즉시 상담을 받아보세요!
* 연중무휴, 24시간 상담 가능
다른 직원 평가결과 URL 단순 변경 접속은 정보통신망 침입 해당 여부
2023도1086* 본 법률정보는 대법원 판결문을 바탕으로 한 일반적인 정보 제공에 불과하며, 구체적인 사건에 대한 법률적 판단이나 조언으로 해석될 수 없습니다. 동일해 보이는 상황이라도 사실관계나 시점 등에 따라 결론이 달라질 수 있으므로, 자세한 내용은 변호사와 상담을 권장합니다.
정보통신망이용촉진및정보보호등에관한법률위반
[대법원 2023. 10. 26. 선고 2023도1086 판결]
【판시사항】
[1] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항에서 접근권한을 부여하거나 허용범위를 설정하는 주체(=서비스제공자) / 서비스제공자로부터 권한을 부여받은 이용자가 아닌 제3자가 정보통신망에 접속한 경우, 그에게 접근권한이 있는지 판단하는 기준 및 정보통신망에 대하여 서비스제공자가 접근권한을 제한하고 있는지 판단하는 방법
[2] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제49조에서 말하는 타인의 비밀 ‘침해’ 및 ‘누설’의 의미
【참조조문】
[1] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항
[2] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제49조
【참조판례】
[1] 대법원 2022. 5. 12. 선고 2021도1533 판결(공2022하, 1181) / [2] 대법원 2018. 12. 27. 선고 2017도15226 판결(공2019상, 420)
【전문】
【피 고 인】
피고인
【상 고 인】
피고인
【변 호 인】
법무법인 이안 외 1인
【원심판결】
수원지법 2023. 1. 11. 선고 2021노8875 판결
【주 문】
원심판결을 파기하고, 사건을 수원지방법원에 환송한다.
【이 유】
상고이유를 판단한다.
1. 공소사실의 요지
피고인은 (센터명 생략)센터의 안전시설팀 직원이다. (센터명 생략)센터에서는 직원 인사관리에 활용하고자 매년 직원 간 다면평가를 실시하고 있다. (센터명 생략)센터는 2019년도 다면평가 조사용역을 제1심공동피고인 주식회사(회사명 생략)[이하 ‘(회사명 생략)’이라고 한다]에 위탁하는 계약을 체결하였고, (회사명 생략)은 위 용역계약에 따라 다면평가 온라인 링크개발, 온라인 조사를 진행한 후 2019. 12. 30.경부터 2020. 1. 3.경까지 (센터명 생략)센터 직원 78명의 이름, 소속, 평가 점수, 평가자의 서술평가가 기재된 다면평가 결과를 ‘(url 생략) (개인별숫자 2자리)’에 게시하고, 직원들의 이메일과 휴대전화 문자메시지로 개인별로 부여된 인터넷 주소를 전송하여 자신의 다면평가 결과를 열람할 수 있도록 하였다.
피고인은 2020. 1. 3. 22:00경 자신의 휴대전화를 이용하여 위와 같이 피고인에게 전송된 자신의 인터넷 다면평가 결과 열람 페이지에 접속하여 인터넷 주소의 끝자리에 부여된 숫자를 변경하는 방법으로 (센터명 생략)센터에 근무하는 임직원들의 다면평가 결과를 열람한 후, 제1심 판시 범죄일람표 기재와 같이 총 51명의 평가 결과가 표시된 휴대전화 화면을 캡처하여 자신의 휴대전화에 저장하고, 2020. 3. 9.경 카카오톡 메신저를 이용하여 위 51명의 다면평가 결과 캡처 사진을 (센터명 생략)센터의 본부장에게 전송하였다.
이로써 피고인은 정당한 접근권한 없이 정보통신망에 침입하여 정보통신망에 의하여 처리 및 보관되고 있는 타인의 비밀을 침해하고 이를 누설하였다.
2. 원심의 판단
원심은 다음과 같은 이유로 위 공소사실을 유죄로 인정한 제1심판결을 유지하였다.
