1. 대상결정의 개요 가. 사건개요 청구인은 ‘국가인권위원회 홈페이지 자유토론 게시판’, ‘서울 동작구 홈페이지 자유게시판’, 그 밖에 공기업·준정부기관 및 지방공사·지방공단 등의 인터넷 홈페이지 게시판에 자신의 의견을 게시하려고 하였으나, 위 각 게시판의 운영자들이 게시판 이용자가 본인임을 확인하도록 하는 조치를 시행하고 있어서 곧바로 의견을 게시하지 못하였다. 이에 청구인은 심판대상조항이 자신의 표현의 자유 등을 침해한다고 주장하며, 이 사건 헌법소원심판을 청구하였다. 나. 심판대상조항 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제44조의5(게시판 이용자의 본인 확인) ① 다음 각 호의 어느 하나에 해당하는 자가 게시판을 설치·운영하려면 그 게시판 이용자의 본인 확인을 위한 방법 및 절차의 마련 등 대통령령으로 정하는 필요한 조치(이하 “본인확인조치”라 한다)를 하여야 한다. 1. 국가기관, 지방자치단체, 「공공기관의 운영에 관한 법률」 제5조제3항에 따른 공기업·준정부기관 및 「지방공기업법」에 따른 지방공사·지방공단(이하 “공공기관등”이라 한다) 다. 결정요지 공공기관등이 설치·운영하는 게시판에 언어폭력, 명예훼손, 불법정보 등이 포함된 정보가 게시될 경우 그 게시판에 대한 신뢰성이 저하되고 결국에는 게시판 이용자가 피해를 입을 수 있으며, 공공기관등의 정상적인 업무 수행에 차질이 빚어질 수도 있다. 따라서 공공기관등이 설치·운영하는 게시판의 경우 본인확인조치를 통해 책임성과 건전성을 사전에 확보함으로써 해당 게시판에 대한 공공성과 신뢰성을 유지할 필요성이 크며, 그 이용 조건으로 본인확인을 요구하는 것이 과도하다고 보기는 어렵다. 게시판의 활용이 공공기관등을 상대방으로 한 익명표현의 유일한 방법은 아닌 점, 공공기관등에 게시판을 설치·운영할 일반적인 법률상 의무가 존재한다고 보기 어려운 점, 심판대상조항은 공공기관등이 설치·운영하는 게시판이라는 한정적 공간에 적용되는 점 등에 비추어 볼 때 심판대상조항으로 인한 기본권 제한의 정도가 크지 않다. 그에 반해 공공기관등이 설치·운영하는 게시판에 언어폭력, 명예훼손, 불법정보의 유통이 이루어지는 것을 방지함으로써 얻게 되는 건전한 인터넷 문화 조성이라는 공익은 중요하다. 따라서 심판대상조항은 청구인의 익명표현의 자유를 침해하지 않는다. [반대의견(재판관 4인)] 심판대상조항은 공공기관등이 설치·운영하는 모든 게시판에서 본인확인을 한 경우에만 정보를 게시하도록 하고 있다. 이는 본인확인을 하지 않은 사람에 대해서는 공공기관등이 설치·운영하는 게시판에서 표현할 기회를 원천적으로 봉쇄하는 것이고, 게시판에 자신의 사상이나 견해를 표현하고자 하는 사람에 대해서는 표현의 내용과 수위 등에 대해 자기검열을 할 가능성을 높이는 것으로서, 익명표현의 자유에 대한 과도한 제한이라고 볼 수밖에 없다. 그렇다면 심판대상조항은 과잉금지원칙에 위반되어 청구인의 익명표현의 자유를 침해한다. 2. 평석 가. 인터넷실명제의 의의 및 연혁 인터넷실명제 또는 본인확인제란 인터넷 이용자가 인터넷상의 게시판에 글을 게시하거나 자료를 등록하는 경우 또는 뉴스 기사 등에 대하여 댓글 서비스를 이용하는 경우, 서비스 이용자의 성명과 주민등록번호 등 신원정보가 확인된 경우에 한하여 글을 등록하거나 자료를 올릴 수 있게 하여 글의 작성자를 쉽게 파악할 수 있도록 도입된 제도이다. 우리나라에서 인터넷실명제의 주요 연혁은 아래와 같다. 나. 익명표현의 자유의 사회적 기능 헌법 제21조 제1항 표현의 자유가 보호하고자 하는 핵심가치가 자유롭게 자신의 의사나 의견을 외부에 표명하는 데에 있다고 한다면, 익명성이 보장되는 경우에 더 잘 실현될 수 있고, 그것이 실명으로 표현되든 익명으로 표현되든 그 표현방식이나 표현방법은 의사표현자의 선택의 문제로 볼 수 있다. 익명으로 이루어지는 표현의 경우, 보복이나 차별의 두려움 없이 자신의 생각과 사상을 자유롭게 표출하고 전파하여 국가권력이나 다수의견에 대한 비판을 가능하게 하며, 이를 통해 사회적 약자나 소수자의 의사를 국가의 정책결정 등에 반영되도록 한다는 점에서 표현의 자유의 핵심에 해당한다고 할 수 있다. 그리고 인터넷 공간에서 이루어지는 익명표현은 인터넷이 가지는 정보전달의 신속성 및 상호성과 결합하여 현실 여론을 형성함으로써 다양한 계층의 국민 의사를 평등하게 반영하여 현실 공간에서의 경제력이나 권력에 의한 위계구조를 극복하여 계층·지위·나이·성 등으로부터 자유로운 여론을 형성함으로써 다양한 계층의 국민 의사를 평등하게 반영하여 민주주의가 더욱 발전되게 한다. 따라서 비록 인터넷 공간에서의 익명표현이 부작용을 초래할 우려가 있다 하더라도 그것이 갖는 헌법적 가치를 중시하여 강하게 보호되어야 한다(헌재 2012. 8. 23. 2010헌마47등). 다. 대상결정의 한계와 입법론 헌법재판소는 그동안 익명표현의 자유의 중요성을 인지하고 위 〈표〉에서 보듯이, 2012. 8. 23. 인터넷게시판을 설치·운영하는 정보통신서비스 제공자에게 본인확인조치의무를 부과한 조항에 대하여(2010헌마47등), 2021. 1. 28. 인터넷언론사가 선거운동기간 중 당해 홈페이지의 게시판을 운영하는 경우 실명을 확인받도록 하는 기술적 조치의무를 부과한 조항에 대하여(2018헌마456등) 각 위헌결정을 하였다. 그런데 대상결정은 이러한 익명표현의 자유 강화에 역행하고 있다. 헌법재판소는 대상결정에서 실명게시판 유지의 이유로 우선, 게시판에 언어폭력, 명예훼손, 불법정보 등이 포함된 정보가 게시될 경우 그 게시판에 대한 신뢰성이 저하되고 결국에는 게시판 이용자가 피해를 입을 수 있으며, 공공기관등의 정상적인 업무 수행에 차질이 빚어질 수도 있음을 들었다. 그러나 반대의견이 지적한 것처럼, 심판대상조항과 달리 본인확인의 필요성이 인정되는 예외적인 경우에 한하여 본인확인을 할 수 있도록 하여 공공기관등의 신뢰성과 원활한 업무수행을 확보할 수 있다. 그럼에도 불구하고 공공기관등이 설치·운영하는 모든 게시판에서 이용자에 대한 본인확인조치를 요구하고, 결과적으로 본인확인이 이루어지지 않는 경우 게시판에서 표현할 기회를 원천적으로 봉쇄함으로써 입법목적 달성에 필요한 범위를 넘어 청구인의 기본권을 과도하게 제한하는 것이다. 실제로 이 사건 심판과정에서 게시판 운영에 대해, 외교부는 실명제 폐지의사를, 경찰청은 실명제 유지의사를, 다수의 지방자치단체는 실명제이든 익명제이든 무차별하다는 의사를 각 제시하였다. 다음으로, 인터넷의 동시성, 전파성, 시간·공간의 무제약성이라는 상황적 조건으로 인해 게시판에 위법한 내용이 게시되면 그로 인한 피해가 광범위하게 나타날 수 있고, 이는 공공기관등의 게시판에 게시된 내용이 추후 삭제되더라도 마찬가지일 수 있음을 들었다. 그러나 익명표현의 자유가 지니는 사회적 기능을 고려하면, 심판대상조항이 규율하고 있는 공적 영역은 그렇지 않은 영역에 비하여 오히려 자기검열로 위축될 우려가 크므로 익명표현의 자유가 더욱 강하게 보장될 필요가 있는 곳이다. 따라서 반대의견이 밝힌 것처럼 익명표현으로 인한 피해가 우려되더라도, 이는 관리자에 의한 해당 정보의 삭제, 게시판 관리·운영자에 대한 불법정보 취급의 거부·정지 또는 제한명령(정보통신망법 제44조의7 제2항, 제3항), 위 정보를 게시한 이용자에 대한 민·형사상 책임의 추궁 등의 방법을 강구하는 방식으로 대처하여야지 익명표현의 자유 자체를 제한하는 방식을 택해서는 아니된다. 위 [표]에서 나타나듯, 헌법재판소가 선거운동기간 중 게시판 인터넷실명제에 대해 3차결정에서 위헌으로 선고한 것처럼 심판대상조항 역시 향후 2차, 3차결정에서 위헌으로 변경될 수 있으나, 그 과정에서 국민의 익명표현의 자유가 계속 침해되는 문제가 발생한다. 헌법재판소의 기각결정에는 위헌결정과 달리 기속력이 인정되지 않는 점, 공공기관의 특성에 따라서는 익명표현의 자유를 제한할 필요성을 부인하기 어려운 점 등을 고려할 때, 일률적·필요적 실명확인제를 선택적·임의적 실명확인제로 개선함이 타당하다. 현행법하에서는 게시판을 익명제로 운영하고 싶어도 그럴 수 없기 때문이다. 따라서 심판대상조항은 “~ 본인확인조치를 할 수 있다”라고 개정되어야 할 것이다. 김광재 변호사(법무법인 세종)

