포털사이트에 올라온 글에 대한 삭제 요청이 있고 그 글로 인한 권리침해 여부와 관련해 당사자 간 다툼이 있는 경우 포털사이트 운영자가 해당 정보에 대한 네티즌의 접근을 30일 이내의 범위에서 임시 차단할 수 있도록 한 정보통신망 이용촉진 및 정보보호 등에 관한 법률은 합헌이라는 헌법재판소 결정이 나왔다. 헌재는 A씨 등이 "정보통신망법 제44조의2 제2항 등은 위헌"이라며 낸 헌법소원(2016헌마275)을 최근 재판관 6(합헌)대 3(위헌)의 의견으로 기각했다. 정보통신망법 제44조의2 등은 '정보통신서비스 제공자는 정보의 삭제 등을 요청받으면 지체 없이 삭제·임시조치 등의 필요한 조치를 하고 즉시 신청인 및 정보게재자에게 알려야 한다. 정보통신서비스 제공자는 정보 삭제요청에도 불구하고 권리의 침해 여부를 판단하기 어렵거나 이해당사자 간에 다툼이 예상되는 경우에는 해당 정보에 대한 접근을 임시적으로 차단하는 조치를 할 수 있고, 임시조치의 기간은 30일 이내로 한다'고 규정하고 있다. A씨는 자신의 블로그에 B사 관련 비판 기사를 올렸다. 이에 B사는 해당 글에 대한 게시중단을 요청했고, 서비스 제공자인 모 포털사이트는 네티즌들이 이 글에 접근하는 것을 임시 차단하는 조치를 내렸다. 이에 A씨는 해당 게시물에 대해 소명했지만, 포털사이트로부터 '게시중단일로부터 30일 이후부터 재게시할 수 있다'는 통보를 받자 헌법소원을 냈다. 헌재는 "정보통신망에서 무수하게 발생할 수 있는 권리침해적 정보와 서비스 제공자의 손해배상책임으로 인해 그 서비스 자체가 위축되는 것을 방지하고자 '임시조치'가 규정된 것"이라며 "정보통신서비스 제공자가 임시조치를 했다고 해서 그것이 정보에 대한 표현의 금지를 의미하는 것은 아니다"라고 밝혔다. 이어 "정보게재자는 해당 정보를 다시 게재할 수 있으며 의사표현의 통로가 다양하게 존재한다"며 "임시조치로 자유로운 여론 형성이 방해된다거나 표현의 자유 제한이 심대하다고 보기 어렵다"고 설명했다. 이에 대해 이석태·김기영·문형배 헌법재판관은 반대의견을 내고 "해당 조항은 권리침해 주장만 있으면 정보통신서비스 제공자가 임시조치에 나아갈 여건을 제공한다는 문제가 있다"며 "입법적으로 선재(先在)적 법익형량을 해 개별적 사례에서 정보통신서비스 제공자의 이익형량 가능성을 원천적으로 배제한 채, 일정기간 동안 표현의 자유보다는 인격권을 우선시하고 있다"고 지적했다. 이어 "이는 특정한 사건에 관한 논쟁이 성숙되었을 때 표현하고자 하는 표현의 '시의성'을 박탈하는 것"이라며 "표현의 자유에 대한 중대한 제한을 초래하고, 인격권과 표현의 자유의 조화로운 보장이라는 헌법적 요청을 도외시한 입법이므로 침해의 최소성 원칙에 위배된다"고 했다.

인터파크가 해커에 의한 개인정보 유출 사고와 관련해 피해를 입은 회원들에게 1인당 10만원씩 배상해야 한다는 판결이 나왔다. 서울중앙지법 민사30부(재판장 한성수 부장판사)는 A씨 등 2400여명이 인터파크를 상대로 낸 손해배상청구소송(2016가합563586)에서 최근 "인터파크는 회원들에게 1인당 10만원씩 지급하라"며 원고일부승소 판결했다. 인터넷 쇼핑몰인 인터파크에선 지난 2016년 5월 인적사항을 알 수 없는 해커에 의해 내부 전산망이 해킹 당하는 사고가 발생했다. 이 사고로 인터파크가 관리하고 있던 회원들의 비밀번호와 생년월일, 휴대전화 번호 등 개인정보가 유출됐다. 방송통신위원회는 해커의 공격을 지능형 지속가능 위협(APT)으로 보고, 민관합동조사단을 구성해 인터파크의 개인정보처리시스템 등에 남아있는 접속기록 등을 토대로 개인정보 처리 및 운영 실태를 조사했다. 지능형 지속가능 위협은 해커가 다양한 보안 위협을 만들어 특정 기업이나 조직의 네트워크에 지속적으로 가하는 공격을 말한다. 그 결과 해커는 인터파크 직원의 네이버 계정을 불법적으로 도용해 접속한 뒤 악성코드를 심은 이메일을 보내 컴퓨터를 감염시키고, 회원들의 개인정보가 저장돼 있던 DB서버에 접속해 이를 모두 빼간 것으로 조사됐다. 이에 인터파크 회원 A씨 등은 "1인당 30만원을 배상하라"며 소송을 냈다. 재판부는 "정보통신서비스 제공자인 인터파크가 회원들의 개인정보를 보호하기 위해 옛 정보통신망법 등 관련 법령상 어떠한 조치를 해야 하는지 확인하고 이를 이행할 의무가 있음에도 이를 게을리 해 최대접속시간 제한 조치 및 비밀번호의 암호화를 위한 조치를 취하지 않았다"면서 "개인정보 유출을 안 때로부터 24시간 이내에 회원들에게 이를 알리지 않았으므로 인터파크에게 옛 정보통신망법 제28조 등을 위반한 과실이 인정된다"고 밝혔다. 옛 정보통신망법 제28조는 '정보통신서비스 제공자 등이 개인정보를 처리할 때에는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위해 대통령령으로 정하는 기준에 따라 기술적·관리적 조치를 해야 한다'고 규정하고 있다. 재판부는 이어 "유출된 회원들의 개인정보는 모두 개인을 식별할 수 있을 뿐만 아니라 사생활과 밀접한 관련이 있어 이를 도용한 2차 피해 발생과 확대의 가능성을 배제하기 어렵다"면서 "인터파크는 같은 해 7월 회원들의 개인정보가 유출됐음을 인지했음에도 그로부터 14일 뒤에야 비로소 이를 통지해 회원들이 개인정보 유출에 신속히 대응할 수 있는 기회를 상실하게 만들었다"고 설명했다. 다만 "회원들의 개인정보가 불특정 다수에게 공개됐거나 명의가 도용되는 등 추가적 법익침해가 발생했다고 볼 자료는 제출되지 않았다"면서 "기업이 소비자에게 유익한 서비스를 제공함에 있어 부득이 고객의 일정한 개인정보를 수집·보관하는 것이 필요한 현실적인 제약을 고려할 때 손해배상액을 1인당 각 10만원으로 정함이 상당하다"고 판시했다.