가. 서비스제공자는 (센터명 생략)센터의 직원들에게 각각 자신의 다면평가결과 열람 페이지에 대하여만 접근할 수 있는 권한을 부여하였다. 따라서 피고인이 인터넷 주소의 마지막 숫자를 변경하여 입력하는 방식으로 다른 직원의 다면평가결과 열람 페이지에 접속한 것은 부정한 방법으로 타인의 식별부호를 이용하는 방법으로 정당한 접근권한 없이 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통산망법’이라고 한다) 제48조 제1항을 위반하여 정보통신망에 침입한 행위에 해당한다. 다면평가결과 열람 페이지에 대한 서비스제공자의 보호조치가 미흡하였다는 사정은 그러한 판단에 직접적 영향을 미치지 못한다.
나. 피고인이 정보통신망법 제48조 제1항을 위반하여 정당한 접근권한 없이 정보통신망에 침입하여 타인의 다면평가결과를 취득하고 다른 사람에게 전송한 것은 부정한 방법으로 정보통신망법 제49조를 위반하여 타인의 비밀을 침해, 누설한 것에 해당한다.
3. 대법원의 판단
가. 정보통신망법 제48조 제1항의 정보통신망에 침입에 관하여
1) 정보통신망법 제48조 제1항은 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하는 것을 금지하고 있다. 위 규정은 이용자의 신뢰 내지 그의 이익을 보호하기 위한 규정이 아니라 정보통신망 자체의 안정성과 그 정보의 신뢰성을 보호하기 위한 것이므로, 위 규정에서 접근권한을 부여하거나 허용되는 범위를 설정하는 주체는 서비스제공자이다. 따라서 서비스제공자로부터 권한을 부여받은 이용자가 아닌 제3자가 정보통신망에 접속한 경우 그에게 접근권한이 있는지 여부는 서비스제공자가 부여한 접근권한을 기준으로 판단하여야 한다. 그리고 정보통신망에 대하여 서비스제공자가 접근권한을 제한하고 있는지 여부는 보호조치나 이용약관 등 객관적으로 드러난 여러 사정을 종합적으로 고려하여 신중하게 판단하여야 한다(대법원 2022. 5. 12. 선고 2021도1533 판결).
2) 원심판결 이유와 기록에 따르면, 다음의 사실을 알 수 있다.
가) (센터명 생략)센터로부터 2019년도 다면평가 조사용역을 의뢰받은 (회사명 생략)은 다면평가를 실시한 후 2019. 12. 30.경부터 2020. 1. 3.경까지 (센터명 생략)센터의 직원들에게 개별적인 이메일과 문자메시지로 각자의 다면평가 결과가 게시된 인터넷 페이지 주소를 전송하여 위 결과를 열람할 수 있도록 하였다.
나) 위 다면평가 결과에는 평가대상자의 이름, 소속, 평가점수, 평가자의 서술평가가 기재되어 있었다.
다) 그런데 평가대상자에게 개별적으로 전송되어 자신의 다면평가 결과를 열람할 수 있는 인터넷 페이지는 별도의 로그인 절차나 개인인증절차 없이 접속이 가능하였고, 그 인터넷 주소도 암호화되어 있지 않았다. 특히 인터넷 주소 마지막이 숫자 2자리로 구성되어 있어 단순하게 해당 주소에서 마지막 숫자 2자리를 다르게 입력하는 방법만으로 다른 임직원의 다면평가 결과를 열람할 수 있는 인터넷 페이지에 접속할 수 있었다.
라) 피고인은 자신의 추측에 따라 자신에게 전송된 인터넷 주소의 마지막 숫자 2자리를 변경하여 입력하는 방법을 반복함으로써 다른 임직원의 다면평가 결과를 열람할 수 있는 인터넷 페이지에 접속할 수 있었다. 피고인은 그 과정에서 위와 같이 인터넷 주소의 일부 숫자를 변경하여 입력한 것 외에 어떠한 다른 명령을 입력하지 않았다.
마) (회사명 생략)은 (센터명 생략)센터나 그 임직원들에게 다면평가 결과가 게시된 인터넷 페이지 주소를 전송한 이메일이나, 문자메시지에서 다른 임직원들의 다면평가 결과의 열람을 제한하는 것으로 볼 만한 내용을 포함시키지 않았다.
바) (회사명 생략)과 그 대표이사인 공소외인은 위와 같이 개인정보인 다면평가 결과가 유출되지 않도록 안정성 확보에 필요한 조치를 취하지 아니하였다는 이유로 개인정보 보호법 위반죄로 유죄판결을 받았고, 그 판결이 확정되었다.
