사실관계
정리된 사실관계가 없습니다.
판단 결과
선고
핵심 쟁점
- 정보통신망법 제48조 제1항에서 접근권한을 부여하거나 허용범위를 설정하는 주체가 누구인지
- 서비스제공자로부터 권한을 부여받은 이용자가 아닌 제3자의 접근권한 유무 판단 기준
- 보호조치가 없는 URL 방식의 정보 열람 페이지에서 접근권한 제한이 있었다고 볼 수 있는지
- URL 일부 숫자를 변경하여 다른 사람의 페이지에 접속한 행위가 정보통신망 침입에 해당하는지
- 정보통신망법 제49조상 타인의 비밀 침해 및 누설의 의미
- 부정한 수단 또는 방법 없이 취득한 정보의 전송이 정보통신망법 제49조 위반에 해당하는지
판례 포인트
- 정보통신망법 제48조 제1항은 이용자 개인의 신뢰나 이익이 아니라 정보통신망 자체의 안정성과 정보의 신뢰성을 보호하는 규정이다.
- 접근권한 부여 및 허용범위 설정 주체는 서비스제공자이며, 접근권한 제한 여부는 보호조치나 이용약관 등 객관적으로 드러난 사정을 종합해 판단한다.
- 개별 URL을 전달했다는 사정만으로 곧바로 해당 정보에 대한 접근권한이 본인에게만 제한되었다고 볼 수는 없다.
- 로그인, 개인인증, URL 암호화, 열람 제한 안내 등 보호조치가 없는 경우 URL 숫자 변경 접속만으로 정보통신망 침입을 인정하기 어렵다.
- 정보통신망법 제49조의 비밀 침해는 정보통신망 침입 등 부정한 수단 또는 방법으로 타인의 비밀을 취득하는 행위를 의미한다.
- 정보통신망법 제49조의 비밀 누설은 부정한 방법으로 취득한 비밀임을 전제로 아직 알지 못하는 타인에게 알려주는 행위를 의미한다.
- 대법원은 원심이 정보통신망법 제48조 제1항 및 제49조 법리를 오해했다고 보아 원심판결을 파기환송하였다.
자주 묻는 질문
개인별 다면평가 결과 URL의 숫자만 바꿔 다른 직원 자료를 본 경우 정보통신망 침입인가요?
대법원은 이 사건에서 피고인이 자신의 다면평가 결과 페이지 주소 끝의 숫자 2자리를 바꿔 다른 직원들의 결과를 열람한 행위가 정보통신망법 제48조 제1항의 침입에 해당한다고 보기 어렵다고 판단했습니다. 해당 페이지는 별도 로그인이나 개인인증이 없었고, URL도 암호화되지 않았으며, 안내문에도 다른 직원 결과 열람 제한 내용이 없었습니다. 접근권한 제한 여부는 서비스제공자의 보호조치나 이용약관 등 객관적 사정을 종합해 신중하게 판단해야 한다고 보았습니다.
정보통신망법상 접근권한을 제한했는지는 누구를 기준으로 판단하나요?
대법원은 정보통신망법 제48조 제1항에서 접근권한을 부여하거나 허용범위를 설정하는 주체는 서비스제공자라고 보았습니다. 따라서 제3자에게 접근권한이 있는지는 서비스제공자가 부여한 접근권한을 기준으로 판단해야 합니다. 서비스제공자가 실제로 접근권한을 제한했는지는 보호조치, 이용약관 등 객관적으로 드러난 여러 사정을 종합해 판단해야 합니다.
로그인이나 인증 절차가 없는 다면평가 결과 페이지도 본인만 접근 가능하다고 볼 수 있나요?
대법원은 개인별로 자신의 다면평가 결과 페이지 주소만 전송했다는 사정만으로는 접근권한을 해당 직원 본인으로 제한했다고 보기 어렵다고 판단했습니다. 이 사건 페이지는 주소 입력만으로 열람할 수 있었고, 별도의 로그인이나 개인인증 절차가 없었습니다. 또한 이메일이나 문자메시지에 다른 직원 결과 열람을 제한한다는 내용도 포함되어 있지 않았습니다.
다면평가 결과를 캡처해 본부장에게 보낸 행위가 타인의 비밀 누설로 인정되었나요?
