Ⅰ. 실체적 사실관계 공소외 주식회사 X(이하 'X')가 제공하는 토플 온라인 모의고사 프로그램 가맹계약의 중개 역할을 하는 피고인 주식회사 B(이하 '피고인 회사 B')의 경영자인 피고인 A가 X와의 민사 분쟁으로 접속이 차단되자, X나 가맹학원의 승낙 없이 가맹학원의 관리자 ID로 위 토플 온라인 모의고사 관련 사이트에 접속하여 응시자가 시험을 볼 수 있게 한 사안에서, 이는 서비스제공자인 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것에 해당한다는 이유로 공소가 제기되었다. 이 사안의 실체적 사실관계는 다음과 같다. ① X는 미국의 비영리법인인 ETS(Educational Testing Service)가 개발한 TOEFL iBT 시험을 위한 온라인 모의시험인 TPO의 국내 독점 판매권을 가지고 있다. ② X는 2010년 4월 9일 피고인 회사 B와 사이에 X가 피고인 회사 B에게 TPO를 공급하는 내용의 'TPO 지사계약' 및 'TPO 시험센터 운영계약(이하 통틀어 '이 사건 TPO 계약'이라고 한다)'을 체결하였다. ③ 피고인 회사 B는 위 '시험센터 운영계약'에 따라 공소사실 기재 장소에 '강남토플센터'를 설치하고 그 곳에서 TPO를 보기 원하는 개인들로부터 신청을 받아 TPO를 치르게 하였고, '지사계약'에 따라 학원 등을 상대로 일종의 가맹계약을 체결하여 피고인 회사 B를 통해 X의 TPO를 치를 수 있도록 제공하였다. ④ 위 '지사계약'에 따라 피고인 회사 B가 신규 학원을 유치한 경우, 피고인 회사 B는 X에 C어학원을 신규 학원으로 등록한 다음 C어학원으로 하여금 "http://www.toefltpo.com/c" 사이트를 통해 그 소속 학원생들에게 시험을 볼 수 있도록 제공하여 주었다. ⑤ 한편 X는 피고인 회사 B가 2013년 8월경부터 TPO 공급대금을 지급하지 않자 2014년 2월경 X의 인터넷 사이트(http://www.toefltpo.com)상의 '강남토플센터(http://www.toefltpo.com/enr)' 링크아이콘을 삭제하였고, 2014년 4월 초순경 피고인 회사 B가 강남토플센터에서 TPO를 치를 수 있도록 관리하고 있던 사이트(http://www.toefltpo.com/enr)에 대한 피고인 회사 B의 접속권한을 차단하였다. ⑥ 피고인 회사 B의 TPO 담당 직원인 D 및 E는 2014년 4월 15일경 강남토플센터에 TPO를 신청한 개인 응시자들에 대한 시험을 진행하기 위하여 강남토플센터 사이트에 접속하려고 하였으나, 접속이 차단된 사실을 알고 X에 항의하였고, 이러한 사실을 피고인 A에 보고하였다. ⑦ 그 후 D와 E는 피고인 회사 B에서 지사계약을 통해 영업을 한 C어학원 명의로 등록된 TPO 사이트(http://www.toefltpo.com/c)에 피고인 회사 B가 알고 있던 관리자 아이디로 접속한 다음, 위 사이트에서 강남토플센터에서 TPO를 치르는 개인들의 아이디와 비밀번호를 입력한 후 승인을 하여 개인들로 하여금 시험을 치르게 하였다. ⑧ 한편 피고인 회사 B는 2014년 4월 9일 X에게 '2014년 4월 8일 현재 미지급금 9591만1600원을 2014년 4월 30일까지 전액 변제하겠다'는 내용의 채무변제확인서를 작성해 주었으며, 피고인 A는 위 채무변제확인서에 보증인으로 서명하였다. 