd=1

전혜영 (한국국가기록연구원 책임연구원)

과제 기록관리 연관사업

(1) 정부 G-클라우드 전환 가속화

‣<정부지식 공유활용기반 고도화 - 클라우드 플랫폼 구축 및 업무관리(온-나라) 전환>, 행정자치부 ‣<공공부문 클라우드 업무환경 혁신모델 수립>, 한국정보화진흥원 ‣<2015년 정부통합전산센터 기록관리시스템 클라우드 교체 사업>, 정부통합전산센터 ‣<기록관리시스템 클라우드 체계 이전 용역>, 농업진흥청 ‣<교육부 기록관리시스템 클라우드 체계 이전 사업>, 교육부

(2) 공공기관의 민간 클라우드 이용 확대

‣<공공기록물 관리에 법률> 개정안 추진, 행정자치부

(3) 클라우드 친화적 제도개선

‣전산설비 구비 의무 관련 금융위 규정, 의료법 규정 등 개정 추진

� /�15 31

2015년 9월 월간브리프 - 기록하자

[haja]

클라우드컴퓨팅과 공공기록관리(3)

해외 국가기록관의 클라우드컴퓨팅 대응 검토

클라우드컴퓨팅이 공공부문에 확산됨에 따라 국가기록원은 어떤 대응방안을 마련해야 하는지 해외 사례를 통해 시사점을 얻고자 한다. 이를 위해 관련 자료를 소개한다(소개된 자료는 해당 홈페이지에서 쉽게 찾아볼 수 있음을 밝혀둔다). 영국, 미국, 호주의 국가기록관은 해당 국가의 클라우드 정책이 우리보다 5년 앞서 진행되었기 때문에 각국의 상황을 고려한 공공기록관리의 클라우드서비스 대응방안이 어느 정도 모습을 갖추고 있다. 국가기록원이 해외 사례를 충분히 참고한다면 TNA, NARA, NAA보다는 좀 더 빠르게 환경변화에 대응할 수 있을 것이다.

영국 TNA

영국의 TNA는 클라우드 서비스를 도입하는데 있어 기록관의 요구 충족여부에 대한 충분한 검토가 필요하기 때문에 6개 기관(Archives & Records Council Wales, Dorset History Centre, Bodleian Library, The Parliamentary Archives, Tate Gallery, King's College London)을 선정하여 클라우드 저장소 서비스를 시범적으로 도입하는 한편, 클라우드 저장소를 이용하는 데 있어 기록관이 고려해야 할 기준과 모범사례를 지속적으로 개발 후 각 기관에 제시하고, 보존적 측면에서 클라우드 컴퓨팅 기반의 저장소 서비스(Repository Service)를 도입하기 위한 구축방법을 연구하고 있다.

<Guidance on Cloud Storage and Dig i ta l Preservation (2014)>는 다음과 같이 구성되어 있다.

지침 Guidance on Cloud Storage and Digital Preservation (2014)

연구자료

‣ Case Study: Archives & Records Council Wales Digital Preservation Consortium (2014)

‣ Case Study: Dorset History Centre (2014) ‣ Case Study: Bodleian Library, University of

Oxford (2014) ‣ Case Study: The Parliamentary Archives

(2014) ‣ Case Study: Tate Gallery (2014) ‣ Case Study: King's College London (2014)

구성 주요내용

1.개요

지침의 목표와 구성, 주요 대상자 클라우드 저장의 정의 클라우드 저장과 디지털 보존 보안과 클라우드 법적 이슈 비용 주요이슈 종합

2.도입절차

요구사항 수립 서비스 요건 서비스 제공자 조달 방식 사업 관리

3.발전방안 개요 지속적인 개정

4.모범 실행방안

요구사항 정의 서비스 구현 위험 관리 정보 보안 계약 표준

5.사례분석

Archives & Records Council Wales Dorset History Centre Bodleian Library The Parliamentary Archives Tate Gallery King's College London

6.참고자료

클라우드 일반 클라우드와 디지털 보존 클라우드와 법적 이슈 관련 표준과 실무

7.부록: 법적 준수사항

클라우드컴퓨팅서비스(CCS)에서의 기록 관리, 보존, 접근과 관련한 준수사항 클라우드컴퓨팅서비스(CCS)에 의해 영향을 받는 법률 및 제3자와 관련한 준수사항 클라우드컴퓨팅서비스(CCS)와 관련한 계약 및 서비스협정의 주요 쟁점

� /�16 31

2015년 9월 월간브리프 - 기록하자

[haja]

[참고자료]3.1 클라우드컴퓨팅서비스(CCS)에서의 기록 관리, 보존, 접근과 관련한 준수사항

Core Issues Requirements Legal Basis Cloud-Specific Issues

Safekeeping of archival data

Management and maintenance

Data Ingest For appropriate bodies, the Public Records Acts 1958 and 1967 or 2011 (Scotland); the s.46 Code of Practice under the Freedom of Information Act 2000; BIP 0008- 1:2008 Evidential weight and legal admissibility of information stored electronically.

Standard IT management and maintenance requirements shouldbe capable of delivery by a CCS. However, a CCS may not deliver other digital preservation and archive requirements as a standard offering. An institution should have clearly identi ed its essential, desirable and optional requirements prior to opening negotiations with a CCS to ensure that it can meet its operating objectives.

Authenticity of data

Logical integrity of data

Reliability of data

Usability of data

Ability to refresh data

Ability to migrate data

Preservation of signi cant properties of data

Preservation of resource management metadata

Preservation of xity metadata

Preservation of resource discovery metadata

Preservation of resource use metadata

Data Security

Authorised access, amendment and deletion powers

For appropriate bodies, the s.46 Code of Practice under the Freedom of Information Act 2000, the Data Protection Act 1998.