유명 온라인 슈팅게임 '오버워치'에서 목표물을 자동으로 조준해 공격할 수 있도록 하는 프로그램이 정보통신망법 등이 금지하고 있는 '악성 프로그램'에 해당한다고 볼 수는 없다는 대법원 판결이 나왔다. 해당 프로그램이 정보통신시스템이나 게임 데이터 또는 프로그램 자체를 변경시키는 것은 아니기 때문이라는 이유에서다. 대법원 형사3부(주심 김재형 대법관)는 15일 게임산업진흥에 관한 법률 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 기소된 A씨에게 징역 1년에 집행유예 2년을 선고한 원심을 파기하고 사건을 인천지법으로 돌려보냈다(2019도2862). 대법원은 원심에서 유죄로 판단한 정보통신망법 위반 혐의를 무죄로 판단했다. A씨는 2016년부터 2017년까지 약 1년간 오버워치 게임에서 상대방을 자동으로 조준하게 하는 프로그램인 'AIM도우미'를 총 3612회에 걸쳐 1억9900여만원을 받고 판매한 혐의로 기소됐다. AIM도우미는 게임 이용자가 1회라도 상대 캐릭터 공격에 성공할 경우, 이후 화면에 표시되는 상대 체력 표시를 자동으로 탐색하고 마우스 커서가 상대를 자동으로 따라가게 하는 프로그램이다. 상고심에서는 이 프로그램이 '악성 프로그램'에 해당하는지 여부가 쟁점이 됐다. 정보통신망법 제48조 2항은 '누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램(이하 '악성프로그램'이라 한다)을 전달 또는 유포하여서는 아니 된다'고 규정하고 있다. 재판부는 "AIM도우미는 이용자 본인의 의사에 따라 해당 이용자의 컴퓨터에 설치돼 그 컴퓨터 내에서만 실행된다"며 "정보통신시스템이나 게임 데이터 또는 프로그램 자체를 변경시키지는 않는다"고 밝혔다. 이어 "해당 프로그램은 정보통신시스템 등이 예정한 대로 작동하는 범위 내에서 상대방 캐릭터에 대한 조준과 사격을 쉽게 할 수 있도록 해줄 뿐"이라며 "프로그램을 실행하더라도 기본적으로 일반 이용자가 직접 상대를 조준해 사격하는 것과 동일한 경로와 방법으로 작업이 수행된다"고 설명했다. 또 "이 프로그램이 서버를 점거해 다른 이용자들의 서버 접속 시간을 지연시키거나 접속을 어렵게 만들고, 대량의 네트워크 트래픽을 발생시키는 등으로 정보통신시스템 등의 기능 수행에 장애를 일으킨다고 볼 증거도 없다"고 했다. 대법원은 "이 프로그램이 정보통신망법이 정한 '악성 프로그램'에 해당하지 않는다고 판단한 것일 뿐 온라인 게임과 관련해 일명 '핵(hack) 프로그램'을 판매하는 등의 행위가 형사상 처벌되지 않는다고 판단한 것은 아니다"라고 강조했다. 그러면서 "게임물 사업자가 제공 또는 승인하지 않은 프로그램을 배포·제작하는 행위는 게임산업법 위반죄 등에 해당될 수 있다"고 했다. 앞서 1심은 "쉽게 상대방을 저격할 수 있게 되기는 하나 게임 자체의 승패를 뒤집기 불가능할 정도로 만드는 것은 아니다"라며 "정보통신시스템이 예정하고 있는 기능의 운용을 방해했다고 보기 어렵다"며 정보통신망법 위반 혐의는 무죄로 판단하되 게임산업법 위반 혐의는 유죄로 봐 A씨에게 징역 1년에 집해유예 2년을 선고했다. 하지만 2심은 AIM도우미가 게임의 운용을 방해하는 프로그램에 해당한다고 보고 정보통신망법 위반 혐의도 유죄로 판단했다. 2심은 "개발자가 예정하지 않은 프로그램을 통해 게임에 중요한 요소를 자동수행으로 대체하도록 하는 것은 운용을 전반적으로 해치는 것"이라며 "다른 이용자들에게 공정성에 대한 의문을 제기하게 하고, 게임에 대한 흥미와 경쟁심을 잃게 만든다"고 밝혔다. 다만 형량은 1심과 같이 유지했다.