이와 관련하여 피고인 A는 수사기관에서 '위 채무변제확인서를 작성하면 차단된 TPO 공급을 재개하겠다고 하여 이를 작성하게 되었다'는 취지로 진술하였다. ⑨ 당시 C어학원의 원장이었던 F는 법정에서 피고인 회사 B가 C어학원의 TPO 사이트를 이용하여 강남토플센터의 개인 이용자들에게 모의시험을 치르게 하였다는 사실을 X로부터 연락을 받아 처음 알게 되었다는 취지로 진술하였다. Ⅱ. 절차적 사실관계 1. 제1심법원의 판단(서울중앙지법 2018. 12. 3. 선고 2017고정2588 판결) X로부터 C어학원에게 부여된 TPO 사이트에 피고인 회사 B가 C어학원의 관리자 아이디와 비밀번호를 이용하여 접속한 다음 강남토플센터에 모의시험을 신청한 학생들로 하여금 시험을 치르게 할 정당한 권한이 있었다고 보기 어렵고, 설령 관리자로서의 권한이 있었다 하더라도 그 권한을 초과하여 침입한 경우에 해당하며, 나아가 피고인 A도 위와 같은 내용을 잘 알고 있었던 것으로 판단된다. 2. 원심법원의 판단(서울중앙지법 2020. 11. 27. 선고 2018노3978 판결) C어학원의 TPO 사이트에 대한 접근 권한은 그 학원에게만 부여된 것이고 위 TPO 사이트의 서비스제공자는 X라고 인정한 후, 피고인 A가 X나 C어학원의 승낙 없이 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속한 것은 서비스제공자인 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것에 해당한다는 이유로 이 사건 공소사실을 유죄로 판단한 제1심판결을 그대로 유지하였다. 3. 대법원의 판단(대법원 2021. 6. 24. 선고 2020도17860 판결) 피고인들의 상고를 기각하였다. Ⅲ. 평석 1. 정보통신망법 제48조 제1항의 의의 및 구성요건 정보통신망법 제48조 제1항에서는 "누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다"라고 규정하고 있다. 이 조문의 구성요건은 다음과 같다. 첫째, 정보통신망법 제48조 제1항의 위반행위 객체는 '정보통신망'이다. 둘째, 해당 행위가 정당한 접근권한 없이 또는 허용된 접근권한을 초과하여야 한다. '정당한 접근권한이 없는 경우'와 '허용된 접근권한을 넘은 경우'를 보다 세밀하게 구분할 필요가 있다. 참고로 범죄정보데이터베이스에서 자동차등록번호를 조회할 수 있는 일반적 권한을 가진 피고인이 뇌물수수 내지 금전차용의 목적으로 제3자의 자동차등록번호를 조회한 사안에서 미국 연방대법원은 "컴퓨터 내 정보에 접근할 권한이 있는 경우에는 부정한 목적으로 해당 정보에 접근하였다고 하더라도 접근권한을 넘는 행위에 해당하지 않아 CFAA 제1030조 (a)(2)를 위반한 것이 아니다"라고 판시한 바 있다[Van Buren v. United States, 940 F.3d 1192 (11th Cir. 2019), cert. granted, 593 U.S.(June 3, 2021)]. 2. 결론 원심법원은 "피고인 A가 공소외 회사 X나 C어학원의 승낙 없이 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속한 것은 서비스제공자인 공소외 회사 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것에 해당한다"라고 판시하였고, 대법원은 원심의 판단을 수긍하면서 상고를 기각하였다. 