Data security is a common concern with CCS provision. The nature and scope of security required will depend heavily upon the legal obligations that the institution has under relevant legislation, agreements entered into by the institution with depositors, or other institutional warranties. An institution will need to assess the risks attendant upon its archival holdings, perhaps via a Privacy Impact Assessment (PIA)/ Technical Risk Assessment (TRA), before entering into negotiations with a CCS.

Audit of access, amendment and deletion of data

Appropriate levels of encryption for dataset(s)

Prevention of accidental or unauthorised destruction, deletion or amendment of dataset (s)

Audit/ Compliance

Audit of access, amend- ment and deletion of data

For appropriate bodies, the s.46 Code of Practice under the Freedom of Information Act 2000, the Data Protection Act 1998.

For legal responsibilities, such as data protection, it’s often incumbent upon an institution not just to contract for data security, but also to audit the CCS for compliance with its contractual obligations. As CCS services are both outsourced and multi-user, providers may be unwilling to permit direct independent audit by each of its customers. Equally, an institution may not have the necessary in-house expertise to carry out a technical audit. It may, however, be possible to obtain a third party audit for compliance to ISO27001, or conduct a joint audit with other users of the service.

Audit of compliance with institutional standards

� /�17 31

2015년 9월 월간브리프 - 기록하자

[haja]

Core Issues Requirements Legal Basis Cloud-Specific Issues

Access to archival data

Mandatory data access rights

Access to personal data on request by a data subject within 40 days

Data Protection Act 1998

Where data is held in a low-usage CCS, then the need to service frequent statutory requests for information may prove expensive. If availability or performance criteria have not been established with CCS then access to data may be delayed.

Access to information held by or behalf of a public authority on request by a 3rd party within 20 working days

For appropriate bodies, Freedom of Information Act 2000

Access to environmental information held by or behalf of a public authority on request by a 3rd party within 20 working days

For appropriate bodies, Environmental Information Regs 2004

Transfer or Disposal of archival data

Destruction or transfer

Secure transfer of data to a third party for continued preservation

For appropriate bodies, the Public Records Act 1958, or the s.46 Code of Practice under the Freedom of Information Act 2000, the Data Protection Act 1998.

Transfer of archived data from the CCS to a third party organisation forongoing preservation, may be hampered if the CCS cannot or will not provide the data in a viable format within a suitable timeframe and to a location other than that of the institution.The institution should have an exit strategy which is resilient in the event of bankruptcy or failure of the CCS.

Secure transfer of data to a third party for continued preservation

If the institution does not have unfettered ability to access, edit and delete its data on an ongoing basis then granular control of data deletion will be problematic. The institution should be able to audit/verify actual destruction of data.

� /�18 31

2015년 9월 월간브리프 - 기록하자

[haja]

3.2 클라우드컴퓨팅서비스(CCS)에 의해 영향을 받는 제3자와 관련한 준수사항

Core Issues Considerations Approaches Cloud-Specific Issues and questions

Intellectual property rights

Depositor rights

There may be various intellectual property rights in archived data, including copyright and related rights, trade marks and design rights owned by the archive, by depositors, or by other 3rd parties. While ownership of such rights works to be stored in the cloud would usually continue to rest with the original owner, identi cation of ownership at ingest and prior to cloud storage will be important, as will establishing the extent of the liability for breaches to be accepted by both CCS and archive via warranties and indemnities.

Depositor assignments, licences and waivers upon data ingest

Does the archive’s contract with the CCS provide adequate provisions for security, access restrictions and audit to meet its stated obligations to depositors? If there is a CCS contract breach that results in infringement of depositor IPRs, who is liable?

Third Party rights

Depositor warranties of non-infringement, and grant of 3rd party licences upon data ingest

If the CCS is noti ed by a third party that it is hosting IPR-infringing material on its service, what are its obligations to the archive? Can the CCS remove material from its service without noti cation to the archive, or only after noti cation?

CCS rights Possible accrual of rights either in archived data or related metadata from processing or other use of archived data

Agreement that the CCS acquires norights to any IPR inthe archived data, orin metadata or other outputs obtained by processing or other use of archived data

A clear statement to that effect should be incorporated in the CCS contract and/or set out in a speci c licensing agreement.

Data protection rights

Jurisdiction Personal data may not be transferred out of the European Economic Area unless data subjects have consented, or the country to which the data is sent has ‘adequate’ data protection laws, or there isa suitable contract between the data controller and a third party outside the EEA who is receiving the data

Some CCSs can offer services which ensure that any data stored on their servers does not leave the EEA.

A clear geographic limitation should be included in the CCS contract, and where the CCS leases capacity from other CSSs on an ad hoc basis, the original CCS should remain directly responsible for all terms of the contract with the archive, including the geographic limitation clause.

Protection of data subject rights

Data subjects must be able to effectively exercise their rights under the Data Protection Act 1998, including data subject access.

Prior tochoosing a CCS, the archive should evaluate whether it will be storing personal data, i.e. data relating to an identi able, living individual.

If personal data is held, the archive should ensure that it is able to access individual personal data within the 40 day time limit, and that it can produce the data in a format meaningful to the data subject. The archive should also ensure that where data is held in a low-usage CCS, the likely cost of access to ful l statutory requests for personal data is not prohibitive.

Access for exempted uses

Where a disclosure is required by, or under, any enactment, by any rule of law or by the order of a court other organisations may have the right to access personal data under the Data Protection Act 1998, i.e. for law enforcement purposes.

If personal data is held, the archive may wish to ensure that it is able to access individual personal data, and that it can produce the data in a format meaningful to the requestor. The archive should also ensure that where data is held in a low-usage CCS, the likely cost of access to ful l legal requests for personal data is not prohibitive.

Breaches of data protection law

Where there is a breach ofdata protection law, the data controller remains liable for the breach, even where a data processor is holding the data on their behalf.