헤어진 연인이 전화를 받지 않자 자동프로그램을 이용해 하루 수백통의 전화를 걸었더라도 정보통신망법 위반으로 처벌할 수는 없다는 대법원 판결이 나왔다. 정보통신망법은 공포심이나 불안감을 유발하는 음향 등을 반복적으로 상대방에게 보내는 경우 처벌하도록 하고 있는데, 전화 벨 소리는 상대방에게 송신된 음향이 아니므로 공포심이나 불안감을 유발하더라도 처벌 대상으로 볼 수 없다는 취지다. 대법원 형사2부(주심 김상환 대법관)는 정보통신망 이용 촉진 및 정보보호등에 관한 법률 위반 혐의로 기소된 A씨에게 무죄를 선고한 원심을 최근 확정했다(2020도714). A씨는 연인이던 B씨와 해외여행을 갔다가 심하게 다툰 후 귀국해 화해를 하려고 B씨에게 전화와 문자를 했다. 하지만 B씨가 전화를 받지않자 화가 난 A씨는 자동프로그램을 이용, 하루 수백통에 이르는 전화를 B씨에게 걸었다. 또 문자와 카카오톡을 이용해 '주변 지인들에게 연락한다'는 등의 메시지를 반복적으로 보낸 혐의로 기소됐다. 정보통신망법은 '정보통신망을 통해 공포심이나 불안감을 유발하는 부호·문언·음향·화상 또는 영상을 반복적으로 상대방에게 도달하게 한 자'는 1년 이하의 징역 또는 1000만원 이하의 벌금에 처하도록 하고 있다. 벨소리는 상대방에게 송신된 음향으로 못 봐 1심은 "피해자가 일상생활이 불가능하다고 호소하는 점 등에 비춰볼 때 반복적으로 전화를 걸고 메시지를 보낸 것은 정보통신망을 통해 공포심이나 불안감을 유발하는 문언을 반복적으로 한 행위에 해당한다"며 A씨에게 벌금 100만원을 선고했다. 하지만 2심은 "'정보통신망을 통해 공포심이나 불안감을 유발하는 음향을 반복적으로 상대방에게 도달하게 한다는 것'은 상대방에게 전화를 걸어 반복적으로 음향을 보냄으로써 이를 받는 상대방으로 하여금 공포심이나 불안감을 유발케 하는 것"이라며 "전화를 걸 때 상대방 전화기에서 울리는 '전화기의 벨소리'는 정보통신망을 통해 상대방에게 송신된 음향이 아니다"라고 밝혔다. 공포심·불안감 유발하더라도 처벌대상 안 돼 이어 "따라서 반복된 전화기 벨 소리로 상대방에게 공포심이나 불안감을 유발케 하더라도 이는 정보통신망법 위반이 아니다"라며 "A씨가 B씨에게 전화를 건 행위만으로는 '상대방으로 하여금 공포심이나 불안감을 유발하는 음향을 반복적으로 상대방에게 도달하게 한 행위'라고 판단하기 어렵다"고 설명했다. 대법원 무죄 원심확정 또 "(A씨가 반복적으로 보낸 메시지도) 두 사람이 헤어지는 과정에서 금전문제 등 다툼이 있어 A씨가 B씨에게 돈의 변제를 요구하는 과정에서 비롯된 것으로 보인다"며 "(메시지에) 폭력적 언행이나 언사를 사용한 것으로 보이지 않을 뿐만 아니라 두 사람의 관계, 메시지를 보낸 경위, 문구의 내용 및 수위 등을 고려하면 메시지가 공포심이나 불안감을 유발하는 내용의 표현이라고 보기 어렵다"면서 무죄를 선고했다. 대법원은 검사의 상고를 기각하고 원심을 확정했다.

대학교 총학생회장 선거에 출마한 입후보자에게 조언을 할 목적으로 직전년도 입후보자의 문제점을 실명 등과 함께 구체적으로 언급했다면 명예훼손으로 보기 어렵다는 대법원 판결이 나왔다. 비방할 목적이 없었고 공익을 위한 것이라는 이유에서다. 대법원 형사3부(주심 김재형 대법관)는 최근 정보통신망 이용촉진 및 정보보호 등에 관한 법률상 명예훼손 혐의로 기소된 A씨에게 벌금 100만원을 선고한 원심을 파기하고 무죄 취지로 사건을 고등군사법원에 돌려보냈다(2018도15868). B대학 법학과에 다니던 C씨는 법학과 학생들만 가입한 네이버 밴드에 '총학생회장 출마의사를 밝히니 쓴소리가 들린다'며 조언을 구하는 글을 게시했다. A씨는 여기에 댓글로 'D씨가 학생회비도 내지 않고 선거에 출마하려다 상대방 후보를 비방하고 이래저래 학과를 분열시키고 개인적인 감정을 표한 사례가 있다'고 언급한 뒤 '그러한 부분은 지양했으면 한다'는 내용을 게재했다. D씨는 직전년도 B대학 총학생회장에 입후보했다가 중도 사퇴한 인물이다. 검찰은 A씨가 D씨의 실명을 거론하며 구체적인 사례를 든 것은 정보통신망법상 명예훼손에 해당한다며 기소했다. 재판에서는 정보통신망법 제70조 1항의 주관적 구성요건인 '사람을 비방할 목적'이 인정되는지 여부가 쟁점이 됐다. 대법원, 무죄취지 원심파기 재판부는 "댓글은 A씨가 C씨에게 조언하려는 취지에서 작성된 일련의 댓글 중 일부이고, A씨가 쓴 댓글은 객관적 사실에 부합하는 것으로 보인다"며 "총학생회장 입후보자는 입후보 당시 뿐만 아니라 이후라도 후보 사퇴나 당락을 떠나 후보자로서 한 행동에 대해 다른 학생들의 언급이나 의사표명을 어느 정도 수인해야 한다"고 밝혔다. 이어 "D씨의 사회적 평가가 저하되는 정도가 총학생회장의 출마자격에 관한 법학과 학생들의 관심 증진과 올바른 여론 형성에 따른 이익에 비해 더 크다고 보기 어렵다"며 "A씨의 주요한 동기와 목적은 공공의 이익을 위한 것으로서 D씨를 비방할 목적이 있다고 보기는 어렵다"고 판시했다. 1,2심을 담당한 군사법원은 A씨의 혐의를 유죄로 판단해 벌금 100만원을 선고했었다.