즉, 원심법원과 대법원은 이 사안에서 피고인들의 해당 행위는 '정당한 접근권한 없이' 정보통신망에 침입한 행위에 해당한다고 판시하였고, '허용된 접근권한을 넘어' 정보통신망에 침입한 행위로는 보지 않았다. 반면에 제1심법원은 피고인 회사 B가 관리자로서의 권한이 있었다고 하더라도 그 권한을 초과하여 침입한 경우에 해당할 가능성을 열어 놓았다. 이와 관련하여 피고인 회사 B가 해당 학원의 TPO 사이트 등록 과정에서 해당 학원의 관리자 아이디와 비밀번호를 생성하여 알게 된다 하더라도, 이것이 피고인 회사 B가 운영하는 강남토플센터의 학생들에게 시험을 치르게 할 용도로 사용할 권한을 부여받은 것으로 해석하기는 어려운 점을 하나의 고려요인으로 설시하였다. 이 사건에서 대법원은 정보통신망에 대한 접근권한의 유무 및 범위에 대해서 서비스제공자를 기준으로 판단하여야 한다는 점을 분명히 하고 있다. 대법원은 이용자인 가맹학원 C어학원의 승인이 없는 경우에도 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속한 것이 서비스제공자인 공소외 회사 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것으로 보고 있다. 이 부분은 방론(dictum)의 여지를 열어 놓고 있는 것으로 보인다. 따라서, 이용자인 가맹학원 C어학원의 승인을 얻어 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속하였다면 서비스제공자인 공소외 회사 X의 의사에 부합하여 정당한 접근권한이 있는 것으로 판단할 가능성이 열려 있다고 볼 여지가 있다. 이러한 경우에 이용자의 접근권한을 기준으로 판단할 것인지 아니면 서비스제공자의 접근권한을 기준으로 판단할 것인지 여부는 좀 더 지켜볼 필요가 있다(전응준·신동환, '정보통신망 침입행위 관련 연구-정보통신망법 제48조 제1항을 중심으로', 문화미디어엔터테인먼트법, 제14권 제1호, 2020년 6월 30일, 178면). 이규호 교수 (중앙대 로스쿨)

2016년 2,500만 건의 고객정보를 유출 당한 인터파크에게 방통위는 44억 8,000만 원의 과징금을 부과했다. 이는 개인정보 유출 관련 정부가 부과한 과징금액으로는 역대 최고 금액이다(참고로 민사에서 최대 배상금액을 기록한 소송은 단연 신용카드 3사 개인정보유출 사건이다). 인터파크는 방통위의 과징금 처분에 불복하여 행정소송을 제기했으나 1심 서울행정법원 및 항소심 서울고등법원에서 패소했다. 소송에서는 인터파크의 법위반행위와 해킹 간 인과관계 여부가 주된 쟁점이었다. 법원은 방통위 처분을 지지하면서 “유출사고가 난 이상 이것과 법위반행위 사이의 인과관계가 입증되지 않았더라도 과징금을 부과할 수 있다”고 해석했다. 본고에서는 이 쟁점에 대해 살펴본다. 인터파크가 당한 해킹의 유형은 APT(Advanced Persistent Threat) 공격이다. 이는 해커가 특정 목표 대상을 정한 후 그 허점을 집요하게 노려 침입하는 기법이다. 해커는 인터파크 직원 A의 가족사진을 가지고 화면보호기(SCR 파일)를 만들고 여기에 악성코드를 심어 A에게 이메일로 전송하면서, 마치 A의 친동생이 보내는 것처럼 발신 이메일 주소를 위장하고 동생의 어투까지 흉내냈다. A는 감쪽같이 속을 수밖에 없었다. 