Does the archive’s contract with the CCS provide adequate provisions for security, access restrictions and audit to meet its stated legal obligations to data subjects? If there is a breach of DP law, is the CCS obliged to notify the archive? Under what circumstances will the CCS be contractually liable to the archive for costs relating to liability for breach of data protection law?

� /�19 31

2015년 9월 월간브리프 - 기록하자

[haja]

Core Issues Considerations Approaches Cloud-Specific Issues and questions

Defamatory or illegal content

Defamation Jurisdiction

Under UK law material is defamatory if it is untrue and has caused or is likely to cause serious harm to the reputation of the claimant. For an action to be brought in the UK there must be a clear link with the UK jurisdiction e.g. material was viewed by a signi cant number of persons in the UK, and the claimant had a reputation capable of harm in the UK.

Depositor warranties and indemnities, upon data ingest. Prior to choosing a CCS, the archive should evaluate the risk that defamatory or illegal content may be included in archived data.

In which jurisdiction(s) will data in the CCS be accessible? To whom will the archived data be accessible, e.g. will the staff of the CCS have access to the data in unencrypted form?

Liability in the EU

Under UK law, rapid removal or redaction of defamatory material will reduce the extent of the liability, as there is less damage to the claimant’s reputation. In addition, under the e-Commerce Regulations 2002, where a CCS stores information provided by an archive, it will not be liable for damages or any criminal sanction arising from that storage if it does not have actual knowledge of unlawful information; or is not aware of facts or circumstances from which it would have been apparent that the information was unlawful; or once it has such knowledge or awareness, it acts expeditiously to remove or to disable access to the information.

Can defamatory or illegal material be easily removed or redacted by either the archive or the CCS to limit potential liability? If noti ed of defamatory or illegal material, what are the CCS’s obligations to the archive? In the event that defamatory or illegal material is not removed or redacted by the CCS, or the archive, under what circumstances will the CCS be contractually liable to the archive for costs relating to liability?

� /�20 31

2015년 9월 월간브리프 - 기록하자

[haja]

3.3 클라우드컴퓨팅서비스(CCS)와 관련한 계약 및 서비스협정의 주요 쟁점

Issues Key elements Archive Questions Possible CCS questions

Availability of service

Target uptime of service What target uptime meets your institution’s speci c needs? Can CCS claims about service levels be validated against reports of problems from other customers?

How do you de ne ‘uptime’? What are the speci c mechanisms for calculating compliance with service level agreements? What are the penalties open to institution if the CCS fails to meet service level parameters – credit, nancial penalties, termination of contract?

Performance

Latency / speed of response of service

What is the maximum response time that meets your institution’s speci c needs?

How do you de ne ‘response time’? When does failure to meet performance criteria become ‘downtime’?

Functionality Sustainability of essential architecture, features or services

Are there elements of a CCS that are essential to your institution’s speci c needs?

Are existing features or services guaranteed for the lifetime of the service? How much notice will be given of changes to features or services? Will the institution have the ability to comment in advance on changes to architecture, services or functions?

Vendor Outsourcing

CCS may lease processing and storage capacity from other CCSs

Do your institutional requirements (location of data, audit etc.) place a restriction on vendor outsourcing?

Does the CCS lease capacity from other CCSs? What criteria are used to determine suitable external providers? Are these criteria audited? Does the CCS remain directly responsible for all terms of the contract, regardless of outsourced functions?

Data protection

Access to data, encryption

Has your institution undertaken a Privacy Impact Assessment (PIA)/ Technical Risk Assessment (TRA)? What type of encryption process is appropriate for your data?

Is access to the institution’s data limited to CCS’s authorized employees? What encryption standards are supported by the CCS? At what points will the data be encrypted/ unencrypted? Are encryption keys controlled by the institution or CCS? What is the process for handling legal requests for access to data by third parties?

Security Access control and replication of data

How important is the level of data security at the CCS to your institution? Does your institution have the capacity to evaluate CCS security on an ongoing basis?

What authentication and access controls exist within media, applications, operating systems and equipment? Can the CCS replicate and continuously update the institution’s data at multiple locations? Can the CCS provide real-time data streams from intrusion detection systems?

Monitoring and Audit

Third-party audits and/or certi cations, right to periodic on-site inspection

Does your institution require outsourced services to conform to particular standards, e.g. ISO 27001 or 27002?

What are the CCS’s infrastructure and security speci cations? Can these form part of the contract as the minimum infrastructure and security requirements?

Ownership of data and metadata

Ensuring ownership of original data and data gen- erated by processing etc. is clear

What data will be storedin the CCS? Will additional data or metadata be generated in or by the CCS?

Is ownership of stored data clearly stated in the CCS contract? Does the CCS claim rights in the results of any data processing that occurs on its system?

� /�21 31

2015년 9월 월간브리프 - 기록하자

[haja]

Issues Key elements Archive Questions Possible CCS questions

Geographic location of data

Legislative, regulatory, sectoral or institutional requirements

Does your institution process data that needs to be restricted to a particular geographic location?

Can data be processed in speci c geographic locations? If other CCSs are used to provide capacity, can they meet this criterion?

Disposition of data

Customer’s right to access, edit and delete its data on an ongoing basis

Are there situations that require immediate accessto your data? Does your institution have speci c disposition requirements e.g. deletion under a retention schedule?

Can the CCS provide procedures and timelines for time-sensitive access that meet speci c institutional needs?

Portability of data

Ability to transfer data to a different CCS and remove from existing CCS

In what format and time- frame does your institution need the data in order to move between CCSs?

What are the CCS’s common formats for data return/retrieval? Can the CCS provide the data in a speci ed format within a speci ed timeframe to a speci ed location?

