회사 다면평가 열람용 인터넷 주소 일부 숫자를 바꿔 입력하는 방법을 반복해 다른 직원의 평가 결과를 열람하고 이를 캡처해 타인에게 전송했더라도 정보통신망법 위반으로 볼 수 없다는 취지의 대법원 판결이 나왔다. 다면평가 결과가 게시된 인터넷 페이지에 별도의 개인인증 절차 없이 주소만 입력해 접속할 수 있었다면, 페이지 접근권한을 임직원 본인으로 제한했다고 보기 어렵다는 판단이다. 대법원 형사1부(주심 오경미 대법관)는 지난달 26일 정보통신망이용촉진및정보보호법률 위반 혐의로 기소된 A 씨에게 징역형의 집행유예를 선고한 원심을 파기하고 사건을 수원지법으로 돌려보냈다(2023도1086). A 씨는 경기도의 B 아트센터에 근무하는 직원이다. B 센터는 직원 인사관리를 위해 매년 직원 간 다면평가를 실시했는데 직원들은 개인별로 부여된 인터넷 주소에 접속해 본인의 평가 결과를 열람할 수 있었다. A 씨는 자신의 다면평가 열람 페이지 주소 마지막 숫자 2자리를 다르게 입력하는 방법을 반복해 B 센터 임직원 51명의 평가 결과를 일일이 열어 보고 그 화면을 캡처한 뒤, 캡처 사진을 B 센터 본부장에게 전송한 혐의를 받았다. 1심은 "A 씨가 정당한 접근권한 없이 정보통신망에 침입해 타인의 비밀을 침해하고 누설했다"며 A 씨에게 징역 8개월에 집행유예 2년을 선고했다. B 센터와 용역계약을 맺고 다면평가 온라인 링크 개발과 조사를 진행하고 직원들에게 평가 결과 주소를 전송한 C 업체와 대표이사 D 씨에게는 "B 센터 임직원의 개인정보 유출을 방지하기 위한 조치를 취하지 않아 개인정보보호법을 위반했다"며 각각 벌금 500만 원을 부과했다. 2심도 A 씨의 항소를 기각하고 1심 판결을 유지했다. 하지만 대법원 판단은 달랐다. 대법원은 "정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하는 것을 금지한 정보통신망법 제48조 제1항은 정보통신망 자체의 안정성과 정보의 신뢰성을 보호하기 위한 것이므로 접근권한을 부여하거나 허용되는 범위를 설정하는 주체는 서비스제공자"라며 "서비스제공자로부터 권한을 부여받은 이용자가 아닌 제3자가 정보통신망에 접속한 경우 그에게 접근권한이 있는지 여부는 서비스제공자가 부여한 접근권한을 기준으로 판단해야 하며, 서비스제공자가 접근권한을 제한하는지 여부는 보호조치나 이용약관 등 객관적으로 드러난 여러 사정을 종합적으로 고려해 신중하게 판단해야 한다"고 전제했다. 이어 "평가결과 열람 인터넷 페이지는 별도의 로그인이나 개인인증 절차 없이 접속이 가능했으며 △주소 마지막이 숫자 2자리로 단순하게 구성돼 있었으며 주소가 암호화돼 있지 않은 점 △C 업체가 임직원들에게 평가 결과 주소를 전송한 이메일과 문자메시지에서 다른 임직원의 열람을 제한하는 것으로 볼 만한 내용을 포함시키지 않은 점에 따라 C 업체와 D 씨는 안정성 확보에 필요한 조치를 취하지 않았다는 이유로 유죄 판결을 확정 받았다"고 밝혔다. 그러면서 "C 업체가 B 센터 임직원들에게 본인의 다면평가 결과가 게시된 인터넷 페이지의 주소만을 개별적으로 전달했다 하더라도, 아무런 보호조치 없이 다면평가 결과가 게시된 인터넷 주소를 입력하는 방법만으로도 다면평가 결과를 열람할 수 있도록 한 이상, 인터넷 페이지 접근권한을 임직원 본인으로 제한했다고 보기 어렵다"며 "A 씨가 인터넷 주소의 일부 숫자를 바꿔 넣는 방법으로 다른 사람의 평가 결과가 게시된 페이지에 접속했다 하더라도 정보통신망법 제48조 제1항이 금지하는 정보통신망 침입 행위에 해당한다고 할 수 없다"고 판단했다. A 씨가 다른 임직원의 평가열람 페이지에 접속해 타인에게 비밀을 누설했다는 혐의에 대해서도 대법원은 "A 씨가 인터넷 주소 일부를 변경해 입력한 것 외에 별도로 부정한 수단 또는 방법으로 볼 만한 행위를 하지 않았으므로 다면평가 결과를 부정한 수단 또는 방법으로 취득하거나 누설했다고 할 수 없다"고 판시했다.

◇ 개인정보 유출 관련 과징금 산정의 기초가 되는 매출액 산정 시 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 범위 ◇ ◇ 개인정보 보호조치 의무 위반에 대한 과징금 부과처분의 재량권 일탈·남용 여부 판단 기준 ◇ 1. 과징금 산정의 기초가 되는 매출액에 관한 규정의 내용 구 정보통신망법 제64조의3 제1항 제6호는 이용자의 개인정보를 유출한 경우로서 개인정보의 보호조치를 하지 아니한 경우 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 규정하면서, 제4항에서 과징금의 구체적 산정기준과 산정절차는 대통령령으로 정하도록 하고 있다. 그 위임에 따른 구 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령'(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것, 이하 ‘구 정보통신망법 시행령’이라고 한다) 제69조의2 제1항 본문은 ‘위반행위와 관련한 매출액’을 “해당 정보통신서비스 제공자 등의 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도의 연평균 매출액”이라고 정의하면서, 같은 조 제4항 [별표 8]의 “3. 세부기준”에서 방송통신위원회로 하여금 위반행위와 관련한 매출액의 산정에 관한 세부 기준을 정하여 고시하도록 하였다. 구 과징금 부과기준 제4조 제1항은 관련 매출액을 “위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업연도의 연평균 매출액”으로 정하였고, 같은 조 제2항은 관련 매출액 산정 시 서비스의 범위는 서비스 제공방식, 서비스 가입방법, 이용약관에서 규정한 서비스 범위, 개인정보 데이터베이스 관리 조직·인력 및 시스템 운영 방식 등을 고려하여 판단한다고 정하고 있다. 2. 과징금은 위반행위에 대한 제재의 성격과 함께 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수로서의 성격도 가지고, 이는 구 정보통신망법 제64조의3 제1항 각 호에서 정한 행위에 대하여 부과하는 과징금의 경우도 마찬가지이다(헌법재판소 2022. 5. 26. 선고 2020헌바259 결정 참조). 그런데 이 사건과 같이 이용자의 개인정보가 유출된 경우 정보통신서비스 제공자가 개인정보 보호조치를 취하지 않음으로 인해 매출액이 증대되는 경우를 상정하기 어렵다. 