• Legalinsight
  • Legaledu
  • 법률신문 오피니언

    판례해설

    [판례해설] 해외 서버에 저장된 이메일에 대한 압수수색

    김경환 변호사 (법무법인 민후) 입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • [김경환.jpg

    - 서울고등법원 2017. 6. 13. 선고 2017노23 판결 -
    - 서울고등법원 2017. 7. 5. 선고 2017노146 판결 -

    최근 ‘해외 서버에 저장된 이메일에 대한 압수수색 절차의 위법성’이라는 동일한 쟁점에 대하여 서로 다른 결론의 고등법원 판결이 나왔는바, 미국의 마이크로소프트(MS)나 구글 사건에도 유사한 쟁점이 거론되는 등 IT법이나 증거법적으로 매우 중요한 의미를 담고 있기에, 두 판결의 관련 내용을 분석ㆍ검토하고자 한다.

    두 판결의 사실관계는 복잡하고 쟁점도 많지만, 여기서는 ‘해외 서버에 저장된 이메일에 대한 압수수색 절차의 위법성’ 쟁점의 사실관계에 한정하여 2017노23 판결을 근거로 살펴본다.

    국가정보원 수사관은 피고인 차량에서 압수수색한 USB 안에 들어 있던 안티포렌식 처리가 된 파일을 복호화하였고, 그 결과 중국 내 서버가 있는 시나닷컴(sina.com)의 피고인의 이메일 아이디와 비밀번호를 취득하였다.

    이후 수사기관은 서울중앙지방법원에 위 ‘시나닷컴 이메일 계정 내 편지함 등에 송ㆍ수신이 완료되어 저장되어 있는 내용 등’을 압수할 물건으로, ‘한국인터넷진흥원 사무실 내 PC’를 수색할 장소로 특정하여 압수수색 영장을 청구하였고, 서울중앙지방법원은 피고인의 압수수색 참여 기회 부여를 조건으로 하여 영장을 발부하였다.

    수사기관은 한국인터넷진흥원 직원의 참여로 피고인 이메일 계정에 비밀번호를 입력하고 로그인한 후 이메일 15건을 추출하여 출력ㆍ저장하는 방법으로 압수하였다.

    한편 피고인은 a) 시나닷컴 서버는 대한민국의 형사재판관할권이 미치지 않아 영장의 효력이 미치지 않기에 수사관의 접속 행위는 정보통신망법을 위반한 정당한 권한 없는 접근에 해당하고, b) 수사기관은 효력 없는 영장을 근거로 피고인의 개인정보를 수집하였는바 이는 개인정보보호법을 위반한 행위이며, c) 외국계 이메일 서버에 저장된 정보를 가져오기 위하여 외국계 이메일 서버 관리자의 의사에 반하여 피고인의 계정 및 비밀번호를 입력한 것은 법질서 전체의 체계에 비추어 위법한 것이기에, 결론적으로 외국계 이메일 계정에 대한 압수수색은 위법하고, 이를 통하여 취득한 이메일 내용은 위법성이 중대하여 증거능력이 없다고 주장하였다.

    [2017노23 판결의 내용]

    2017노23 판결은, 형사소송법의 압수수색은 대물적 강제처분으로, 디지털 정보에 대한 통제권을 가지고 있는 이메일서비스이용자의 이메일 계정에 대하여 접근수단(아이디, 비밀번호)을 확보하였음을 기화로 그 디지털 정보가 저장되어 있는 제3자의 장소인 해외 이메일서비스제공자의 서버에 대하여 압수수색의 범위를 확장하는 것은 대물적 강제처분인 압수수색의 효력을 아무런 근거 없이 확장한 것으로서 위법하다고 판단하였다.

