작년 12월 대법원은 메타와 방통위 간 분쟁에서 메타의 국내 트래픽 접속 변경이‘이용 제한’에 해당하지 않는 결정을 내렸다. 이용 자체는 가능하나 이용에 영향을 미쳐 이용에 다소간의 지연이나 불편을 초래하게 하는 행위는 이용 제한이 아니라는 것이다. 이 분쟁 이후 CP에게도 망 품질 관리책임을 부여하는 법이 시행되어 CP에게 인터넷 생태계에서의 의무와 책임이 부여되었다. I. 사안의 개요 메타, 아마존, 구글 등 글로벌 ICT 기업들은 지능정보사회의 핵심 플랫폼의 역할을 하면서 글로벌 생태계 구축을 위한 경쟁을 하고 있다. 이와 같은 콘텐츠제공자(Contents Provider: CP)들은 서비스 제공을 위해 인터넷서비스제공자(Internet Service Provider: ISP)의 네트워크를 이용하데, 이 과정에서 망 이용대가 부담 주체, 적정규모 등에 관한 분쟁이 빈번하다. 이와 관련 메타(구 페이스북)가 SKT와 LGU+ 가입자가 자사에 접속하는 인터넷 트래픽의 일부의 접속경로를 국내 서버에서 홍콩 등 해외 서버 등으로 변경하여 국내 이용자들의 접속이 제대로 되지 않거나 동영상이 제대로 재생되지 않는 등의 장애, 불편, 지연 등이 발생하자, 방송통신위원회 이러한 임의의 접속경로 변경 행위가 전기통신사업법상 이용 제한에 해당하고 이용자 이익의 저해 정도가 현저하다는 이유로 시정조치와 과징금(3억 9,600만 원) 납부 등을 명하였다. 이에 불복한 메타는 시정조치 및 과징금 부과 처분 등을 취소소송을 제기하였으나 대법원은 방통위의 상고를 기각하였다(대법원 2023. 12. 21. 선고 2020두50348 판결). 메타는 방통위의 예정 처분에 대해서 1) 콘텐츠 제공사업자로서 인터넷 접속 품질에 대한 책임을 부담할 수 없으며, 2) 응답속도가 느려졌더라도 이용자가 체감할 수준은 아니며, 3) 이용약관에 서비스 품질을 보장할 수 없다고 명시하였으므로 전기통신사업법을 위반하지 않았다고 했으나, 방통위는 1) 메타가 콘텐츠 제공사업자라 하더라도 직접 접속경로를 변경한 행위 주체로서 책임이 있으며, 2) 응답속도는 전반적인 네트워크 관리지표로서 2.4배 또는 4.5배 응답속도가 저하된 것은 접속 품질이 과거 수준에서 현저히 벗어난 것으로 볼 수 있으며, 3) 이용약관에서 정한 무조건적인 면책조항은 부당한 점 등을 고려하여 페이스북의 소명을 받아들이지 않았다 Ⅱ. 대상판결의 요지 이 사건의 쟁점은 원고의 접속경로 변경행위가 이 사건 쟁점 조항의 ‘이용 제한’에 해당하는지 여부 등이다. 이 사건 쟁점 조항이 정한 금지행위를 이유로 하는 과징금 부과 등은 침익적 행정처분에 해당하므로, 이 사건 쟁점조항은 엄격하게 해석·적용해야 하고, 행정처분의 상대방에게 지나치게 불리한 방향으로 해석·적용하여서는 안 된다. ‘제한’의 사전적 의미와 ‘제한’이 ‘중단’과 병렬적으로 규정되어 있는 점 등을 고려하면, ‘이용의 제한’은 이용의 시기나 방법, 범위 등에 한도나 한계를 정하여 이용을 못 하게 막거나 실질적으로 그에 준하는 정도로 이용을 못 하게 하는 것을 의미한다고 해석된다. 이용자 편의 도모나 이용자의 보호를 이유로 이용의 ‘제한’을 ‘이용 자체는 가능하나 이용에 영향을 미쳐 이용에 다소간의 지연이나 불편을 초래하게 하는 행위’까지 포함하는 것으로 해석하는 것은 문언의 가능한 의미를 벗어나므로 유추해석금지의 원칙에 반할 여지가 있다. CP가 자신이 제공하는 콘텐츠로의 과다 접속에 따른 다량의 트래픽을 효율적으로 전송, 처리하기 위하여 접속경로 변경을 선택하는 경우도 많고 결코 이례적이라고 보기 어렵다. 이처럼 CP의 접속경로 변경행위는 합리적 의사결정에 따른 것으로 영업상 허용되는 범위 내에 있을 여지도 다분하다. 전기통신사업법은 2020. 6. 9. 법률 제17352호로 개정되면서 제22조의7이 신설되었는데, 위 조항은 이용자 수, 트래픽 양 등이 대통령령으로 정하는 기준에 해당하는 부가통신사업자는 이용자에게 편리하고 안정적인 전기통신서비스를 제공하기 위하여 서비스 안정수단의 확보, 이용자 요구사항 처리 등 대통령령으로 정하는 필요한 조치를 취할 의무를 부담한다고 규정하고 있다. 그 위임에 따라 전기통신사업법 시행령 제30조의8 제2항은 서비스 안정수단 확보를 위한 구체적 조치사항으로 안정적인 서비스 제공을 위한 트래픽의 과도한 집중, 기술적 오류 등을 방지하기 위한 기술적 조치와 트래픽 양 변동 추이를 고려한 서버 용량, 인터넷 연결의 원활성 확보 및 트래픽 경로의 최적화 등을 규정하고 있다. 위와 같이 법이 개정된 이유는 이용자의 보호를 위한 것인데, 전기통신사업법 제22조의7이 신설되기 이전에는 CP의 일방적인 접속경로 변경행위에 대한 규제 또는 규율의 법적 공백이 있었다고 볼 여지가 있다. Ⅲ. 평석 1. 이용 제한 해당 여부 2018. 3. 21. 방통위 처분으로 시작된 접속경로 변경 분쟁은 5년 7개월 만에 마무리되었다. 이 사건의 핵심 쟁점은 메타의 접속경로 변경 행위가 전기통신사업법령에서 금지하는 ‘정당한 사유 없이 전기통신서비스의 가입, 이용을 제한 또는 중단하는 행위’ 중 ‘이용의 제한’에 해당하는지와 전기통신이용자의 이익을 현저히 해치는 방식으로 전기통신서비스를 제공하는 행위에 해당하는지의 요건을 충족하는지 여부이다. 이에 대해 1심은 메타의 접속경로 변경이 이용 제한이 아니라고 판시했다. “전기통신서비스의 이용을 지연하거나 이용에 불편을 초래한 행위에 해당할 뿐, 이용 제한에 해당한다고 볼 수 없다”는 것이다. 즉, 인터넷 이용은 가능하나, 인터넷 이용이 지연되거나 불편할 수는 있으나 이용은 가능했기 때문에 ‘제한’이 아니라는 것이다. 2심 재판부는 접속경로를 ‘우회’하도록 한 것은 이용 제한 행위에 해당한다고 봤다. 재판부는 “이용 제한이란 ‘이용은 가능하지만 이용에 영향을 미쳐 이를 곤란하게 하는 행위’를 의미한다. 다만, 다른 요건인 이용자들의 이익을 현저히 해치는 방식으로 전기통신서비스를 제공하는 행위에 해당한다고 보기는 어렵다고 보았다. 