Ⅰ. 실체적 사실관계 공소외 주식회사 X(이하 'X')가 제공하는 토플 온라인 모의고사 프로그램 가맹계약의 중개 역할을 하는 피고인 주식회사 B(이하 '피고인 회사 B')의 경영자인 피고인 A가 X와의 민사 분쟁으로 접속이 차단되자, X나 가맹학원의 승낙 없이 가맹학원의 관리자 ID로 위 토플 온라인 모의고사 관련 사이트에 접속하여 응시자가 시험을 볼 수 있게 한 사안에서, 이는 서비스제공자인 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것에 해당한다는 이유로 공소가 제기되었다. 이 사안의 실체적 사실관계는 다음과 같다. ① X는 미국의 비영리법인인 ETS(Educational Testing Service)가 개발한 TOEFL iBT 시험을 위한 온라인 모의시험인 TPO의 국내 독점 판매권을 가지고 있다. ② X는 2010년 4월 9일 피고인 회사 B와 사이에 X가 피고인 회사 B에게 TPO를 공급하는 내용의 'TPO 지사계약' 및 'TPO 시험센터 운영계약(이하 통틀어 '이 사건 TPO 계약'이라고 한다)'을 체결하였다. ③ 피고인 회사 B는 위 '시험센터 운영계약'에 따라 공소사실 기재 장소에 '강남토플센터'를 설치하고 그 곳에서 TPO를 보기 원하는 개인들로부터 신청을 받아 TPO를 치르게 하였고, '지사계약'에 따라 학원 등을 상대로 일종의 가맹계약을 체결하여 피고인 회사 B를 통해 X의 TPO를 치를 수 있도록 제공하였다. ④ 위 '지사계약'에 따라 피고인 회사 B가 신규 학원을 유치한 경우, 피고인 회사 B는 X에 C어학원을 신규 학원으로 등록한 다음 C어학원으로 하여금 "http://www.toefltpo.com/c" 사이트를 통해 그 소속 학원생들에게 시험을 볼 수 있도록 제공하여 주었다. ⑤ 한편 X는 피고인 회사 B가 2013년 8월경부터 TPO 공급대금을 지급하지 않자 2014년 2월경 X의 인터넷 사이트(http://www.toefltpo.com)상의 '강남토플센터(http://www.toefltpo.com/enr)' 링크아이콘을 삭제하였고, 2014년 4월 초순경 피고인 회사 B가 강남토플센터에서 TPO를 치를 수 있도록 관리하고 있던 사이트(http://www.toefltpo.com/enr)에 대한 피고인 회사 B의 접속권한을 차단하였다. ⑥ 피고인 회사 B의 TPO 담당 직원인 D 및 E는 2014년 4월 15일경 강남토플센터에 TPO를 신청한 개인 응시자들에 대한 시험을 진행하기 위하여 강남토플센터 사이트에 접속하려고 하였으나, 접속이 차단된 사실을 알고 X에 항의하였고, 이러한 사실을 피고인 A에 보고하였다. ⑦ 그 후 D와 E는 피고인 회사 B에서 지사계약을 통해 영업을 한 C어학원 명의로 등록된 TPO 사이트(http://www.toefltpo.com/c)에 피고인 회사 B가 알고 있던 관리자 아이디로 접속한 다음, 위 사이트에서 강남토플센터에서 TPO를 치르는 개인들의 아이디와 비밀번호를 입력한 후 승인을 하여 개인들로 하여금 시험을 치르게 하였다. ⑧ 한편 피고인 회사 B는 2014년 4월 9일 X에게 '2014년 4월 8일 현재 미지급금 9591만1600원을 2014년 4월 30일까지 전액 변제하겠다'는 내용의 채무변제확인서를 작성해 주었으며, 피고인 A는 위 채무변제확인서에 보증인으로 서명하였다. 이와 관련하여 피고인 A는 수사기관에서 '위 채무변제확인서를 작성하면 차단된 TPO 공급을 재개하겠다고 하여 이를 작성하게 되었다'는 취지로 진술하였다. ⑨ 당시 C어학원의 원장이었던 F는 법정에서 피고인 회사 B가 C어학원의 TPO 사이트를 이용하여 강남토플센터의 개인 이용자들에게 모의시험을 치르게 하였다는 사실을 X로부터 연락을 받아 처음 알게 되었다는 취지로 진술하였다. Ⅱ. 절차적 사실관계 1. 제1심법원의 판단(서울중앙지법 2018. 12. 3. 선고 2017고정2588 판결) X로부터 C어학원에게 부여된 TPO 사이트에 피고인 회사 B가 C어학원의 관리자 아이디와 비밀번호를 이용하여 접속한 다음 강남토플센터에 모의시험을 신청한 학생들로 하여금 시험을 치르게 할 정당한 권한이 있었다고 보기 어렵고, 설령 관리자로서의 권한이 있었다 하더라도 그 권한을 초과하여 침입한 경우에 해당하며, 나아가 피고인 A도 위와 같은 내용을 잘 알고 있었던 것으로 판단된다. 2. 원심법원의 판단(서울중앙지법 2020. 11. 27. 선고 2018노3978 판결) C어학원의 TPO 사이트에 대한 접근 권한은 그 학원에게만 부여된 것이고 위 TPO 사이트의 서비스제공자는 X라고 인정한 후, 피고인 A가 X나 C어학원의 승낙 없이 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속한 것은 서비스제공자인 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것에 해당한다는 이유로 이 사건 공소사실을 유죄로 판단한 제1심판결을 그대로 유지하였다. 3. 대법원의 판단(대법원 2021. 6. 24. 선고 2020도17860 판결) 피고인들의 상고를 기각하였다. Ⅲ. 평석 1. 정보통신망법 제48조 제1항의 의의 및 구성요건 정보통신망법 제48조 제1항에서는 "누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다"라고 규정하고 있다. 이 조문의 구성요건은 다음과 같다. 첫째, 정보통신망법 제48조 제1항의 위반행위 객체는 '정보통신망'이다. 둘째, 해당 행위가 정당한 접근권한 없이 또는 허용된 접근권한을 초과하여야 한다. '정당한 접근권한이 없는 경우'와 '허용된 접근권한을 넘은 경우'를 보다 세밀하게 구분할 필요가 있다. 참고로 범죄정보데이터베이스에서 자동차등록번호를 조회할 수 있는 일반적 권한을 가진 피고인이 뇌물수수 내지 금전차용의 목적으로 제3자의 자동차등록번호를 조회한 사안에서 미국 연방대법원은 "컴퓨터 내 정보에 접근할 권한이 있는 경우에는 부정한 목적으로 해당 정보에 접근하였다고 하더라도 접근권한을 넘는 행위에 해당하지 않아 CFAA 제1030조 (a)(2)를 위반한 것이 아니다"라고 판시한 바 있다[Van Buren v. United States, 940 F.3d 1192 (11th Cir. 2019), cert. granted, 593 U.S.(June 3, 2021)]. 2. 결론 원심법원은 "피고인 A가 공소외 회사 X나 C어학원의 승낙 없이 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속한 것은 서비스제공자인 공소외 회사 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것에 해당한다"라고 판시하였고, 대법원은 원심의 판단을 수긍하면서 상고를 기각하였다. 