구 과징금 부과기준 제4조 제2항 또한 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 범위를 판단할 때 서비스 가입방법, 개인정보 데이터베이스 관리 조직·인력 및 시스템 운영 방식 등을 고려하도록 하고 있는바, 위 요소들은 위반행위로 인하여 취득한 이익의 규모와 직접적인 관련이 없다. 구 정보통신망법 제64조의3 제1항 제6호에서 정한 자에 대하여 과징금을 부과함으로써 박탈하고자 하는 이득은, 문제된 위반행위로 인해 증가한 매출액에 따른 이득이 아니라, 오히려 정보통신서비스 제공자가 적절한 보호조치를 취하지 않은 개인정보를 자신의 영업을 위해 보유함으로써 얻은 이득이라 보아야 한다. 이에 따라 위 과징금 부과를 위한 관련 매출액을 산정함에 있어 “위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스”의 범위는, 유출사고가 발생한 개인정보를 보유·관리하고 있는 서비스의 범위를 기준으로 판단하여야 한다. 3. 구 정보통신망법 제64조의3 제1항에 따른 과징금은 법 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수의 성격과 함께 위법행위에 대한 제재로서의 성격을 가지고, 같은 조 제3항은 과징금을 부과할 때 위반행위의 내용과 정도, 기간과 횟수 외에 위반행위로 인하여 취득한 이익의 규모 등도 고려하도록 규정하고 있다. 개인정보 보호조치 의무 위반에 대해 부과되는 과징금의 액수는 보호조치 위반행위의 원인과 유형, 위반행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 위한 조치의무의 이행 정도, 유사 사례에서의 과징금 액수 등을 종합적으로 고려하여 정하여야 한다. 그리고 과징금의 액수가 위반행위의 내용에 비해 과중하여 사회통념상 현저하게 타당성을 잃은 경우라면 그러한 과징금 처분은 재량권을 일탈·남용하여 위법하다고 보아야 한다. ☞ 원고는 쇼핑몰을 운영하는 회사로, 이벤트를 진행하면서 모바일용 이벤트 페이지에 캐시 정책을 잘못 설정하여 쇼핑몰 이용자 20명의 개인정보가 다른 이용자 29명에게 노출되는 사고가 발생하였음 ☞ 피고 개인정보보호위원회(2020. 8. 5. '개인정보 보호법' 개정에 따라 방송통신위원회 소관사무 중 개인정보보호 해당 사항에 관한 행정처분은 피고의 행위로 봄)는 원고가 구 정보통신망법 제28조 제1항 제2호 등을 위반하여 쇼핑몰 이용자들의 개인정보를 유출했다는 이유로 원고가 운영하는 쇼핑몰의 전체 매출액을 구 과징금 부과기준 제4조 제1항에서 정한 ‘관련 매출액’으로 보아, 이를 기준으로 원고에 대하여 시정명령, 과태료 및 과징금 18억 5,200만 원 부과처분 등을 하였음 ☞ 원심은, ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 매출액은 ‘쇼핑몰 전체의 연매출액’이 아닌 ‘이벤트로 인한 매출액’으로 한정되어야 하고, 이 사건 과징금의 액수는 다른 정보통신서비스 제공자의 위반행위에 대해 부과된 과징금 액수와 비교하여 균형을 잃은 것으로 보인다고 판단하여 과징금 부과처분을 취소하였음 ☞ 대법원은, 위 법리에 따라 원고가 운영하는 쇼핑몰 전체 매출액이 ‘관련 매출액’에 해당한다고 보아야 하나, 이 사건 과징금액은 제재적 성격이 지나치게 강조되어 위반행위의 위법성의 정도에 비해 과중하게 산정되었다고 볼 수 있다고 판단하여, 원심의 결론을 수긍하면서 상고를 기각함

[피고와 이동통신서비스 이용계약을 체결한 원고가 구 정보통신망법 또는 위 이용계약을 근거로 원고의 발신통화내역상 접속된 기지국의 위치(지번주소 또는 허가번호)의 공개를 구하는 사건] ◇ 피고가 서비스 이용약관 또는 개인정보 처리방침에 따라 원고에게 위와 같은 기지국의 지번주소 또는 허가번호를 제공할 의무가 있는지 여부(소극) ◇ ☞ 피고와 이동통신서비스 이용계약을 체결한 원고는 피고를 상대로 구 정보통신망법 또는 위 이용계약을 근거로 원고의 발신통화내역상 접속된 기지국의 위치(지번주소 또는 허가번호)의 공개를 구함 ☞ 원심은, 원고의 휴대전화 단말기가 발신하였을 때 접속한 기지국의 위치에 관한 정보(‘이 사건 정보’)는 원고의 위치가 아닌 기지국의 위치에 관한 것으로서 발신 기지국의 위치만으로는 휴대전화 단말기가 어느 위치에서 발신한 것인지를 알아내는 데 한계가 있으므로 이 사건 정보는 구 위치정보법상 위치정보나 개인위치정보 또는 구 정보통신망법상 개인정보에 해당한다고 보기 어렵고, 위 이용계약에 피고가 원고에게 원고의 휴대전화가 발신하였을 때 접속한 기지국 위치에 관한 주소를 제공할 의무가 있다는 내용이 포함되었다고 보기도 어렵다는 이유로 원고의 청구를 받아들이지 않았음 ☞ 대법원은 위와 같은 원심의 판단을 수긍하여 상고를 기각함

구글이 미국 정보기관 등 제3자에 국내 이용자 정보를 제공한 내역을 공개해야 한다는 대법원 판단이 나왔다. 2심은 미국법이 비공개 의무를 부여한 부분은 구글이 공개를 거부할 수 있다고 봤다. 하지만 대법원은 이 부분도 종합적으로 검토해 공개 여부를 정해야 한다고 판단했다. 대법원 민사3부(주심 노정희 대법관)는 13일 구글 이용자 A 씨 등이 구글 인코퍼레이티드(구글)와 구글코리아를 상대로 낸 손해배상 등 청구소송(2017다219232)에서 원고 일부승소 판결한 원심 가운데 일부를 파기하고 사건을 서울고법으로 돌려보냈다. A 씨 등은 2014년 2월 구글 본사와 구글코리아에 사용자 정보를 제3자에게 제공한 내역을 공개하라고 요구했다. 하지만 구글 측이 구체적으로 답변하지 않았고, 재차 답변을 요청했으나 결국 답변을 받지 못하자 소송을 냈다. 앞서 1심은 미국 본사인 구글에게 비공개 의무가 있는 사항을 제외하고 현황을 공개하라며 원고 일부승소 판결했다. 2심도 원고 일부승소 판결하며, 구글이 비공개 사항을 제외한 개인정보 제공 현황을 공개할 의무가 있다고 봤다. 또 구글코리아에 대해서도 위치정보서비스와 위치기반서비스 관련 정보통신서비스 제공자이므로 열람·제공요구에 응해야 한다며 원고 측의 청구를 일부 인용했다. 하지만 대법원은 구글에 대한 원고 패소 부분을 파기환송했다. 비공개가 정당하다고 판단한 부분을 다시 심리하라는 취지다. 먼저 대법원은 "구글과 체결한 서비스 이용계약은 구 국제사법 제27조 제1항 제1호에 따른 소비자 계약이므로 원고들이 한국에 구글에 대한 소를 제기한 것은 전속적 재판관할합의에도 불구하고 적법하다"고 밝혔다. 