• Legalinsight
  • Legaledu
  • 법률신문 법률정보

    판례평석

    토플 모의고사 프로그램 가맹계약 중개 역할을 하는 피고인이 가맹학원의 관리자 ID로 접속한 것이 정보통신망 침입에 해당하는지 여부

    - 대법원 2021. 6. 24. 선고 2020도17860 판결 -

    이규호 교수 (중앙대 로스쿨) 입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • 172428.jpg

    Ⅰ. 실체적 사실관계

    공소외 주식회사 X(이하 'X')가 제공하는 토플 온라인 모의고사 프로그램 가맹계약의 중개 역할을 하는 피고인 주식회사 B(이하 '피고인 회사 B')의 경영자인 피고인 A가 X와의 민사 분쟁으로 접속이 차단되자, X나 가맹학원의 승낙 없이 가맹학원의 관리자 ID로 위 토플 온라인 모의고사 관련 사이트에 접속하여 응시자가 시험을 볼 수 있게 한 사안에서, 이는 서비스제공자인 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것에 해당한다는 이유로 공소가 제기되었다. 이 사안의 실체적 사실관계는 다음과 같다.

    ① X는 미국의 비영리법인인 ETS(Educational Testing Service)가 개발한 TOEFL iBT 시험을 위한 온라인 모의시험인 TPO의 국내 독점 판매권을 가지고 있다.

    ② X는 2010년 4월 9일 피고인 회사 B와 사이에 X가 피고인 회사 B에게 TPO를 공급하는 내용의 'TPO 지사계약' 및 'TPO 시험센터 운영계약(이하 통틀어 '이 사건 TPO 계약'이라고 한다)'을 체결하였다.

    ③ 피고인 회사 B는 위 '시험센터 운영계약'에 따라 공소사실 기재 장소에 '강남토플센터'를 설치하고 그 곳에서 TPO를 보기 원하는 개인들로부터 신청을 받아 TPO를 치르게 하였고, '지사계약'에 따라 학원 등을 상대로 일종의 가맹계약을 체결하여 피고인 회사 B를 통해 X의 TPO를 치를 수 있도록 제공하였다.

    ④ 위 '지사계약'에 따라 피고인 회사 B가 신규 학원을 유치한 경우, 피고인 회사 B는 X에 C어학원을 신규 학원으로 등록한 다음 C어학원으로 하여금 "http://www.toefltpo.com/c" 사이트를 통해 그 소속 학원생들에게 시험을 볼 수 있도록 제공하여 주었다.

    ⑤ 한편 X는 피고인 회사 B가 2013년 8월경부터 TPO 공급대금을 지급하지 않자 2014년 2월경 X의 인터넷 사이트(http://www.toefltpo.com)상의 '강남토플센터(http://www.toefltpo.com/enr)' 링크아이콘을 삭제하였고, 2014년 4월 초순경 피고인 회사 B가 강남토플센터에서 TPO를 치를 수 있도록 관리하고 있던 사이트(http://www.toefltpo.com/enr)에 대한 피고인 회사 B의 접속권한을 차단하였다.

    ⑥ 피고인 회사 B의 TPO 담당 직원인 D 및 E는 2014년 4월 15일경 강남토플센터에 TPO를 신청한 개인 응시자들에 대한 시험을 진행하기 위하여 강남토플센터 사이트에 접속하려고 하였으나, 접속이 차단된 사실을 알고 X에 항의하였고, 이러한 사실을 피고인 A에 보고하였다.

    ⑦ 그 후 D와 E는 피고인 회사 B에서 지사계약을 통해 영업을 한 C어학원 명의로 등록된 TPO 사이트(http://www.toefltpo.com/c)에 피고인 회사 B가 알고 있던 관리자 아이디로 접속한 다음, 위 사이트에서 강남토플센터에서 TPO를 치르는 개인들의 아이디와 비밀번호를 입력한 후 승인을 하여 개인들로 하여금 시험을 치르게 하였다.

    ⑧ 한편 피고인 회사 B는 2014년 4월 9일 X에게 '2014년 4월 8일 현재 미지급금 9591만1600원을 2014년 4월 30일까지 전액 변제하겠다'는 내용의 채무변제확인서를 작성해 주었으며, 피고인 A는 위 채무변제확인서에 보증인으로 서명하였다. 이와 관련하여 피고인 A는 수사기관에서 '위 채무변제확인서를 작성하면 차단된 TPO 공급을 재개하겠다고 하여 이를 작성하게 되었다'는 취지로 진술하였다.

    ⑨ 당시 C어학원의 원장이었던 F는 법정에서 피고인 회사 B가 C어학원의 TPO 사이트를 이용하여 강남토플센터의 개인 이용자들에게 모의시험을 치르게 하였다는 사실을 X로부터 연락을 받아 처음 알게 되었다는 취지로 진술하였다.