Change Management

Process for updates or new services

How does your institution wish to be noti ed of updates or new services? How much notice of changes is required?

Can the CCS provide noti cation in the form required, and in the timeframe speci ed? Is the institution able to request or require that the CCS provide particular updates?

Changes to terms and Conditions

CCS terms and conditions may vary over time

What parts of the terms and conditions are to your institution’s speci c requirements?

Are the CCS’s active terms and conditions at the time of contract signature locked in for the duration of the contract?

Problem Identi cation and Resolution

CCS technical support provision, e.g. call centre

What level of support does your institution require? Within what timeframe must problems be resolved?

What contractual assurances relating to the quality and continuity of key provider personnel can the CCS offer?

Data Breach CCS obligations if the customer data is accessed inappropriately

What data will be stored in the CCS? Does this carry particular risks if accessed without authorisation?

What constitutes a ‘data breach’? What are the CCS’s data breach obligations (e.g. requirement to notify, timeframe, and provision of details)? What indemni cation is provided by the CCS?

Disaster Recovery

Worse case recovery commitment

What processes and safeguards does the CCS have in place to protect customer data and services in the event of system failure? Can we test recovery procedures?

Dispute Mediation

Escalation process, consequences

� /�22 31

2015년 9월 월간브리프 - 기록하자

[haja]

Issues Key elements Archive Questions Possible CCS questions

Exit Strategy/ Termination

Notice, consequences, data access, data deletion (see Access and Portability, above)

How much time and what information will your institution need to in-source/re-source the service, regardless of the reason for termination? For what reasons might your institution wish to terminate the agreement?

What is the minimum noticeperiod that the CCS will accept? What grounds for termination are available under the CCS contract? Are there termination charges? How long after termination does a customer have to recover data before deletion? Can the data be auditably deleted from the CCS after termination of the contract? Can we test exit procedures?

Change in status of vendor

CCS goes into liquidation, or becomes involved in a merger or buy-out

What provision will you make for resilience to other events such as bankruptcy of a CCS?

In such circumstances, what are the responsibilities of the CCS and transferability of contracts or contract terms? Does the CCS offer third party escrow as part of its service provision? If not, can the customer sync data to a local server or a second CCS?

Contract Renewal

Timing of renewal, renegotiation of terms

How has the market and procurement frameworks and contracts evolved since? How has the CCS performed in the existing contract?

Does the CCS require notice of non-renewal within a set period before contract expiry? Is there an opportunity to renegotiate terms prior to renewal?

Cost Initial or upfront costs, maintenance and continuation costs, renewal costs, volume commitments, caps on the increases in costs permitted over time

Is pricing and value still competitive? Can we obtain better value via new frameworks or new collaborations?

Legal Law governing contract Does the institution have the capacity to engage in litigation outside its own jurisdiction, if necessary?

How and where will any legal disputes be settled? Can the CCS comply with laws/regulations of importance to the institution, even if these are not those of the CCS’s jurisdiction?

� /�23 31

2015년 9월 월간브리프 - 기록하자

[haja]

호주 NAA

호주는 클라우드 기반 디지털 저장소와 관련된 정책에 매우 신중한 입장을 취하고 있다. 클라우드 컴퓨팅을 통하여 제공받을 수 있는 효과와 위험을 평가 시에 모두 고려하고, 평가결과에 따라 위험요소가 기준치를 준수할 경우에만 클라우드 컴퓨팅 기반의 서비스를 사용할 수 있도록 하고 있다. 따라서 호주 기록물관리기관이 클라우드 저장소를 도입함에 있어 예상되는 위험을 줄이기 위한 방안으로 외부기관 선정에 다양한 부분을 고려하면서, 지속적인 감독을 실시하는 등 관리기준을 정해 이를 충족시킬 수 있다고 판단된 경우에 한해 클라우드 저장소를 도입하고 있다. Cloud Services Panel 제도를 운영하여 2015년 1월 현재, 재무부에서 인정하고 있는 클라우드 서비스 사업자는 80여 개에 달한다(2017년까지 유효하며, 4년주기로 갱신할 수 있음). 호주 국방부 통신감독국(ASD)에서는 클라우드서비스(CCSL)를 인증해주고 있다.

<Advice on Managing the Recordkeeping Risks Associated with Cloud Computing>의 구성은 아래와 같다.

구분 목록

지침 및 참고자료

‣ Records Management in the Cloud ‣ Advice on Managing the Recordkeeping

Risks Associated with Cloud Computing ‣ Cloud computing and information

management ‣ ASD Certified Cloud Services ‣ Records Management in the Cloud ‣ A checklist for Records Management and

the cloud

구성 주요내용

위험관리

(1) 인지해야 할 위험요소 (2) 기록유형별 위험 평가 (3) 사업자 선정을 위한 심사

(4) 위험관리를 위한 계약체결 (5) 사업자 감독

부록 -

사업자 선정 시의 위험관리를 위한 체크리스트

(1) 기록의 소유권을 귀 기관에 귀속되어 있음을 확증할 수 있는가?

(2) 기록관리 요건에 따라 서비스 제공자가 준수해야 할 기록관리 기능과 메타데이터 요구사항을 정의할 수 있는가?

(3) 정보의 물리적 보존 장소가 귀 기관이 접근가능한 관할구역 내에 존재하는가? (4) 서비스 제공자가 개인정보 보호 준수사항을 지키려 노력할 것인가?

(5)계약 종료 후 귀 기관의 기록과 정보의 사본이 서비스 제공자에게 남아있지 않을 것을 확신할 수 있는가? (6) 서비스 제공자는 외부의 감사추적 또는 인증 절차를 정기적으로 받고 있는가? (7) 서비스 제공자는 오프라인 백업 장치와 재해복구 수단을 갖추고 있는가? (8) 사고 발생시 적절한 시간내에 정보를 완전히 복구할 수 있는가? (9) 사고 발생시 적절한 시간내에 정보를 일부 복구할 수 있는가?