협박 등 반의사불벌죄(피해자가 가해자의 처벌을 원하지 않는다는 의사를 표시하면 처벌할 수 없는 범죄)의 경우 피해자의 고소 취소 또는 처벌불원서가 '1심 판결 선고 전(前)'에 제출됐다면 공소기각 판결을 해야 한다는 대법원 판결이 나왔다. 형사소송법 제232조는 '고소 취소와 피해자의 명시한 의사에 반하여 죄를 논할 수 없는 사건에 있어서 처벌을 희망하는 의사표시의 철회는 제1심 판결선고 전까지 할 수 있다'고 규정하고 있다. 대법원 형사3부(주심 김재형 대법관)는 협박 등의 혐의로 기소된 A씨에게 최근 징역 6개월을 선고한 원심을 파기하고 사건을 인천지법으로 돌려보냈다(2019도10678). A씨는 2018년 내연관계이던 B씨가 결별을 요구하면서 연락을 피하자 협박조의 문자메시지와 유사성행위 장면이 담긴 사진 등을 B씨에게 휴대폰으로 전송했다. 또 내연관계 사실을 B씨의 가족들에게 알릴 것처럼 겁을 주는 등 협박했다. 이에 검찰은 A씨를 협박, 정보통신망 이용촉진 및 정보보호 등에 관한 법률상 불법정보 유통금지, 성폭력범죄의 처벌 등에 관한 특례법상 카메라 등 이용촬영 및 통신매체이용음란 등의 혐의로 기소했다. 검찰은 피해자 B씨에게 국선변호사를 선정해줬다. B씨의 국선변호사는 1심 판결 선고 전 재판부에 '피해자는 피고인과 합의했으므로 이 사건 고소를 취소하고, 피고인에 대한 처벌을 원하지 않는다는 의사를 표시한다'는 내용 등이 기재한 '고소취소 및 처벌불원서'를 제출했다. 대법원, “반의사불벌죄 해당” 징역 6월 원심 파기 하지만 1심은 A씨의 혐의를 모두 유죄로 판단한 다음 징역 10개월에 집행유예 2년을 선고했다. 2심도 공소사실을 전부 유죄로 판단해 징역 6개월을 선고했다. 상고심에서는 A씨 측이 1심 판결 전 제출한 피해자의 '고소취소 및 처벌불원서'에 따라 반의사불벌죄인 협박과 정보통신망법상 불법정보 유통금지 혐의에 대해서는 공소가 기각되어야 하는지가 쟁점이 됐다. 대법원은 "협박죄와 정보통신망법상 불법정보 유통금지죄는 모두 반의사불벌죄에 해당한다"며 "반의사불벌죄에서 처벌을 희망하는 의사표시의 철회 또는 처벌을 희망하지 않는 의사표시는 제1심 판결 선고 전까지 할 수 있다"고 밝혔다. 이어 "피해자의 국선변호사가 1심 판결 선고 전에 제출한 '고소취소 및처벌불원서'에 피해자가 처벌을 희망하지 않는다는 내용이 기재돼 있다"며 "원심은 피해자의 처벌 희망 의사표시가 적법하게 철회되었는지를 직권으로 조사해 반의사불벌죄의 소극적 소송조건을 명확히 심리·판단할 필요가 있는데 이를 오해한 잘못이 있다"고 설명했다. 그러면서 "협박과 정보통신망법 위반 부분을 파기해야하는데, 원심은 나머지 성폭력처벌법 위반 혐의도 경합범 관계에 있다는 이유로 하나의 형을 선고해 원심을 전부 파기한다"고 판시했다.

2016년 2,500만 건의 고객정보를 유출 당한 인터파크에게 방통위는 44억 8,000만 원의 과징금을 부과했다. 이는 개인정보 유출 관련 정부가 부과한 과징금액으로는 역대 최고 금액이다(참고로 민사에서 최대 배상금액을 기록한 소송은 단연 신용카드 3사 개인정보유출 사건이다). 인터파크는 방통위의 과징금 처분에 불복하여 행정소송을 제기했으나 1심 서울행정법원 및 항소심 서울고등법원에서 패소했다. 소송에서는 인터파크의 법위반행위와 해킹 간 인과관계 여부가 주된 쟁점이었다. 법원은 방통위 처분을 지지하면서 “유출사고가 난 이상 이것과 법위반행위 사이의 인과관계가 입증되지 않았더라도 과징금을 부과할 수 있다”고 해석했다. 본고에서는 이 쟁점에 대해 살펴본다. 인터파크가 당한 해킹의 유형은 APT(Advanced Persistent Threat) 공격이다. 이는 해커가 특정 목표 대상을 정한 후 그 허점을 집요하게 노려 침입하는 기법이다. 해커는 인터파크 직원 A의 가족사진을 가지고 화면보호기(SCR 파일)를 만들고 여기에 악성코드를 심어 A에게 이메일로 전송하면서, 마치 A의 친동생이 보내는 것처럼 발신 이메일 주소를 위장하고 동생의 어투까지 흉내냈다. A는 감쪽같이 속을 수밖에 없었다. 화면보호기의 확장자가 EXE가 아니라 SCR이라서 A는 별 의심을 하지 않고 첨부파일을 열었을 것이나, SCR 파일도 악성코드 유포용으로 사용될 수 있다. 특정 공격을 위해 특별 제작된 악성코드는 백신에도 탐지되지 않는다. 해커는 악성코드를 감염시킨 A의 PC를 거점으로 삼아 DB 관리자 직원 B의 PC에 원격 데스크탑 접속했다. 당시 B가 퇴근한 시간이었는데, 그때까지 DB 서버와의 접속이 유지된 터미널이 B의 PC에 그대로 떠 있었다고 한다. 자동 로그아웃(이하 ‘idle timeout’) 설정이 제대로 안 되어 있었기 때문이다. 덕분에 해커는 DB 서버에 손쉽게 침입할 수 있었는데, 여기에서 인터파크 회원들의 개인정보가 유출된 것이 바로 이번 사고이다. 