구 국제사법 제27조의 '소비자 계약'은 전속적 재판관할합의 효력이 미치지 않는다. 외국법원에 소송을 제기하는 것에 어려움이 있는 소비자의 재판청구권을 실질적으로 보장하기 위해서다. 재판부는 비공개의무를 부여하는 외국법령이 존재하는 경우에 '정당한 사유'를 판단하는 기준과 이때 정보통신서비스 제공자등이 취해야 하는 조치에 대한 판단도 내놓았다. 재판부는 "대한민국 법령 외에 외국 법령도 준수해야 하는 정보통신 서비스 제공자 등이 그 외국 법령에서 해당 정보의 공개를 제한하고 있다는 등의 근거를 들어 열람·제공을 거부하는 경우, 외국 법령이 있다는 사정만으로 곧바로 정당한 사유가 존재한다고 볼 수는 없지만, 거부에 정당한 사유가 있는지를 판단할 때 외국 법령의 내용도 고려할 수 있다고 봐야 한다"며 "한국 법령 외에 외국 법령도 함께 준수해야 하는 지위에 있는 정보통신서비스 제공자 등이 구 정보통신망법 제30조 제4항에 따른 필요한 조치를 모두 이행했는지는 △외국법령에 따른 비공개의무가 한국 헌법, 법률 등의 내용과 취지에 부합하는지 △개인정보를 보호할 필요성이 비해 그 외국 법령을 존중해야 할 필요성이 현저히 우월한지 △해당 법령에서 요구하는 비공개요건이 충족되어 실질적으로 비공개의무를 부담하고 있는지 등을 종합적으로 고려해야 한다"고 판시했다. 그러면서 "정당한 사유가 있더라도 정보통신 서비스 제공자들은 그 항목을 구체적으로 특정해 제한·거절 사유를 통지해야 하고, 국가안보·범죄수사 등 사유로 외국 수사기관에 정보를 제공했더라도 그 사유가 종료되면 정보 제공 사실을 이용자에게 공개해야 한다"고 부연했다. 대법원 관계자는 "대한민국 법령 외에 외국 법령도 준수해야 하는 지위에 있는 정보통신서비스 제공자에게 그 외국법령에서 비공개의무를 부과하는 사항을 무조건 공개하도록 하는 것은 모순된 행위를 강요하는 것"이라며 "가혹하고 국제예양의 측면에서도 바람직하지 않다는 점을 감안해 그와 같은 외국법령을 정당한 사유의 판단 요소로 고려해야 한다는 법리를 설시하고, 그러한 법령의 존재 외에 정당한 사유를 인정하기 위해 필요한 구체적인 기준을 설시해 외국법적 요소가 있는 정보공개 사안에서 국가들 간 이익을 균형 있게 고려할 수 있도록 하는 방안을 제시한 판결"이라고 말했다.

경쟁사인 '야놀자'의 제휴 숙박업소 목록 등을 무단으로 복제한 혐의로 기소된 '여기어때' 창업자 심명섭 전 대표에게 무죄가 확정됐다. 대법원 형사2부(주심 이동원 대법관)는 12일 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반, 저작권법 위반, 컴퓨터 등 장애 업무방해 혐의로 기소된 심 전 대표와 여기어때 직원들에게 무죄를 선고한 원심을 확정했다(2021도1533). 심 전 대표와 직원들은 크롤링(Crawling, 검색엔진 로봇을 이용한 데이터 수집 방법) 프로그램을 이용해 정보를 호출하는 명령구문을 서버에 입력하는 방식으로 경쟁사인 야놀자가 운영하는 서버에 접근해 숙박업소 목록 등 정보를 복제하고 대량 정보 호출을 발생시킨 혐의 등으로 기소됐다. 여기어때와 야놀자는 숙박업체 예약 서비스를 제공하는 회사다. 심 전 대표 등은 2016년 6~10월 야놀자의 모바일 앱용 API(Application Programming Interface) 서버에 1594만여회 이상 정당한 접근 권한 없이 침입하고, 2016년 1~6월에는 야놀자의 제휴숙박 업소명이나 주소, 할인금액, 입·퇴실시간 등 정보를 264회 무단복제한 혐의를 받았다. 이들은 또 크롤링 프로그램을 이용해 반경 1000㎞ 내의 모든 숙박업소 정보를 요청하는 방법으로 통상적인 이용 범위를 초과한 대량 정보 호출을 발생시켜 다섯 차례에 걸쳐 이용자들이 서버에 접속하지 못하도록 하는 등 야놀자의 숙박 예약 업무를 방해한 혐의도 받았다. 1심은 "피고인들은 야놀자와의 경쟁관계에서 우위를 점하기 위해 상당 기간 크롤링 프로그램을 이용해 서버에 침입, 숙박업소에 관한 정보를 복제했다"며 일부 혐의를 유죄로 판단해 심 전 대표에게 징역 1년 2개월에 집행유예 2년을 선고했다. 또 직원들에게는 징역형의 집행유예와 벌금형 등을 선고했다. 하지만 2심은 이들에게 무죄를 선고했다. 2심은 정보통신망 침입으로 인한 정보통신망법 위반 혐의에 대해 "심 전 대표 등이 야놀자의 모바일 애플리케이션을 통하지 않고 서버에 접속했다거나 크롤링, 명령어의 확장 등을 통해 정보를 수집한 사정만으로 접근권한이 없거나 접근권한을 넘어 야놀자 정보통신망에 침입했다고 보기 어렵다"고 판단했다. 또 데이터베이스 복제로 인한 저작권법 위반 혐의에 대해서도 "검사가 제출한 증거만으로는 이들이 수집한 데이터가 야놀자 데이터베이스의 전부나 상당 부분에 해당한다고 인정하기 부족하고, 데이터베이스 복제가 통상적인 이용과 충돌하거나 피해자 이익을 부당하게 해치는 경우에 해당한다고 보기 어렵다"며 무죄로 판단했다. 아울러 컴퓨터 등 장애 업무방해 혐의도 "검사 제출 증거만으로는 심 전 대표 등이 정보처리장치에 부정한 명령을 입력해 장애가 발생하게 해 야놀자의 숙박 예약 업무를 방해하거나 업무를 방해할 고의가 있었다고 인정하기 부족하다"며 무죄 판결했다. 대법원도 이같은 원심 판단이 옳다고 봤다. 재판부는 "일반 이용자들은 야놀자 회원으로 가입하지 않고도 모바일 애플리케이션을 통해 자유롭게 이 사건 서버에 접근할 수 있었다"며 "접근을 막는 별도 보호조치가 서버에 없었던 점 등을 보면 심 전 대표 등의 접근이 정보통신망 침입으로 인정되지 않는다"고 밝혔다. 모바일 앱을 통한 회원 가입 없이 서버에 접근하는 것에 대한 객관적 제한이 없었던 이상, 그 외의 방법으로 접근했더라도 정보통신망법이 처벌 대상으로 정하고 있는 '침입행위'에 해당하지 않는다는 취지다. 저작권법 위반에 대해서는 "심 전 대표 등이 수집한 정보들은 이미 상당히 알려진 정보로서 수집에 상당한 비용이나 노력이 들 것으로 보이지 않는다"며 "데이터베이스의 전부 또는 상당한 부분이 복제됐다거나 통상적 이용과 충돌했거나 피해자 회사의 이익을 부당하게 해치는 경우에 해당한다고 보기 어렵다"고 설명했다. 더불어 컴퓨터 등 장애 업무방해 부분에 대해서도 "심 전 대표 등이 입력한 숙박업소 관련 정보의 검색 명령구문들이 이 사건 서버의 본래 목적과 상이한 부정 명령이라 보기 어렵다"며 "크롤링 프로그램 사용으로 서버에 장애가 발생했다고 단정하기 어렵다"고 판시했다.