    그 근거로서 ① 수사기관이 외국 이메일서비스이용자로부터 이메일 계정에 관한 접근수단을 확보하였음을 기화로 해당 이메일 계정에 접근하여 자료를 확보하는 것은 형사소송법이 상정하고 있는 압수수색의 방법은 아닌 점,

    ② 전기통신의 경우에는 해당 전기통신을 소지 또는 보관하고 있는 기관 등을 상대로 해당 전기통신에 대하여 이루어질 것을 정하고 있는 형사소송법 제107조의 규정에 저촉하는 점,

    ③ 본건과 같은 압수수색을 허용한다면 압수수색이 피고인 등의 주거지 외에서 이루어질 경우 해당 주거주 등이 참여하도록 정하고 있는 제123조의 규정을 실질적으로 회피하는 점,

    ④ 이메일서비스제공자의 참여를 배제한 채 이루어지게 됨으로써 수집된 증거의 원본성이나 무결성을 실질적으로 담보할 수 없는 점,

    ⑤ 제120조 제1항에서 ‘압수ㆍ수색영장의 집행에 있어서는 건정을 열거나 개봉 기타 필요한 처분을 할 수 있다’고 규정하고 있지만, 건정을 열거나 개봉하여 압수수색하는 장소 또는 대상물이 해외에 존재하여 대한민국의 사법관할권이 미치지 아니하는 경우까지 영장의 효력이 미친다고 보기는 어렵다는 점을 들었다.

    [2017노146 판결의 내용]

    2017노146 판결에서는 적법하게 알아낸 아이디와 비밀번호를 이용하여 법관의 영장에 기하여 취득한 외국계 서버 저장 이메일에 대한 증거능력을 인정하였다.

    그 근거로, ① 피고인이 외국 인터넷서비스제공자의 해외 서버에 접속하여 전자정보를 취득한 후 이를 수사기관에 임의로 제출하는 것은 법적으로 하자가 없는바, 수사기관이 피고인을 갈음하여 해외 서버에 접속ㆍ취득하여 압수수색하는 것은 적법한 점,

    ② 실제 영장의 집행 과정에서 영장에 기재된 국내의 수색장소에서 해외 서버에 접속하여 이메일 등을 취득하였는바, 외국 사법권 침해나 국제 관할위반 등의 문제가 발생한다고 보기 어려운 점,

    ③ 수사기관이 적법하게 알아낸 피고인들의 아이디 등을 입력하는 것은 제120조 제1항의 ‘기타 필요한 처분’에 해당하고, 적법하게 취득한 아이디와 비밀번호를 이용하여 전자정보를 취득하는 것은 수단과 목적에 비추어 사회통념상 상당하므로 제120조 제1항의 ‘압수ㆍ수색영장의 집행에 필요한 처분’에 해당한다는 점,

    ④ 이메일 계정의 이용자가 임의로 제3자에게 아이디와 비밀번호를 알려 주어 해당 이메일 계정을 사용하도록 할 수 있고 그것이 서비스제공자의 의사에 반하는 조치로 보기 어려운 점,

    ⑤ 해외 서버에 접속하여 취득한 이메일 등의 압수 과정에서 피압수자 및 전문가 등의 참여 하에 봉인, 암호 설정, 해시값 산출 및 확인 등의 방법을 통해 동일성과 무결성을 확보할 수 있는 점을 들었다.

    [판례해설]

    미국에서도 영장의 역외 적용에 대하여 상반되는 판결이 존재한다. MS 사건의 경우 2016년 7월 제2 순회 항소법원은 미국 정부가 아일랜드 소재 서버에 저장된 고객 이메일 정보를 MS에게 제출하도록 강제할 수 없다고 판단하였지만, 2017년 2월에 있었던 구글 사건의 경우 펜실버니아 동부 주법원은 구글에게 해외 서버에 있는 고객의 이메일에 대한 미국 연방수사국의 압수수색영장에 응하라고 판단하였다. 구글의 경우 이용자도 모르는 사이에 정기적으로 이용자의 데이터를 해외의 한 데이터센터에서 다른 데이터센터로 옮기고 있으며, 이런 이동은 고객의 접근권이나 소유권을 둘러싼 이해관계를 침해하지 않는다는 점을 지적하면서 MS 사건과 다른 결론이 가능하다고 보았다.

    본건은 미국의 사안과 비교하여, 압수수색대상인 이메일이 해외 서버에 존재한다는 점은 유사하나, 미국 사안은 이메일서비스제공자를 통하여 이메일을 압수수색하고자 한 반면 본 사안은 이미 파악한 이용자의 아이디와 비밀번호를 이용하여 압수수색하는 점이 상이하다.