즉, 원심법원과 대법원은 이 사안에서 피고인들의 해당 행위는 '정당한 접근권한 없이' 정보통신망에 침입한 행위에 해당한다고 판시하였고, '허용된 접근권한을 넘어' 정보통신망에 침입한 행위로는 보지 않았다. 반면에 제1심법원은 피고인 회사 B가 관리자로서의 권한이 있었다고 하더라도 그 권한을 초과하여 침입한 경우에 해당할 가능성을 열어 놓았다. 이와 관련하여 피고인 회사 B가 해당 학원의 TPO 사이트 등록 과정에서 해당 학원의 관리자 아이디와 비밀번호를 생성하여 알게 된다 하더라도, 이것이 피고인 회사 B가 운영하는 강남토플센터의 학생들에게 시험을 치르게 할 용도로 사용할 권한을 부여받은 것으로 해석하기는 어려운 점을 하나의 고려요인으로 설시하였다. 이 사건에서 대법원은 정보통신망에 대한 접근권한의 유무 및 범위에 대해서 서비스제공자를 기준으로 판단하여야 한다는 점을 분명히 하고 있다. 대법원은 이용자인 가맹학원 C어학원의 승인이 없는 경우에도 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속한 것이 서비스제공자인 공소외 회사 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것으로 보고 있다. 이 부분은 방론(dictum)의 여지를 열어 놓고 있는 것으로 보인다. 따라서, 이용자인 가맹학원 C어학원의 승인을 얻어 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속하였다면 서비스제공자인 공소외 회사 X의 의사에 부합하여 정당한 접근권한이 있는 것으로 판단할 가능성이 열려 있다고 볼 여지가 있다. 이러한 경우에 이용자의 접근권한을 기준으로 판단할 것인지 아니면 서비스제공자의 접근권한을 기준으로 판단할 것인지 여부는 좀 더 지켜볼 필요가 있다(전응준·신동환, '정보통신망 침입행위 관련 연구-정보통신망법 제48조 제1항을 중심으로', 문화미디어엔터테인먼트법, 제14권 제1호, 2020년 6월 30일, 178면). 이규호 교수 (중앙대 로스쿨)

2016년 2,500만 건의 고객정보를 유출 당한 인터파크에게 방통위는 44억 8,000만 원의 과징금을 부과했다. 이는 개인정보 유출 관련 정부가 부과한 과징금액으로는 역대 최고 금액이다(참고로 민사에서 최대 배상금액을 기록한 소송은 단연 신용카드 3사 개인정보유출 사건이다). 인터파크는 방통위의 과징금 처분에 불복하여 행정소송을 제기했으나 1심 서울행정법원 및 항소심 서울고등법원에서 패소했다. 소송에서는 인터파크의 법위반행위와 해킹 간 인과관계 여부가 주된 쟁점이었다. 법원은 방통위 처분을 지지하면서 “유출사고가 난 이상 이것과 법위반행위 사이의 인과관계가 입증되지 않았더라도 과징금을 부과할 수 있다”고 해석했다. 본고에서는 이 쟁점에 대해 살펴본다. 인터파크가 당한 해킹의 유형은 APT(Advanced Persistent Threat) 공격이다. 이는 해커가 특정 목표 대상을 정한 후 그 허점을 집요하게 노려 침입하는 기법이다. 해커는 인터파크 직원 A의 가족사진을 가지고 화면보호기(SCR 파일)를 만들고 여기에 악성코드를 심어 A에게 이메일로 전송하면서, 마치 A의 친동생이 보내는 것처럼 발신 이메일 주소를 위장하고 동생의 어투까지 흉내냈다. A는 감쪽같이 속을 수밖에 없었다. 화면보호기의 확장자가 EXE가 아니라 SCR이라서 A는 별 의심을 하지 않고 첨부파일을 열었을 것이나, SCR 파일도 악성코드 유포용으로 사용될 수 있다. 특정 공격을 위해 특별 제작된 악성코드는 백신에도 탐지되지 않는다. 해커는 악성코드를 감염시킨 A의 PC를 거점으로 삼아 DB 관리자 직원 B의 PC에 원격 데스크탑 접속했다. 당시 B가 퇴근한 시간이었는데, 그때까지 DB 서버와의 접속이 유지된 터미널이 B의 PC에 그대로 떠 있었다고 한다. 자동 로그아웃(이하 ‘idle timeout’) 설정이 제대로 안 되어 있었기 때문이다. 덕분에 해커는 DB 서버에 손쉽게 침입할 수 있었는데, 여기에서 인터파크 회원들의 개인정보가 유출된 것이 바로 이번 사고이다. 정보통신망법의 위임을 받아 개인정보의 기술적·관리적 보호조치의 내용을 정한 방통위 고시는 개인정보처리시스템에 idle timeout 설정을 할 의무를 규정하고 있다. 그러한 법상 의무를 위반하면 그 자체로 과태료, 개인정보 유출까지 되면 과징금 부과 대상이다. 부수적으로, A의 PC를 손에 넣은 해커가 인터파크 사내 네트워크를 스캔했더니 업무용 파일서버가 발견되었다. 거기에는 패스워드 장부 엑셀파일이 있었다. 직원들이 수많은 인터파크 서버들의 접속계정을 외우기 어려워 이를 메모해둔 것이었다. 다만, 개인정보가 유출된 DB 서버의 접속 패스워드는 여기에 없었다고 한다. 즉, 패스워드 장부 노출이라는 법위반행위와 개인정보 유출 사이에는 인과관계가 없음이 분명했다. 그런데 방통위는 idle timeout 미설정은 물론 및 패스워드 장부 노출까지 모두 처분원인사실로 삼아 과징금을 부과했다. 인터파크는 행정소송에서 idle timeout 미설정은 APT 해킹의 핵심 원인이 아니다, 나아가 패스워드 장부 노출과 개인정보 유출은 인과관계가 전혀 없다고 주장했다. 인터파크를 패소시킨 1심 및 항소심 법원은 인과관계 자체가 과징금 부과 요건이 아니라고 근거법률을 해석했다. 개정 전 법조문은 “법상 '조치'를 하지 아니하여 이용자의 개인정보를 '유출'한 경우에는 과징금을 부과한다”는 구조로서 '미조치'가 '유출'의 원인이 되어야 한다는 뜻이 명확했다. 이와 달리 2014년 개정된 법조문은 “이용자의 개인정보를 '유출' 한 경우로서 법상 '조치'를 하지 아니한 경우에는 과징금을 부과한다”는 형식으로 바뀌었다. 이를 근거로 법원은 '유출'이라는 결과와 '미조치' 행위가 인정되기만 하면 둘 사이의 인과관계는 요구되지 않는다고 해석했다. 그러나, 해킹의 원인을 제공하지 않은, 즉 ‘인과관계’ 없는 사업자의 위반행위까지 과징금 처분사유가 될 수 있다고 본 법해석에 대해서는 재고의 여지가 있다고 사료된다. 민사와 형사의 영역에서는 자신의 행위와 인과관계 없는 결과에 대해서 법적 책임을 지는 경우는 있을 수 없다. 형법 제17조(인과관계) 및 민법 제750조(불법행위의 내용) 모두 ‘인과관계’를 법적 책임의 성립요건으로 요구한다. 이것이 법의 대원칙이다. 행정상의 제재 또한 특별한 사정이 없다면 마찬가지이다. 행정상 금전제재는 크게 과징금과 과태료로 나뉜다. 일반론적으로, 단지 절차를 위반한 행위에 대해서는 행정질서벌의 일종인 과태료(가벼운 제재)가 부과되는데 그치는 반면, 행정목적을 침해하는 결과까지 야기한 행위에 대해서는 행정벌의 일종인 과징금(무거운 제재)이 부과된다. 정보통신망법 또한 이 체계에 따라 과태료와 과징금의 각 구성요건이 차등되어 있다. 사업자가 단지 idle timeout과 같은 법상 조치를 불이행한데 그쳤다면 3,000만 원 이하의 과태료를 부과 받지만(제76조 제1항 제3호), 더 나아가 개인정보 유출(해킹)이라는 결과까지 야기했다면 관련매출액에 비례하는 과징금을 부과 받는다(제64조의3 제1항 제6호). 해킹을 당했다는 결과에 대해 사업자에게 과징금이라는 법적 책임을 지우려면, 마땅히 사업자의 행위와 결과 사이에 ‘인과관계’가 존재해야 한다. 