정보통신망법의 위임을 받아 개인정보의 기술적·관리적 보호조치의 내용을 정한 방통위 고시는 개인정보처리시스템에 idle timeout 설정을 할 의무를 규정하고 있다. 그러한 법상 의무를 위반하면 그 자체로 과태료, 개인정보 유출까지 되면 과징금 부과 대상이다. 부수적으로, A의 PC를 손에 넣은 해커가 인터파크 사내 네트워크를 스캔했더니 업무용 파일서버가 발견되었다. 거기에는 패스워드 장부 엑셀파일이 있었다. 직원들이 수많은 인터파크 서버들의 접속계정을 외우기 어려워 이를 메모해둔 것이었다. 다만, 개인정보가 유출된 DB 서버의 접속 패스워드는 여기에 없었다고 한다. 즉, 패스워드 장부 노출이라는 법위반행위와 개인정보 유출 사이에는 인과관계가 없음이 분명했다. 그런데 방통위는 idle timeout 미설정은 물론 및 패스워드 장부 노출까지 모두 처분원인사실로 삼아 과징금을 부과했다. 인터파크는 행정소송에서 idle timeout 미설정은 APT 해킹의 핵심 원인이 아니다, 나아가 패스워드 장부 노출과 개인정보 유출은 인과관계가 전혀 없다고 주장했다. 인터파크를 패소시킨 1심 및 항소심 법원은 인과관계 자체가 과징금 부과 요건이 아니라고 근거법률을 해석했다. 개정 전 법조문은 “법상 '조치'를 하지 아니하여 이용자의 개인정보를 '유출'한 경우에는 과징금을 부과한다”는 구조로서 '미조치'가 '유출'의 원인이 되어야 한다는 뜻이 명확했다. 이와 달리 2014년 개정된 법조문은 “이용자의 개인정보를 '유출' 한 경우로서 법상 '조치'를 하지 아니한 경우에는 과징금을 부과한다”는 형식으로 바뀌었다. 이를 근거로 법원은 '유출'이라는 결과와 '미조치' 행위가 인정되기만 하면 둘 사이의 인과관계는 요구되지 않는다고 해석했다. 그러나, 해킹의 원인을 제공하지 않은, 즉 ‘인과관계’ 없는 사업자의 위반행위까지 과징금 처분사유가 될 수 있다고 본 법해석에 대해서는 재고의 여지가 있다고 사료된다. 민사와 형사의 영역에서는 자신의 행위와 인과관계 없는 결과에 대해서 법적 책임을 지는 경우는 있을 수 없다. 형법 제17조(인과관계) 및 민법 제750조(불법행위의 내용) 모두 ‘인과관계’를 법적 책임의 성립요건으로 요구한다. 이것이 법의 대원칙이다. 행정상의 제재 또한 특별한 사정이 없다면 마찬가지이다. 행정상 금전제재는 크게 과징금과 과태료로 나뉜다. 일반론적으로, 단지 절차를 위반한 행위에 대해서는 행정질서벌의 일종인 과태료(가벼운 제재)가 부과되는데 그치는 반면, 행정목적을 침해하는 결과까지 야기한 행위에 대해서는 행정벌의 일종인 과징금(무거운 제재)이 부과된다. 정보통신망법 또한 이 체계에 따라 과태료와 과징금의 각 구성요건이 차등되어 있다. 사업자가 단지 idle timeout과 같은 법상 조치를 불이행한데 그쳤다면 3,000만 원 이하의 과태료를 부과 받지만(제76조 제1항 제3호), 더 나아가 개인정보 유출(해킹)이라는 결과까지 야기했다면 관련매출액에 비례하는 과징금을 부과 받는다(제64조의3 제1항 제6호). 해킹을 당했다는 결과에 대해 사업자에게 과징금이라는 법적 책임을 지우려면, 마땅히 사업자의 행위와 결과 사이에 ‘인과관계’가 존재해야 한다. 이것이 법의 대원칙에 부합하는 해석으로 사료된다(만약 해킹과의 인과관계를 불문하고 과징금을 부과하는 쪽으로 제도를 바꾼다면 굳이 행정질서벌을 운영할 필요가 없으니 과태료 조항을 폐지하는 것이 균형에 맞을 것이다). 이러한 원칙에 부합하도록 개정 전 정보통신망법 제64조의3 제1항 제6호는 ‘조치를 하지 아니하여 이용자의 개인정보를 누출’이라는 형식으로 규정함으로써 미조치가 해킹의 원인을 제공했어야 한다는 요건을 명시하고 있었다. 그러다가 2013. 11. 21. 방통위가 입법예고한 정보통신망법 일부개정안에서 “현재 대규모 개인정보 누출 등 침해사고 발생시 기술적·관리적 보호조치 위반과의 인과관계 입증이 어려움” 이라는 이유를 들어 과징금 부과요건 중 ‘인과관계’ 요건을 삭제할 것이 제안되었다. 참고로 이때까지는 개인정보 유출(해킹) 사고에 대해 과징금 처분이 내려진 전력이 없었다(2014. 6. 26. 비로소 첫 과징금 사건인 KT 마이올레 사건의 방통위 처분이 내려졌다). 위 방통위가 제안한 내용의 정보통신망법 제64조의3 제1항 제6호 개정안은 독자적인 법안으로 국회에 발의되지는 않은 것으로 보이고, 대신 2014. 5. 2. 국회 본회의를 통과한 대안법안의 일부로서 반영되었다. 그런데 정작 그 대안법안의 의안원문 및 이에 관한 국회 검토보고서, 소관위 회의록 등 가운데 ‘인과관계’ 입증 없이도 과징금을 부과할 수 있도록 한다는 기재는 어디에도 없다. 즉, ‘인과관계’ 요건을 삭제하는 개정안이 국회에서 논의라도 되었는지 의문이다. 참고로 그 당시는 신용카드 3사 개인정보 유출 사고 사실이 2014. 1. 8.자 검찰 발표에 의해 알려진 이래 국회에서 앞 다투어 개인정보 규제를 강화하는 법안들이 발의된 시점이어서, 위 대안법안에는 무려 18건의 발의안이 통합되어 있었다(예컨대 300만 원 이하 법정손해배상 규정도 이 때 신설된 것이다). 