상고심은 ‘이용의 ‘제한’을 ‘이용 자체는 가능하나 이용에 영향을 미쳐 이용에 다소간의 지연이나 불편을 초래하게 하는 행위’까지 포함하는 것으로 해석하는 것은 유추해석 금지의 원칙에 반할 여지가 있다고 판단했다. 결국 1심은 이용 제한에 해당하지 않는다고 보았고, 2심은 이용 제한에 해당하나 이용자 이익을 현저히 해치는 방식이 아니라고 보았으며, 상고심은 1심의 결론을 지지했다. 이처럼 ‘이용 제한’의 개념에 대한 심급별 판단이 달랐다. 그러나 2심에서 지적한 바와 같이 제한은 금지에 이르지 않지만 곤란, 불편, 장애가 있는 상태이기 때문에 본건 인터넷 응답속도 저하는 제한에 해당한다고 보는 것이 맞다고 봐야 할 것이다. 다음 현저성에 관한 것이다. 전기통신사업법은 명백히 전기통신이용자의 이익을 현저히 해치는 방식으로 전기통신서비스를 제공하는 행위를 금지하고 있다. 따라서 현저성의 요건은 정도나 수준의 문제라기보다 방식, 수단, 형태에 관한 판단이 필요한데, 1심과 2심 모두 이런 판단을 하지 않았다. 재판부에서 판단한 것처럼 ‘CP인 원고로서는 접속경로 변경으로 인하여 서비스 품질이 어느 정도까지 저하될 것인지 사전에 예측하기 어렵다’는 점은 사실과 부합하지 않는 것으로 보인다. 거대 CP인 메타는 접속경로를 스스로 설정할 권한을 가지고 있고, 특정 접속경로를 통해 흐르는 트래픽을 실시간으로 모니터링하고 있으며, 따라서 접속경로를 일시에 다량 변경하는 경우, 병목현상 등으로 인해 접속장애가 발생한다는 점을 잘 알면서도, 의도적으로 접속경로를 변경한 것이라고 볼 수 있다. 이 점에서 방식이나 형태의 현저성이 있다고 볼 수 있다. 만약 현저성을 수준이나 정도로 본다고 하여도 이용자 이익 저해 현저성은 상대적 개념으로 특정 국제기준이 아니라, 여러 상황을 고려하여 구체적, 개별적으로 판단할 필요가 있다. 해외의 낮은 기준으로 국내 이용자가 겪은 접속지연이 현저하지 않았다고 판단한 것은 국내 인터넷 이용자의 기대를 고려하면 다른 해석이 가능하다. 2. 시사점 위 판결에서 법원은 인터넷 응답속도 등 인터넷 접속서비스의 품질은 기본적으로 ISP가 관리, 제어할 수 있는 영역이지, 원고와 같은 CP가 관리, 통제할 수 있는 영역이 아니라고 보았다. 다만, 법원도 CP의 접속경로 변경 등으로 접속속도가 저하되어 전기통신서비스 이용을 지연하거나 이용에 불편을 초래하는 행위를 제재하기 위해서는 별도로 명문의 규정을 두어야 한다고 입법 필요성을 강조한 점을 보면, CP의 망 품질 제어 가능성은 인정하였다. 이와 관련 방통위는 2019년 말 ‘공정한 인터넷망 이용계약에 관한 가이드라인’을 마련하여, 망 이용자의 지위에 불과했던 CP들에게 트래픽 관리를 포함한 이용자 보호책임을 인정하였다. 이후 정부는 상고심이 지적한 바와 같이 CP에게도 망 품질 관리책임을 인정하는 입법을 하게 된다. 이 법 적용 대상은 직전년도 3개월간 일 평균 이용자 수가 100만 명 이상이면서 국내 발생 트래픽 총량의 1% 이상을 차지한 사업자인데, 구글, 넷플릭스, 메타, 네이버, 카카오가 대상이 되었다. 결국 이 사건 판결로 인해 인터넷 응답속도 등 인터넷 접속 서비스의 품질은 ISP가 관리, 제어할 수 있는 영역이지, CP가 관리, 통제할 수 있는 영역이 아니라고 보았던 관점이 변경되었다. 또한 부가통신사업자에 불과하였던 CP에게도 인터넷 생태계에서 책임과 의무를 인정하는 입법이 이루어졌다는 점이 이 판결의 의의라고 할 수 있다. 이성엽 교수(고려대)·법학박사

1. 사안의 개요 청구인들은 검사 또는 군수사기관의 장을 포함한 수사관서의 장, 정보수사기관의 장의 요청에 따라 자신들이 가입한 전기통신사업자가 성명, 주민등록번호, 주소, 전화번호, 가입일 등의 통신자료를 제공하였음을 알게 되자 1) 위 수사기관 등의 각 통신자료 취득행위(이하 ‘이 사건 통신자료 취득행위’라 한다)와 2) 그 근거법률인 전기통신사업법 제83조 제3항 중 “검사 또는 수사관서의 장(군 수사기관의 장을 포함한다), 정보수사기관의 장의 수사, 형의 집행 또는 국가안전보장에 대한 위해 방지를 위한 정보수집을 위한 통신자료 제공요청”에 관한 부분(이하 ‘심판대상조항’이라 한다)에 관하여 헌법재판소법 제68조 제1항에 의한 헌법소원심판을 청구하였다. 2. 결정의 요지 헌법재판소는 1) 이 사건 통신자료 취득행위에 관한 심판청구는 각하하였고, 2) 심판대상조항에 대하여는 2023. 12. 31.을 시한으로 잠정적용을 명하는 헌법불합치결정을 하였다. 3. 평석 가. 결정의 배경 헌법재판소는 2012년 유사한 사건에서 통신자료 취득행위와 구 전기통신사업법 조항에 관하여 모두 각하결정을 한 바 있다(헌재 2012. 8. 23. 2010헌마439). 그러나 그 이후에도 시민사회뿐만 아니라 유엔 자유권규약위원회와 국가인권위원회로부터도 전기통신사업법에 의한 수사기관 등(여기에는 검찰, 경찰, 고위공직자수사처 등이 포함된다)의 통신자료 취득에 기본권 침해의 소지가 있다는 우려가 계속하여 제기되었다. 대상결정은 이러한 상황을 배경으로 2016년 및 2022년 청구된 합계 4건의 헌법소원심판 사건을 병합하여 판단에 이른 것이다. 대상결정은 심판대상조항이 통신자료 제공 이후에도 정보주체에게 이를 통지하는 절차를 두고 있지 않아 적법절차원칙에 반한다는 이유로 헌법불합치결정을 하였다. 심판대상조항이 적법절차원칙의 요구를 충족시키지 못한다는 점은 타당하나 대상결정에 따른 후속입법에 있어서는 쟁점이 되었던 다른 위헌사유들도 진지하게 검토하여 헌법적으로 최적화된 대안을 마련해야 할 것이다. 나. 적법요건 대상결정은 적법요건에 관한 중요 쟁점을 몇 가지 포함하고 있으므로 먼저 이에 관하여 본다. 헌법재판소는 우선 이 사건 통신자료 취득행위 부분은 헌법소원심판의 대상이 될 수 없다고 보았고 이 점은 2012년 결정과 같은 취지이다. 