이것이 법의 대원칙에 부합하는 해석으로 사료된다(만약 해킹과의 인과관계를 불문하고 과징금을 부과하는 쪽으로 제도를 바꾼다면 굳이 행정질서벌을 운영할 필요가 없으니 과태료 조항을 폐지하는 것이 균형에 맞을 것이다). 이러한 원칙에 부합하도록 개정 전 정보통신망법 제64조의3 제1항 제6호는 ‘조치를 하지 아니하여 이용자의 개인정보를 누출’이라는 형식으로 규정함으로써 미조치가 해킹의 원인을 제공했어야 한다는 요건을 명시하고 있었다. 그러다가 2013. 11. 21. 방통위가 입법예고한 정보통신망법 일부개정안에서 “현재 대규모 개인정보 누출 등 침해사고 발생시 기술적·관리적 보호조치 위반과의 인과관계 입증이 어려움” 이라는 이유를 들어 과징금 부과요건 중 ‘인과관계’ 요건을 삭제할 것이 제안되었다. 참고로 이때까지는 개인정보 유출(해킹) 사고에 대해 과징금 처분이 내려진 전력이 없었다(2014. 6. 26. 비로소 첫 과징금 사건인 KT 마이올레 사건의 방통위 처분이 내려졌다). 위 방통위가 제안한 내용의 정보통신망법 제64조의3 제1항 제6호 개정안은 독자적인 법안으로 국회에 발의되지는 않은 것으로 보이고, 대신 2014. 5. 2. 국회 본회의를 통과한 대안법안의 일부로서 반영되었다. 그런데 정작 그 대안법안의 의안원문 및 이에 관한 국회 검토보고서, 소관위 회의록 등 가운데 ‘인과관계’ 입증 없이도 과징금을 부과할 수 있도록 한다는 기재는 어디에도 없다. 즉, ‘인과관계’ 요건을 삭제하는 개정안이 국회에서 논의라도 되었는지 의문이다. 참고로 그 당시는 신용카드 3사 개인정보 유출 사고 사실이 2014. 1. 8.자 검찰 발표에 의해 알려진 이래 국회에서 앞 다투어 개인정보 규제를 강화하는 법안들이 발의된 시점이어서, 위 대안법안에는 무려 18건의 발의안이 통합되어 있었다(예컨대 300만 원 이하 법정손해배상 규정도 이 때 신설된 것이다). 따라서 입법자의 의도에 ‘인과관계’ 요건 삭제가 포함되어 있는지 여부는 불명확한 측면이 있으며, 만약 진정한 입법의도가 그러했다면 위헌 소지를 검토해 보아야 한다. 무엇보다도 과징금 부과요건에서 ‘인과관계’를 뺄 경우, 민사상 손해배상 요건과 균형이 맞지 않게 된다. 정작 본인의 정보를 유출 당한 이용자는 사업자를 상대로 민사소송을 제기하더라도 사업자의 과실과 해킹 간 인과관계가 입증되지 못하면 손해배상을 받을 수 없다. 행정청은 피해자인 일반 국민들보다 현저히 강력한 조사권한을 가졌음에도 ‘인과관계’ 요건 입증을 생략하고 과징금이라는 공법적 제재를 손쉽게 부과할 수 있어야 하는지, 응보와 억지가 피해배상보다 우선되어야 하는 가치인지는 심히 의문스럽다. 향후 만약 행정청이 ‘인과관계’ 요건 입증을 생략하고 과징금을 부과할 경우, 이번 판결이 해석한 입법의도와는 오히려 반대로, 피해자들이 제기한 민사소송에서 별도로 인과관계 요건을 입증하는데 곤란을 겪어 이용자 구제에 흠결을 낳을 수도 있다. 한편, 만약 본고의 주장에 따라 ‘인과관계’를 여전히 현행법상 과징금 부과요건으로 해석할 경우, 인터파크 사건에서 두 처분사유와 해킹 사이의 인과관계는 존재하는가. 제1처분사유와 해킹 사이의 인과관계 유무는 곧 “Idle timeout 조치를 취했을 때 인터파크가 당한 유형의 APT 해킹을 통상 막을 수 있는가”의 문제로 점철된다. 이는 세부 사실관계에 따라 판단 여지가 있는 문제이다. 인터파크 사건의 경우, 해커가 DB 관리자 B의 PC(관리용 단말기)에 원격 데스크탑으로 접속해보니 마침 B가 퇴근하여 자리를 비운 상태에서 망분리 프로그램 및 DB 서버 접속 터미널이 로그아웃 되지 않고 그대로 떠 있었다. 이와 달리, 위 망분리 프로그램 및 DB 서버 접속 터미널에 최대접속시간이 설정되어 있었고 해커가 B의 PC에 접속했을 때 위 터미널이 로그아웃 된 상태였다고 가정했을 때, 과연 해커가 DB 서버에 침입할 수 있었을지 여부가 관건이다. 만약 예컨대 해커가 B의 PC에 키로거 등을 용이하게 설치할 수 있는 상황이었다면, 해커로서는 수고스럽더라도 위 PC에 키로거를 심어 내부망 ID·PW 및 DB 서버 ID·PW를 도청할 수 있었을 것이고, 이 경우 idle timeout 조치를 했었더라도 해킹은 막지 못하게 된다. 이러한 맥락에서 싸이월드 판결은 DB 서버 계정 ID·PW가 해커에게 이미 도청당한 상태에서 idle timeout 설정은 무용지물이라는 이유로 그 미설정과 해킹 사이의 상당인과관계를 부정한바 있었다. 달리 가정하여, 만약 해커가 B의 PC 제어권한을 완전히 탈취하지 못했거나, 또는 해커의 관점에서 우연히 접속해 본 B의 PC가 DB 관리자의 것인지조차 알기 어려운 상황이었다면, DB 서버 접속 터미널이 idle timeout 되지 않고 그대로 떠 있었던 것이 해킹의 결정적 계기를 제공한 셈이므로 상당인과관계가 인정될 수 있을 것이다. 한편, 적어도 두 번째 처분사유와 해킹 사이에는 인과관계가 없다는 점은 분명하다. DB 서버의 관리자 비밀번호는 문제된 패스워드 장부 엑셀파일에 쓰여 있지 않았고, 해커는 다른 경로로 DB 서버에 침입했으므로, 위 패스워드 장부 엑셀파일이 노출된 것은 DB 서버 해킹의 원인과 무관하다. 해킹과 인과관계 없는 위반행위는 과태료 부과 대상이어야 마땅하다. 그런데 인터파크의 입장에서는 다른 경로로 해킹을 당했다는 우연한 사정으로 인해, 해킹의 원인이 아닌 행위에 대해서까지 경한 과태료 대신 중한 과징금을 부과 받게 된 셈이다. 요컨대, 정부가 ‘인과관계’를 입증하기 곤란하다는 이유로 이것을 과징금 부과요건에서 뺀다는 것은 근시안적인 접근이다. 정부의 역할은 침해사고 원인조사의 실효성을 높임으로써 해킹과 ‘인과관계’ 있는 취약점이 무엇이었는지를 현장에서 밝히는 것이 되어야 한다. 그렇다면 기술적·관리적 보호조치 고시는, idle timeout과 같은 지엽적인 의무를 나열할 것이 아니라, 로그(Log) 보존 등 사고조사에 꼭 필요한 조치의무를 강화하는 방향으로 향후 개정되어야 하지 않을까. 전승재 변호사 (법무법인(유한) 바른)

-서울중앙지방법원 2015. 10. 16. 선고 2014가합38116 판결 (구글에 대한 개인정보제공내역 요청 사건) - 1. 이 사건의 배경 인터넷의 역사는 스노든의 폭로 전후로 극명하게 나뉜다. 미국?IT기업들의 서버에 쌓인 전 세계 이용자의 이메일과 사생활 데이터가 미국 정부의 감시에 사용되었다는 사실은 큰 충격이었고 '개방성'과 '중립성'을 근간으로 한 인터넷 체제에 대한 불신을 키웠다. 이에 각국은 자국민 보호를 위해 데이터 분권화, 정보주권주의 강화로 나아가고 있다. 예컨대 유럽의회 시민자유위원회가 추진하는 '데이터 보호 규약' 개정안을 통해 자국 데이터의 월경을 막는 데이터 블록화 움직임이 가시화됐고, 미국-EU 세이프하버협정 무효화도 같은 맥락으로 볼 수 있다. 즉 국외이전된 개인정보의 이용ㆍ제공에 대한 의문과 불신, 정보영역에서의 '자국민 보호' 경향은 국제사회의 큰 흐름인바, 본 사건의 배경에는 이러한 흐름이 있다. 2. 사실관계 원고들은 피고 구글본사(이하 '구글본사')가 제공하는 지메일 등 구글서비스의 이용자들 또는 구글본사가 제공하는 기업메일 서비스의 이용자들이다. 원고들은 구글본사 및 한국법인인 피고 구글코리아(이하 '구글코리아')를 상대로 개인정보의 제3자 제공내역을 요청했으나 이는 받아들여지지 않았다. 이에 원고들은 구글본사 및 구글코리아를 상대로, 개인정보 및 서비스이용내역의 제3자 제공현황을 공개하고, 거부를 이유로 한 재산적ㆍ정신적 손해배상 50만원을 지급하라는 소를 제기했다. 