• Legaledu
  • 법률신문 뉴스

    서초포럼

    데이터 스크레이핑 관련 대법원 2022. 5. 12. 선고 2021도1533판결(야놀자 v. 여기어때 사건)의 검토

    입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • [2022. 9. 21.]



    1. 사실관계

    피고인이 패킷분석을 통해 원고의 모바일 앱용 API 서버로 정보를 호출하는 명령구문을 알아 낸 후 마치 정상적인 이용자가 위 모바일 앱을 이용하는 것처럼 위 API서버로 정보를 호출하는 명령구문을 입력하는 방식으로 위 API 서버에 접근하여 피해자의 숙박정보를 취득한 사건이다. 피고인이 수집한 피해자의 숙박정보는 적게는 ‘업체명, 주소, 지역’의 3개 항목에서 많게는 ‘업체명, 방이름, 원래금액, 할인금액, 업체주소, 입실시간, 퇴실시간, 날짜’등 8개 항목에 관한 정보였다.


    기존의 웹크롤링(web crawling), 데이터 스크레이핑(data scraping) 사건은 대체로 surface web(indexed web)의 정보를 수집한 사안으로 생각된다. surface web은 구글, 빙, 네이버 등 검색엔진에 의해 색인(indexing)될 수 있는 웹을 말한다. 반대개념으로 deep web이 있는데, 이는 일반적인 접근을 차단하여 웹크롤러, 봇에 의해 검색이 되지 않게 한 웹을 말한다. 데이터베이스, 이메일, 내부망 등이 여기에 해당한다. 위 야놀자 사건은 surface web이 아니라 검색엔진에 의해 통상적으로는 검색되지 않는 내부 DB 정보를 수집했다는 점에 다른 데이터 스크레이핑 사건과 구별된다고 생각되고, 이러한 측면에서 정보통신망 침입죄 여부가 더욱 문제된다고 보인다.



    2. 국내 선례(데이터베이스 제작자 권리 관련)

    우리나라 판례상으로 데이터베이스 제작자의 권리를 인정한 사례는 그리 많지는 않다. 첫 번째 사례로는 2010년 ‘종합물가정보’ 사건에서 서울고등법원이 원고에게 데이터베이스 제작자의 권리를 인정하고 피고의 행위가 데이터베이스의 개별 소재를 추출하여 이용하는 행위라고 하더라도 이들 개별 소재가 데이터베이스를 구성하는 중요 소재라고 한다면 이러한 행위는 데이터베이스(물가정보지)의 ‘상당한 부분’을 복제한 것에 해당한다고 판시한 것이 있다.[1]


    최근에는 데이터 스크레이핑, 크롤링과 관련하여 데이터베이스 제작자 권리가 논의된 바 있다. ‘리그베다위키(구 엔하위키) v. ‘엔하위키 미러’ 사건의 항소심이 원고에게 데이터베이스 제작자의 권리를 인정하였고(부정경쟁방지법 파목도 인정)[2] ‘잡코리아 v. 사람인’ 사건의 항소심에서도 원고에게 데이터베이스 제작자의 권리를 인정하였다(다만 부정경쟁방지법 파목 판단은 하지 않음).[3] 위 두 사건은 모두 대법원에서 심리불속행으로 종결되었다. 이들 사건의 특징은 저작권법상 데이터베이스 제작자의 권리와 부정경쟁방지법의 성과도용행위금지 조항(현재 부정경쟁방지법 제2조 제1호 파목)이 함께 주장되었고 위 청구원인이 모두 인용될 가능성이 높았다는 점이다.


    [각주1] 서울고등법원 2010. 6. 9. 선고 2009나96309 판결

    [각주2] 서울고등법원 2016. 12. 15. 선고 2015나2074198 판결

    [각주3] 서울고등법원 2017. 4. 6. 선고 2016나2019365 판결



    3. 판결 내용(각 공소사실 전부 무죄)

    3.1 정보통신망법 제48조 위반(정보통신망침해등)죄 성립 여부

    대법원은 일반론으로 “정보통신망에 대하여 서비스제공자가 접근권한을 제한하고 있는지 여부는 보호조치나 이용약관 등 객관적으로 드러난 여러 사정을 종합적으로 고려하여 신중하게 판단하여야 한다”고 판시하였다. 여기서 보호조치는 입법연혁상 패스워드 등 기술적인 보호조치를 말하는 것으로 보인다. 위 판결은 웹사이트 운영자가 주관적으로 채택할 수 있는 ‘이용약관’으로도 접근제한 조치를 설정할 수 있는 가능성을 열어 놓고 있다. 다시 말하면 특별한 기술적 접근제한조치가 부가하지 않아도 섬세하게 설계된 이용약관에 의해 접근권한이 설정된 것으로 판단될 여지가 있다. 이 점에서 hiQ Labs v. LinkedIn 파기환송심의 입장과 확연히 구분된다. 미국 제9 연방항소법원은 이용약관 등의 계약 내지 정책 기반 조치에 의해 CFAA의 접근제한이 설정될 수 있다고 보지 않으며 패스워드 설정 등의 코드 기반 조치에 의해 접근제한이 가능하다고 보고 있다.[4]