공권력 행사에 해당하기 위해서는 국가기관이나 공공단체의 고권적 작용으로 인하여 청구인의 법률관계 내지 법적 지위를 불리하게 변화시켜야 하는데 통신자료를 제공요청하고 전기통신사업자로부터 이를 자발적으로 제공받은 것은 임의수사에 불과하여 공권력 행사에 해당하지 않는다는 것이다(이에 대해 공권력 행사에 해당하지만 권리보호이익 흠결을 이유로 각하해야 한다는 별개의견도 제시되었다). 2012년 결정과 달라진 부분은 통신자료 제공과 취득의 근거규정인 심판대상조항의 직접성에 관한 판단으로서 이로 인하여 대상결정의 본안판단이 이루어질 수 있게 되었다. 헌법소원의 적법요건 중 기본권침해의 직접성만큼 논란이 많은 것은 찾아보기 어렵다. 이러한 배경에는 헌법재판소법 제68조 제1항에 명시적인 근거가 없다는 점 외에 경우에 따라서는 판례의 태도에서 일관성을 찾기가 쉽지 않다는 점도 작용한다고 보인다. 법률조항은 구체적인 집행행위를 기다리지 아니하고 그 자체에 의하여 자유의 제한, 의무의 부과, 권리 또는 법적 지위의 박탈을 일으키는 경우 그 직접성이 인정될 수 있다. 사안에서는 공권력주체인 수사기관 등의 통신자료 제공요청과 사적 행위자인 전기통신사업자의 제공행위라는 두 부분으로 구성된 집행행위의 실행이 있어야 비로소 기본권 제한이 발생하므로 원칙적으로는 기본권침해의 직접성이 없게 된다. 2012년 선행결정은 특히 전기통신사업자의 통신자료 제공행위가 재량에 달려 있다는 점을 강조하면서 이러한 취지로 판시하였다. 그러나 ‘사인(私人)의 행위’는 공권력작용이 아니므로 집행행위로 볼 수 없다는 판례들(가령 헌재 1996. 4. 25. 95헌마331)에 비추어 보더라도 직접성 판단에 있어 이 부분에 초점을 맞추는 것은 타당하지 않아 보인다. 반면 대상결정은 적어도 영장주의나 사후통지 등 절차와 관련하여서는 법률에서 그 제도를 두지 않아 기본권 침해가 직접 문제 된다고 할 수 있고, 집행행위로 인하여 비로소 기본권 제한이 발생한다고 볼 수밖에 없는 부분이 있더라도 “통신자료 취득행위에 대한 직접적인 불복수단이 존재하는지가 불분명”하고, “이용자는 수사기관 등의 통신자료 제공요청의 직접적인 상대방이 아니어서 다른 절차를 통해 권리구제를 받지 못할 가능성이 크기” 때문에 직접성의 예외가 인정될 수 있다고 보아 기존 판례를 변경하였다. 공권력작용과 사인의 행위가 결합된 형태의 집행행위에 이러한 법리가 향후 일관되게 적용될 것인지 주의해 볼 필요가 있다고 생각된다. 일부 청구인들은 통신자료 취득시점으로부터 1년이 도과한 이후에 심판청구를 하였으나, 사후통지를 받지 못한 이상 기간도과에 청구인들이 책임질 수 없는 정당한 사유가 있다고 본 점도 눈에 띈다. 다. 기본권 침해 여부 헌법재판소는 심판대상조항에 의하여 개인정보자기결정권 제한이 발생한다고 보았다. 심판대상조항의 통신자료는 정보주체의 동일성을 식별할 수 있는 ‘성명, 주민등록번호, 주소, 전화번호, 아이디, 기입일·해지일’을 뜻하므로 사안에서 개인정보자기결정권의 제한이 발생한다는 점은 분명하다고 할 것이다. 다른 한편, 청구인들은 개인정보자기결정권 외에 통신의 비밀 제한도 발생하였다고 주장하였으나 헌법재판소는 이에 관하여 명시적인 판단을 하지 않았다. 이는 전기통신사업법상 통신자료가 “구체적인 통신관계의 발생으로 야기된 모든 사실관계, 특히 통신관여자의 인적 동일성·통신장소·통신횟수·통신시간 등 통신의 외형을 구성하는 통신이용의 전반적 상황(헌재 2018. 6. 28. 2012헌마538)”에 해당하지 않는다고 보았기 때문일 수 있으나 더 명시적인 논거와 판단기준이 드러나지 않은 점은 아쉽다. 심판대상조항의 개인정보자기결정권 침해 여부는 명확성원칙, 과잉금지원칙, 영장주의, 적법절차원칙을 기준으로 검토되었다. 명확성원칙과 관련하여서는 심판대상조항 중 ‘국가안전보장에 대한 위해’ 부분만이 문제 되었으나 일반인도 그 취지를 충분히 예측할 수 있다고 보아 명확성원칙 위반을 인정하지는 않았다. 과잉금지원칙과 관련하여서는 통신자료로서 제공되는 정보의 범위, 제공요청의 사유, 통신자료의 사전·사후 관리 등이 집중적으로 고려되었는데, 법정의견은 이 모든 사항과 관련하여 필요 이상의 기본권 제한이 발생하지 않았다고 판단한 반면, 별개의견(재판관 이종석)은 통신자료로서 ‘만능키’와 같은 주민등록번호도 수집할 수 있고, 개인정보에 관한 보관기간이나 폐기절차 등 사후관리방법도 부재하는 이상 과잉금지원칙 위반을 인정할 수 있다고 보았다. 필자는 선행정보가 후속정보의 대규모 수집, 생산으로 이어질 수 있는 오늘날의 정보통신환경을 고려할 때 별개의견이 제시한 논거들에 경청할 필요가 있다고 생각한다. 대상결정은 절차적 통제원칙들인 적법절차원칙과 영장주의의 관점에서 주의 깊게 살펴볼 필요가 있다. 헌법재판소는 적법절차원칙의 ‘절차적’ 요청으로 적절한 고지와 의견 및 자료 제출의 기회 부여를 들고 있고 제도와 사안에 따라 그 구체적 요구의 정도가 달라진다고 보고 있다. 대상결정은 심판대상조항이 사전고지절차를 마련하고 있지 않은 것은 물론, 통신자료 제공 이후 사후통지절차조차 두고 있지 않아 적법절차원칙상 요구되는 최소한의 기준을 충족하지 못한다고 보았으며 이는 타당하다고 평가된다. 재판관들도 이 점에 있어서는 별다른 이견이 없었던 것으로 보인다. 마지막으로 영장주의에 관하여 짚어 볼 필요가 있다. 대상결정은 심판대상조항에 따른 통신자료 제공요청은 통신비밀보호법상 통신사실 확인자료 제공요청(헌재 2018. 6. 28. 2012헌마191)과 달리 임의수사에 불과하여 영장주의 적용이 배제된다고 간략히 판시하는 데 그쳤으나, 기실 이는 상당한 논쟁을 배경으로 한 것이다. 특히 대상결정이 나오기 이전에 통신자료 취득에 관하여 영장주의가 적용되어야 한다는 견해가 상당수 발표되었음을 염두에 둘 필요가 있다(오동석, 황성기, 차진아, 임규철. 반대견해로는 이기수, 유주성). 영장주의 적용론은 정보제공 여부를 결정할 지위에 있는 전기통신사업자가 당해 개인정보의 주체가 아니라는 점과 제3자인 전기통신사업자조차 정보제공 여부의 타당성을 실질적으로 심사할 의무를 부담하지 않는다는 점(대법원 2016. 3. 10. 선고 2012다105482 판결 참조)을 주된 논거로 한다. 