참고로 구글 서비스 약관에는, 구글 서비스와 관련한 모든 소송은 캘리포니아주 산타클라라 카운티의 연방 또는 주법원이 전속적인 관할을 가진다는 전속적 국제재판관할 합의, 구글 서비스와 관련하여 발생되는 분쟁에 대하여 캘리포니아주 법률에 따르기로 하는 준거법 합의가 존재했다. 3. 이 사건의 쟁점 및 법원의 판시내용 이 사건의 쟁점은 아래와 같다. 1) 구글본사에 대한 한국법원에의 소제기가 전속적 국제재판관할합의 위반인지 여부 2) 원고들의 청구는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 '정보통신망법') 제30조 제2항, 제4항에 근거하는바, 준거법 합의에 반하는지 여부 3) 구글본사의 비공개로 인한 정신적ㆍ재산적 손해의 인정 여부 4) 구글코리아가 구글 서비스의 제공 주체로서 정보통신서비스제공자인지 여부 이에 대한 법원의 판단은 아래와 같다. 1) 국내 소비자가 구글 서비스를 이용하는 거래관계는 국제사법 제27조의 소비자계약에 해당하므로, 당사자간 대한민국 법원의 국제재판관할권을 배제하는 합의는 같은 조 제6항에 위반하여 효력이 없다. 결국 국내 소비자는 같은 조 제4항에 따라 대한민국 법원에 소제기할 수 있다. (소비자계약이 아닌 기업메일 서비스의 이용자는 제외) 2) 정보통신망법 제30조의 권리는, 소비자를 보호하기 위한 것으로서 국제사법 제27조 제1항의 '준거법 선택에 의하더라도 박탈할 수 없는 소비자에게 부여되는 보호에 관한 강행규정'에 해당한다. 따라서 준거법 합의에도 불구하고 정보통신망법 제30조는 적용된다. 3) 구글본사는 18 U.S.C §2709(c)(1), 18 U.S Code §1861(d) 등 비공개 의무가 부과된 경우 외에는 개인정보 제3자 제공 내역을 공개할 의무가 있다. 하지만 구글본사의 미조치로 재산적 손해가 발생했다고 보기 어렵고 정신적 고통은 해당정보의 공개로 회복할 수 있으므로 손해배상청구는 이유 없다. 4) 구글 서비스의 제공 주체는 구글본사이므로 구글코리아는 정보통신서비스제공자에 해당하지 않는다. 5) 기업메일 사용자의 구글본사에 대한 소는 각하, 나머지 원고의 구글본사에 대한 공개청구 인용ㆍ손해배상청구 기각, 전체 원고의 구글코리아에 대한 청구는 기각 4. 판례해설 인터넷에서는 국경과 무관하게 이용자의 정보가 해외 서버에 저장되고 해외 사업자의 정보가 이용자에게 도달한다. 때문에 주권과 국경을 전제한 전통 법체제로 인터넷 체제를 규율하는 것은 쉽지 않고 이용자의 권리 행사도 어렵다. 특히 글로벌 사업자는 인터넷의 개방성을 이용해 전 세계에서 막대한 부를 유입ㆍ축적하지만, 이용자의 불만이나 요구, 이용자가 소속된 국가의 정부당국의 요구에 대해서는 국경의 커튼 뒤에 숨는 경향이 강하다. 국경 커튼의 또다른 악용사례는 바로 스노든이 폭로한 글로벌 IT 기업을 활용한 전세계인의 감시였다. 스노든의 폭로는 인터넷의 개방성과 자유가 더 이상 불변의 가치가 아니라는 교훈을 주었으며, 글로벌 사업자의 의무도 국경의 커튼에 숨기 어려운 분위기를 만들었다. 이처럼 세계적 트렌드는 인터넷 영역에서의 자국민 보호이며, 다만 인터넷의 경제성이 침식되지 않는 보완으로 규범의 상호운용성(interoperability) 증진 노력이 이뤄지고 있다. 참고로 글로벌 사업자의 의무는 이용자의 해당 정부당국에 대한 의무도 있는데, 이는 정부당국이 글로벌 사업자에게 행정제재를 하는 경우로서 본 사안과 구별된다. 예컨대 방송통신위원회는 2014. 2. '스트리트 뷰' 사건에서 구글 본사에 행정제재를 한 바 있다. 본 사건은 글로벌 사업자의 우리나라 이용자에 대한 의무에 관한 사건인바, 구글본사는 국제재판관할권 위반 항변과 준거법합의를 전제로 한 정보통신망법 비적용 항변을 통해 전통적인 '국경과 주권' 개념으로써 의무를 부정하였으나, 법원은 국제사법 제27조를 근거로 각 항변을 배척하였다. 하지만 법원은 개인정보 열람권의 범위에 관하여는 제한적 해석을 하였다. 정보통신망법 제30조 제4항은 정보통신서비스제공자가 제2항의 요구를 받으면 지체 없이 필요한 조치를 하도록 규정하고 있으므로, 어떤 경우이든지 예외 없이 개인정보 제3자 제공내역을 공개하도록 하는 의무를 부담시키고 있다고 보기 어렵고, 정당한 사유가 있으면 개인정보의 제3자 제공여부 및 내용을 공개하지 않아도 되는바, 미국의 공개금지규정이 미공개의 정당한 사유가 된다는 것이다. 즉 '미국 국가안보에 대한 위협, 범죄, 대테러, 방첩 수사 또는 외교관계의 방해, 개인의 생명 또는 신체적 안전에 대한 위협'의 결과로 이어질 수 있음을 FBI가 증명하는 경우, 국가안보명령서를 수신한 자, 해외 정보 감시법(FISA) 관련 요청이 있는 경우는 개인정보의 제3자 제공내역을 공개하지 않아도 되는 것이다. 하지만 이에 대하여는 의문이 있다. 첫째, 정보통신망법 제30조 제2항에는 사업자가 정당한 사유를 내세워 열람을 거부할 수 있는 문언적 근거가 없다. 정보통신망법 제30조 제2항과 개인정보보호법 제35조는 동일한 개인정보열람권을 규정하는데, 개인정보보호법 제35조는 제4항에 명시적인 열람 거부사유가 규정된 반면, 정보통신망법 제30조 제2항은 이러한 규정이 없다. 그럼에도 '필요한 조치'를 확장해석하여 거부사유를 인정함은 문언에 반할 소지가 있다. 둘째, 우리나라 법령이 아닌 다른 나라의 법령을 근거로 열람 거부사유를 인정할 수 있는지가 의문이다. 게다가 미국의 공개금지규정이 공익적 목적이 있다고 보았는데, 스노든 사태를 고려하면 미국의 공익과 우리 국민의 공익은 다름에도 불구하고 쉽사리 공익을 단정한 점이 있다. 셋째, 국제적 사법 트렌드와도 맞지 않는다. 2015. 10. 유럽사법재판소는 EU 회원국 국민의 개인정보가 미국에서 어떻게 사용되는지를 신뢰할 수 없다며 미국-EU 세이프하버 협정을 무효화했고, 2014. 11. EU 작업반은 유럽사법재판소가 인정한 잊혀질 권리의 집행 범위는 구글 본사에도 미친다는 가이드라인을 발표했다. 미국 법원도 2014. 7. MS의 이메일 서버가 있는 아일랜드의 더블린에 압수수색 영장의 효력이 미친다고 판결했다. 즉 각국 법원은 자국민 보호를 위해 국경에 무관하게 사법권을 확장해 가는 추세인데 우리 법원은 사법권을 축소하는 판시를 한 것이다. 넷째, 국내사업자들은 규제의 '역차별'을 주장해 왔다. 법령이 국내사업자에게만 적용되는 바람에 특정 규제가 국내사업자에게 불리하게 적용되고 글로벌 사업자에게 기회가 된다는 것이다. 본 판결도 글로벌 사업자의 의무를 우리 사업자의 의무보다 축소시켜 역차별 소지가 있다. 결국 미국 법률의 공개금지규정이 개인정보 제3자 제공내역 공개 거부의 정당한 사유가 된다는 판시는 재고할 필요가 있다. 5. 이 판결의 의의 및 향후 과제 그간 글로벌 사업자들은 인터넷의 개방성으로 막대한 수익을 올리면서도 국경과 주권이라는 커튼 뒤에서 의무를 회피하였는바, 이 판결은 미국 법률로써 우리 법문언을 축소했다는 한계가 있지만 국경이 만능 커튼이 될 수 없다는 점을 밝힌 데 의의가 있다. 한편 위와 같은 한계는 인터넷을 매개로 발생하는 섭외사건에 법원이 어떻게 접근해야 하는가에 대한 과제이기도 하다. 세계적 트렌드를 반영하면서 '자국민 보호'와 '프라이버시권 보호' 같은 헌법적 가치나 사회적 합의에 바탕을 둔 사법정책도 고민해야 할 때가 된 것이다. 자국민 보호가 여의치 않은 인터넷 환경에서 어떻게 사법권의 영역을 전개시켜 헌법가치를 실현할 수 있는지, 법원의 근본적인 정책적 검토가 있었으면 하는 바람이다.