화면보호기의 확장자가 EXE가 아니라 SCR이라서 A는 별 의심을 하지 않고 첨부파일을 열었을 것이나, SCR 파일도 악성코드 유포용으로 사용될 수 있다. 특정 공격을 위해 특별 제작된 악성코드는 백신에도 탐지되지 않는다. 해커는 악성코드를 감염시킨 A의 PC를 거점으로 삼아 DB 관리자 직원 B의 PC에 원격 데스크탑 접속했다. 당시 B가 퇴근한 시간이었는데, 그때까지 DB 서버와의 접속이 유지된 터미널이 B의 PC에 그대로 떠 있었다고 한다. 자동 로그아웃(이하 ‘idle timeout’) 설정이 제대로 안 되어 있었기 때문이다. 덕분에 해커는 DB 서버에 손쉽게 침입할 수 있었는데, 여기에서 인터파크 회원들의 개인정보가 유출된 것이 바로 이번 사고이다. 정보통신망법의 위임을 받아 개인정보의 기술적·관리적 보호조치의 내용을 정한 방통위 고시는 개인정보처리시스템에 idle timeout 설정을 할 의무를 규정하고 있다. 그러한 법상 의무를 위반하면 그 자체로 과태료, 개인정보 유출까지 되면 과징금 부과 대상이다. 부수적으로, A의 PC를 손에 넣은 해커가 인터파크 사내 네트워크를 스캔했더니 업무용 파일서버가 발견되었다. 거기에는 패스워드 장부 엑셀파일이 있었다. 직원들이 수많은 인터파크 서버들의 접속계정을 외우기 어려워 이를 메모해둔 것이었다. 다만, 개인정보가 유출된 DB 서버의 접속 패스워드는 여기에 없었다고 한다. 즉, 패스워드 장부 노출이라는 법위반행위와 개인정보 유출 사이에는 인과관계가 없음이 분명했다. 그런데 방통위는 idle timeout 미설정은 물론 및 패스워드 장부 노출까지 모두 처분원인사실로 삼아 과징금을 부과했다. 인터파크는 행정소송에서 idle timeout 미설정은 APT 해킹의 핵심 원인이 아니다, 나아가 패스워드 장부 노출과 개인정보 유출은 인과관계가 전혀 없다고 주장했다. 인터파크를 패소시킨 1심 및 항소심 법원은 인과관계 자체가 과징금 부과 요건이 아니라고 근거법률을 해석했다. 개정 전 법조문은 “법상 '조치'를 하지 아니하여 이용자의 개인정보를 '유출'한 경우에는 과징금을 부과한다”는 구조로서 '미조치'가 '유출'의 원인이 되어야 한다는 뜻이 명확했다. 이와 달리 2014년 개정된 법조문은 “이용자의 개인정보를 '유출' 한 경우로서 법상 '조치'를 하지 아니한 경우에는 과징금을 부과한다”는 형식으로 바뀌었다. 이를 근거로 법원은 '유출'이라는 결과와 '미조치' 행위가 인정되기만 하면 둘 사이의 인과관계는 요구되지 않는다고 해석했다. 그러나, 해킹의 원인을 제공하지 않은, 즉 ‘인과관계’ 없는 사업자의 위반행위까지 과징금 처분사유가 될 수 있다고 본 법해석에 대해서는 재고의 여지가 있다고 사료된다. 민사와 형사의 영역에서는 자신의 행위와 인과관계 없는 결과에 대해서 법적 책임을 지는 경우는 있을 수 없다. 형법 제17조(인과관계) 및 민법 제750조(불법행위의 내용) 모두 ‘인과관계’를 법적 책임의 성립요건으로 요구한다. 이것이 법의 대원칙이다. 행정상의 제재 또한 특별한 사정이 없다면 마찬가지이다. 행정상 금전제재는 크게 과징금과 과태료로 나뉜다. 일반론적으로, 단지 절차를 위반한 행위에 대해서는 행정질서벌의 일종인 과태료(가벼운 제재)가 부과되는데 그치는 반면, 행정목적을 침해하는 결과까지 야기한 행위에 대해서는 행정벌의 일종인 과징금(무거운 제재)이 부과된다. 