    구체적으로 사실관계를 살펴보면, 피해자의 API 서버는 회원가입 없이도 자유롭게 접근할 수 있었고 이를 차단하는 별도의 보호조치는 없었다고 판단되었다. 이 사건 앱 서비스 이용약관에서도 숙박정보에 대한 접근을 객관적으로 제한하는 내용은 없었다고 인정되었다. 대법원은 이러한 판단에 따라 피고인이 접근권한 없이 또는 접근권한을 넘어 피해자의 정보통신망에 침입하였다고 보기 어렵다고 보았다. 즉 이 사건의 경우 정보통신망에 대한 접근제한 자체가 없으므로 정보통신망 침입에 해당하지 않았다고 판단하였다.


    [각주4] 미국 제9항소법원 hiQ Labs v. LinkendIn, No. 17-16783, D.C. No. 3:17-cv-03301-EMC(2022. 4.18.)


    3.2 저작권법위반(데이터베이스 제작자 권리 침해)죄 성립 여부

    원심과 대법원은 다음과 같은 이유를 들어 저작권법위반의 점을 무죄로 판단하였다. ① 피고인 1 등이 피해자 회사의 API 서버로부터 수집한 정보들은 피해자 회사의 숙박업소 관련 데이터베이스의 일부에 해당한다. ② 위 정보들은 이미 상당히 알려진 정보로서 그 수집에 상당한 비용이나 노력이 들었을 것으로 보이지 않거나 이미 공개되어 있어 이 사건 앱을 통해서도 확보할 수 있었던 것이고, 데이터베이스의 갱신 등에 관한 자료가 없다. ③ 이러한 피고인 1 등의 데이터베이스 (소재 내지 일부) 복제가 피해자 회사의 해당 데이터베이스의 통상적인 이용과 충돌하거나 피해자의 이익을 부당하게 해치는 경우에 해당한다고 보기 어렵다.


    개인적 견해로는, 이러한 대법원의 판단에 일부 명확하지 않은 점이 있다고 생각한다. 위 대법원 판결은 정보통신망침해죄, 데이터베이스제작자 권리 침해죄 판단부분에서, “위 API 서버의 URL이나 명령구문은 피해자 회사가 적극적으로 공개하지는 않았지만 누구라도 간단한 기술조작이나 통상 사용되는 소위 ‘패킷캡쳐 프로그램’ 등을 통해 쉽게 알아낼 수 있는 정보이다.”, “피해자 회사의 숙박업소 관련 데이터베이스 정보는 위 정보들은 이미 상당히 알려진 정보로서 그 수집에 상당한 비용이나 노력이 들었을 것으로 보이지 않거나 이미 공개되어 있어 이 사건 앱을 통해서도 확보할 수 있었던 것”이라는 표현을 사용하였는데, 이는 침해된 정보가 대체로 ‘공개된 정보’이고 이러한 정보에 대해서는 데이터 스크레이핑이 가능하다는 점을 나타내려는 의도로 보인다.


    공개된 개인정보의 이용에 관한 대법원 판결이 존재하는 상황임을 고려하여,[5] 회원 자격 및 권한에 특별한 제한이 없어서 회원으로 접속하여도 데이터를 대량으로 수집할 수 있는 경우도 ‘공개된 정보’에 해당하는지, 이 사건과 같이 패킷분석 프로그램을 사용하여 API 구문을 분석한 후 DB 서버에 대량의 질의를 보내는 방식으로 취득한 데이터도 ‘공개된 정보’에 해당하는지 등에 관하여 그 요건을 대법원 판결이 명확하게 판단하였으면 하는 아쉬움이 있다.


    또한 데이터베이스 제작자 권리 침해에서 구성요건 해당성을 부정하기 보다는 위법성 조각사유인 제35조의5 공정이용 조항을 적용하는 것이 바람직하다고 생각한다. 이는 이 사건에 대해 성과도용 부정경쟁행위를 인정한 민사판결과의 관계에서 중요한 역할을 할 수 있다. 저작권법상 공정이용(제35조의5)에 해당하는 데이터베이스 이용행위에 대해 성과도용 부정경쟁행위를 인정하기는 어렵기 때문이다.[6]


    [각주5] 대법원 2016. 8. 17. 선고 2014다235080 판결

    [각주6] 권보원, ‘미국 연방대법원 2020개정기 지식재산권법 판결 결산’, 사법 57호, 2021, 553면은 Oracle v. Google 사건의 경우에서 “저작권법의 보호대상에서 제외될 뿐 아니라 그 저작물성을 가정하더라도 공정이용에 해당하는 경우라면, 섣불리 위 (카)목과 같은 포괄적인 일반조항을 적용하는 것은 신중히 접근함이 바람직하다.”고 주장하고 있다.