I. 서론 기본권의 실현과 보장을 국가의 존재이유로 인식하고, 민주주의의 구현을 국가운영의 기본원리로 제도화하고 있는 현대 민주주의 국가에서의 표현의 자유의 중요성에는 이견이 있을 수 없다. 또한, 자유민주국가에서 익명표현의 자유는 헌법이 보장하는 표현의 자유의 보호범위 내에 있다는 점에 대해서도 이론이 있을 수 없다. 인터넷의 확산 및 이용자의 급격한 증가로 인하여 인터넷에서의 표현의 파급력과 영향력이 커진 반면에, 익명성과 불특정 다수에게의 대량전달가능성 등의 인터넷의 특성으로 인하여 명예훼손, 모욕, 사이버스토킹, 불법정보유통 등의 역기능도 증가하였다. 문제는 인터넷에서의 역기능을 차단하면서도, 인터넷에서의 자유로운 표현을 어떻게 보장하느냐이다. 이러한 과제는 우선 법령의 입법을 통해서, 그리고 판결을 통해서 달성될 수 있다. 지난 8월 23일에 내려진 헌재의 결정은 이러한 국가적 과제를 살펴보는 계기가 될 수 있다. 인터넷실명제의 유형과 용어가 다양하고, 우리나라의 인터넷실명제는 '제한적 본인확인제'라는 용어가 관련 법령과 제도의 본질에 더 가까운 표현이지만, 이글에서는 대중적인 용어인 인터넷실명제를 사용하기로 한다. II. 판례평석 헌법 제21조가 보장하는 표현의 자유는, 전통적으로는 사상 또는 의견의 자유로운 표명과 그것을 전파할 자유를 의미하는 것으로, 익명 또는 가명으로 자신의 사상이나 견해를 표명하고 전파할 익명표현의 자유도 그 보호영역에 포함된다(헌재 2010. 2. 25. 2008헌마324). 그리고 오늘날 가장 거대하고 주요한 표현매체의 하나로 자리를 굳힌 인터넷상의 표현에 대하여 질서 위주의 사고만으로 규제하려고 할 경우 표현의 자유의 발전에 큰 장애를 초래할 수 있다(헌재 2002. 6. 27. 99헌마480)는 점은 이전의 헌재 결정을 통해서 확인할 수 있다. 이러한 해석적 기초 하에 헌재는 일일 평균 이용자수가 10만명 이상인 정보통신서비스제공자는 인터넷게시판 이용자의 본인확인을 의무화하도록 하는 정보통신망법 제44조의5 제1항 2호에 대한 헌법소원심판에서 익명표현의 자유에 대한 침해 여부를 주로 검토하였다(헌재 2012. 8. 23. 2010헌마47등). 우선 동 규정의 본인확인제가 인터넷상의 언어폭력, 명예훼손, 불법정보의 유통 등을 방지하고 인터넷게시판을 책임 있는 공론의 장이 되도록 하려는 입법목적을 달성하기 위하여 적합한 수단임을 인정하였다. 그러나 형사법 및 정보통신망법에 의한 제재수단이 마련되어 있고, 불법정보 등 게시자의 신원을 확인하는 것이 불가능한 것도 아니며, 본인확인제 이외의 여러 규제조항들의 엄정한 집행을 통하여 불법정보 등 게시의 단속 및 처벌이 실질적으로 이루어질 수 있다. 따라서 본인확인제는 그 입법목적을 달성할 다른 수단이 있음에도 불구하고, 목적달성에 필요한 범위를 넘는 과도한 제한을 하는 것으로서 침해의 최소성이 인정되지 아니한다고 보았다. 또한 표현의 자유를 제한함으로 인하여 달성하려는 공익의 효과가 명백하지 아니하고 시행 이후에 입법목적이 달성되었다고 보기 어려운 반면에, 본인확인제가 초래하는 익명표현의 자유에 대한 제한은 매우 중대하다고 판단하였다. 결국 목적의 정당성 및 수단의 적합성은 인정되지만, 피해의 최소성과 법익의 균형성이 인정되지 아니하므로, 과잉금지원칙에 위배된다는 것이다. 또한 게시판운영자에 해당하는 인터넷언론사인 청구인의 언론의 자유도 침해하였다고 보았다. 앞서 헌재는 선거기간 중 인터넷게시판 이용자의 실명확인을 거치도록 하는 공직선거법 제82조의 6 제1항 등에 대한 헌법소원심판에서 익명표현의 자유에 대한 침해여부를 검토한 바 있다(헌재 2010. 2. 25. 2008헌마324등). 과잉금지원칙에 위배되는지를 검토하면서, 실명확인은 부당한 선거운동이나 소수에 의한 여론 왜곡을 차단하여 선거의 평온과 공정성을 확보하기 위한 것이므로 목적의 정당성과 수단의 적합성을 인정하였다. 그리고 후보자비방죄 등을 통한 사후적 구제수단만으로는 실질적 권리구제가 이루어 질 수 없다는 점과 실명확인 기간을 '선거운동기간 중'으로 한정한 점 등을 들어 침해의 최소성이 인정된다고 보았다. 또한 선거의 공정과 평온의 훼손 및 소수인에 의한 여론 왜곡 등의 폐해 방지라는 공익이, 인터넷언론사 이용자가 실명확인 과정에서 겪는 불편함과 주저함 등 사익의 비중보다 더 크므로 법익의 균형성도 인정된다고 보았다. 결국 공직선거법에서의 본인확인제는, 정보통신망법에서의 본인확인제와는 달리 표현의 자유를 침해하지 않는다고 보았다. 이러한 헌재 결정을 비교하여 보면, 선거라는 공공영역에서의 익명표현의 자유가 사적영역을 주된 대상으로 하는 익명표현의 자유보다 더 제한을 받는 결과가 되고 말았다. '비판의 자유'나 '반대의 자유'조차도 엄격히 보장되어야 할 공공영역 특히 선거에서는 "민주주의의 근간을 이루는 자유로운 여론형성을 방해하며 유익한 익명표현까지 사전적이고 포괄적으로 규제하여 오히려 선거의 공정이라는 입법목적달성에 장애"(헌재 2010. 2. 25. 2008헌마324 반대의견 중)가 있어서는 안된다. 공공영역에서의 익명표현의 자유에 대한 엄격한 제한은 정부에 대한 비판을 억압하는 성격을 지니기 때문에 특히 문제가 된다. 반대로 사적영역에서의 익명표현은 타인을 괴롭히고 모욕하며 타인의 명예나 사생활을 침해하는 경우가 종종 발생한다. 정보통신망법의 입법당시의 상황을 보면 무분별한 악플로 인하여 고통을 받는 사례가 많았고 자살을 하는 사례도 있었으며, 이러한 현실이 인터넷실명제의 입법동기가 되었다. 사적 영역에서의 익명표현의 자유에 대한 제한은 타인의 기본권을 보호하는 기능을 하기도 한 것이다. 익명표현의 자유에 관한 한 공공영역에서는 기본권제한의 법리에 보다 착안해야 하고, 사적 영역에서는 기본권충돌의 법리에 보다 착안해야 한다. III. 입법평론 인터넷실명제를 구체화 하고 있는 법률은 정보통신망법과 공직선거법이다. 하나는 일반적인 인터넷실명제이고, 다른 하나는 선거부문의 인터넷실명제라고 할 수 있다. 후자가 먼저 도입되었는데, 선거분야 인터넷실명제가 도입된 것은 2004년 3월 12일의 '공직선거 및 선거부정방지법'의 개정을 통해서이다. 공직선거법 제82조의6(인터넷언론사 게시판·대화방 등의 실명확인)에 따르면, 인터넷언론사에게 선거운동기간 중 인터넷홈페이지의 게시판·대화방 등에서 실명확인을 위한 기술적 조치를 의무화하는 것이 주요 내용이다. 일반적인 인터넷실명제가 도입된 것은 2007년 1월 26일의 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'의 개정을 통해서이다. 이번에 위헌 결정을 받은 정보통신망법 제44조의 5(게시판이용자의 본인확인)에 따르면, 이용자가 10만명 이상인 정보통신서비스제공자에게 게시판이용자의 본인확인을 위한 조치를 하도록 의무화하는 것이 주요 내용이다. 