따라서 입법자의 의도에 ‘인과관계’ 요건 삭제가 포함되어 있는지 여부는 불명확한 측면이 있으며, 만약 진정한 입법의도가 그러했다면 위헌 소지를 검토해 보아야 한다. 무엇보다도 과징금 부과요건에서 ‘인과관계’를 뺄 경우, 민사상 손해배상 요건과 균형이 맞지 않게 된다. 정작 본인의 정보를 유출 당한 이용자는 사업자를 상대로 민사소송을 제기하더라도 사업자의 과실과 해킹 간 인과관계가 입증되지 못하면 손해배상을 받을 수 없다. 행정청은 피해자인 일반 국민들보다 현저히 강력한 조사권한을 가졌음에도 ‘인과관계’ 요건 입증을 생략하고 과징금이라는 공법적 제재를 손쉽게 부과할 수 있어야 하는지, 응보와 억지가 피해배상보다 우선되어야 하는 가치인지는 심히 의문스럽다. 향후 만약 행정청이 ‘인과관계’ 요건 입증을 생략하고 과징금을 부과할 경우, 이번 판결이 해석한 입법의도와는 오히려 반대로, 피해자들이 제기한 민사소송에서 별도로 인과관계 요건을 입증하는데 곤란을 겪어 이용자 구제에 흠결을 낳을 수도 있다. 한편, 만약 본고의 주장에 따라 ‘인과관계’를 여전히 현행법상 과징금 부과요건으로 해석할 경우, 인터파크 사건에서 두 처분사유와 해킹 사이의 인과관계는 존재하는가. 제1처분사유와 해킹 사이의 인과관계 유무는 곧 “Idle timeout 조치를 취했을 때 인터파크가 당한 유형의 APT 해킹을 통상 막을 수 있는가”의 문제로 점철된다. 이는 세부 사실관계에 따라 판단 여지가 있는 문제이다. 인터파크 사건의 경우, 해커가 DB 관리자 B의 PC(관리용 단말기)에 원격 데스크탑으로 접속해보니 마침 B가 퇴근하여 자리를 비운 상태에서 망분리 프로그램 및 DB 서버 접속 터미널이 로그아웃 되지 않고 그대로 떠 있었다. 이와 달리, 위 망분리 프로그램 및 DB 서버 접속 터미널에 최대접속시간이 설정되어 있었고 해커가 B의 PC에 접속했을 때 위 터미널이 로그아웃 된 상태였다고 가정했을 때, 과연 해커가 DB 서버에 침입할 수 있었을지 여부가 관건이다. 만약 예컨대 해커가 B의 PC에 키로거 등을 용이하게 설치할 수 있는 상황이었다면, 해커로서는 수고스럽더라도 위 PC에 키로거를 심어 내부망 ID·PW 및 DB 서버 ID·PW를 도청할 수 있었을 것이고, 이 경우 idle timeout 조치를 했었더라도 해킹은 막지 못하게 된다. 이러한 맥락에서 싸이월드 판결은 DB 서버 계정 ID·PW가 해커에게 이미 도청당한 상태에서 idle timeout 설정은 무용지물이라는 이유로 그 미설정과 해킹 사이의 상당인과관계를 부정한바 있었다. 달리 가정하여, 만약 해커가 B의 PC 제어권한을 완전히 탈취하지 못했거나, 또는 해커의 관점에서 우연히 접속해 본 B의 PC가 DB 관리자의 것인지조차 알기 어려운 상황이었다면, DB 서버 접속 터미널이 idle timeout 되지 않고 그대로 떠 있었던 것이 해킹의 결정적 계기를 제공한 셈이므로 상당인과관계가 인정될 수 있을 것이다. 한편, 적어도 두 번째 처분사유와 해킹 사이에는 인과관계가 없다는 점은 분명하다. DB 서버의 관리자 비밀번호는 문제된 패스워드 장부 엑셀파일에 쓰여 있지 않았고, 해커는 다른 경로로 DB 서버에 침입했으므로, 위 패스워드 장부 엑셀파일이 노출된 것은 DB 서버 해킹의 원인과 무관하다. 해킹과 인과관계 없는 위반행위는 과태료 부과 대상이어야 마땅하다. 그런데 인터파크의 입장에서는 다른 경로로 해킹을 당했다는 우연한 사정으로 인해, 해킹의 원인이 아닌 행위에 대해서까지 경한 과태료 대신 중한 과징금을 부과 받게 된 셈이다. 요컨대, 정부가 ‘인과관계’를 입증하기 곤란하다는 이유로 이것을 과징금 부과요건에서 뺀다는 것은 근시안적인 접근이다. 정부의 역할은 침해사고 원인조사의 실효성을 높임으로써 해킹과 ‘인과관계’ 있는 취약점이 무엇이었는지를 현장에서 밝히는 것이 되어야 한다. 그렇다면 기술적·관리적 보호조치 고시는, idle timeout과 같은 지엽적인 의무를 나열할 것이 아니라, 로그(Log) 보존 등 사고조사에 꼭 필요한 조치의무를 강화하는 방향으로 향후 개정되어야 하지 않을까. 전승재 변호사 (법무법인(유한) 바른)