위와 같은 논쟁의 배경에 행정상의 인신구속 등에 관하여도 영장주의의 적용이 검토되고 있는 상황(헌재 2020. 9. 24. 2017헌바157 등 보충의견 참조)을 더하여 보면, 대상결정 중 영장주의에 관한 판시와 논증은 충분치 못하였다고 보인다. 통신자료의 취득이 통신사실 확인자료 제공요청 등 보다 강력한 기본권제한조치들과 빈번하게 결부될 수 있다는 점을 감안하면 더욱 그러하다. 라. 향후의 과제 대상결정은 사후통지절차의 흠결에 초점을 두고 헌법불합치결정을 하였는바, 적용시한인 2023. 12. 31. 이전에 개정입법이 이루어져야 한다. 전기통신사업법에 관한 개정안은 이미 수차례 제안된 바 있고 전기통신사업법 자체의 전면개정이 추진되고 있다는 소식도 들린다. 입법자는 개정과정에 있어 헌법재판소가 직접적인 헌법불합치사유로 거론한 ‘최소한의 사후통지절차’를 마련하는 데 그칠 것이 아니라 통신자료의 범위, 적절한 사전적 통제수단의 필요성, 보관기간이나 절차의 마련 등 대상결정에서 검토되었던 다른 위헌사유들을 진지하게 검토하여 헌법적으로 최적화된 대안을 마련하여야 할 것이다. 조동은 교수(서울대 로스쿨)

Ⅰ. 실체적 사실관계 공소외 주식회사 X(이하 'X')가 제공하는 토플 온라인 모의고사 프로그램 가맹계약의 중개 역할을 하는 피고인 주식회사 B(이하 '피고인 회사 B')의 경영자인 피고인 A가 X와의 민사 분쟁으로 접속이 차단되자, X나 가맹학원의 승낙 없이 가맹학원의 관리자 ID로 위 토플 온라인 모의고사 관련 사이트에 접속하여 응시자가 시험을 볼 수 있게 한 사안에서, 이는 서비스제공자인 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것에 해당한다는 이유로 공소가 제기되었다. 이 사안의 실체적 사실관계는 다음과 같다. ① X는 미국의 비영리법인인 ETS(Educational Testing Service)가 개발한 TOEFL iBT 시험을 위한 온라인 모의시험인 TPO의 국내 독점 판매권을 가지고 있다. ② X는 2010년 4월 9일 피고인 회사 B와 사이에 X가 피고인 회사 B에게 TPO를 공급하는 내용의 'TPO 지사계약' 및 'TPO 시험센터 운영계약(이하 통틀어 '이 사건 TPO 계약'이라고 한다)'을 체결하였다. ③ 피고인 회사 B는 위 '시험센터 운영계약'에 따라 공소사실 기재 장소에 '강남토플센터'를 설치하고 그 곳에서 TPO를 보기 원하는 개인들로부터 신청을 받아 TPO를 치르게 하였고, '지사계약'에 따라 학원 등을 상대로 일종의 가맹계약을 체결하여 피고인 회사 B를 통해 X의 TPO를 치를 수 있도록 제공하였다. ④ 위 '지사계약'에 따라 피고인 회사 B가 신규 학원을 유치한 경우, 피고인 회사 B는 X에 C어학원을 신규 학원으로 등록한 다음 C어학원으로 하여금 "http://www.toefltpo.com/c" 사이트를 통해 그 소속 학원생들에게 시험을 볼 수 있도록 제공하여 주었다. ⑤ 한편 X는 피고인 회사 B가 2013년 8월경부터 TPO 공급대금을 지급하지 않자 2014년 2월경 X의 인터넷 사이트(http://www.toefltpo.com)상의 '강남토플센터(http://www.toefltpo.com/enr)' 링크아이콘을 삭제하였고, 2014년 4월 초순경 피고인 회사 B가 강남토플센터에서 TPO를 치를 수 있도록 관리하고 있던 사이트(http://www.toefltpo.com/enr)에 대한 피고인 회사 B의 접속권한을 차단하였다. ⑥ 피고인 회사 B의 TPO 담당 직원인 D 및 E는 2014년 4월 15일경 강남토플센터에 TPO를 신청한 개인 응시자들에 대한 시험을 진행하기 위하여 강남토플센터 사이트에 접속하려고 하였으나, 접속이 차단된 사실을 알고 X에 항의하였고, 이러한 사실을 피고인 A에 보고하였다. ⑦ 그 후 D와 E는 피고인 회사 B에서 지사계약을 통해 영업을 한 C어학원 명의로 등록된 TPO 사이트(http://www.toefltpo.com/c)에 피고인 회사 B가 알고 있던 관리자 아이디로 접속한 다음, 위 사이트에서 강남토플센터에서 TPO를 치르는 개인들의 아이디와 비밀번호를 입력한 후 승인을 하여 개인들로 하여금 시험을 치르게 하였다. ⑧ 한편 피고인 회사 B는 2014년 4월 9일 X에게 '2014년 4월 8일 현재 미지급금 9591만1600원을 2014년 4월 30일까지 전액 변제하겠다'는 내용의 채무변제확인서를 작성해 주었으며, 피고인 A는 위 채무변제확인서에 보증인으로 서명하였다. 이와 관련하여 피고인 A는 수사기관에서 '위 채무변제확인서를 작성하면 차단된 TPO 공급을 재개하겠다고 하여 이를 작성하게 되었다'는 취지로 진술하였다. ⑨ 당시 C어학원의 원장이었던 F는 법정에서 피고인 회사 B가 C어학원의 TPO 사이트를 이용하여 강남토플센터의 개인 이용자들에게 모의시험을 치르게 하였다는 사실을 X로부터 연락을 받아 처음 알게 되었다는 취지로 진술하였다. Ⅱ. 절차적 사실관계 1. 제1심법원의 판단(서울중앙지법 2018. 12. 3. 선고 2017고정2588 판결) X로부터 C어학원에게 부여된 TPO 사이트에 피고인 회사 B가 C어학원의 관리자 아이디와 비밀번호를 이용하여 접속한 다음 강남토플센터에 모의시험을 신청한 학생들로 하여금 시험을 치르게 할 정당한 권한이 있었다고 보기 어렵고, 설령 관리자로서의 권한이 있었다 하더라도 그 권한을 초과하여 침입한 경우에 해당하며, 나아가 피고인 A도 위와 같은 내용을 잘 알고 있었던 것으로 판단된다. 2. 원심법원의 판단(서울중앙지법 2020. 11. 27. 선고 2018노3978 판결) C어학원의 TPO 사이트에 대한 접근 권한은 그 학원에게만 부여된 것이고 위 TPO 사이트의 서비스제공자는 X라고 인정한 후, 피고인 A가 X나 C어학원의 승낙 없이 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속한 것은 서비스제공자인 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것에 해당한다는 이유로 이 사건 공소사실을 유죄로 판단한 제1심판결을 그대로 유지하였다. 