(10) 귀 기관의 기록물에 제3자가 접근할 것에 대비하고 있는가? (11) 계약에 명시되어 있지 않은 응용프로그램에 귀 기관의 기록이 활용되지 않을 것임을 확신할 수 있는가? (12) 서비스 제공자는 서비스가 종료되었을 때 계약에 명시된 기록과 관련 메타데이터를 접근가능하고 확인된 포맷의 형태로 반환할 수 있는가? (13) 기록 폐기를 제한할 수 있는 관련 규정을 계약에 명기할 수 있는가?

� /�24 31

2015년 9월 월간브리프 - 기록하자

[haja]

참고자료

Records management and the cloud—a checklist

1. Records in the cloud are to be governed by the Archives Act 1983

□ Ensure your agency complies with Section 24 of the Archives Act 1983

Section 24 of the Archives Act provides that a person must not engage in conduct that results in the transfer of the custody or ownership of a Commonwealth record other than, relevantly under Section

24(2)(b) and (c), with the permission of the Archives or in accordance with a practice or procedure approved by the Archives, or in accordance with a normal administrative practice of which the Archives does not disapprove.

On this basis, the National Archives of Australia would not approve a decision to use a cloud service without appropriate controls and protections for Commonwealth records in place. Agencies should make a risk-based decision, taking into account all Commonwealth compliance interests, including risks to the records. Controls and protections should appropriately match the value of the records.

Section 24 requires agencies to consider carefully what records will reside in the cloud and to ensure that the terms of contracts with providers adequately address issues of control, ownership and management of records. Agencies should approach the National Archives if they have questions.

2. Records in the cloud should be authentic, accurate and trusted

□ Consider where your records are held

Cloud service providers may store records on multiple servers in multiple locations, including across different countries.

There may be risks to the authenticity, accuracy and reliability of the records if they are stored injurisdictions that do not have the same protection for information, or where they may become subject to the laws of the country where they are stored. The consequences may be that your records are seized or accessed without your knowledge.

Because your records are likely to be stored on the same servers as other records, they may be caught up in discovery or other legal action affecting records sharing the same server.

Knowing the location of your records and assessing the risks that may be associated with the location helps ensure your records are appropriately secure. This is fundamental to an informed risk assessment.

□ Consider whether the cloud provider has sufficient audit management

Evidential value and authenticity of records can be diminished through unauthorised access. To maintain accurate and trusted records, it is important that the provider maintains adequate system logs and audits,

and can provide audit logs, or extract information from audit logs, specific to your information. The provider should be able to detect unauthorised access and prove that records are what they purport to be.

Audit logs are also records. You should ensure that you have access to audit logs and consider what audit information needs to be kept and for how long.

□ Evaluate the security

Data and network security and, to an extent, physical security ensure that records remain authentic, accurate and trusted. The Australian Government Protective Policy Framework and the Australian Government Information Security Manual set out security requirements for records.

□ Be aware of the use of third party subcontractors

Cloud services may involve layers of subcontractors. They need to meet the same records management criteria as the primary provider.

� /�25 31

2015년 9월 월간브리프 - 기록하자

[haja]

3. Records in the cloud should be complete and unaltered

□ Consider the impact of altered records

Migration, conversion and refreshment are inevitable parts of managing digital records. If not done properly there is a risk that the records may become incomplete or damaged. This affects their value as evidence.

If certain conditions are met you can destroy a range of source records that are no longer needed once they have been copied, converted or migrated. The Archives authorises this destruction with the General Disposal Authority for Source Records that have been Copied, Converted or Migrated. Destruction of records that have been migrated, converted or refreshed should be undertaken in accordance with that authority.

Agencies need to assess the migration, conversion and refreshment techniques used by their cloud provider to ensure that records are not inadvertently altered or incomplete. Cloud providers should obtain the permission of the agency prior to conversion or migration of records.

Any alteration of records should be authorised by the agency, recorded and traceable.

□ Consider the format in which records are transferred, created or stored in the cloud

Agencies should be aware of, and authorise, any change in the format of records transferred to the cloud.

Records created in the cloud may be either transferred to the agency or continue to be stored in the cloud.

Consideration should be given to the format of these records. (For more information on format see Section5.)

4. Records in the cloud should be secure from unauthorised access, alteration and deletion

□ Consider who has access to, and use of, your records

You should be able to specify who has the right to access records and when.

When records are accessed and used, further transactional records are created. This transactional information also belongs to the agency and provisions should be in place to ensure that the provider does not use this information for their own purposes. Access restrictions should be commensurate with the value of the record.

□ Assess the provider’s viability

If a cloud provider ceases business, access to records may be lost either temporarily or permanently. The new provider may not honour previous arrangements and agencies may not know who has had access to their records. This may compromise your ability to ensure records are secure from unauthorised access, alteration or deletion.

□ Consider the risks of incomplete destruction of records

Because records in the cloud are often kept on many servers in many locations, it may be difficult to know whether they have been securely destroyed. Consider the risks to your agency if records are not destroyed when required.

Disposal of records is authorised by the Archives in agency-specific records authorities, the Administrative Functions Disposal Authority or other general records authorities. If cloud providers dispose of records on behalf of agencies, they must obtain approval from the agency and use the specified records authority.

Disposing of records in a timely manner makes business more efficient. There is a reduced risk to your agency and it is more likely that people will be able to find the right records when they need them. This limits the possibility of unauthorised access and reduces costs of unnecessary storage and maintenance of records.

5. Records in the cloud should be findable and readable

□ Consider the readability and usability of records stored or created in the cloud

Records have little value if they are not readable. Some providers require clients to use their own formats and software and the risks this poses to ongoing usability of the records should be considered when choosing a cloud service provider.