Ⅰ. 실체적 사실관계 공소외 주식회사 X(이하 'X')가 제공하는 토플 온라인 모의고사 프로그램 가맹계약의 중개 역할을 하는 피고인 주식회사 B(이하 '피고인 회사 B')의 경영자인 피고인 A가 X와의 민사 분쟁으로 접속이 차단되자, X나 가맹학원의 승낙 없이 가맹학원의 관리자 ID로 위 토플 온라인 모의고사 관련 사이트에 접속하여 응시자가 시험을 볼 수 있게 한 사안에서, 이는 서비스제공자인 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것에 해당한다는 이유로 공소가 제기되었다. 이 사안의 실체적 사실관계는 다음과 같다. ① X는 미국의 비영리법인인 ETS(Educational Testing Service)가 개발한 TOEFL iBT 시험을 위한 온라인 모의시험인 TPO의 국내 독점 판매권을 가지고 있다. ② X는 2010년 4월 9일 피고인 회사 B와 사이에 X가 피고인 회사 B에게 TPO를 공급하는 내용의 'TPO 지사계약' 및 'TPO 시험센터 운영계약(이하 통틀어 '이 사건 TPO 계약'이라고 한다)'을 체결하였다. ③ 피고인 회사 B는 위 '시험센터 운영계약'에 따라 공소사실 기재 장소에 '강남토플센터'를 설치하고 그 곳에서 TPO를 보기 원하는 개인들로부터 신청을 받아 TPO를 치르게 하였고, '지사계약'에 따라 학원 등을 상대로 일종의 가맹계약을 체결하여 피고인 회사 B를 통해 X의 TPO를 치를 수 있도록 제공하였다. ④ 위 '지사계약'에 따라 피고인 회사 B가 신규 학원을 유치한 경우, 피고인 회사 B는 X에 C어학원을 신규 학원으로 등록한 다음 C어학원으로 하여금 "http://www.toefltpo.com/c" 사이트를 통해 그 소속 학원생들에게 시험을 볼 수 있도록 제공하여 주었다. ⑤ 한편 X는 피고인 회사 B가 2013년 8월경부터 TPO 공급대금을 지급하지 않자 2014년 2월경 X의 인터넷 사이트(http://www.toefltpo.com)상의 '강남토플센터(http://www.toefltpo.com/enr)' 링크아이콘을 삭제하였고, 2014년 4월 초순경 피고인 회사 B가 강남토플센터에서 TPO를 치를 수 있도록 관리하고 있던 사이트(http://www.toefltpo.com/enr)에 대한 피고인 회사 B의 접속권한을 차단하였다. ⑥ 피고인 회사 B의 TPO 담당 직원인 D 및 E는 2014년 4월 15일경 강남토플센터에 TPO를 신청한 개인 응시자들에 대한 시험을 진행하기 위하여 강남토플센터 사이트에 접속하려고 하였으나, 접속이 차단된 사실을 알고 X에 항의하였고, 이러한 사실을 피고인 A에 보고하였다. ⑦ 그 후 D와 E는 피고인 회사 B에서 지사계약을 통해 영업을 한 C어학원 명의로 등록된 TPO 사이트(http://www.toefltpo.com/c)에 피고인 회사 B가 알고 있던 관리자 아이디로 접속한 다음, 위 사이트에서 강남토플센터에서 TPO를 치르는 개인들의 아이디와 비밀번호를 입력한 후 승인을 하여 개인들로 하여금 시험을 치르게 하였다. ⑧ 한편 피고인 회사 B는 2014년 4월 9일 X에게 '2014년 4월 8일 현재 미지급금 9591만1600원을 2014년 4월 30일까지 전액 변제하겠다'는 내용의 채무변제확인서를 작성해 주었으며, 피고인 A는 위 채무변제확인서에 보증인으로 서명하였다. 이와 관련하여 피고인 A는 수사기관에서 '위 채무변제확인서를 작성하면 차단된 TPO 공급을 재개하겠다고 하여 이를 작성하게 되었다'는 취지로 진술하였다. ⑨ 당시 C어학원의 원장이었던 F는 법정에서 피고인 회사 B가 C어학원의 TPO 사이트를 이용하여 강남토플센터의 개인 이용자들에게 모의시험을 치르게 하였다는 사실을 X로부터 연락을 받아 처음 알게 되었다는 취지로 진술하였다. Ⅱ. 절차적 사실관계 1. 제1심법원의 판단(서울중앙지법 2018. 12. 3. 선고 2017고정2588 판결) X로부터 C어학원에게 부여된 TPO 사이트에 피고인 회사 B가 C어학원의 관리자 아이디와 비밀번호를 이용하여 접속한 다음 강남토플센터에 모의시험을 신청한 학생들로 하여금 시험을 치르게 할 정당한 권한이 있었다고 보기 어렵고, 설령 관리자로서의 권한이 있었다 하더라도 그 권한을 초과하여 침입한 경우에 해당하며, 나아가 피고인 A도 위와 같은 내용을 잘 알고 있었던 것으로 판단된다. 2. 원심법원의 판단(서울중앙지법 2020. 11. 27. 선고 2018노3978 판결) C어학원의 TPO 사이트에 대한 접근 권한은 그 학원에게만 부여된 것이고 위 TPO 사이트의 서비스제공자는 X라고 인정한 후, 피고인 A가 X나 C어학원의 승낙 없이 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속한 것은 서비스제공자인 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것에 해당한다는 이유로 이 사건 공소사실을 유죄로 판단한 제1심판결을 그대로 유지하였다. 3. 대법원의 판단(대법원 2021. 6. 24. 선고 2020도17860 판결) 피고인들의 상고를 기각하였다. Ⅲ. 평석 1. 정보통신망법 제48조 제1항의 의의 및 구성요건 정보통신망법 제48조 제1항에서는 "누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다"라고 규정하고 있다. 이 조문의 구성요건은 다음과 같다. 첫째, 정보통신망법 제48조 제1항의 위반행위 객체는 '정보통신망'이다. 둘째, 해당 행위가 정당한 접근권한 없이 또는 허용된 접근권한을 초과하여야 한다. '정당한 접근권한이 없는 경우'와 '허용된 접근권한을 넘은 경우'를 보다 세밀하게 구분할 필요가 있다. 참고로 범죄정보데이터베이스에서 자동차등록번호를 조회할 수 있는 일반적 권한을 가진 피고인이 뇌물수수 내지 금전차용의 목적으로 제3자의 자동차등록번호를 조회한 사안에서 미국 연방대법원은 "컴퓨터 내 정보에 접근할 권한이 있는 경우에는 부정한 목적으로 해당 정보에 접근하였다고 하더라도 접근권한을 넘는 행위에 해당하지 않아 CFAA 제1030조 (a)(2)를 위반한 것이 아니다"라고 판시한 바 있다[Van Buren v. United States, 940 F.3d 1192 (11th Cir. 2019), cert. granted, 593 U.S.