인터넷상의 불법·유해정보의 규제에 관한 외국의 입법례들을 살펴보면 자율규제에 의하여 문제를 해결하고 있지, 대부분의 주요 국가들은 본인확인제와 같은 게시판 이용규제를 시행하고 있지는 않다. 이러한 점을 보면, 인터넷상의 불법·유해정보를 그대로 방임하자는 의견은 상식적이지 않다. 다만, 인터넷상의 불법·유해정보의 규제방식이 법령에 의한 타율적 규제냐 인터넷커뮤니티 자율에 의한 자율적 규제냐의 차이 및 사후적 처벌이냐 사전적 억제냐의 차이가 있을 뿐이다. 자율규제가 자유와 권리의 존중 및 민주주의 본질이라는 측면에서 우수하고 바람직하다는 점에는 의심의 여지가 없지만(홍완식, 인터넷실명제 관련 법률안의 입법원칙에 따른 검토, 토지공법연구, 제31집, 2006), 우리의 입법자인 국회는 공직선거법과 정보통신망법을 통한 사전적·타율적인 규제방식을 택하였다. 방통위에 의해 본인확인제의 적용을 받는 웹사이트는 2007년에 35개, 2008년에 37개, 2009년에 153개, 2010년에 167개, 2011년에 146개, 2012년에 131개나 되었지만, 이번 헌재의 위헌결정으로 정보통신망법에 의한 제한적 본인확인제도는 폐지되었다. 그러나, 이번 헌재의 헌법소원심판에서 문제되지 않은 동 규정 1호의 국가기관·지방자치단체 인터넷게시판에서의 익명표현의 자유의 제한도 중앙정부나 지방정부에 대한 비판을 사전에 차단하는 규정이고, 공직선거법에서의 인터넷실명제도 선거의 공정에 치중한 나머지 선거의 자유를 억제하는 규정(홍완식, 선거법의 지향점으로서의 선거의 공정성과 선거의 자유, 법연, 한국법제연구원, 2012. 4. 20쪽)이기 때문에, 이번 헌재의 위헌결정은 문제의 종결이 아니라 문제의 시작이라고 할 수 있다. 인터넷실명제에 관한 정보통신망법상의 기타 규정 및 공직선거법상의 관련 규정의 비대칭성 내지 비체계성이 시급히 시정되어야 하지만, 대통령 선거를 앞둔 각 진영의 입법의지가 일치할지 및 바람직한 방향성을 가질지는 의문이다. 중앙선관위는 이 결정 직후 공직선거법상의 인터넷실명제 폐지의견을 국회에 제출할 것이라고 보도되었지만, '법안제출권'은 없고 '입법의견제출권'만 있는 선관위의 의지가 실효성이 있을지는 의문이다. 최근 활발하게 논의되고 있는 입법평가의 관점에서 이 문제를 조명해 볼 수도 있다. 비교법적 관점, 기본권의 보호라는 관점, 비용과 편익이라는 관점, 인터넷문화라는 관점, 공적·사적 영역별 효과의 관점 등에서 입법의 영향에 대한 객관적인 평가가 있었는지에 대한 반성도 필요하다고 본다. IV. 결론 인터넷실명제를 검토하는 과정에서도 "설득력있는 결정이 되기 위해서는 논리적이고 치밀한 법리와 인터넷 현실감각이 뒷받침되어야 할 것"(조소영, 인터넷실명제의 의의와 한계, 언론과 법, 제10권 2호, 2011, 65쪽)이다. 사이버공간이 비대면성과 익명성을 특징으로 한다는 것은 주지의 사실이다. 그러나 현실과 당위를 혼동할 수는 없다. 법률을 통하여 익명성의 폐해를 없애거나 줄이려는 인터넷실명제의 문제점이 있는 것처럼, 인터넷의 특징이 익명성이라는 점을 너무 강조한 나머지 익명성으로 인한 폐해의 발생을 눈감을 수는 없다. 이러한 문제와 관련하여 모두가 공감할 수 있는 기본적인 방향성은 익명성의 순기능을 유지하면서도 익명성의 역기능을 배제할 수 있는 방법을 찾아내는 것이다. 이러한 방법을 찾아내야 하는 일차적인 과제를 지닌 기관은 법원이나 헌법재판소가 아니라 입법자인 국회이다. 헌재의 위헌결정으로 인하여 익명표현의 자유를 보장하기 위한 규범적 당위에는 보다 가깝게 접근하였으나, 현실에서의 익명표현으로 인한 개인적 고통이나 사회적 문제는 재연될 가능성이 크고, 이에 대한 해결방안은 절실하다. 또한 공직선거법이나 정보통신망법상 다른 규정에 있는 인터넷실명제의 문제도 해결되지 않고 있다. 향후 자율규제방식을 합의하고 발전시키는 것은 이제 우리 모두의 사회적 과제이고, 인터넷실명제 관련 법률의 정비를 포함한 법령개정작업은 입법자의 과제이다.

1. 들어가는 말 헌법재판소는 2012. 8. 23. 재판관 8명 전원 일치의 의견으로 ·정보통신망 이용촉진 및 정보보호 등에 관한 법률·(이하 '정보통신망법'이라 함) 제44조의5 제1항 제2호, 같은 법 시행령 제29조 및 제30조 제1항이 규정하고 있는 '본인확인제'에 대해서 위헌결정을 내렸다. 여기서 본인확인제란 인터넷게시판을 설치·운영하는 정보통신서비스제공자에게 본인확인조치의무를 부과하여 게시판 이용자로 하여금 본인확인절차를 거쳐야만 게시판을 이용하거나 정보를 게시할 수 있도록 하는 제도이다. 정보통신망법상의 본인확인제는 그동안 소위 '인터넷 실명제'라는 이름으로 통칭되어 왔는데, 인터넷상의 표현의 자유를 억압하는 기제로 기능해 왔다는 점에서 많은 비판을 받아 왔다. 이 글에서는 이번에 내려진 헌법재판소의 위헌결정의 주요 요지 및 그 의미를 살펴보고자 한다. 2. 결정이유의 요지 본인확인제의 입법목적과 관련하여, 인터넷게시판에 타인의 명예를 훼손하는 등의 불법정보를 게시하는 것을 억제하고 불법정보 게시로 피해가 발생한 경우 가해자를 특정할 수 있는 기초자료를 확보함으로써 건전한 인터넷문화를 조성하기 위한 것으로서 그 목적의 정당성과 수단의 적합성을 인정할 수 있다고 보았다. 하지만 본인확인제는 아래와 같이 목적달성에 필요한 범위를 넘는 과도한 제한을 하는 것으로서 침해의 최소성이 인정되지 않는다고 보았다. 첫째, 불법정보 게시로 인한 피해가 발생한 경우 가해자 특정은 인터넷 주소 등의 추적 및 확인 등을 통하여, 피해자 구제는 정보통신서비스제공자에 의한 당해 정보의 삭제·임시조치(정보통신망법 제44조의2 제1항, 제2항),(1) 헌법재판소는 정보통신망법상의 임시조치제도에 대해서 합헌결정을 내린 바 있다. 헌재 2012. 5. 31. 2010헌마88, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제44조의2 제2항 위헌확인) 게시판 관리·운영자에 대한 불법정보 취급의 거부·정지 또는 제한명령(정보통신망법 제44조의7 제2항, 제3항) 등으로 불법정보의 유통 및 확산을 차단하거나 사후적으로 손해배상 또는 형사처벌 등을 통하여 충분히 할 수 있다는 점이다. 둘째, 본인확인의 대상인 '게시판 이용자'는 '정보의 게시자'뿐만 아니라 불법행위를 할 가능성이 없는 '정보의 열람자'도 포함하고, 본인확인제 적용 대상인 정보통신서비스제공자 선정에 있어서 그 정확성과 기준이 불분명한 이용자수 산정 결과에 따라 적용대상의 범위가 정해지는 등 본인확인제는 인터넷의 특성을 고려하지 아니한 채 그 적용범위를 광범위하게 정함으로써 법집행자에게 자의적인 집행의 여지를 부여하고 있다는 점이다. 