When records are returned to the agency, they must be in a format that the agency can use.

Contracts with cloud service providers should specify the format in which records are returned to the agency, formats used in storage, and processes to be followed when information is migrated. Preferably the provider should use open formats to support readability over time.

□ Ensure records can be recovered

� /�26 31

2015년 9월 월간브리프 - 기록하자

[haja]

To maintain access to records in the cloud, it is important that the provider undertakes regular backups and that business continuity plans are in place for recovery of records. Agencies should also be aware of safeguards for their records in the event of network breaks, service disruptions or network congestion.

□ Evaluate the impact of corrupted records

There is always a risk that digital records may become corrupted. If this happens it can be difficult or impossible to access and use records. It is important for your agency and the provider to address the need for restoring corrupted records.

□ Consider the metadata required to identify and retrieve your records

Metadata is the means by which records can be confirmed as complete and authentic. Metadata also ensures records are findable and useable.

Agencies also need to ensure that records have sufficient metadata to satisfy access and retention requirements.

Metadata in all records should comply with the Australian Government Recordkeeping Metadata Standard (AGRkMS).

Records stored in the cloud may benefit from further metadata schemes such as AS 5044 (AGLS).

Metadata is itself a record that needs to be managed and retrievable.

□ Assess the likelihood of vendor lock-in

A cloud service provider may require you to use proprietary software and hardware.

This may lock you into arrangements with that provider because of the difficulty in retrieving records in a format that can be migrated to another provider, or even to your own servers. The value of the record in those cases is severely reduced.

6. Records in the cloud should be related to other relevant records

□ Consider metadata maintenance and management

Mismanaged metadata may result in records that are difficult to find and understand and will decrease the integrity of the record. Mismanaged metadata may also

weaken the ability to link a record with other records, and thus diminish its context.

Requirements for metadata should be developed before the records are transferred to the cloud. The contract between your agency and the provider should include minimum metadata requirements for process management of records.

□ Consider how records in the cloud relate to records stored in-house

Are records stored in the cloud related to records stored in-house? Are the connections between in-house records and records stored in the cloud clear? Systems for managing records in the cloud and in-house should be complementary. This may mean that additional metadata needs to be applied to records stored in the cloud to maintain their relationship links.

□ Consider records classification

Classification in records management means the systematic identification and arrangement of records into categories according to logically structured conventions and procedural rules. Proper classification of

records not only helps identify and find records, it also assists in developing relationships between records.

Records should be appropriately classified before they are stored in the cloud. This includes records created as a result of using the cloud.

� /�27 31

2015년 9월 월간브리프 - 기록하자

[haja]

미국 NARA

미국은 클라우드컴퓨팅으로 연방정부 산하 공공기관의 기록물 관리 시 생기는 여러 난제를 설명하고, 클라우드 컴퓨팅 상에서의 기록물 관리에 관한 지침을 발행했다. 이러한 문제점을 해결하고 클라우드 환경에서 연방기관의 기록물 관리에 관한 표준을 제시하기 위해 미국 NARA는 지속적으로 클라우드 환경 내 기관의 기록물 관리방안을 연구하고 있다.

<NARA Bulletin 2010-05: Guidance on Managing Records in Cloud Computing Environments>의 내용은 아래와 같다 (이 부분의 번역은 전북대학교 윤은하 교수가 맡아주었다)

1. 클라우드 컴퓨팅이란 무엇인가

일반적으로 클라우드 컴퓨팅은 타 기관의 서버에 보존 공간을 임대하거나 이러한 서비스를 유치하는 것을 의미한다. 혹은 또 다른 의미로 쇼셜 미디어, 즉 클라우드에 근거한 이메일이나 다른 종류의 웹 서비스를 포함한다. NIST는 연방 클라우드 컴퓨팅 기술을 위한 가이드라인과 표준 개발을 위해 힘쓰고 있다. NIST 정의는 NIST Definition of Cloud Computing, Version 15, 10-07-2009)을 참조할 것.

4. 클라우드 컴퓨팅 서비스와 적용 모델이라는 것은 무엇인가

‣ 클라우드 컴퓨팅 서비스 모델은 정부기관이 어떻게 클라우스 컴퓨팅을 적용할 것인가에 대한 대안을 제시한 것. NIST는 다음과 같은 모델을 소개하고 있다.

‣ Cloud Software as a Service(SaaS): Cloud환경에서 실행되는 응용프로그램을 서비스 형태로 소비자에게 제공할 수 있는 형태의 서비스를 의미. 이메일과 같이 단순한 이용자 인터페이스를 통해 다양한 단말기에서 실행 가능한 응용프로그램을 일컫는다. 그러나 사용자는 이 시스템이 무엇으로 이루어져 있고 어떻게 동작 하고 있는지 알 필요가 없다.

‣ Cloud Platform as a Service(PaaS): 이용자 중심의 클라우드 인프라를 구축하고 공급자로부터 프로그래밍 언어와 툴을 이용하는 응용프로그램을 개발할 수 있는 능력까지 소비자가 제공받는 형태를 의미한다. 사용자가 네트워크나 서버, 운용 체계 등 클라우드 인프라에 관여하고 있지는 않지만 서비스를 개발할 수 있는 응용프로그램과 그 환경에 대해서는 컨트롤 할 수 있다.

‣ Cloud Infrastructure as a Service(IaaS): 소비자에게 프로세싱, 보존, 네트워크, 그 외의 기본적인 컴퓨팅 기술을 제공하여 소비자가 스스로 소프트웨어를 개발하거나 운영할 수 있도록 하는 형태의 서비스를 말한다.

또한 이용자의 요구나 필요에 따라 클라우디 컴퓨팅 소프트웨어 서비스는 다음 네 가지로 구분될 수 있다.