3. 대법원의 판단(대법원 2021. 6. 24. 선고 2020도17860 판결) 피고인들의 상고를 기각하였다. Ⅲ. 평석 1. 정보통신망법 제48조 제1항의 의의 및 구성요건 정보통신망법 제48조 제1항에서는 "누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다"라고 규정하고 있다. 이 조문의 구성요건은 다음과 같다. 첫째, 정보통신망법 제48조 제1항의 위반행위 객체는 '정보통신망'이다. 둘째, 해당 행위가 정당한 접근권한 없이 또는 허용된 접근권한을 초과하여야 한다. '정당한 접근권한이 없는 경우'와 '허용된 접근권한을 넘은 경우'를 보다 세밀하게 구분할 필요가 있다. 참고로 범죄정보데이터베이스에서 자동차등록번호를 조회할 수 있는 일반적 권한을 가진 피고인이 뇌물수수 내지 금전차용의 목적으로 제3자의 자동차등록번호를 조회한 사안에서 미국 연방대법원은 "컴퓨터 내 정보에 접근할 권한이 있는 경우에는 부정한 목적으로 해당 정보에 접근하였다고 하더라도 접근권한을 넘는 행위에 해당하지 않아 CFAA 제1030조 (a)(2)를 위반한 것이 아니다"라고 판시한 바 있다[Van Buren v. United States, 940 F.3d 1192 (11th Cir. 2019), cert. granted, 593 U.S.(June 3, 2021)]. 2. 결론 원심법원은 "피고인 A가 공소외 회사 X나 C어학원의 승낙 없이 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속한 것은 서비스제공자인 공소외 회사 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것에 해당한다"라고 판시하였고, 대법원은 원심의 판단을 수긍하면서 상고를 기각하였다. 즉, 원심법원과 대법원은 이 사안에서 피고인들의 해당 행위는 '정당한 접근권한 없이' 정보통신망에 침입한 행위에 해당한다고 판시하였고, '허용된 접근권한을 넘어' 정보통신망에 침입한 행위로는 보지 않았다. 반면에 제1심법원은 피고인 회사 B가 관리자로서의 권한이 있었다고 하더라도 그 권한을 초과하여 침입한 경우에 해당할 가능성을 열어 놓았다. 이와 관련하여 피고인 회사 B가 해당 학원의 TPO 사이트 등록 과정에서 해당 학원의 관리자 아이디와 비밀번호를 생성하여 알게 된다 하더라도, 이것이 피고인 회사 B가 운영하는 강남토플센터의 학생들에게 시험을 치르게 할 용도로 사용할 권한을 부여받은 것으로 해석하기는 어려운 점을 하나의 고려요인으로 설시하였다. 이 사건에서 대법원은 정보통신망에 대한 접근권한의 유무 및 범위에 대해서 서비스제공자를 기준으로 판단하여야 한다는 점을 분명히 하고 있다. 대법원은 이용자인 가맹학원 C어학원의 승인이 없는 경우에도 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속한 것이 서비스제공자인 공소외 회사 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것으로 보고 있다. 이 부분은 방론(dictum)의 여지를 열어 놓고 있는 것으로 보인다. 따라서, 이용자인 가맹학원 C어학원의 승인을 얻어 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속하였다면 서비스제공자인 공소외 회사 X의 의사에 부합하여 정당한 접근권한이 있는 것으로 판단할 가능성이 열려 있다고 볼 여지가 있다. 이러한 경우에 이용자의 접근권한을 기준으로 판단할 것인지 아니면 서비스제공자의 접근권한을 기준으로 판단할 것인지 여부는 좀 더 지켜볼 필요가 있다(전응준·신동환, '정보통신망 침입행위 관련 연구-정보통신망법 제48조 제1항을 중심으로', 문화미디어엔터테인먼트법, 제14권 제1호, 2020년 6월 30일, 178면). 이규호 교수 (중앙대 로스쿨)

2016년 2,500만 건의 고객정보를 유출 당한 인터파크에게 방통위는 44억 8,000만 원의 과징금을 부과했다. 이는 개인정보 유출 관련 정부가 부과한 과징금액으로는 역대 최고 금액이다(참고로 민사에서 최대 배상금액을 기록한 소송은 단연 신용카드 3사 개인정보유출 사건이다). 인터파크는 방통위의 과징금 처분에 불복하여 행정소송을 제기했으나 1심 서울행정법원 및 항소심 서울고등법원에서 패소했다. 소송에서는 인터파크의 법위반행위와 해킹 간 인과관계 여부가 주된 쟁점이었다. 법원은 방통위 처분을 지지하면서 “유출사고가 난 이상 이것과 법위반행위 사이의 인과관계가 입증되지 않았더라도 과징금을 부과할 수 있다”고 해석했다. 본고에서는 이 쟁점에 대해 살펴본다. 인터파크가 당한 해킹의 유형은 APT(Advanced Persistent Threat) 공격이다. 이는 해커가 특정 목표 대상을 정한 후 그 허점을 집요하게 노려 침입하는 기법이다. 해커는 인터파크 직원 A의 가족사진을 가지고 화면보호기(SCR 파일)를 만들고 여기에 악성코드를 심어 A에게 이메일로 전송하면서, 마치 A의 친동생이 보내는 것처럼 발신 이메일 주소를 위장하고 동생의 어투까지 흉내냈다. A는 감쪽같이 속을 수밖에 없었다. 화면보호기의 확장자가 EXE가 아니라 SCR이라서 A는 별 의심을 하지 않고 첨부파일을 열었을 것이나, SCR 파일도 악성코드 유포용으로 사용될 수 있다. 특정 공격을 위해 특별 제작된 악성코드는 백신에도 탐지되지 않는다. 해커는 악성코드를 감염시킨 A의 PC를 거점으로 삼아 DB 관리자 직원 B의 PC에 원격 데스크탑 접속했다. 당시 B가 퇴근한 시간이었는데, 그때까지 DB 서버와의 접속이 유지된 터미널이 B의 PC에 그대로 떠 있었다고 한다. 자동 로그아웃(이하 ‘idle timeout’) 설정이 제대로 안 되어 있었기 때문이다. 덕분에 해커는 DB 서버에 손쉽게 침입할 수 있었는데, 여기에서 인터파크 회원들의 개인정보가 유출된 것이 바로 이번 사고이다. 