    한편 서울고등법원의 두 판결은 형사소송법의 여러 조문이나 원칙에 대하여 서로 다른 해석을 하고 있다.

    첫째, 본건의 직접적인 적용 조문인 제107조에 대하여, 2017노23 판결은, 압수는 해당 전기통신을 소지 또는 보관하고 있는 기관 등을 상대로 이루어져야 하는 것인바, 본건과 같이 이메일서비스제공자를 상대로 하지 않은 압수는 위법하다고 본 반면, 2017노146 판결은 피고인이 스스로 아이디 등을 입력하여 이메일을 취득하여 임의로 제출하는 것이 가능하다면 본건과 같이 수사기관이 전문가 참여 하에 아이디 등을 입력하여 이메일을 취득하는 것도 법적으로 하자가 없다고 보았다.

    둘째, 외국 사법권 침해나 국제 관할위반 등에 대하여, 2017노23 판결은, 압수수색은 대물적 강제처분인바, 압수대상인 이메일이 해외의 서버에 존재하는 경우 대한민국의 사법관할권이 미치지 않는다고 본 반면, 2017노146 판결은 온라인을 통해 해당 해외 서버에 접속하여 이메일 등을 취득하는 등 전 과정이 국내의 수색 장소에서 이루어졌으므로 외국 사법권 침해 등의 문제가 발생한다고 보기 어렵다고 보았다.

    셋째, 수사기관이 피고인의 아이디와 비밀번호를 이용하여 이메일을 취득하는 것이 제120조 제1항의 ‘건정을 열거나 개봉 기타 필요한 처분’에 해당하는지에 대하여, 2017노23 판결은 건정을 열거나 개봉하여 압수수색 하는 장소 내지 대상물이 해외에 존재하여 대한민국의 사법관할권이 미치지 아니하는 해외 이메일서비스제공자의 해외 서버에 대하여까지 영장의 효력이 미친다고 보기 어렵다고 본 반면, 2017노146 판결은 영장 집행의 목적을 달성하기 위한 필요 최소한의 조치로서 그 수단과 목적에 비추어 사회통념상 상당하므로 제120조 제1항에 해당한다고 보았다.

    넷째, 증거의 원본성ㆍ무결성 담보에 대하여, 2017노23 판결은 이메일서비스제공자의 참여를 배제한 채 이루어졌는바 원본성과 무결성을 실질적으로 담보할 수 없다고 본 반면, 2017노146 판결은 압수 과정에서 피압수자 및 전문가 등의 참여 하에 봉인, 암호 설정, 해시값 산출 및 확인 등의 방법을 통해 동일성과 무결성을 충분히 확보할 수 있다고 보았다.

    다섯째, 개인정보보호법 또는 정보통신망법 위반에 대하여, 2017노23 판결은 명시적인 판단을 하지 않았지만, 2017노146 판결은 임의로 제3자에게 이메일 아이디 등을 알려 주어 이메일 계정을 사용하도록 하는 것이 반드시 서비스제공자의 의사에 반하는 조치라고 보기도 어려운바 영장을 통해 정당한 접근 권한을 부여받은 제3자인 수사기관이 서버에 접속하는 것이 위법하다고 단정할 수 없다고 판단하였다.

    2017노23 판결은 제107조 등의 조문에 보다 충실한 법해석을 했지만, 2017노146 판결이 IT 현실에는 더 부합한다고 생각한다. 특히 제107조는 압수 처분의 상대방을 규정하는 것이 아니라 단지 압수물을 규정한 것이고, 압수 처분의 상대방은 IT 상황에 따라 달라질 수 있다고 유연하게 해석할 여지도 있어 보인다.

    향후 클라우드 환경 등이 일반화될 것을 고려하면, 본 쟁점은 IT법적으로나 형사소송법적으로 매우 중요한바, 이번 고등법원의 상이한 두 판결을 기반으로 하여, 보다 합리적인 결론이 대법원에서 도출되기를 바란다.

     

    법무법인 민후 김경환 변호사


    프로필_김경환.jpg

    최근 많이 본 기사