(June 3, 2021)]. 2. 결론 원심법원은 "피고인 A가 공소외 회사 X나 C어학원의 승낙 없이 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속한 것은 서비스제공자인 공소외 회사 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것에 해당한다"라고 판시하였고, 대법원은 원심의 판단을 수긍하면서 상고를 기각하였다. 즉, 원심법원과 대법원은 이 사안에서 피고인들의 해당 행위는 '정당한 접근권한 없이' 정보통신망에 침입한 행위에 해당한다고 판시하였고, '허용된 접근권한을 넘어' 정보통신망에 침입한 행위로는 보지 않았다. 반면에 제1심법원은 피고인 회사 B가 관리자로서의 권한이 있었다고 하더라도 그 권한을 초과하여 침입한 경우에 해당할 가능성을 열어 놓았다. 이와 관련하여 피고인 회사 B가 해당 학원의 TPO 사이트 등록 과정에서 해당 학원의 관리자 아이디와 비밀번호를 생성하여 알게 된다 하더라도, 이것이 피고인 회사 B가 운영하는 강남토플센터의 학생들에게 시험을 치르게 할 용도로 사용할 권한을 부여받은 것으로 해석하기는 어려운 점을 하나의 고려요인으로 설시하였다. 이 사건에서 대법원은 정보통신망에 대한 접근권한의 유무 및 범위에 대해서 서비스제공자를 기준으로 판단하여야 한다는 점을 분명히 하고 있다. 대법원은 이용자인 가맹학원 C어학원의 승인이 없는 경우에도 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속한 것이 서비스제공자인 공소외 회사 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것으로 보고 있다. 이 부분은 방론(dictum)의 여지를 열어 놓고 있는 것으로 보인다. 따라서, 이용자인 가맹학원 C어학원의 승인을 얻어 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속하였다면 서비스제공자인 공소외 회사 X의 의사에 부합하여 정당한 접근권한이 있는 것으로 판단할 가능성이 열려 있다고 볼 여지가 있다. 이러한 경우에 이용자의 접근권한을 기준으로 판단할 것인지 아니면 서비스제공자의 접근권한을 기준으로 판단할 것인지 여부는 좀 더 지켜볼 필요가 있다(전응준·신동환, '정보통신망 침입행위 관련 연구-정보통신망법 제48조 제1항을 중심으로', 문화미디어엔터테인먼트법, 제14권 제1호, 2020년 6월 30일, 178면). 이규호 교수 (중앙대 로스쿨)

2016년 2,500만 건의 고객정보를 유출 당한 인터파크에게 방통위는 44억 8,000만 원의 과징금을 부과했다. 이는 개인정보 유출 관련 정부가 부과한 과징금액으로는 역대 최고 금액이다(참고로 민사에서 최대 배상금액을 기록한 소송은 단연 신용카드 3사 개인정보유출 사건이다). 인터파크는 방통위의 과징금 처분에 불복하여 행정소송을 제기했으나 1심 서울행정법원 및 항소심 서울고등법원에서 패소했다. 소송에서는 인터파크의 법위반행위와 해킹 간 인과관계 여부가 주된 쟁점이었다. 법원은 방통위 처분을 지지하면서 “유출사고가 난 이상 이것과 법위반행위 사이의 인과관계가 입증되지 않았더라도 과징금을 부과할 수 있다”고 해석했다. 본고에서는 이 쟁점에 대해 살펴본다. 인터파크가 당한 해킹의 유형은 APT(Advanced Persistent Threat) 공격이다. 이는 해커가 특정 목표 대상을 정한 후 그 허점을 집요하게 노려 침입하는 기법이다. 해커는 인터파크 직원 A의 가족사진을 가지고 화면보호기(SCR 파일)를 만들고 여기에 악성코드를 심어 A에게 이메일로 전송하면서, 마치 A의 친동생이 보내는 것처럼 발신 이메일 주소를 위장하고 동생의 어투까지 흉내냈다. A는 감쪽같이 속을 수밖에 없었다. 화면보호기의 확장자가 EXE가 아니라 SCR이라서 A는 별 의심을 하지 않고 첨부파일을 열었을 것이나, SCR 파일도 악성코드 유포용으로 사용될 수 있다. 특정 공격을 위해 특별 제작된 악성코드는 백신에도 탐지되지 않는다. 해커는 악성코드를 감염시킨 A의 PC를 거점으로 삼아 DB 관리자 직원 B의 PC에 원격 데스크탑 접속했다. 당시 B가 퇴근한 시간이었는데, 그때까지 DB 서버와의 접속이 유지된 터미널이 B의 PC에 그대로 떠 있었다고 한다. 자동 로그아웃(이하 ‘idle timeout’) 설정이 제대로 안 되어 있었기 때문이다. 덕분에 해커는 DB 서버에 손쉽게 침입할 수 있었는데, 여기에서 인터파크 회원들의 개인정보가 유출된 것이 바로 이번 사고이다. 정보통신망법의 위임을 받아 개인정보의 기술적·관리적 보호조치의 내용을 정한 방통위 고시는 개인정보처리시스템에 idle timeout 설정을 할 의무를 규정하고 있다. 그러한 법상 의무를 위반하면 그 자체로 과태료, 개인정보 유출까지 되면 과징금 부과 대상이다. 부수적으로, A의 PC를 손에 넣은 해커가 인터파크 사내 네트워크를 스캔했더니 업무용 파일서버가 발견되었다. 거기에는 패스워드 장부 엑셀파일이 있었다. 직원들이 수많은 인터파크 서버들의 접속계정을 외우기 어려워 이를 메모해둔 것이었다. 다만, 개인정보가 유출된 DB 서버의 접속 패스워드는 여기에 없었다고 한다. 즉, 패스워드 장부 노출이라는 법위반행위와 개인정보 유출 사이에는 인과관계가 없음이 분명했다. 그런데 방통위는 idle timeout 미설정은 물론 및 패스워드 장부 노출까지 모두 처분원인사실로 삼아 과징금을 부과했다. 인터파크는 행정소송에서 idle timeout 미설정은 APT 해킹의 핵심 원인이 아니다, 나아가 패스워드 장부 노출과 개인정보 유출은 인과관계가 전혀 없다고 주장했다. 인터파크를 패소시킨 1심 및 항소심 법원은 인과관계 자체가 과징금 부과 요건이 아니라고 근거법률을 해석했다. 개정 전 법조문은 “법상 '조치'를 하지 아니하여 이용자의 개인정보를 '유출'한 경우에는 과징금을 부과한다”는 구조로서 '미조치'가 '유출'의 원인이 되어야 한다는 뜻이 명확했다. 이와 달리 2014년 개정된 법조문은 “이용자의 개인정보를 '유출' 한 경우로서 법상 '조치'를 하지 아니한 경우에는 과징금을 부과한다”는 형식으로 바뀌었다. 