‣ Private Cloud ‣ Community Cloud ‣ Public Cloud ‣ Hybrid Cloud

이러한 구분은 사실상 IT와 NIST에서 사용되는 것으로 클라우드 환경에서 기록이 어떠한 방식으로 (공적, 사적) 접근 가능하는지와는 관련이 없다. 또한 위의 정의는 기록을 관리하는 기관에서 사용하는 정의와는 무관하다.

5. 어떻게 연방정부는 클라우트 컴퓨팅을 이용하는가

정부기관은 주로 비용절감, 접근성 향상, 협력체계 구축, 유연성 확보를 위해서 클라우드 기술을 도입하고 있다. 그러나 인터뷰 결과 거의 모든 기관들이 클라우드 환경 내의 데이터 관리에 어려움을 겪고 있는 것으로 나타났다. 개

구분 목록

지침 및 참고자료

‣ 정부기록물관리지침 Part 2. NARA, OMB, OPM의 의무 (A4. 클라우드 아키텍처 및 연방기관 IT시스템 등에 기록관리 요건 내장)

‣ NARA Bulletin 2010-05: Guidance on Managing Records in Cloud Computing Environments

� /�28 31

2015년 9월 월간브리프 - 기록하자

[haja]

인정보, 보완, 데이더 소유권 등 클라우드 컴퓨팅을 둘러싼 모든 문제들이 나타나기 시작했다.

일례로, 직원들이 전 세계에 흩어져 근무하는 정부 기관들은 구성원들 간 빠른 정보 공유가 중요하다. 그래서 민간 업체들과 계약을 통해 회계 데이터를 공유하고 보고서를 저장하고 정보를 글로벌한 방식으로 공유하도록 하며 문제를 해결했다. 이 때 인가받지 않은 이용자들이 응용프로그램을 사용하는 것을 방지하기 위해 몇 개의 상이한 민간의 플랫폼을 이용했다. 정부 기관들은 이러한 방식이 회계 감사 조건을 충족시킨다고 말했지만 이러한 방식이 기록관리 요건을 충족시키고 있지 못하다는 것을 곧 인정했다.

6. 클라우드 컴퓨팅과 관련된 기록관리의 어려움은 무엇인가

NARA도 현재 이러한 클라우트 컴퓨팅 환경이 기록의 생산, 이용, 보존의 방식에 영향을 끼친다는 사실을 인정하고 있다. 정부 기관이 연방정부 기록을 생산해내는 클라우드 컴퓨팅 환경은 개별적 기관의 필요나 특징을 반영하며 구축되어 디자인이나 운영체계에 있어 대단히 다양하다. 예를 들어, IaaS 와 PaaS 서비스 모델을 채택한 기관은 되도록 기록을 클라우드 밖에서 보존하는 경향이 있고, SaaS 서비스 모델을 이용하는 기관에서는 기록을 위탁 클라우드(contractor-provided clouds)에서 관리하는 경향이 있으며 기록관리의 세부적 의무나 업무에 관해 언급할 때도 위탁업체와만 합의된 (고유한) 언어를 사용, 언급하고 있다.

NARA가 발견한 클라우드 컴퓨팅과 관련된 기록관리의 문제점은 다음과 같다.

‣ 클라우드 응용 프로그램은 기록관리를 위한 기본적인 요건, 예를 들어 이관 기능, 영구 삭제 등 기록관리를 수행하기 위한 기능들이 부족하다. 따라서 위의 모델들은 36 CFR Part 1236의 기록관리 요건을 충족시키지 못할 가능성이 크다. 일례로, 클라우드 환경에서는 기록의 생애 주기 동안 기록의 기능이나 완결성을 유지시키는 방식으로 기록을 관리하지 못한다거나 또한 NARA로 아카이브 기록을 이관 할때 기록과 그 기록에 관련된 메타데이터간의 링크를 유지하지 못할 수 있다. 또

NARA가 승인한 보존 기간 따라 임시 기록을 삭제하지 못할 가능성도 있다.

‣ 또한 응용 프로그램의 종류에 따라서, 클라우드 서비스 공급자들은 클라우드 내 (하나 혹은 하나 이상의 분산되어 있는 클라우드) 기록의 보존기간 요건에 대해 반드시 알고 있어야 한다. 정부 기관은 공급자 클라우드 의 어느 곳에 기록이 보존되어 있는지 그 기록을 삭제할 수 있는 권한을 가지고 있어야 하고 클라우드 서비스 공급자들은 정부 기관이 정보공개법이나 개인정보법 등을 적절히 준수할 수 있도록 기록이 항상 접근 가능하도록 해야 한다.

‣ 다양한 클라우드 설계 구조는 클라우드 환경에서 데이터가 어떻게 보존되고 수정, 변조 될 수 있는지를 통제할 수 있는 공식적이고 기술적인 기준을 가지고 있지 못하다. 이것은 신뢰할 만한 데이터의 장기보존 요건을 위협할 수 있다.

‣ 이동성(portability)을 규정하는 표준의 결여는 기록관리 필수 요건에 따른 기록의 삭제를 어렵게 하고 또 다른 환경으로의 이관을 방해하는 결과를 가져올 수 있다. 이것은 정부기관이 NARA로 가치 있는 기록을 이관해야 하는 기록관리에 대한 책임을 다하는데 영향을 끼친다.

‣ 또한 정부기관과 클라우드 서비스 공급자들은 어떻게 장기적인 보존과 접근성의 문제를 해결할 수 있는 것인지에 대해서도 고민해야 한다. 클라우드 서비스 공급자의 사업이 부도(bankruptcy)나 기타 다른 이유로 변동이 있을 경우를 대비해야 한다.