정보통신망법 또한 이 체계에 따라 과태료와 과징금의 각 구성요건이 차등되어 있다. 사업자가 단지 idle timeout과 같은 법상 조치를 불이행한데 그쳤다면 3,000만 원 이하의 과태료를 부과 받지만(제76조 제1항 제3호), 더 나아가 개인정보 유출(해킹)이라는 결과까지 야기했다면 관련매출액에 비례하는 과징금을 부과 받는다(제64조의3 제1항 제6호). 해킹을 당했다는 결과에 대해 사업자에게 과징금이라는 법적 책임을 지우려면, 마땅히 사업자의 행위와 결과 사이에 ‘인과관계’가 존재해야 한다. 이것이 법의 대원칙에 부합하는 해석으로 사료된다(만약 해킹과의 인과관계를 불문하고 과징금을 부과하는 쪽으로 제도를 바꾼다면 굳이 행정질서벌을 운영할 필요가 없으니 과태료 조항을 폐지하는 것이 균형에 맞을 것이다). 이러한 원칙에 부합하도록 개정 전 정보통신망법 제64조의3 제1항 제6호는 ‘조치를 하지 아니하여 이용자의 개인정보를 누출’이라는 형식으로 규정함으로써 미조치가 해킹의 원인을 제공했어야 한다는 요건을 명시하고 있었다. 그러다가 2013. 11. 21. 방통위가 입법예고한 정보통신망법 일부개정안에서 “현재 대규모 개인정보 누출 등 침해사고 발생시 기술적·관리적 보호조치 위반과의 인과관계 입증이 어려움” 이라는 이유를 들어 과징금 부과요건 중 ‘인과관계’ 요건을 삭제할 것이 제안되었다. 참고로 이때까지는 개인정보 유출(해킹) 사고에 대해 과징금 처분이 내려진 전력이 없었다(2014. 6. 26. 비로소 첫 과징금 사건인 KT 마이올레 사건의 방통위 처분이 내려졌다). 위 방통위가 제안한 내용의 정보통신망법 제64조의3 제1항 제6호 개정안은 독자적인 법안으로 국회에 발의되지는 않은 것으로 보이고, 대신 2014. 5. 2. 국회 본회의를 통과한 대안법안의 일부로서 반영되었다. 그런데 정작 그 대안법안의 의안원문 및 이에 관한 국회 검토보고서, 소관위 회의록 등 가운데 ‘인과관계’ 입증 없이도 과징금을 부과할 수 있도록 한다는 기재는 어디에도 없다. 즉, ‘인과관계’ 요건을 삭제하는 개정안이 국회에서 논의라도 되었는지 의문이다. 참고로 그 당시는 신용카드 3사 개인정보 유출 사고 사실이 2014. 1. 8.자 검찰 발표에 의해 알려진 이래 국회에서 앞 다투어 개인정보 규제를 강화하는 법안들이 발의된 시점이어서, 위 대안법안에는 무려 18건의 발의안이 통합되어 있었다(예컨대 300만 원 이하 법정손해배상 규정도 이 때 신설된 것이다). 따라서 입법자의 의도에 ‘인과관계’ 요건 삭제가 포함되어 있는지 여부는 불명확한 측면이 있으며, 만약 진정한 입법의도가 그러했다면 위헌 소지를 검토해 보아야 한다. 무엇보다도 과징금 부과요건에서 ‘인과관계’를 뺄 경우, 민사상 손해배상 요건과 균형이 맞지 않게 된다. 정작 본인의 정보를 유출 당한 이용자는 사업자를 상대로 민사소송을 제기하더라도 사업자의 과실과 해킹 간 인과관계가 입증되지 못하면 손해배상을 받을 수 없다. 행정청은 피해자인 일반 국민들보다 현저히 강력한 조사권한을 가졌음에도 ‘인과관계’ 요건 입증을 생략하고 과징금이라는 공법적 제재를 손쉽게 부과할 수 있어야 하는지, 응보와 억지가 피해배상보다 우선되어야 하는 가치인지는 심히 의문스럽다. 