정보통신망법의 위임을 받아 개인정보의 기술적·관리적 보호조치의 내용을 정한 방통위 고시는 개인정보처리시스템에 idle timeout 설정을 할 의무를 규정하고 있다. 그러한 법상 의무를 위반하면 그 자체로 과태료, 개인정보 유출까지 되면 과징금 부과 대상이다. 부수적으로, A의 PC를 손에 넣은 해커가 인터파크 사내 네트워크를 스캔했더니 업무용 파일서버가 발견되었다. 거기에는 패스워드 장부 엑셀파일이 있었다. 직원들이 수많은 인터파크 서버들의 접속계정을 외우기 어려워 이를 메모해둔 것이었다. 다만, 개인정보가 유출된 DB 서버의 접속 패스워드는 여기에 없었다고 한다. 즉, 패스워드 장부 노출이라는 법위반행위와 개인정보 유출 사이에는 인과관계가 없음이 분명했다. 그런데 방통위는 idle timeout 미설정은 물론 및 패스워드 장부 노출까지 모두 처분원인사실로 삼아 과징금을 부과했다. 인터파크는 행정소송에서 idle timeout 미설정은 APT 해킹의 핵심 원인이 아니다, 나아가 패스워드 장부 노출과 개인정보 유출은 인과관계가 전혀 없다고 주장했다. 인터파크를 패소시킨 1심 및 항소심 법원은 인과관계 자체가 과징금 부과 요건이 아니라고 근거법률을 해석했다. 개정 전 법조문은 “법상 '조치'를 하지 아니하여 이용자의 개인정보를 '유출'한 경우에는 과징금을 부과한다”는 구조로서 '미조치'가 '유출'의 원인이 되어야 한다는 뜻이 명확했다. 이와 달리 2014년 개정된 법조문은 “이용자의 개인정보를 '유출' 한 경우로서 법상 '조치'를 하지 아니한 경우에는 과징금을 부과한다”는 형식으로 바뀌었다. 이를 근거로 법원은 '유출'이라는 결과와 '미조치' 행위가 인정되기만 하면 둘 사이의 인과관계는 요구되지 않는다고 해석했다. 그러나, 해킹의 원인을 제공하지 않은, 즉 ‘인과관계’ 없는 사업자의 위반행위까지 과징금 처분사유가 될 수 있다고 본 법해석에 대해서는 재고의 여지가 있다고 사료된다. 민사와 형사의 영역에서는 자신의 행위와 인과관계 없는 결과에 대해서 법적 책임을 지는 경우는 있을 수 없다. 형법 제17조(인과관계) 및 민법 제750조(불법행위의 내용) 모두 ‘인과관계’를 법적 책임의 성립요건으로 요구한다. 이것이 법의 대원칙이다. 행정상의 제재 또한 특별한 사정이 없다면 마찬가지이다. 행정상 금전제재는 크게 과징금과 과태료로 나뉜다. 일반론적으로, 단지 절차를 위반한 행위에 대해서는 행정질서벌의 일종인 과태료(가벼운 제재)가 부과되는데 그치는 반면, 행정목적을 침해하는 결과까지 야기한 행위에 대해서는 행정벌의 일종인 과징금(무거운 제재)이 부과된다. 정보통신망법 또한 이 체계에 따라 과태료와 과징금의 각 구성요건이 차등되어 있다. 사업자가 단지 idle timeout과 같은 법상 조치를 불이행한데 그쳤다면 3,000만 원 이하의 과태료를 부과 받지만(제76조 제1항 제3호), 더 나아가 개인정보 유출(해킹)이라는 결과까지 야기했다면 관련매출액에 비례하는 과징금을 부과 받는다(제64조의3 제1항 제6호). 해킹을 당했다는 결과에 대해 사업자에게 과징금이라는 법적 책임을 지우려면, 마땅히 사업자의 행위와 결과 사이에 ‘인과관계’가 존재해야 한다. 이것이 법의 대원칙에 부합하는 해석으로 사료된다(만약 해킹과의 인과관계를 불문하고 과징금을 부과하는 쪽으로 제도를 바꾼다면 굳이 행정질서벌을 운영할 필요가 없으니 과태료 조항을 폐지하는 것이 균형에 맞을 것이다). 이러한 원칙에 부합하도록 개정 전 정보통신망법 제64조의3 제1항 제6호는 ‘조치를 하지 아니하여 이용자의 개인정보를 누출’이라는 형식으로 규정함으로써 미조치가 해킹의 원인을 제공했어야 한다는 요건을 명시하고 있었다. 그러다가 2013. 11. 21. 방통위가 입법예고한 정보통신망법 일부개정안에서 “현재 대규모 개인정보 누출 등 침해사고 발생시 기술적·관리적 보호조치 위반과의 인과관계 입증이 어려움” 이라는 이유를 들어 과징금 부과요건 중 ‘인과관계’ 요건을 삭제할 것이 제안되었다. 참고로 이때까지는 개인정보 유출(해킹) 사고에 대해 과징금 처분이 내려진 전력이 없었다(2014. 6. 26. 비로소 첫 과징금 사건인 KT 마이올레 사건의 방통위 처분이 내려졌다). 위 방통위가 제안한 내용의 정보통신망법 제64조의3 제1항 제6호 개정안은 독자적인 법안으로 국회에 발의되지는 않은 것으로 보이고, 대신 2014. 5. 2. 국회 본회의를 통과한 대안법안의 일부로서 반영되었다. 그런데 정작 그 대안법안의 의안원문 및 이에 관한 국회 검토보고서, 소관위 회의록 등 가운데 ‘인과관계’ 입증 없이도 과징금을 부과할 수 있도록 한다는 기재는 어디에도 없다. 즉, ‘인과관계’ 요건을 삭제하는 개정안이 국회에서 논의라도 되었는지 의문이다. 참고로 그 당시는 신용카드 3사 개인정보 유출 사고 사실이 2014. 1. 8.자 검찰 발표에 의해 알려진 이래 국회에서 앞 다투어 개인정보 규제를 강화하는 법안들이 발의된 시점이어서, 위 대안법안에는 무려 18건의 발의안이 통합되어 있었다(예컨대 300만 원 이하 법정손해배상 규정도 이 때 신설된 것이다). 따라서 입법자의 의도에 ‘인과관계’ 요건 삭제가 포함되어 있는지 여부는 불명확한 측면이 있으며, 만약 진정한 입법의도가 그러했다면 위헌 소지를 검토해 보아야 한다. 무엇보다도 과징금 부과요건에서 ‘인과관계’를 뺄 경우, 민사상 손해배상 요건과 균형이 맞지 않게 된다. 정작 본인의 정보를 유출 당한 이용자는 사업자를 상대로 민사소송을 제기하더라도 사업자의 과실과 해킹 간 인과관계가 입증되지 못하면 손해배상을 받을 수 없다. 행정청은 피해자인 일반 국민들보다 현저히 강력한 조사권한을 가졌음에도 ‘인과관계’ 요건 입증을 생략하고 과징금이라는 공법적 제재를 손쉽게 부과할 수 있어야 하는지, 응보와 억지가 피해배상보다 우선되어야 하는 가치인지는 심히 의문스럽다. 향후 만약 행정청이 ‘인과관계’ 요건 입증을 생략하고 과징금을 부과할 경우, 이번 판결이 해석한 입법의도와는 오히려 반대로, 피해자들이 제기한 민사소송에서 별도로 인과관계 요건을 입증하는데 곤란을 겪어 이용자 구제에 흠결을 낳을 수도 있다. 