7. 정부기관들은 이러한 환경에서 어떻게 자신의 기록관리 책임을 다할 수 있는가

연방 정부는 연방정부 기록관리법(44 U.S.C. Chapter 21,29,31,33)과 NARA 규정(36 CFR Chapter XII Subchapter B)에 따라 기록을 관리할 의무가 있다. 이것은 어떤 클라우드 서비스 환경에서 어떠한 서비스 모델을 채택하던지 상관이 없다.

� /�29 31

2015년 9월 월간브리프 - 기록하자

[haja]

다음의 가이드라인은 NARA에서 클라우드 컴퓨팅 환경에서 생산, 보존, 사용되는 정부기관의 기록 관리를 위해 마련한 기준 및 정책이다.

‣ 클라우딩 컴퓨팅 도입단계에서부터 정부 기록물 전문 요원이나 직원을 배석시킨다.

‣ 어떤 기록이 정부 기록인지 명확히 하고 이러한 기록들이 36 CFR PART 1222에 따라 관리되어야 함을 분명히 한다. 중요한 것은 클라우드 환경에서 기록의 가치는 인덱싱 등의 이유 때문에 다른 어떤 (데이터 세트)의 가치보다 훨씬 더 크고 중요하다. 이 때문에 어떠한 것이 기록인지를 분명히 할 필요가 있다.

‣ 클라우드 환경 내에서 연방기록이 기록 보존기간에 따라서 관리되고 있는지의 여부를 결정할 수 있는 지침을 만들어야 한다.

‣ 어떻게 하면 모든 기록들이 선별, 수집되고, 관리되고 이용될 수 있는지에 관한 규정을 만들어야 한다.

‣ 클라우드 환경 내에서 보존기간이 책정되지 않은 기록들을 위해 기록물 분석, 기록보존 연한 책정 등을 수행하고 NARA 제출하는 데 필요한 규정을 만들어야 한다.

‣ 주기적으로 연방적부 기록들을 다른 환경으로 이관시킬 수 있는 시험용 이관(Test Trasnfers) 지침을 만들어야 한다. 이는 기록의 이동성(portable)을 보장하는데 필요하다.

‣ 어떻게 데이터가 새로운 포맷이나 운영체계로 마이그래이션 할 수 있는지 등 기록들이 기록의 생애주기 전반에 걸쳐 접근가능하고 가독 될 수 있도록 하기 위한 지침을 마련해야 한다. 클라우드에 있는 영구 보존 기록들이 NARA로 이관될 수 있도록 마이그래이션 계획을 수립해야 한다.

‣ 기록의 이동성과 접근성을 보장할 수 있는 규칙과 데이터 관리 전략을 수립해야 한다. 데이터 관리는 일반적으로 컴퓨팅 시스템의 통합성, 데이터의 이동성(하나

의 시스템에서 다른 시스템으로 이동할 수 있는 능력), 정보 보안에 관한 요건들을 포함한다. 그러나 이러한 관리 규칙에는 정부기관이 연방기록관리법과 NARA 규정을 지키고 있는지에 대해서는 언급하고 있지 않다.

8. 클라우드 컴퓨팅 공급자와 계약할 때 정부기관의 책임은 무엇인가

기본적으로 정부기관은 민간업체에 위탁하는 경우나 혹은 기관이 직접 관리하는 경우나 상관없이 기록의 물리적 보관권을 유지해야할 책임이 있다(36 CFR Part 1222). 민간업체와 계약을 할 때, 정부 기관은 반드시 기록관리 요건에 대한 문구를 삽입해야 한다. 최소한 이러한 기록관리 문구는 연방정부 기관과 민간 업체가 그들이 기록관리에 대한 책임이 있음을 상기시켜준다.

다음은 일반적인 문구로, 정부기관이 필요에 따라 구체적인 정부의 기록관리 요건을 충족시키도록 수정하여 사용 할 수 있다.

※민간업체로부터 장소와 서비스를 제공받을 경우 반드시 규정에 따른 기록관리가 수행되어야 한다. 만약 계약업체가 연방정부 기록을 보유(holds)하고 있을 경우, 계약자는 반드시 적용가능한 모든 기록관리 법과 규정(44 U.S.C. chs, 21, 29, 31, 33, NARA 36 CFR Ch12) 에 따라 연방정부 기록을 관리해야 한다. 이때 기록 관리라 함은 기록의 안전한 보존, 접근성의 확보, 적법한 페기를 포함하며, 영구기록의 NARA로의 이관과 이관시 NARA가 인정한 포맷과 방식으로 변환이 포함된다. 정부 기관은 또한 계약 만료시 까지 위에서 언급한 기록관리 법률과 규정을 준수해야할 의무가 있다.

※정부 기관이 새로운 커뮤니티(혹은 개인) 클라우드를 도입하게 된다하더라도 여전히 이러한 기록관리 의무 규정은 포함되어야 한다. 정부기관은 계약서에 계약당사자인 민간업체와 정부 기관사이에 이러한 책임 여부를 분명히 언급해야 한다. 또한 클라우드 공급자가 서비스를 중단할 경우에도, 정부기관은 반드시 이러한 기록관리 의무를 다해야 하며 이러한 지속성을 유지하기 위한 계획을 따로 수립해야 한다.

전혜영 (한국국가기록연구원 책임연구원)

� /�30 31

2015년 9월 월간브리프 - 기록하자

[haja]

� /�31 31

월간브리프 기록하자[haja] 발행 사단법인 한국국가기록연구원 발행일 2015.12.11 주소 서울특별시 서대문구 거북골로 34 명지대학교 본관 10층 11033호 전화 02-300-1845, 1846 homepage http://rikar.org issuu http://issu.com/rikarnews facebook facebook.com/rikarpage twitter @RIKARHUMA email rikar@rikar.org

9 7 7 2 4 6 5 8 3 1 0 0 0

11

ISSN 2465-8316