이를 근거로 법원은 '유출'이라는 결과와 '미조치' 행위가 인정되기만 하면 둘 사이의 인과관계는 요구되지 않는다고 해석했다. 그러나, 해킹의 원인을 제공하지 않은, 즉 ‘인과관계’ 없는 사업자의 위반행위까지 과징금 처분사유가 될 수 있다고 본 법해석에 대해서는 재고의 여지가 있다고 사료된다. 민사와 형사의 영역에서는 자신의 행위와 인과관계 없는 결과에 대해서 법적 책임을 지는 경우는 있을 수 없다. 형법 제17조(인과관계) 및 민법 제750조(불법행위의 내용) 모두 ‘인과관계’를 법적 책임의 성립요건으로 요구한다. 이것이 법의 대원칙이다. 행정상의 제재 또한 특별한 사정이 없다면 마찬가지이다. 행정상 금전제재는 크게 과징금과 과태료로 나뉜다. 일반론적으로, 단지 절차를 위반한 행위에 대해서는 행정질서벌의 일종인 과태료(가벼운 제재)가 부과되는데 그치는 반면, 행정목적을 침해하는 결과까지 야기한 행위에 대해서는 행정벌의 일종인 과징금(무거운 제재)이 부과된다. 정보통신망법 또한 이 체계에 따라 과태료와 과징금의 각 구성요건이 차등되어 있다. 사업자가 단지 idle timeout과 같은 법상 조치를 불이행한데 그쳤다면 3,000만 원 이하의 과태료를 부과 받지만(제76조 제1항 제3호), 더 나아가 개인정보 유출(해킹)이라는 결과까지 야기했다면 관련매출액에 비례하는 과징금을 부과 받는다(제64조의3 제1항 제6호). 해킹을 당했다는 결과에 대해 사업자에게 과징금이라는 법적 책임을 지우려면, 마땅히 사업자의 행위와 결과 사이에 ‘인과관계’가 존재해야 한다. 이것이 법의 대원칙에 부합하는 해석으로 사료된다(만약 해킹과의 인과관계를 불문하고 과징금을 부과하는 쪽으로 제도를 바꾼다면 굳이 행정질서벌을 운영할 필요가 없으니 과태료 조항을 폐지하는 것이 균형에 맞을 것이다). 이러한 원칙에 부합하도록 개정 전 정보통신망법 제64조의3 제1항 제6호는 ‘조치를 하지 아니하여 이용자의 개인정보를 누출’이라는 형식으로 규정함으로써 미조치가 해킹의 원인을 제공했어야 한다는 요건을 명시하고 있었다. 그러다가 2013. 11. 21. 방통위가 입법예고한 정보통신망법 일부개정안에서 “현재 대규모 개인정보 누출 등 침해사고 발생시 기술적·관리적 보호조치 위반과의 인과관계 입증이 어려움” 이라는 이유를 들어 과징금 부과요건 중 ‘인과관계’ 요건을 삭제할 것이 제안되었다. 참고로 이때까지는 개인정보 유출(해킹) 사고에 대해 과징금 처분이 내려진 전력이 없었다(2014. 6. 26. 비로소 첫 과징금 사건인 KT 마이올레 사건의 방통위 처분이 내려졌다). 위 방통위가 제안한 내용의 정보통신망법 제64조의3 제1항 제6호 개정안은 독자적인 법안으로 국회에 발의되지는 않은 것으로 보이고, 대신 2014. 5. 2. 국회 본회의를 통과한 대안법안의 일부로서 반영되었다. 그런데 정작 그 대안법안의 의안원문 및 이에 관한 국회 검토보고서, 소관위 회의록 등 가운데 ‘인과관계’ 입증 없이도 과징금을 부과할 수 있도록 한다는 기재는 어디에도 없다. 즉, ‘인과관계’ 요건을 삭제하는 개정안이 국회에서 논의라도 되었는지 의문이다. 참고로 그 당시는 신용카드 3사 개인정보 유출 사고 사실이 2014. 1. 8.자 검찰 발표에 의해 알려진 이래 국회에서 앞 다투어 개인정보 규제를 강화하는 법안들이 발의된 시점이어서, 위 대안법안에는 무려 18건의 발의안이 통합되어 있었다(예컨대 300만 원 이하 법정손해배상 규정도 이 때 신설된 것이다). 따라서 입법자의 의도에 ‘인과관계’ 요건 삭제가 포함되어 있는지 여부는 불명확한 측면이 있으며, 만약 진정한 입법의도가 그러했다면 위헌 소지를 검토해 보아야 한다. 무엇보다도 과징금 부과요건에서 ‘인과관계’를 뺄 경우, 민사상 손해배상 요건과 균형이 맞지 않게 된다. 정작 본인의 정보를 유출 당한 이용자는 사업자를 상대로 민사소송을 제기하더라도 사업자의 과실과 해킹 간 인과관계가 입증되지 못하면 손해배상을 받을 수 없다. 행정청은 피해자인 일반 국민들보다 현저히 강력한 조사권한을 가졌음에도 ‘인과관계’ 요건 입증을 생략하고 과징금이라는 공법적 제재를 손쉽게 부과할 수 있어야 하는지, 응보와 억지가 피해배상보다 우선되어야 하는 가치인지는 심히 의문스럽다. 향후 만약 행정청이 ‘인과관계’ 요건 입증을 생략하고 과징금을 부과할 경우, 이번 판결이 해석한 입법의도와는 오히려 반대로, 피해자들이 제기한 민사소송에서 별도로 인과관계 요건을 입증하는데 곤란을 겪어 이용자 구제에 흠결을 낳을 수도 있다. 한편, 만약 본고의 주장에 따라 ‘인과관계’를 여전히 현행법상 과징금 부과요건으로 해석할 경우, 인터파크 사건에서 두 처분사유와 해킹 사이의 인과관계는 존재하는가. 제1처분사유와 해킹 사이의 인과관계 유무는 곧 “Idle timeout 조치를 취했을 때 인터파크가 당한 유형의 APT 해킹을 통상 막을 수 있는가”의 문제로 점철된다. 이는 세부 사실관계에 따라 판단 여지가 있는 문제이다. 인터파크 사건의 경우, 해커가 DB 관리자 B의 PC(관리용 단말기)에 원격 데스크탑으로 접속해보니 마침 B가 퇴근하여 자리를 비운 상태에서 망분리 프로그램 및 DB 서버 접속 터미널이 로그아웃 되지 않고 그대로 떠 있었다. 이와 달리, 위 망분리 프로그램 및 DB 서버 접속 터미널에 최대접속시간이 설정되어 있었고 해커가 B의 PC에 접속했을 때 위 터미널이 로그아웃 된 상태였다고 가정했을 때, 과연 해커가 DB 서버에 침입할 수 있었을지 여부가 관건이다. 만약 예컨대 해커가 B의 PC에 키로거 등을 용이하게 설치할 수 있는 상황이었다면, 해커로서는 수고스럽더라도 위 PC에 키로거를 심어 내부망 ID·PW 및 DB 서버 ID·PW를 도청할 수 있었을 것이고, 이 경우 idle timeout 조치를 했었더라도 해킹은 막지 못하게 된다. 이러한 맥락에서 싸이월드 판결은 DB 서버 계정 ID·PW가 해커에게 이미 도청당한 상태에서 idle timeout 설정은 무용지물이라는 이유로 그 미설정과 해킹 사이의 상당인과관계를 부정한바 있었다. 달리 가정하여, 만약 해커가 B의 PC 제어권한을 완전히 탈취하지 못했거나, 또는 해커의 관점에서 우연히 접속해 본 B의 PC가 DB 관리자의 것인지조차 알기 어려운 상황이었다면, DB 서버 접속 터미널이 idle timeout 되지 않고 그대로 떠 있었던 것이 해킹의 결정적 계기를 제공한 셈이므로 상당인과관계가 인정될 수 있을 것이다. 