    3.3 컴퓨터등장애업무방해죄 성립 여부

    컴퓨터등장애업무방해죄는 정보처리에 관하여 장애가 현실적으로 발생하여야 성립하나, 상당수의 사안에서 현실적인 장애가 발생하였다는 점에 대한 입증이 부족하다고 판단되고 있다. 이 사안에서도 피고인들이 공모하여 정보처리장치에 부정한 명령을 입력하여 장애가 발생하게 하였다고 보기 어렵다고 판단되었다.



    4. 야놀자 v. 여기어때 민사 1심 판결(서울중앙지방법원 2021. 8. 19. 선고 2018가합508729판결)[7]

    원고는 부정경쟁방지법상 성과도용 부정경쟁행위와 저작권법상 데이터베이스제작자 권리 침해를 선택적으로 주장하였고, 법원은 그 중 성과도용 부정경쟁행위를 인정하였다. 이 사건에서 정보통신망 침입 여부, 데이터베이스 제작자 권리 침해 여부는 판단되지 아니하였다.


    성과도용 부정경쟁행위는 “타인의 상당한 투자나 노력으로 만들어진 성과 등을 공정한 상거래 관행이나 경쟁질서에 반하는 방법으로 자신의 영업을 위하여 무단으로 사용함으로써 타인의 경제적 이익을 침해하는 행위”를 말한다. 위 구성요건은 객체요건인 ‘타인의 상당한 투자나 노력으로 만들어진 성과’와 행위태양요건인 ‘공정한 상거래 관행이나 경쟁질서에 반하는 방법’으로 분설할 수 있다.


    위 민사판결은 성과도용 부정경쟁행위를 인정하고 별도로 데이터베이스 제작자 권리 침해는 판단하지 않았는데, 위 민사판결의 사실인정 부분에는 확정된 형사판결의 사실관계와 일부 상이한 점이 있다고 보인다. ① 형사판결과 다르게, 민사판결은 숙박정보의 갱신·검증·보충이 지속적으로 이루어졌다고 보았다. ② 형사판결은 피고가 원고의 노력에 의한 결과에 편승하여 무형의 이익을 얻었을 것이라고 인정하고 있으나 그로 인하여 원고에게 손해가 발생하였다고 판단하지는 않았다(피고가 내부적으로만 숙박정보를 이용하였기 때문으로 추측됨). 반면 민사판결은 이러한 피고의 행위로 인하여 원고의 경쟁력이 저하되는 등의 손해가 발생한다는 사정까지 인정하였다.


    확정된 형사판결의 사실인정에 따르면 피고에게 수집된 원고의 정보는 공개된 정보이거나 그에 준하는 정보이고 원고가 데이터베이스 갱신 등을 위해 투자나 노력을 했다는 자료는 없다. 이러한 사정은 성과도용 부정경쟁행위의 객체요건인 ‘성과’를 부정할 수 있는 근거가 될 수 있다고 보인다. 또한 피고는 정보통신망에 불법적으로 접근하여 원고의 정보를 수집한 것이 아니고 나아가 이를 내부적인 전략수립 내지 연구분석 용도로 사용하였기 때문에, 피고의 행위가 성과도용 부정경쟁행위의 행위태양요건인 ‘공정한 상거래 관행이나 경쟁질서에 반하는 방법’에 해당하는지 의문을 가질 수 있다고 생각된다.


    [각주7] 항소심 판결인 서울고등법원 2022. 8. 25. 선고 2021나2034740판결은 2022. 8. 25. 선고되었다.



    5. 생각해 볼 점

    데이터베이스 제작자의 권리 및 부정경쟁방지법의 성과물도용행위 규정은 입법취지가 유사하다고 생각된다. 이러한 데이터 보호 규정의 입법취지는 창작성있는 가치표현물을 보호하는 것이 아니라 데이터에 투여된 투하자본을 회수하고 데이터 보유자의 산업상 경쟁력 내지 영업상 이익을 보호하는 것에 있다. 그러므로 비록 각 법률에서 설정한 요건들은 일부 상이하기는 하지만 이러한 입법취지를 참작하여 동일한 사실관계에 대해서는 동일한 방향의 결론이 도출되도록 해석할 필요가 있다. 예컨대 데이터베이스 제작자의 권리 침해는 부정하면서 성과도용 부정경쟁행위를 인정하는 것은 자연스럽지 못한 점이 있다고 생각한다. 이러한 논리를 긍정하기 위해서는 데이터베이스 제작자의 권리 침해가 부정됨에도 성과도용 부정경쟁행위가 인정되어야 하는 특징적 요건(객체요건, 행위태양요건)이 명확하게 설명될 필요가 있다.



    전응준 변호사 (ejjeon@lawlogos.com)


    리걸에듀

    더보기

    섹션 칼럼