    Ⅱ. 절차적 사실관계
    1. 제1심법원의 판단(서울중앙지법 2018. 12. 3. 선고 2017고정2588 판결)

    X로부터 C어학원에게 부여된 TPO 사이트에 피고인 회사 B가 C어학원의 관리자 아이디와 비밀번호를 이용하여 접속한 다음 강남토플센터에 모의시험을 신청한 학생들로 하여금 시험을 치르게 할 정당한 권한이 있었다고 보기 어렵고, 설령 관리자로서의 권한이 있었다 하더라도 그 권한을 초과하여 침입한 경우에 해당하며, 나아가 피고인 A도 위와 같은 내용을 잘 알고 있었던 것으로 판단된다.

    2. 원심법원의 판단(서울중앙지법 2020. 11. 27. 선고 2018노3978 판결)

    C어학원의 TPO 사이트에 대한 접근 권한은 그 학원에게만 부여된 것이고 위 TPO 사이트의 서비스제공자는 X라고 인정한 후, 피고인 A가 X나 C어학원의 승낙 없이 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속한 것은 서비스제공자인 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것에 해당한다는 이유로 이 사건 공소사실을 유죄로 판단한 제1심판결을 그대로 유지하였다.

    3. 대법원의 판단(대법원 2021. 6. 24. 선고 2020도17860 판결)

    피고인들의 상고를 기각하였다.


    Ⅲ. 평석
    1. 정보통신망법 제48조 제1항의 의의 및 구성요건

    정보통신망법 제48조 제1항에서는 "누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다"라고 규정하고 있다. 이 조문의 구성요건은 다음과 같다.

    첫째, 정보통신망법 제48조 제1항의 위반행위 객체는 '정보통신망'이다.

    둘째, 해당 행위가 정당한 접근권한 없이 또는 허용된 접근권한을 초과하여야 한다. '정당한 접근권한이 없는 경우'와 '허용된 접근권한을 넘은 경우'를 보다 세밀하게 구분할 필요가 있다. 참고로 범죄정보데이터베이스에서 자동차등록번호를 조회할 수 있는 일반적 권한을 가진 피고인이 뇌물수수 내지 금전차용의 목적으로 제3자의 자동차등록번호를 조회한 사안에서 미국 연방대법원은 "컴퓨터 내 정보에 접근할 권한이 있는 경우에는 부정한 목적으로 해당 정보에 접근하였다고 하더라도 접근권한을 넘는 행위에 해당하지 않아 CFAA 제1030조 (a)(2)를 위반한 것이 아니다"라고 판시한 바 있다[Van Buren v. United States, 940 F.3d 1192 (11th Cir. 2019), cert. granted, 593 U.S.(June 3, 2021)].

    2. 결론

    원심법원은 "피고인 A가 공소외 회사 X나 C어학원의 승낙 없이 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속한 것은 서비스제공자인 공소외 회사 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것에 해당한다"라고 판시하였고, 대법원은 원심의 판단을 수긍하면서 상고를 기각하였다. 즉, 원심법원과 대법원은 이 사안에서 피고인들의 해당 행위는 '정당한 접근권한 없이' 정보통신망에 침입한 행위에 해당한다고 판시하였고, '허용된 접근권한을 넘어' 정보통신망에 침입한 행위로는 보지 않았다. 반면에 제1심법원은 피고인 회사 B가 관리자로서의 권한이 있었다고 하더라도 그 권한을 초과하여 침입한 경우에 해당할 가능성을 열어 놓았다. 이와 관련하여 피고인 회사 B가 해당 학원의 TPO 사이트 등록 과정에서 해당 학원의 관리자 아이디와 비밀번호를 생성하여 알게 된다 하더라도, 이것이 피고인 회사 B가 운영하는 강남토플센터의 학생들에게 시험을 치르게 할 용도로 사용할 권한을 부여받은 것으로 해석하기는 어려운 점을 하나의 고려요인으로 설시하였다.

    이 사건에서 대법원은 정보통신망에 대한 접근권한의 유무 및 범위에 대해서 서비스제공자를 기준으로 판단하여야 한다는 점을 분명히 하고 있다. 대법원은 이용자인 가맹학원 C어학원의 승인이 없는 경우에도 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속한 것이 서비스제공자인 공소외 회사 X의 의사에 반하여 정당한 접근권한 없이 정보통신망에 침입한 것으로 보고 있다. 이 부분은 방론(dictum)의 여지를 열어 놓고 있는 것으로 보인다. 따라서, 이용자인 가맹학원 C어학원의 승인을 얻어 C어학원에서 사용하는 아이디와 비밀번호를 입력하여 TPO 사이트에 접속하였다면 서비스제공자인 공소외 회사 X의 의사에 부합하여 정당한 접근권한이 있는 것으로 판단할 가능성이 열려 있다고 볼 여지가 있다. 이러한 경우에 이용자의 접근권한을 기준으로 판단할 것인지 아니면 서비스제공자의 접근권한을 기준으로 판단할 것인지 여부는 좀 더 지켜볼 필요가 있다(전응준·신동환, '정보통신망 침입행위 관련 연구-정보통신망법 제48조 제1항을 중심으로', 문화미디어엔터테인먼트법, 제14권 제1호, 2020년 6월 30일, 178면).


    이규호 교수 (중앙대 로스쿨)


    최근 많이 본 기사