한편, 적어도 두 번째 처분사유와 해킹 사이에는 인과관계가 없다는 점은 분명하다. DB 서버의 관리자 비밀번호는 문제된 패스워드 장부 엑셀파일에 쓰여 있지 않았고, 해커는 다른 경로로 DB 서버에 침입했으므로, 위 패스워드 장부 엑셀파일이 노출된 것은 DB 서버 해킹의 원인과 무관하다. 해킹과 인과관계 없는 위반행위는 과태료 부과 대상이어야 마땅하다. 그런데 인터파크의 입장에서는 다른 경로로 해킹을 당했다는 우연한 사정으로 인해, 해킹의 원인이 아닌 행위에 대해서까지 경한 과태료 대신 중한 과징금을 부과 받게 된 셈이다. 요컨대, 정부가 ‘인과관계’를 입증하기 곤란하다는 이유로 이것을 과징금 부과요건에서 뺀다는 것은 근시안적인 접근이다. 정부의 역할은 침해사고 원인조사의 실효성을 높임으로써 해킹과 ‘인과관계’ 있는 취약점이 무엇이었는지를 현장에서 밝히는 것이 되어야 한다. 그렇다면 기술적·관리적 보호조치 고시는, idle timeout과 같은 지엽적인 의무를 나열할 것이 아니라, 로그(Log) 보존 등 사고조사에 꼭 필요한 조치의무를 강화하는 방향으로 향후 개정되어야 하지 않을까. 전승재 변호사 (법무법인(유한) 바른)

- 대법원 2018. 5. 30. 선고 2017도607 판결 - 1. 공소사실 및 대상판결의 요지 공소사실은, “피고인은 인터넷 커뮤니티 ‘일베’에서 피해자를 사칭하여 저속한 게시글들을 올림으로써 피해자의 명예를 훼손하였다”는 것입니다. 이에 대해 1, 2심은 유죄로 판단하였으나, 대법원은 “명예훼손죄란 어느 사람에 대한 구체적인 사실관계를 보고하거나 진술할 때 성립하는 죄인데, 타인을 사칭하여 마치 피해자가 직접 작성한 것처럼 가장하여 게시글을 올리더라도 이는 피해자에 대한 사실을 드러내는 행위가 아니므로 명예훼손행위에 해당하지 않는다”는 이유로 무죄취지 파기환송하였습니다. 2. 타인 행세는 적법한가 대상판결은 죄형법정주의 원칙에 따른 전형적인 판결입니다. 대상판결은 언론보도와 블로그 등에 많이 소개되고 있는데, 이에 대해선 피해자가 ‘일베’에 저속한 글들을 올리는 사람으로 보이면 명예가 훼손될 것은 뻔한 일인데, 어떻게 무죄가 선고될 수 있느냐며 분개하는 반응도 많습니다. 그러나 대상판결은 '형사재판이 당연히 그러하듯' 이 사건 공소사실을 명예훼손죄로 처벌할 수 없다는 것일 뿐, 그러한 행위가 적법하다는 뜻은 전혀 아닙니다. 타인을 사칭하거나 저속한 글을 올리는 것이 나쁜 행동임은 누구나 아는바, 이를 대법원이 모를 리 없습니다. 그렇다면, 타인을 사칭하여 명예를 훼손하는 행위에 대해선 어떤 법적 대비책이 있을까요. 우선, 피해자 입장에서는 민사상 불법행위 책임을 물을 수 있습니다. 고의 또는 과실로 인한 위법행위로 타인에게 손해를 가한 자는 그 손해를 배상할 책임이 있는데(민법 제750조), 표현행위의 위법성 여부는 사회공동체의 건전한 상식과 관행에 비추어 볼 때 용인될 수 있는 정도의 것인지 여부에 따라 결정되고(대법원 1998. 2. 10. 선고 95다39533 판결), 불법행위의 성립요건으로서의 과실은 그때 그때의 구체적인 사례에 있어서의 보통인을 기준으로 판단되므로(대법원 2001. 1. 19. 선고 2000다12532 판결), ‘상식적으로 잘못된 행동은 곧 민사법원에서 심판을 받는다’고 생각해도 무방할 것입니다. 다음으로, 타인을 사칭하는 것은 일종의 속임수이고, 기망이란 ‘위계’의 전형적인 태양입니다. 인터넷실명제가 실시되고 있지 않은 현실에서 닉네임을 사용하는 것은 적법하다고 하더라도 비방할 목적으로 타인을 사칭하는 것은 인터넷질서를 어지럽히는 부당한 행위로서 인터넷서비스제공자의 업무를 방해하는 것으로 평가될 여지가 큽니다. 업무방해죄는 친고죄나 반의사불벌죄가 아니므로, 검사는 명예훼손으로 고소가 되었더라도 업무방해죄로 기소할 수 있습니다. 그 외에 게시글이 제3자에 대한 구체적인 사실관계를 담고 있다면 - 명의를 사칭당한 피해자가 아닌 - 제3자를 대상으로 한 명예훼손죄로 처벌할 수도 있습니다. 이러한 법적 제도에도 불구하고 타인 명의를 사칭해서 나쁜 행위(표현)을 함으로써 명예를 훼손하는 행위에 대한 직접적인 처벌이 필요하다는 국민들의 공감대가 있다면 결국 ‘입법’을 통해야 할 것입니다. 3. 판례로서의 의미 그런데 대상판결은 타인 명의 사칭에 대하여 처음 나온 판결이 아닙니다. 대법원은 이미 대법원 2016. 3. 24. 선고 2015도10112 판결에서 동일한 취지의 판시를 한 바 있습니다. 게다가 위 대법원판결은 대법원판결로서는 처음이었지만, 완전히 새로운 판결이 아니라 제1, 2심의 무죄판단을 그대로 유지한 것이었습니다. 위 대법원판결은 법률신문을 비롯한 여러 언론에 보도되었고 대법원홈페이지에도 소개되었습니다. 그럼에도 불구하고 원심은 대법원판례와 어긋나는 판결을 하였으므로, 아무리 벌금 70만원 짜리 ‘고정(약식명령에 대한 정식재판청구)’사건이라지만 대법원으로서는 파기가 불가피했을 것입니다. 통일적인 법리해석은 대법원의 핵심기능이기 때문입니다(게다가 위 대법원판결과 대상판결의 주심대법관은 같은 분입니다). 대상판결은 판결이유에서 위 대법원판결을 적시한 다음 “그런데도 그 판시와 같은 이유만으로 이 사건 공소사실을 유죄로 인정한 원심판결에는 정보통신망법 제70조 제2항에 관한 법리를 오해한 잘못이 있다”라고 하면서 원심판결을 파기하였는데, 주심대법관의 깊은 빡침(?)이 느껴지는 듯 합니다. 박종명 변호사 (법무법인 강호)