셋째, 본인확인제에 따라 정보통신서비스제공자가 본인확인정보를 보관하여야 하는 기간은 정보의 게시가 종료된 후 6개월이 경과하는 날까지이므로, 정보를 삭제하여 그 게시를 종료하지 않는 한 본인확인정보는 무기한으로 정보통신서비스제공자에게 보관되는 결과가 발생할 수 있다는 점이다. 더 나아가서 본인확인제는 다음과 같이 법익의 균형성 역시 인정되지 않는다고 보았다. 첫째, 표현의 자유의 사전 제한을 정당화하기 위해서는 그 제한으로 인하여 달성하려는 공익의 효과가 명백하여야 하는데, 본인확인제 시행 이후에 명예훼손 등의 불법정보 게시가 의미 있게 감소하였다는 증거를 찾아볼 수 없고, 국내 인터넷 이용자들의 해외 사이트로의 도피, 국내 사업자와 해외 사업자 사이의 차별 내지 자의적 법집행의 시비로 인한 집행 곤란의 문제를 발생시키고 있어서, 결과적으로 당초 목적과 같은 공익을 실질적으로 달성하고 있다고 보기 어렵다는 점이다. 둘째, 본인확인제의 적용을 받지 않는 모바일 게시판, 소셜네트워크 서비스 등 새로운 의사소통수단의 등장으로 본인확인제는 그 공익을 인터넷 공간의 아주 제한된 범위에서만 실현하게 되었다는 점이다. 셋째, 본인확인제로 인하여 인터넷 이용자는 자신의 신원 노출에 따른 규제나 처벌 등을 염려하여 표현 자체를 포기할 가능성이 높고, 외국인이나 주민등록번호가 없는 재외국민은 인터넷게시판의 이용이 봉쇄되며, 새롭게 등장한 정보통신망상의 의사소통수단과 경쟁하여야 하는 게시판 운영자는 업무상 불리한 제한을 당하고, 본인확인정보 보관으로 인하여 게시판 이용자의 개인정보가 외부로 유출되거나 부당하게 이용될 가능성이 증가하게 되었다는 점이다. 결국 본인확인제를 규율하고 있는 이 사건 법령조항들은 과잉금지원칙에 위배하여 게시판 이용자의 표현의 자유, 개인정보자기결정권, 정보통신서비스제공자의 언론의 자유 등 기본권을 침해한다고 결론을 내렸다. 3. 해설 이번에 위헌결정이 내려진 본인확인제는 주로 인터넷 실명제라는 명칭으로 많이 불려 왔고, 그동안 한국 사회에서의 인터넷 규제의 불합리성, 인터넷상에서의 표현의 자유를 억압하는 기제의 상징으로서 인식되어 왔다. 하지만 이러한 정치·사회적 레토릭은 별론으로 하더라도, 법적인 관점에서 볼 때 사실 본인확인제는 그 입법목적과 수단간의 논리적 상관성이 존재하지 아니하고, 인터넷이라고 하는 매체의 특성과 사물의 본성에 전혀 부합하지 않는 시스템이었다. 첫째, 본인확인제가 도입된 배경으로서 인터넷의 특성 중의 하나인 소위 '익명성'과 '명예훼손 등의 불법정보 게시' 간에 논리적 상관성이 과연 존재하는가라는 의문이다. 이 문제제기는 익명성과 해악적인 의사표현간의 논리적 상관성에 관한 것이다. 기본적으로 "익명성은 도덕적으로 중립적이다"는 원칙을 감안한다면, ('미국과학발전협회(American Association for the Advancement of Science)'가 1997년 11월 회의에서 향후 인터넷에 대한 규제시스템이나 규제정책들을 설계함에 있어서 온라인에서의 익명커뮤니케이션을 보장하기 위해 제시한 4가지 원칙들 중의 하나이다. "익명성은 도덕적으로 중립적이다"라는 원칙은 익명성을 이용하여 야기될 수 있는 양면성, 즉 순기능적 측면과 역기능적 측면을 구분하는 것이 중요하고, 역기능적 측면이 순기능적 측면을 불필요하게 제한하는 근거로 활용되어서는 안된다는 것을 강조하는 의미를 갖고 있다) 익명성과 해악적인 의사표현간의 논리적 상관성은 분명하지 않다. 따라서 익명성에 대한 도덕적 가치판단을 전제로 해서 모든 인터넷상의 일탈행위 내지 역기능의 원인이 익명성에 있고, 그 익명성을 제거하면 이러한 역기능이 해소될 것이라는 본인확인제의 기본철학은 굉장히 단순한 발상이자 논리의 비약이라고 할 것이다. 둘째, 본인 여부를 확인하는 것이 과연 익명성을 제거하는 것인가라는 의문이다. 이 문제제기는 본인확인과 익명성 제거간의 논리적 상관성에 관한 것이다. 하지만 본인인지 여부가 확인되었다고 해서 익명성이 완전히 제거된다고 보기는 힘들다. 헌법재판소가 본인확인제 시행 이후에 명예훼손 등의 불법정보 게시가 의미있게 감소하였다는 증거를 찾아볼 수 없다고 지적한 것은 바로 이러한 맥락에서 이해될 수 있다. 셋째, 본인확인제는 애초부터 그 설계시스템상 개인정보 보호정책 및 개인정보 보호의 이념에 반하는 것이었다. 개인정보를 가장 잘 보호하는 방법은 개인정보의 수집과 활용을 가능한 억제하는 것이다. 그런데 이용자의 본인 여부 확인을 위해서는 그 근본구조상 이용자의 개인정보를 수집·활용할 수밖에 없게 되는데, 결국 본인확인제의 채택으로 인해 개인정보의 수집과 활용이 촉진되는 상황을 유발하게 되는 것이다. 헌법재판소가 위헌결정을 내리면서 그 근거로 내세운 게시판 이용자의 개인정보자기결정권의 침해논리는 바로 이러한 맥락에서 도출되는 것이다. 한국 사회에서 그동안 적용되어 왔던 인터넷 실명제로는 이번에 위헌결정된 정보통신망법상의 본인확인제 이외에, 공직선거법상의 인터넷언론사 게시판·대화방 등의 실명확인제도 존재한다. 그런데 헌법재판소는 공직선거법상의 실명확인제에 대해서 합헌결정을 내린 바 있다.(헌재 2010. 2. 25. 2008헌마324등, 공직선거법 제82조의 6 제1항 등 위헌확인, 공직선거법 제82조의 6 제1항 등 위헌소원) 사실 공직선거법상의 실명확인제와 이번에 위헌결정된 정보통신망법상의 본인확인제는 그 기본취지라든지 운영메커니즘이 거의 동일하다는 점에서, 정보통신망법상의 본인확인제의 위헌논리가 공직선거법상의 실명확인제에 대해서도 동일하게 적용될 수 있다. 그러면 왜 헌법재판소는 공직선거법상의 실명확인제에 대해서 합헌결정을 내렸을까라는 의문을 가질 수 있다. 필자가 추측컨대 선거의 공정성 내지 평온성에 대한 헌법재판소의 과도한 집착이 그 이유 중의 하나가 아닐까 생각한다. 참고로 최근 중앙선거관리위원회는 정보통신망법상의 본인확인제에 대한 위헌결정을 계기로 공직선거법상의 실명확인제의 폐지를 국회에 건의하기로 결정을 내렸다고 한다. 매우 환영할 만한 일이라 생각한다. 한편 심판대상과 관련하여, 이번에 위헌이 결정된 법령조항들 중 법률의 경우에는 심판대상이 정보통신망법 제44조의5 제1항 제2호에 한정되고 있어서, 동법 제44조의5 제1항 제1호가 규정하고 있는 '공공기관 등의 본인확인제'는 여전히 유효하다는 시각이 있을 수 있다. 하지만 헌법재판소의 위헌결정의 이유의 대부분이 게시판 이용자의 표현의 자유, 개인정보자기결정권의 침해에 초점을 맞추고 있다는 점에서, 공공기관 등이 운영하고 있는 본인확인제가 정보통신서비스제공자가 운영하고 있는 본인확인제와 그 운영메커니즘이 동일하다는 것을 염두에 둔다면, 공공기관 등이 운영하는 본인확인제에 대해서도 이번 위헌결정의 기속력이 미친다고 보아야 한다.