한편, 만약 본고의 주장에 따라 ‘인과관계’를 여전히 현행법상 과징금 부과요건으로 해석할 경우, 인터파크 사건에서 두 처분사유와 해킹 사이의 인과관계는 존재하는가. 제1처분사유와 해킹 사이의 인과관계 유무는 곧 “Idle timeout 조치를 취했을 때 인터파크가 당한 유형의 APT 해킹을 통상 막을 수 있는가”의 문제로 점철된다. 이는 세부 사실관계에 따라 판단 여지가 있는 문제이다. 인터파크 사건의 경우, 해커가 DB 관리자 B의 PC(관리용 단말기)에 원격 데스크탑으로 접속해보니 마침 B가 퇴근하여 자리를 비운 상태에서 망분리 프로그램 및 DB 서버 접속 터미널이 로그아웃 되지 않고 그대로 떠 있었다. 이와 달리, 위 망분리 프로그램 및 DB 서버 접속 터미널에 최대접속시간이 설정되어 있었고 해커가 B의 PC에 접속했을 때 위 터미널이 로그아웃 된 상태였다고 가정했을 때, 과연 해커가 DB 서버에 침입할 수 있었을지 여부가 관건이다. 만약 예컨대 해커가 B의 PC에 키로거 등을 용이하게 설치할 수 있는 상황이었다면, 해커로서는 수고스럽더라도 위 PC에 키로거를 심어 내부망 ID·PW 및 DB 서버 ID·PW를 도청할 수 있었을 것이고, 이 경우 idle timeout 조치를 했었더라도 해킹은 막지 못하게 된다. 이러한 맥락에서 싸이월드 판결은 DB 서버 계정 ID·PW가 해커에게 이미 도청당한 상태에서 idle timeout 설정은 무용지물이라는 이유로 그 미설정과 해킹 사이의 상당인과관계를 부정한바 있었다. 달리 가정하여, 만약 해커가 B의 PC 제어권한을 완전히 탈취하지 못했거나, 또는 해커의 관점에서 우연히 접속해 본 B의 PC가 DB 관리자의 것인지조차 알기 어려운 상황이었다면, DB 서버 접속 터미널이 idle timeout 되지 않고 그대로 떠 있었던 것이 해킹의 결정적 계기를 제공한 셈이므로 상당인과관계가 인정될 수 있을 것이다. 한편, 적어도 두 번째 처분사유와 해킹 사이에는 인과관계가 없다는 점은 분명하다. DB 서버의 관리자 비밀번호는 문제된 패스워드 장부 엑셀파일에 쓰여 있지 않았고, 해커는 다른 경로로 DB 서버에 침입했으므로, 위 패스워드 장부 엑셀파일이 노출된 것은 DB 서버 해킹의 원인과 무관하다. 해킹과 인과관계 없는 위반행위는 과태료 부과 대상이어야 마땅하다. 그런데 인터파크의 입장에서는 다른 경로로 해킹을 당했다는 우연한 사정으로 인해, 해킹의 원인이 아닌 행위에 대해서까지 경한 과태료 대신 중한 과징금을 부과 받게 된 셈이다. 요컨대, 정부가 ‘인과관계’를 입증하기 곤란하다는 이유로 이것을 과징금 부과요건에서 뺀다는 것은 근시안적인 접근이다. 정부의 역할은 침해사고 원인조사의 실효성을 높임으로써 해킹과 ‘인과관계’ 있는 취약점이 무엇이었는지를 현장에서 밝히는 것이 되어야 한다. 그렇다면 기술적·관리적 보호조치 고시는, idle timeout과 같은 지엽적인 의무를 나열할 것이 아니라, 로그(Log) 보존 등 사고조사에 꼭 필요한 조치의무를 강화하는 방향으로 향후 개정되어야 하지 않을까. 전승재 변호사 (법무법인(유한) 바른)

- 대법원ㅤ2013.11.28.ㅤ선고ㅤ2010도12244ㅤ판결 - I. 사실관계 및 판결 요지 ○○시 △△동장 직무대리의 지위에 있던 피고인은 ○○시장 공소외 1에게 ○○시청 전자문서시스템을 통하여 △△ 1통장인 공소외 2 등에게 ○○시장 공소외 1을 도와 달라고 부탁하였다는 등의 내용을 담고 있는 이 사건 전자우편을 보냈는데, ○○시청 소속 공무원인 제3자가 권한 없이 전자우편에 대한 비밀 보호조치를 해제하는 방법을 통하여 이 사건 전자우편을 수집하였다. 대법원은 다음과 같이 설시한다. “① 국민의 인간으로서의 존엄과 가치를 보장하는 것은 국가기관의 기본적인 의무에 속하는 것이고 이는 형사절차에서도 당연히 구현되어야 하는 것이지만, 국민의 사생활 영역에 관계된 모든 증거의 제출이 곧바로 금지되는 것으로 볼 수는 없으므로 법원으로서는 효과적인 형사소추 및 형사소송에서의 진실발견이라는 공익과 개인의 인격적 이익 등의 보호이익을 비교형량하여 그 허용 여부를 결정하여야 한다. ② 이때 법원이 그 비교형량을 함에 있어서는 증거수집 절차와 관련된 모든 사정 즉, 사생활 내지 인격적 이익을 보호하여야 할 필요성 여부 및 그 정도, 증거수집 과정에서 사생활 기타 인격적 이익을 침해하게 된 경위와 그 침해의 내용 및 정도, 형사소추의 대상이 되는 범죄의 경중 및 성격, 피고인의 증거동의 여부 등을 전체적·종합적으로 고려하여야 하고, 단지 형사소추에 필요한 증거라는 사정만을 들어 곧바로 형사소송에서의 진실발견이라는 공익이 개인의 인격적 이익 등의 보호이익보다 우월한 것으로 섣불리 단정하여서는 아니 된다.”(문장 번호는 필자) 그리고 대법원은 이 사건에서 제3자의 전자우편 수집 행위는 정보통신망 이용촉진 및 정보보호 등에 관한 법률을 위반하는 범죄행위에 해당할 수 있고, 전자우편을 발송한 피고인의 사생활의 비밀 내지 통신의 자유 등의 기본권을 침해하는 행위에 해당하므로 “일응 그 증거능력을 부인하여야 할 측면도 있어 보인다”라고 평가하면서도, 이 사건 전자우편은 ○○시청의 업무상 필요에 의하여 설치된 전자관리시스템에 의하여 전송·보관되는 것으로서 그 공공적 성격을 완전히 배제할 수는 없다는 점, 이 사건 형사소추의 대상이 된 행위는 (구)공직선거법에 의하여 처벌되는 공무원의 지위를 이용한 선거운동행위로서 공무원의 정치적 중립의무를 정면으로 위반하고 관권선거를 조장할 우려가 있는 중대한 범죄에 해당한다는 점, 피고인이 제1심에서 이 사건 전자우편을 이 사건 공소사실에 대한 증거로 함에 동의하였다는 점 등을 종합하여 고려하면서, 이 사건 전자우편을 공소사실에 대한 증거로 제출하는 것은 허용되어야 하고, 이로 말미암아 피고인의 사생활의 비밀이나 통신의 자유가 일정 정도 침해되는 결과를 초래한다 하더라도 이는 피고인이 수인하여야 할 기본권의 제한에 해당한다고 보아야 한다고 결론지었다. II. 