인터넷에서 다른 사람을 사칭해 그 사람인 척 글을 올린 행위를 정보통신망 이용촉진 및 정보보호 등에 관한 법률상 명예훼손죄로 처벌할 수는 없다는 대법원 판결이 나왔다. 명예훼손에 해당하려면 피해자에 대한 구체적인 내용이 있어야 하는데 단순 사칭은 여기에 해당하지 않는다는 취지다. 대법원 형사3부(주심 조희대 대법관)는 최근 정보통신망법상 명예훼손 혐의로 기소된 장모씨에게 벌금 70만원을 선고한 원심을 파기하고 사건을 서울북부지법으로 돌려보냈다(2017도607). 장씨는 2015년 6월 본인 명의로 보수 성향 인터넷 커뮤니티인 일간베스트에 가입한 다음 닉네임을 자신과 같은 대학 같은 학과 학생인 A씨가 평소 사용하던 네이버 닉네임과 같은 닉네임으로 변경한 뒤 A씨를 사칭해 사이트에 욕설과 함께 과학생들을 비난하는 글을 9건가량 올린 혐의로 기소됐다. 장씨는 글 내용에 머리를 염색했다거나 15학번인데 동기들보다 나이가 몇 살 더 많다는 등의 내용을 넣어 이 글들이 마치 A씨가 쓴 것처럼 보이게 했다. 정보통신망법 제70조 2항은 '사람을 비방할 목적으로 정보통신망을 통하여 공공연하게 거짓의 사실을 드러내어 다른 사람의 명예를 훼손한 자는 7년 이하의 징역, 10년 이하의 자격정지 또는 5000만원 이하의 벌금에 처한다'고 규정하고 있다. 재판부는 "어느 사람을 비방할 목적으로 인터넷 사이트에 게시글을 올리는 행위에 대해 정보통신방법 제70조 2항을 적용하기 위해서는 게시글이 그 사람에 대한 구체적인 사실관계를 보고하거나 진술하는 내용이어야 한다"며 "단순히 그 사람을 사칭해 마치 그 사람이 직접 작성한 글인 것처럼 가장해 게시글을 올리는 행위는 그 사람에 대한 사실을 드러내는 행위에 해당하지 않으므로 이 조항을 적용할 수 없다"고 밝혔다. 이어 "장씨가 피해자를 사칭해 마치 피해자가 직접 작성한 글인 것처럼 가장해 각 게시글을 올렸더라도, 그 행위는 피해자에 대한 사실을 드러내는 행위가 아니므로 정보통신망법 제70조 2항의 명예훼손행위에 해당하지 않는다"고 판시했다. 앞서 1,2심은 "A씨와 같은 대학교에 재학중이던 동기나 선후배가 장씨의 글을 읽으면 이 글을 A씨가 작성한 것으로 생각할 여지가 충분하고, 실제로 A씨의 동기들은 글을 읽고 게시자를 A씨로 특정할 수 있었다고 진술했다"며 "장씨가 의도적으로 동기들에게 일베사이트 글의 존재를 밝힌 점 등을 보면 적어도 피해자와 같은 대학 같은 과에 재학 중이던 동기들이 글을 보게 될 경우 글의 작성자를 피해자로 특정하기에 충분하다"며 장씨에게 벌금 70만원을 선고했다.

해킹에 의한 개인정보 유출 사고로 피해를 입은 고객들이 케이티(KT)를 상대로 낸 손해배상 청구소송에서 법원이 엇갈린 판결을 내려 항소심 판단이 주목된다. 인터넷이라는 특성상 모든 사이트가 해커의 불법적인 침입에 노출될 수밖에 없고 완벽한 보안을 갖춘다는 것은 어렵다고 판단한 재판부가 있는 반면, 정보통신업체는 사회통념상 요구되는 수준 이상의 보호조치를 다해야 한다면서 보다 큰 책임을 강조한 재판부도 있다. 서울중앙지법 민사6단독 심창섭 판사는 17일 A씨 등 39명이 KT를 상대로 낸 손해배상 청구소송(2014가소413127)에서 "KT는 1인당 10만원씩 지급하라"며 원고일부승소 판결했다. 2013년 8월부터 2014년 2월까지 KT가 운영하는 마이올레 홈페이지에서 해킹 사고가 발생해 개인정보가 대거 유출됐다. 해커는 이 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력하는 해킹프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 빼냈다. 이에 A씨 등은 2014년 5월 "KT의 관리감독 부실로 개인정보가 유출됐다"며 "1인당 20만원을 배상하라"며 소송을 냈다. 심 판사는 "정보통신서비스 제공자는 사회통념상 합리적으로 기대 가능한 기술수준으로 개인정보를 관리하고 있지만 해커들은 항상 기술수준을 뛰어넘는 방법을 사용한다"며 "KT가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 기술적·관리적 보호조치를 한 것만으로 개인정보의 안전성 확보에 필요한 조치를 다했다고 볼 수 없다"고 밝혔다. 이어 "KT는 7개월간에 걸쳐 1170만건의 개인정보 유출이 이뤄졌는데도 이를 확인하지 못했다"며 "보안관련 인력을 보강하거나 서버를 외부접속용과 내부 접속용으로 분리하는 등 해킹 사고를 방지하기 위한 조치도 취하지 않았다"고 지적했다. 그러나 지난달 20일 서울중앙지법 민사22부(재판장 전지원 부장판사)는 B씨 등 같은 피해를 당한 3645명이 KT를 상대로 낸 손해배상 청구소송(2014가합553622)에서 원고패소 판결했다. 재판부는 "정보통신서비스 제공자가 법에서 정하고 있는 기술적·관리적 보호조치를 다했다면 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 보기 어렵다"고 밝혔다. 이어 "하루 접속 건수가 3300만여건에 이르는 마이올레 홈페이지의 시스템과 같이 방대한 규모의 모든 웹서버 접속 로그 기록을 실시간 분석하거나 상시적으로 사후 분석하는 것은 현실적으로 불가능하다"며 "해커 접속(34만건)은 1% 미만이어서 이상행위를 탐지하기도 어려웠다"고 설명했다. 그러면서 "개인정보 등을 송·수신할 때 암호화의 대상 범위는 일반인이 접근 가능한 인터넷 공중망을 의미한다"며 "해커가 암호화되지 않은 주민등록번호를 확인한 곳은 대리점 PC 내부 영역으로 정보통신망법상 암호화가 요구되는 영역이 아니다"라고 판시했다. 정보통신망법 시행령 제6조 3항은 정보통신서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다고 규정하고 있다. 앞서 대법원은 2015년 2월 KT와 유사하게 해킹에 의해 개인정보가 유출된 경매업체 옥션 사건에서 "온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 업체에 개인정보 유출에 대한 책임을 지우기 어렵다"고 판결했다(2013다43994). 한편 한국소비자원(원장 한견표)은 지난 20일 개인정보 유출 피해를 입은 KT 고객들이 "위약금 없이 서비스를 해지할 수 있도록 해달라"며 신청한 조정을 각하했다. 당시 KT는 개인정보 유출 피해를 본 고객들이 서비스를 해지하겠다고 하자 위약금을 규정대로 물려 사회적 비난을 받았다. 경실련은 2014년 7월 피해고객 57명과 함께 소비자원에 위약금을 물리지 않도록 집단분쟁조정을 신청했다. 그러나 소비자원은 "법에서 정한 최소한의 기술적·관리적 보호조치를 취했으므로 이용계약 해지에 귀책사유가 없고, 개인정보 유출로 재산적 피해는 발생하지 않았다"는 이유로 각하 결정했다. 이에 경실련은 "소비자원은 합리적 설명 없이 절차를 개시하지 않은 채 사건을 장기간 방치해, 다수 피해자가 어쩔 수 없이 해지 위약금을 부담하거나 남은 약정 기간을 채울 수밖에 없었다"며 소비자원에 대한 공익감사 청구와 행정소송 제기를 검토하겠다고 밝혔다.