법률 정보

안녕하세요, 법률사무소 완봉입니다.

2026년 현재, 기업 경영에서 소프트웨어를 직접 구매해 설치하던 시대는 사실상 지나갔습니다. 이제는 대부분의 기업이 클라우드 기반 SaaS(Software as a Service)로 업무 시스템을 구축합니다. 그런데 많은 기업이 이용 약관을 별 생각 없이 '클릭' 몇 번으로 넘기거나, 공급사가 내민 표준 계약서에 도장을 찍은 뒤 뒤늦게 낭패를 보는 경우가 적지 않습니다.

SaaS 계약은 일반적인 물품 구매나 용역 계약과 법적 성질이 다릅니다. 서비스 중단 시 책임 소재, 데이터 보관 위치와 회수 방법, 보안 사고 발생 시 배상 범위 등이 불분명하면 기업 운영 자체가 흔들릴 수 있습니다. 오늘은 SaaS·클라우드 서비스 계약 시 대표님과 실무자가 반드시 확인해야 할 핵심 법률 포인트를 짚어드립니다.

TL;DR (핵심 요약)

1. SLA 확인: 가동률 보장 기준과 미달 시 보상 규정을 반드시 명시해야 합니다.
2. 데이터 소유권 및 반환: 계약 종료 후 데이터를 어떤 형식으로, 언제까지 돌려받을 수 있는지 확약받으세요.
3. 책임 제한 조항 대응: 보안 사고로 인한 간접 손해 배상 한도가 지나치게 낮지 않은지 검토하세요.

1. 서비스 수준 합의(SLA)의 구체성 확보

SaaS 계약의 핵심은 '연결성'입니다. 서비스가 멈추면 우리 회사 업무도 함께 멈추기 때문입니다. 이때 가장 중요한 개념이 SLA(Service Level Agreement, 서비스 수준 합의)입니다.

대부분의 공급사는 '99.9% 가동률 보장'을 내세웁니다. 그러나 법적으로 중요한 것은 '그 기준에 미달했을 때 어떤 보상을 받을 수 있는가'입니다. 단순히 다음 달 이용료에서 5%를 깎아주는 크레딧 제공에 그치는지, 아니면 실제 발생한 영업 손실에 대해 배상 청구가 가능한지를 반드시 따져봐야 합니다.

• 실무 팁: '정기 점검' 시간은 가동률 계산에서 제외되는 경우가 많습니다. 점검 시간이 업무 시간대에 집중되지 않도록 사전 통보 의무와 점검 시간대를 계약서에 명시해 두는 것이 유리합니다.

2. 기업 데이터의 소유권과 '엑시트(Exit)' 전략

많은 기업이 간과하는 부분이 바로 '데이터의 운명'입니다. 우리 회사가 입력한 고객 정보, 매출 내역, 기밀 문서가 모두 공급사 서버에 저장됩니다. 계약이 종료된다면 이 데이터는 어떻게 될까요?

• 데이터 소유권: '서비스를 통해 생성·가공된 모든 데이터의 소유권은 고객사에 있다'는 점을 계약서에 명확히 해야 합니다.
• 데이터 추출(Export): 계약 종료 후 데이터를 CSV나 API 형태로 추출할 수 있도록 공급사가 협조해야 한다는 조항이 필수입니다. 데이터가 공급사 고유 포맷으로만 존재한다면, 다른 서비스로 이전하려 해도 사실상 '데이터 인질' 상태가 될 수 있습니다.

3. 개인정보보호법과 보안 책임

현행 개인정보보호법에 따르면, 수탁업자(SaaS 공급사)의 과실로 개인정보가 유출될 경우 위탁자인 우리 기업도 관리·감독 소홀로 함께 책임을 질 수 있습니다.

• 보안 의무 명시: 공급사가 최신 보안 패치를 적용하고 정기적인 취약점 점검을 수행할 의무를 계약서에 명기하세요.
• 면책 조항의 한계: 공급사는 흔히 '천재지변이나 제3자의 해킹'에 대해 면책을 주장합니다. 그러나 공급사의 관리 부주의가 조금이라도 개입되었다면 책임을 물을 수 있도록 면책 조항의 범위를 정교하게 다듬어야 합니다.