위법수집증거배제법칙의 대사인효 위법수집증거배제법칙은 원래 수사기관, 즉 국가의 위법활동을 전제로 하고 있다. 따라서 수사기관과의 연계가 없는 사인이 위법하게 증거를 수집한 경우 이 증거의 증거능력을 인정할 것인가의 문제가 남아 있다. 첫째, 사인이 ‘고문, 폭행, 협박, 신체구속의 부당한 장기화, 기망’(형사소송법 제309조) 등을 행하는 것은 바로 범죄를 구성하며, 이를 통하여 획득한 자백의 증거능력을 인정하는 것은 국가가 사인에 의한 시민의 의사결정을 강박·왜곡하는 중대한 인권침해불법행위를 사실상 방조?이용하는 것이므로 허용되어서는 안 된다. 둘째, 통신비밀보호법을 위반하는 사인의 행위는 동법 제14조의 적용으로 해결된다. 먼저 사인이 타인 사이에 이루어지는 전기통신을 감청하거나, 사인이 전기통신 중인 일방 당사자의 동의를 얻고 감청하는 경우 등은 불법감청이다. 예컨대, 간통 고소 사건에서 고소인 남편이 자신의 아내와 무속인 간의 대화나 전화통화를 녹음한 것은 증거능력이 없으며(대법원ㅤ2001. 10. 9.ㅤ선고ㅤ2001도3106ㅤ판결), 이용원을 경영하던 피고인이 경쟁 미용실을 공중위생법 위반으로 고발할 목적으로 자신의 이용실에서 지인에게 경쟁 미용실에 전화를 걸어 통화하게 하고 그 내용을 녹음한 경우 증거능력이 없다(대법원 2002.10.8. 선고 2002도123 판결). 다음으로 사인이 ‘공개되지 아니한 타인간의 대화’를 녹음 또는 청취하는 경우도 금지된다. 셋째, 이상의 두 경우 외 위법수집증거배제법칙의 대사인적 효력은 2007년 신설된 형사소송법 제308조의2의 해석문제로 귀결된다. 평석대상 판결은 바로 이러한 이 유형에 해당하는 사례이다. III. 판례분석 사인이 위법하게 수집한 증거의 증거능력 문제를 최초로 검토한 판결은 1997년 등장한다(대법원 1997.9.30. 선고 97도1230 판결). 이 사건에서 남편으로부터 간통죄로 고소를 당한 피고인이 기소되었는데, 간통의 상간자(相姦者)가 피고인과의 간통현장에서 공갈목적을 숨기고 피고인의 동의 하에 피고인의 나체사진을 찍은 것이 수사기관에 압수되어 간통죄의 증거로 제출되었다. 대법원은 나체사진의 증거능력을 인정하면서 상술한 평석대상 판결의 논지 중 ①을 제시하였다. 반면 파기된 원심판결은 이 사건의 사진촬영은 “피고인의 인격의 핵심적인 부분을 침해한 것”이라고 판단하고, “사인이 부정한 목적에 사용하기 위하여 촬영한 사진을 국가기관이 증거로 사용하는 것은 상대방의 기본권에 대한 새로운 침해를 의미한다고 할 것이므로 이 점에서도 증거능력을 부인하는 것이 타당하다”라고 판시하였다(서울지방법원 1997.4.9. 선고 96노5541 판결). 원심판결이 사용하고 있는 ‘피고인의 인격의 핵심적인 부분’이라는 개념은 1973년의 1월 31일 독일 연방헌법재판소 결정을 원용한 것이다[34 BVerfGE 238 (1973)]. 두 번째 판결로 2010년 대법원 판결이 있다(대법원ㅤ2010.9.9.ㅤ선고ㅤ2008도3990ㅤ판결). 이 사건에서 간통 고소 사건에서 고소인 남편이 별거중인 아내의 주거에 침입하여 혈흔이 묻은 휴지들 및 침대시트를 수집한 후 수사기관에 제출하였다. 원심은 남편이 아내의 주거에 침입한 시점은 아내가 그 주거에서의 실제상 거주를 종료한 이후이고, 위 감정의뢰회보는 피고인들에 대한 형사소추를 위하여 반드시 필요한 증거이고, 이를 증거로 사용하여 아내의 주거의 자유나 사생활의 비밀이 일정 정도 침해되는 결과를 초래한다 하더라도 이는 아내가 수인하여야 할 기본권의 제한에 해당된다는 이유로 감정의뢰회보의 증거능력을 인정하였다. 대법원은 상술한 1997년 판결의 논지를 유지하면서, 원심을 확정하였다. 동 판결의 판결문을 보면 대법원이 형사소송법 제308조의2를 근거조문으로 삼았음을 알 수 있다. 물론 대법원은 2007년 ‘김태환 제주지사 사건’ 판결(대법원 2007. 11. 15. 선고 2007도3061 판결)의 법리를 적용하지 않았다. 그렇지만 대법원이 증거배제의 가능성을 완전 봉쇄하지는 않았고, 독일 연방대법원의 접근법[19 BGHSt. 325 (1964); 34 BGHSt 397ff (1987)]과 유사한 비교형량론을 통하여 증거배제가 될 가능성을 열어두었다. 평석대상 2013년 판결도 형사소송법 제308조의2를 판결의 근거조문으로 삼았는데, 상술한 두 대법원 판결의 법리를 재확인하면서도, 사인이 위법하게 수집한 증거의 증거능력을 판단하는 종합적 기준을 제시했다는 점에서 중요한 의미를 갖는다(판결문 문장 ②). 대법원이 2007년 ‘김태환 제주지사 사건’ 판결을 통하여 수사기관에 의한 위법수집증거의 배제 기준을 밝혔다면, 평석대상 판결을 통해서는 사인에 의한 위법수집증거의 배제기준을 확립한 것이다. IV. 맺음말 사인이 수집한 위법수집증거의 배제 문제는 이제 형사소송법 제308조의2의 적용범위 안으로 들어왔다. 저자는 대법원이 제시한 비교형량론에 동의한다. 즉, 사인에 의한 위법행위로 획득한 증거의 증거능력은 목적의 정당성, 방법의 상당성, 피해의 최소성, 법익의 균형성을 고려한 비례의 원칙에 따라 침해되는 사익과 형벌권 실현이라는 공익을 비교형량하여 공익이 현저히 더 큰 경우에만 인정되어야 한다. 그렇지만 1997년 판결이 증거능력을 인정한 나체사진의 경우는 증거사용으로 인하여 침해된 인격권이나 사생활에 비하여 형사소추의 공익이 현저히 우위에 있다고 보기는 어렵다고 판단한다. 나체사진이 중대한 프라이버시 침해라는 점은 분명한 반면, 나체사진을 사용하여 입증하려는 범죄는 당시 위헌논란이 계속되고 있던 간통죄였기 때문이다. 남아 있는 문제는 1973년의 1월 31일 독일 연방헌법재판소 결정처럼 이익형량을 불허하는 ‘핵심영역’을 인정할 것인가이다. 예컨대, 일기장에는 시민의 가장 내밀한 프라이버시가 담겨 있는 것은 사실이지만, 그렇다는 이유로 형사사법권 실현이라는 공익과의 형량을 원천적으로 봉쇄하는 것은 과도하다. 오히려 일기장에 담겨 있는 범죄관련 내용에 따라 증거능력에 대한 개별적 판단을 내려야 한다고 본다.