대법원은 이 사건에서 피고인이 다면평가 결과를 정보통신망에 침입하는 등 부정한 수단 또는 방법으로 취득했다고 볼 수 없다고 판단했습니다. 정보통신망법 제49조의 비밀 누설은 부정한 수단 또는 방법으로 취득한 비밀을 아직 알지 못하는 타인에게 알려주는 경우를 의미한다고 보았습니다. 따라서 주소 일부를 바꿔 입력한 것 외에 별도의 부정한 수단이 없었던 이 사건에서는 비밀 침해나 누설에 해당한다고 할 수 없다고 판단했습니다.
정보통신망법 제49조의 타인의 비밀 침해와 누설은 어떤 의미인가요?
대법원은 타인의 비밀 침해를 정보통신망에 의해 처리·보관 또는 전송되는 타인의 비밀을 정보통신망에 침입하는 등 부정한 수단 또는 방법으로 취득하는 행위라고 설명했습니다. 타인의 비밀 누설은 모든 누설행위를 뜻하는 것이 아니라, 그런 부정한 방법으로 취득한 비밀을 아직 알지 못하는 타인에게 알려주는 행위를 말합니다. 이 판단은 구체적인 취득 방법과 접근 과정에 따라 달라질 수 있습니다.
대법원 2023도1086 사건의 결론은 무엇인가요?
대법원은 2023년 10월 26일 선고한 2023도1086 판결에서 원심판결을 파기하고 사건을 수원지방법원에 환송했습니다. 원심은 피고인의 URL 숫자 변경 접속과 다면평가 결과 전송을 정보통신망 침입 및 타인의 비밀 침해·누설로 보았지만, 대법원은 정보통신망법 제48조 제1항과 제49조의 법리를 오해한 잘못이 있다고 판단했습니다. 대법원은 보호조치와 접근권한 제한 여부, 부정한 수단 또는 방법의 존재를 더 신중하게 보아야 한다고 보았습니다.
판결 내용
정보통신망이용촉진및정보보호등에관한법률위반
【판시사항】
[1] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항에서 접근권한을 부여하거나 허용범위를 설정하는 주체(=서비스제공자) / 서비스제공자로부터 권한을 부여받은 이용자가 아닌 제3자가 정보통신망에 접속한 경우, 그에게 접근권한이 있는지 판단하는 기준 및 정보통신망에 대하여 서비스제공자가 접근권한을 제한하고 있는지 판단하는 방법
[2] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제49조에서 말하는 타인의 비밀 ‘침해’ 및 ‘누설’의 의미
【참조조문】
[1] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항
[2] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제49조
【참조판례】
[1] 대법원 2022. 5. 12. 선고 2021도1533 판결(공2022하, 1181) / [2] 대법원 2018. 12. 27. 선고 2017도15226 판결(공2019상, 420)
【전문】
【피 고 인】
피고인
【상 고 인】
피고인
【변 호 인】
법무법인 이안 외 1인
【원심판결】
수원지법 2023. 1. 11. 선고 2021노8875 판결
【주 문】
원심판결을 파기하고, 사건을 수원지방법원에 환송한다.
【이 유】
상고이유를 판단한다.
1. 공소사실의 요지
피고인은 (센터명 생략)센터의 안전시설팀 직원이다. (센터명 생략)센터에서는 직원 인사관리에 활용하고자 매년 직원 간 다면평가를 실시하고 있다. (센터명 생략)센터는 2019년도 다면평가 조사용역을 제1심공동피고인 주식회사(회사명 생략)[이하 ‘(회사명 생략)’이라고 한다]에 위탁하는 계약을 체결하였고, (회사명 생략)은 위 용역계약에 따라 다면평가 온라인 링크개발, 온라인 조사를 진행한 후 2019. 12. 30.경부터 2020. 1. 3.경까지 (센터명 생략)센터 직원 78명의 이름, 소속, 평가 점수, 평가자의 서술평가가 기재된 다면평가 결과를 ‘(url 생략) (개인별숫자 2자리)’에 게시하고, 직원들의 이메일과 휴대전화 문자메시지로 개인별로 부여된 인터넷 주소를 전송하여 자신의 다면평가 결과를 열람할 수 있도록 하였다.