◇ ‘악성프로그램’ 해당 여부에 관한 판단 기준 ◇ 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2016. 3. 22. 법률 제14080호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다) 제71조 제9호 및 제48조 제2항 위반죄는 악성프로그램이 정보통신시스템, 데이터 또는 프로그램 등(이하 ‘정보통신시스템 등’이라 한다)에 미치는 영향을 고려하여 악성프로그램을 전달 또는 유포하는 행위만으로 범죄 성립을 인정하고, 그로 인하여 정보통신시스템 등의 훼손·멸실·변경·위조 또는 그 운용을 방해하는 결과가 발생할 것을 요하지 않는다. 이러한 ‘악성프로그램’에 해당하는지 여부는 프로그램 자체를 기준으로 하되, 그 사용용도 및 기술적 구성, 작동 방식, 정보통신시스템 등에 미치는 영향, 프로그램 설치에 대한 운용자의 동의 여부 등을 종합적으로 고려하여 판단하여야 한다. ☞ 피고인들이 자동 회원가입, 자동 방문 및 이웃신청 등의 기능을 이용하여 네이버 카페나 블로그 등에 자동적으로 게시글과 댓글을 등록하고 쪽지와 초대장을 발송하는 등의 작업을 반복 수행하는 이 사건 프로그램을 판매한 행위는 구 정보통신망법 제71조 제9호 및 제48조 제2항의 악성프로그램 유포죄에 해당한다고 기소된 사안임 ☞ ‘악성프로그램’에 해당하는지 여부는 구체적인 사안별로 프로그램 자체를 기준으로 하되, 그 사용용도 및 기술적 구성, 작동 방식, 정보통신시스템 등에 미치는 영향, 프로그램 설치에 대한 운용자의 동의 여부 등을 종합적으로 고려하여 판단하여야 한다는 새로운 판단기준을 제시함 ☞ 이 사건 프로그램은 상품 등을 광고하는 데 사용하기 위한 것이고, 기본적으로 일반 사용자가 직접 작업하는 것과 동일한 경로와 방법으로 작업을 수행하며, 이 사건 프로그램 사용으로 정보통신시스템 등의 기능 수행이 방해된다거나 네이버 등의 서버가 다운되는 등의 장애가 발생한다고 볼만한 증거가 없다는 등의 사정을 살펴보면, 검사가 제출한 증거만으로는 구 정보통신망법 제48조 제2항의 정보통신시스템 등의 운용을 방해할 수 있는 ‘악성프로그램’에 해당한다고 인정하기에 부족하다는 이유로 무죄판결을 선고한 원심판결을 확정한 사례

네이버 등 포털사이트에 게시글과 댓글을 다량으로 자동 등록시킬 수 있는 매크로 프로그램을 개발·판매한 혐의로 기소된 개발자에게 무죄가 확정됐다. 해당 프로그램이 '악성'에 해당되는지는 프로그램의 용도와 기술적 구성, 작동 방식이나 정보통신시스템 등에 미치는 영향 등을 종합적으로 고려해 판단해야 한다는 것이다. 대법원은 이번 판결에서 '악성프로그램'에 관한 기준을 처음으로 제시했다. 대법원 형사2부(주심 김상환 대법관)는 12일 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 위반 혐의로 기소된 A씨와 B씨에게 무죄를 선고한 원심을 확정했다(2017도16520). A씨 등은 2010년 8월부터 2013년 10월까지 경기도 부천시의 한 사무실에서 자동 댓글 기능 등을 담은 프로그램을 1만여대 이상 개발·판매한 혐의로 기소됐다. 이 프로그램은 다른 사람에게 쪽지를 대량 발송하거나, 반복적으로 같은 내용의 글을 포털사이트 등에 올리는 기능을 담은 것으로 조사됐다. 검찰은 A씨 등이 이 프로그램을 통해 포털사이트 운영을 방해했다고 판단해 이들을 기소했다. 재판에서는 이들이 개발한 매크로 프로그램이 정보통신망법에서 규정하는 '악성 프로그램'에 해당하는지 여부가 쟁점이 됐다. 재판부는 "악성 프로그램 여부는 프로그램 자체를 기준으로 하되, 그 사용 용도 및 기술적 구성, 작동 방식, 정보통신시스템 등에 미치는 영향, 프로그램 설치에 대한 운용자의 동의 여부 등을 종합적으로 고려해 판단해야 한다"고 밝혔다. 이어 "A씨가 개발한 프로그램은 인터넷 커뮤니티 등에 업체나 상품 등을 광고하는데 사용하기 위한 것이며, 기본적으로 일반 사용자가 직접 작업하는 것과 동일한 경로와 방법으로 작업을 수행한다"면서 "(해당 프로그램으로) 네이버 등의 서버가 다운되는 등의 장애가 발생한다고 볼만한 증거도 없다"고 설명했다. 대법원은 또 포털사이트 댓글 조작 혐의로 기소된 일명 '드루킹' 김동원씨 사건과 이 사건은 명백히 다른 사안이라는 점을 분명히 했다. 대법원 관계자는 "이 사건은 네이버 카페나 블로그 등에 자동적으로 게시글과 댓글을 등록하고 쪽지와 초대장을 발송하는 등의 작업을 반복 수행하는 프로그램을 판매한 행위가 정보통신망법 제71조 제9호 및 제48조 제2항의 '악성프로그램 유포죄'에 해당하는지 여부에 관한 것"이라며 "(이와 달리) 자동으로 작업을 반복 수행하는 프로그램을 이용해 네이버 등의 뉴스 기사에 대한 댓글 순위를 조작하는 등의 행위는 형법 제314조 '컴퓨터등장애업무방해죄'에 해당하는지 여부로, 둘은 사안의 쟁점과 적용법조 자체가 다르다"고 설명했다. 앞서 1심은 "A씨 등이 개발한 프로그램은 네트워크에 필요 이상의 부하를 일으키고 이용자들에게도 피해를 준다"며 A씨에게 벌금 1000만원을, B씨에게 벌금 800만원을 선고했다. 하지만 2심은 "통상적인 경우보다 큰 부하를 유발한다는 이유만으로 정보통신시스템 운용을 방해할 수 있는 프로그램에 해당한다고 보기는 어렵다"며 "극단적인 가정 아래에서 장애 발생 가능성을 배제할 수 없다는 사정만으로 악성 프로그램에 해당한다고 보게 된다면 이는 형벌 규정의 구성요건을 지나치게 확대해석하는 것"이라며 무죄를 선고했다.