4. 지식재산권(IP) 침해 보증(Indemnification)

우리가 사용하는 SaaS가 다른 회사의 특허나 저작권을 침해한 기술이라면 어떻게 될까요? 실제로 해외에서는 SaaS 이용자가 지식재산권 침해 소송의 피고가 되는 사례가 종종 발생합니다.

따라서 '본 서비스의 사용이 제3자의 지식재산권을 침해하지 않음을 보증하며, 분쟁 발생 시 공급사의 비용과 책임으로 이를 해결한다'는 배상(Indemnification) 조항을 반드시 확인해야 합니다. 이 조항이 없으면 공급사의 잘못으로 인한 소송 비용을 우리 회사가 떠안을 수 있습니다.

5. 중도 해지와 위약금 리스크

연간 계약 시 할인을 제공한다는 제안에 혹하기 쉽습니다. 하지만 비즈니스 환경은 빠르게 변합니다. 서비스 품질이 기대에 미치지 못하거나 더 이상 필요하지 않게 되었을 때, 위약금 없이 또는 잔여 기간에 대한 합리적인 환불을 받고 해지할 수 있는지 미리 확인하세요.

특히 'Termination for Convenience(임의 해지)' 권한이 우리 기업에게 있는지, 해지 통보 기간이 30일인지 90일인지에 따라 운영의 유연성이 크게 달라집니다.

자주 하는 질문 (Q&A)

Q1. AWS, Salesforce 같은 대형 글로벌 SaaS는 계약서 수정이 불가능하지 않나요?
대형 글로벌 플랫폼은 개별 기업의 수정 요청을 잘 받아주지 않습니다. 이 경우 계약서를 직접 고치기보다, 이용 정책과 SLA 정책의 예외 사항을 꼼꼼히 분석해 우리 기업이 감당해야 할 리스크 범위를 파악하고, 부족한 부분은 기업 보험 등으로 보완하는 전략이 현실적입니다.

Q2. 무료 체험(Free Trial) 기간에도 법적 책임이 생기나요?
네, 생깁니다. 무료 기간이더라도 데이터를 입력하는 순간부터 정보 유출 리스크가 발생합니다. 무료 체험 시에도 서비스 약관에 동의하게 되므로, 민감한 실제 데이터를 입력하기 전에 보안 관련 약관을 먼저 확인하는 것이 안전합니다.

Q3. 공급사가 갑자기 서비스 가격을 올린다고 하면 무조건 따라야 하나요?
계약서에 '갱신 시 가격 인상 한도(예: 전년 대비 5% 이내)'를 명시하지 않았다면 공급사의 인상 요구를 막기 어렵습니다. 장기 이용이 예상되는 서비스라면 계약 갱신 시 가격 산정 기준을 미리 합의해 두는 것이 좋습니다.

Q4. 데이터 센터가 해외에 있는 경우 무엇을 주의해야 하나요?
개인정보보호법상 개인정보의 국외 이전 시에는 이전 국가, 일시, 목적, 수신자의 보안 조치 등 법정 절차를 준수해야 합니다. 계약서에 데이터 보관 서버의 물리적 위치를 명시하도록 요구하고, 국내법 준수 여부를 확인받아야 합니다.

마치며

SaaS 도입은 기업의 생산성을 높여주지만, 잘못된 계약은 핵심 자산인 '데이터'를 볼모로 잡거나 예상치 못한 배상 책임을 안길 수 있습니다. 도장을 찍기 전, 우리 회사 상황에 맞는 안전장치가 마련되어 있는지 전문가 검토를 받는 것이 가장 경제적인 리스크 관리 방법입니다.

법률사무소 완봉은 IT 기업과 제조 기업의 소프트웨어 라이선스 및 SaaS 계약 자문을 통해 쌓은 실무 경험을 바탕으로, 복잡한 영문 계약서 검토부터 까다로운 SLA 협상까지 기업의 이익을 지키는 데 함께하겠습니다.

기업 계약 검토, IT·SaaS 법률 자문, 데이터 보안 및 개인정보보호, 기업 리스크 관리 등에 대한 상담이 필요하시면 언제든지 문의해 주세요.

• 전화: 02-6263-9093
• 주소: 서울 용산구 서빙고로 17 센트럴파크타워 12층 1202호