피고인은 2020. 1. 3. 22:00경 자신의 휴대전화를 이용하여 위와 같이 피고인에게 전송된 자신의 인터넷 다면평가 결과 열람 페이지에 접속하여 인터넷 주소의 끝자리에 부여된 숫자를 변경하는 방법으로 (센터명 생략)센터에 근무하는 임직원들의 다면평가 결과를 열람한 후, 제1심 판시 범죄일람표 기재와 같이 총 51명의 평가 결과가 표시된 휴대전화 화면을 캡처하여 자신의 휴대전화에 저장하고, 2020. 3. 9.경 카카오톡 메신저를 이용하여 위 51명의 다면평가 결과 캡처 사진을 (센터명 생략)센터의 본부장에게 전송하였다.
이로써 피고인은 정당한 접근권한 없이 정보통신망에 침입하여 정보통신망에 의하여 처리 및 보관되고 있는 타인의 비밀을 침해하고 이를 누설하였다.
2. 원심의 판단
원심은 다음과 같은 이유로 위 공소사실을 유죄로 인정한 제1심판결을 유지하였다.
가. 서비스제공자는 (센터명 생략)센터의 직원들에게 각각 자신의 다면평가결과 열람 페이지에 대하여만 접근할 수 있는 권한을 부여하였다. 따라서 피고인이 인터넷 주소의 마지막 숫자를 변경하여 입력하는 방식으로 다른 직원의 다면평가결과 열람 페이지에 접속한 것은 부정한 방법으로 타인의 식별부호를 이용하는 방법으로 정당한 접근권한 없이 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통산망법’이라고 한다) 제48조 제1항을 위반하여 정보통신망에 침입한 행위에 해당한다. 다면평가결과 열람 페이지에 대한 서비스제공자의 보호조치가 미흡하였다는 사정은 그러한 판단에 직접적 영향을 미치지 못한다.
나. 피고인이 정보통신망법 제48조 제1항을 위반하여 정당한 접근권한 없이 정보통신망에 침입하여 타인의 다면평가결과를 취득하고 다른 사람에게 전송한 것은 부정한 방법으로 정보통신망법 제49조를 위반하여 타인의 비밀을 침해, 누설한 것에 해당한다.
3. 대법원의 판단
가. 정보통신망법 제48조 제1항의 정보통신망에 침입에 관하여
1) 정보통신망법 제48조 제1항은 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하는 것을 금지하고 있다. 위 규정은 이용자의 신뢰 내지 그의 이익을 보호하기 위한 규정이 아니라 정보통신망 자체의 안정성과 그 정보의 신뢰성을 보호하기 위한 것이므로, 위 규정에서 접근권한을 부여하거나 허용되는 범위를 설정하는 주체는 서비스제공자이다. 따라서 서비스제공자로부터 권한을 부여받은 이용자가 아닌 제3자가 정보통신망에 접속한 경우 그에게 접근권한이 있는지 여부는 서비스제공자가 부여한 접근권한을 기준으로 판단하여야 한다. 그리고 정보통신망에 대하여 서비스제공자가 접근권한을 제한하고 있는지 여부는 보호조치나 이용약관 등 객관적으로 드러난 여러 사정을 종합적으로 고려하여 신중하게 판단하여야 한다(대법원 2022. 5. 12. 선고 2021도1533 판결).
2) 원심판결 이유와 기록에 따르면, 다음의 사실을 알 수 있다.
가) (센터명 생략)센터로부터 2019년도 다면평가 조사용역을 의뢰받은 (회사명 생략)은 다면평가를 실시한 후 2019. 12. 30.경부터 2020. 1. 3.경까지 (센터명 생략)센터의 직원들에게 개별적인 이메일과 문자메시지로 각자의 다면평가 결과가 게시된 인터넷 페이지 주소를 전송하여 위 결과를 열람할 수 있도록 하였다.
나) 위 다면평가 결과에는 평가대상자의 이름, 소속, 평가점수, 평가자의 서술평가가 기재되어 있었다.
다) 그런데 평가대상자에게 개별적으로 전송되어 자신의 다면평가 결과를 열람할 수 있는 인터넷 페이지는 별도의 로그인 절차나 개인인증절차 없이 접속이 가능하였고, 그 인터넷 주소도 암호화되어 있지 않았다. 특히 인터넷 주소 마지막이 숫자 2자리로 구성되어 있어 단순하게 해당 주소에서 마지막 숫자 2자리를 다르게 입력하는 방법만으로 다른 임직원의 다면평가 결과를 열람할 수 있는 인터넷 페이지에 접속할 수 있었다.