전기통신역무제공에 관한 계약을 체결하는 경우 전기통신사업자로 하여금 가입자에게 본인임을 확인할 수 있는 증서 등을 제시하도록 요구하고 부정가입방지시스템 등을 이용하여 본인인지 여부를 확인하도록 한 전기통신사업법(2014. 10. 15. 법률 제12761호로 개정된 것) 제32조의4 제2항, 제3항 및 전기통신사업법 시행령(2015. 4. 14. 대통령령 제26191호로 개정된 것) 제37조의6 제1항, 제2항 제1호, 제3항, 제4항(이를 전부 합하여 ‘심판대상조항’이라 한다)이 익명으로 이동통신서비스에 가입하여 자신들의 인적사항을 밝히지 않은 채 통신하고자 하는 자들의 개인정보자기결정권 및 통신의 자유를 침해하는지 여부(소극) 심판대상조항이 이동통신서비스 가입 시 본인확인절차를 거치도록 함으로써 타인 또는 허무인의 이름을 사용한 휴대전화인 이른바 대포폰이 보이스피싱 등 범죄의 범행도구로 이용되는 것을 막고, 개인정보를 도용하여 타인의 명의로 가입한 다음 휴대전화 소액결제나 서비스요금을 그 명의인에게 전가하는 등 명의도용범죄의 피해를 막고자 하는 입법목적은 정당하고, 이를 위하여 본인확인절차를 거치게 한 것은 적합한 수단이다. 가입자는 자신의 주민등록번호를 제공해야 하지만 특히 뒷자리 중 성별을 지칭하는 숫자 외의 6자리는 일회적인 확인 후 폐기되므로 주민등록번호가 이동통신사에 보관되어 계속적으로 이용되는 것이 아니다. 가입자는 대면(오프라인)가입 대신 온라인 가입절차에서 공인인증서로 본인확인하는 방법을 택하여 주민등록번호의 직접 제공을 피할 수도 있다. 또한 가입자의 이름과 주소, 생년월일, 주민등록번호 등 개인정보 수집에 따른 유출피해 등 부작용을 방지하기 위해 ‘개인정보 보호법’과 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 ‘정보통신망법’)에서는 정보처리자에게 개인정보의 기술적·관리적 보호조치를 취할 것을 요구하고 그 준수 여부를 행정청이 점검하는 등 적절한 통제장치를 마련함으로써 개인정보자기결정권의 제한을 최소화하고 있다(개인정보 보호법 제61조, 제26조 제4항, 제28조, 정보통신망법 제28조 제1항, 같은 법 시행령 제15조 제6항). 심판대상조항에 의해서는 아직 의사소통이 이루어지지 않은 이동통신서비스 가입단계에서의 본인확인절차를 거치는 것이므로, 이동통신서비스 가입자가 누구인지 식별가능해진다고 하여도 곧바로 그가 누구와 언제, 얼마동안 통화하였는지 등의 정보를 파악할 수 있는 것은 아니다. 따라서 심판대상조항으로 인해 가입자가 개개의 통신내용과 이용 상황에 기한 처벌을 두려워하여 이동통신서비스 이용 여부 자체를 진지하게 고려하게 할 정도라고 할 수 없다. 개인정보자기결정권, 통신의 자유가 제한되는 불이익과 비교했을 때, 명의도용피해를 막고, 차명휴대전화의 생성을 억제하여 보이스피싱 등 범죄의 범행도구로 악용될 가능성을 방지함으로써 잠재적 범죄 피해 방지 및 통신망 질서 유지라는 더욱 중대한 공익의 달성효과가 인정된다. 따라서 심판대상조항은 청구인들의 개인정보자기결정권 및 통신의 자유를 침해하지 않는다. [이석태·김기영 재판관의 반대의견 요지] 익명휴대전화를 이용하는 자들이 언제나 범죄의 목적을 가지는 것은 아니고, 익명통신은 도덕적으로 중립적인 것이므로, 익명휴대전화를 금지하는 것 자체는 정당한 입법목적이 될 수 없다. 명의도용피해는 후불제 계약에서만 발생하는 것이므로, 선불제 이용자에 대하여 본인 확인 절차를 거치도록 하는 것은 명의도용피해를 방지하기 위한 적합한 수단이 아니다. 또한 범죄는 여러 가지 동기에 의하여 다양한 행위태양으로 발생하는 것이므로, 심판대상조항이 익명휴대전화의 발생을 방지하는 것에서 더 나아가 범죄까지 예방할 수 있는 수단이라고 볼 수 없다. 가입자는 이용하고자 하는 서비스를 제공받기 위해서 반드시 필요한 개인정보만을 제공하면 이동통신서비스를 이용할 수 있는 것이 이동통신서비스 이용계약의 원칙적인 모습이다. 그런데 심판대상조항은 정보통신망을 이용하여 계약을 체결하는 경우 외에는 모든 국민이 신분증에 포함된 개인정보를 제공해야만 이동통신서비스를 이용할 수 있도록 규정하고 있고, 그 개인정보에는 가장 보호의 필요성이 높은 주민등록번호까지 포함되어 있다. 이는 이동통신서비스를 이용하고자 하는 국민들의 개인정보자기결정권을 중대하게 제한하는 것이다. 통신의 자유에는 실명으로 통신할 것인지 아니면 익명으로 통신할 것인지를 선택할 자유도 포함된다. 전기통신설비를 갖춘 전기통신사업자를 통해서만 이루어질 수 있는 전기통신의 특성상 본인 확인을 거친 이용자의 개인정보는 통신이용 후 통신에 관한 각종 정보를 연결하게 된다. 개별 이용자가 이동통신의 이용과정에서 발생하는 통신에 관한 정보를 일일이 통제하는 것은 불가능하므로, 통신정보 축적 및 이용자 식별의 가능성은 스스로 이동통신의 이용을 제한하는 위축효과를 발생시키기에 충분하다. 익명통신은 이용자가 통신의 비밀과 자유를 보호하기 위하여 취할 수 있는 소수의 수단들 중 하나로서 중요한 의미를 갖는다. 심판대상조항은 익명으로 이동통신서비스를 이용할 가능성을 완전히 배제하고 있으므로, 익명통신의 자유에 대한 제한 역시 매우 중대하다. 후불제 계약에서 발생하는 명의도용피해는 신분증을 이용하지 않는 본인 확인이나 자신의 명의로 이동통신서비스 이용계약이 체결되는 것을 사전에 제한하는 서비스로 방지할 수 있다. 또한 ‘전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법’ 등은 다양한 사전적·사후적 수단을 두고 있다. 심판대상조항은 이러한 대체수단이 존재함에도 불구하고, 이용자의 추적이 가능한 통신을 이용할 것을 강제함으로써 모든 국민을 잠재적인 범죄자와 같이 취급하고 있으므로 침해의 최소성에 반한다. 심판대상조항이 명의도용피해와 범죄 예방에 기여하는 정도는 익명통신을 범죄에 악용하는 극히 예외적인 경우를 이유로 대다수의 무고한 국민들의 기본권을 광범위하게 제한하는 것을 정당화할 수 있을 정도로 크다고 볼 수 없다. 그렇다면 심판대상조항은 과잉금지원칙에 반하여 청구인들의 개인정보자기결정권 및 익명통신의 자유를 침해한다.