향후 만약 행정청이 ‘인과관계’ 요건 입증을 생략하고 과징금을 부과할 경우, 이번 판결이 해석한 입법의도와는 오히려 반대로, 피해자들이 제기한 민사소송에서 별도로 인과관계 요건을 입증하는데 곤란을 겪어 이용자 구제에 흠결을 낳을 수도 있다. 한편, 만약 본고의 주장에 따라 ‘인과관계’를 여전히 현행법상 과징금 부과요건으로 해석할 경우, 인터파크 사건에서 두 처분사유와 해킹 사이의 인과관계는 존재하는가. 제1처분사유와 해킹 사이의 인과관계 유무는 곧 “Idle timeout 조치를 취했을 때 인터파크가 당한 유형의 APT 해킹을 통상 막을 수 있는가”의 문제로 점철된다. 이는 세부 사실관계에 따라 판단 여지가 있는 문제이다. 인터파크 사건의 경우, 해커가 DB 관리자 B의 PC(관리용 단말기)에 원격 데스크탑으로 접속해보니 마침 B가 퇴근하여 자리를 비운 상태에서 망분리 프로그램 및 DB 서버 접속 터미널이 로그아웃 되지 않고 그대로 떠 있었다. 이와 달리, 위 망분리 프로그램 및 DB 서버 접속 터미널에 최대접속시간이 설정되어 있었고 해커가 B의 PC에 접속했을 때 위 터미널이 로그아웃 된 상태였다고 가정했을 때, 과연 해커가 DB 서버에 침입할 수 있었을지 여부가 관건이다. 만약 예컨대 해커가 B의 PC에 키로거 등을 용이하게 설치할 수 있는 상황이었다면, 해커로서는 수고스럽더라도 위 PC에 키로거를 심어 내부망 ID·PW 및 DB 서버 ID·PW를 도청할 수 있었을 것이고, 이 경우 idle timeout 조치를 했었더라도 해킹은 막지 못하게 된다. 이러한 맥락에서 싸이월드 판결은 DB 서버 계정 ID·PW가 해커에게 이미 도청당한 상태에서 idle timeout 설정은 무용지물이라는 이유로 그 미설정과 해킹 사이의 상당인과관계를 부정한바 있었다. 달리 가정하여, 만약 해커가 B의 PC 제어권한을 완전히 탈취하지 못했거나, 또는 해커의 관점에서 우연히 접속해 본 B의 PC가 DB 관리자의 것인지조차 알기 어려운 상황이었다면, DB 서버 접속 터미널이 idle timeout 되지 않고 그대로 떠 있었던 것이 해킹의 결정적 계기를 제공한 셈이므로 상당인과관계가 인정될 수 있을 것이다. 한편, 적어도 두 번째 처분사유와 해킹 사이에는 인과관계가 없다는 점은 분명하다. DB 서버의 관리자 비밀번호는 문제된 패스워드 장부 엑셀파일에 쓰여 있지 않았고, 해커는 다른 경로로 DB 서버에 침입했으므로, 위 패스워드 장부 엑셀파일이 노출된 것은 DB 서버 해킹의 원인과 무관하다. 해킹과 인과관계 없는 위반행위는 과태료 부과 대상이어야 마땅하다. 그런데 인터파크의 입장에서는 다른 경로로 해킹을 당했다는 우연한 사정으로 인해, 해킹의 원인이 아닌 행위에 대해서까지 경한 과태료 대신 중한 과징금을 부과 받게 된 셈이다. 요컨대, 정부가 ‘인과관계’를 입증하기 곤란하다는 이유로 이것을 과징금 부과요건에서 뺀다는 것은 근시안적인 접근이다. 정부의 역할은 침해사고 원인조사의 실효성을 높임으로써 해킹과 ‘인과관계’ 있는 취약점이 무엇이었는지를 현장에서 밝히는 것이 되어야 한다. 그렇다면 기술적·관리적 보호조치 고시는, idle timeout과 같은 지엽적인 의무를 나열할 것이 아니라, 로그(Log) 보존 등 사고조사에 꼭 필요한 조치의무를 강화하는 방향으로 향후 개정되어야 하지 않을까. 전승재 변호사 (법무법인(유한) 바른)