라) 피고인은 자신의 추측에 따라 자신에게 전송된 인터넷 주소의 마지막 숫자 2자리를 변경하여 입력하는 방법을 반복함으로써 다른 임직원의 다면평가 결과를 열람할 수 있는 인터넷 페이지에 접속할 수 있었다. 피고인은 그 과정에서 위와 같이 인터넷 주소의 일부 숫자를 변경하여 입력한 것 외에 어떠한 다른 명령을 입력하지 않았다.
마) (회사명 생략)은 (센터명 생략)센터나 그 임직원들에게 다면평가 결과가 게시된 인터넷 페이지 주소를 전송한 이메일이나, 문자메시지에서 다른 임직원들의 다면평가 결과의 열람을 제한하는 것으로 볼 만한 내용을 포함시키지 않았다.
바) (회사명 생략)과 그 대표이사인 공소외인은 위와 같이 개인정보인 다면평가 결과가 유출되지 않도록 안정성 확보에 필요한 조치를 취하지 아니하였다는 이유로 개인정보 보호법 위반죄로 유죄판결을 받았고, 그 판결이 확정되었다.
3) 이러한 사실을 앞서 본 법리에 비추어 살펴보면, (회사명 생략)이 (센터명 생략)센터 임직원들에게 본인의 다면평가 결과가 게시된 인터넷 페이지의 주소만을 개별적으로 전달하였다고 하더라도, 아무런 보호조치 없이 다면평가 결과가 게시된 인터넷 페이지의 주소를 입력하는 방법만으로도 다면평가 결과를 열람할 수 있도록 한 이상, 위와 같은 사정만으로 위 인터넷 페이지의 접근권한을 해당 평가대상자인 임직원 본인으로 제한하였다고 보기 어렵다. 따라서 피고인이 인터넷 페이지 주소의 일부 숫자를 바꾸어 넣는 방법으로 다른 사람의 다면평가 결과가 게시되어 있는 인터넷 페이지에 접속하였다고 하더라도 이를 정보통신망법 제48조 제1항에서 금지하고 있는 정보통신망에 침입하는 행위에 해당한다고 할 수 없다.
나. 정보통신망법 제49조의 타인의 비밀 침해, 누설에 관하여
1) 정보통신망법 제49조에서 말하는 타인의 비밀 ‘침해’란 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 비밀을 정보통신망에 침입하는 등 부정한 수단 또는 방법으로 취득하는 행위를 말한다. 타인의 비밀 ‘누설’이란 타인의 비밀에 관한 일체의 누설행위를 의미하는 것이 아니라, 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 비밀을 정보통신망에 침입하는 등의 부정한 수단 또는 방법으로 취득한 사람이나 그 비밀이 위와 같은 방법으로 취득된 것임을 알고 있는 사람이 그 비밀을 아직 알지 못하는 타인에게 이를 알려주는 행위만을 의미한다(대법원 2018. 12. 27. 선고 2017도15226 판결).
2) 위 가.의 2)항에서 본 사실을 위 법리에 비추어 살펴보면, 피고인이 다른 임직원들의 다면평가 결과가 게시된 인터넷 페이지에 접속하기 위하여 일부 인터넷 주소를 변경하여 입력한 것 외에 별도로 부정한 수단 또는 방법으로 볼 만한 행위를 하지 않았으므로, 피고인이 정보통신망인 인터넷에 게시된 타인의 비밀에 해당하는 다면평과 결과를 정보통신망에 침입하는 등의 부정한 수단 또는 방법으로 취득하거나 누설하였다고 할 수 없다.
다. 그런데도 원심은 판시와 같은 이유만으로 피고인이 정보통신망법 제48조 제1항 및 제49조를 위반하였다고 판단하였으니, 이러한 원심의 판단에는 정보통신망법 제48조 제1항 및 제49조에 관한 법리를 오해한 잘못이 있다. 이를 지적하는 피고인의 상고이유 주장은 이유 있다.
4. 결론
그러므로 원심판결을 파기하고, 사건을 다시 심리·판단하도록 원심법원에 환송하기로 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.