3) 이러한 사실을 앞서 본 법리에 비추어 살펴보면, (회사명 생략)이 (센터명 생략)센터 임직원들에게 본인의 다면평가 결과가 게시된 인터넷 페이지의 주소만을 개별적으로 전달하였다고 하더라도, 아무런 보호조치 없이 다면평가 결과가 게시된 인터넷 페이지의 주소를 입력하는 방법만으로도 다면평가 결과를 열람할 수 있도록 한 이상, 위와 같은 사정만으로 위 인터넷 페이지의 접근권한을 해당 평가대상자인 임직원 본인으로 제한하였다고 보기 어렵다. 따라서 피고인이 인터넷 페이지 주소의 일부 숫자를 바꾸어 넣는 방법으로 다른 사람의 다면평가 결과가 게시되어 있는 인터넷 페이지에 접속하였다고 하더라도 이를 정보통신망법 제48조 제1항에서 금지하고 있는 정보통신망에 침입하는 행위에 해당한다고 할 수 없다.
나. 정보통신망법 제49조의 타인의 비밀 침해, 누설에 관하여
1) 정보통신망법 제49조에서 말하는 타인의 비밀 ‘침해’란 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 비밀을 정보통신망에 침입하는 등 부정한 수단 또는 방법으로 취득하는 행위를 말한다. 타인의 비밀 ‘누설’이란 타인의 비밀에 관한 일체의 누설행위를 의미하는 것이 아니라, 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 비밀을 정보통신망에 침입하는 등의 부정한 수단 또는 방법으로 취득한 사람이나 그 비밀이 위와 같은 방법으로 취득된 것임을 알고 있는 사람이 그 비밀을 아직 알지 못하는 타인에게 이를 알려주는 행위만을 의미한다(대법원 2018. 12. 27. 선고 2017도15226 판결).
2) 위 가.의 2)항에서 본 사실을 위 법리에 비추어 살펴보면, 피고인이 다른 임직원들의 다면평가 결과가 게시된 인터넷 페이지에 접속하기 위하여 일부 인터넷 주소를 변경하여 입력한 것 외에 별도로 부정한 수단 또는 방법으로 볼 만한 행위를 하지 않았으므로, 피고인이 정보통신망인 인터넷에 게시된 타인의 비밀에 해당하는 다면평과 결과를 정보통신망에 침입하는 등의 부정한 수단 또는 방법으로 취득하거나 누설하였다고 할 수 없다.
다. 그런데도 원심은 판시와 같은 이유만으로 피고인이 정보통신망법 제48조 제1항 및 제49조를 위반하였다고 판단하였으니, 이러한 원심의 판단에는 정보통신망법 제48조 제1항 및 제49조에 관한 법리를 오해한 잘못이 있다. 이를 지적하는 피고인의 상고이유 주장은 이유 있다.
4. 결론
그러므로 원심판결을 파기하고, 사건을 다시 심리·판단하도록 원심법원에 환송하기로 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.
대법관 김선수(재판장) 노태악 오경미(주심) 서경환
판례 검색
다른 직원 평가결과 URL 단순 변경 접속은 정보통신망 침입 해당 여부
2023도1086* 본 법률정보는 대법원 판결문을 바탕으로 한 일반적인 정보 제공에 불과하며, 구체적인 사건에 대한 법률적 판단이나 조언으로 해석될 수 없습니다. 동일해 보이는 상황이라도 사실관계나 시점 등에 따라 결론이 달라질 수 있으므로, 자세한 내용은 변호사와 상담을 권장합니다.
정보통신망이용촉진및정보보호등에관한법률위반
[대법원 2023. 10. 26. 선고 2023도1086 판결]
【판시사항】
[1] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항에서 접근권한을 부여하거나 허용범위를 설정하는 주체(=서비스제공자) / 서비스제공자로부터 권한을 부여받은 이용자가 아닌 제3자가 정보통신망에 접속한 경우, 그에게 접근권한이 있는지 판단하는 기준 및 정보통신망에 대하여 서비스제공자가 접근권한을 제한하고 있는지 판단하는 방법
[2] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제49조에서 말하는 타인의 비밀 ‘침해’ 및 ‘누설’의 의미
【참조조문】
[1] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항
[2] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제49조
【참조판례】
[1] 대법원 2022. 5. 12. 선고 2021도1533 판결(공2022하, 1181) / [2] 대법원 2018. 12. 27. 선고 2017도15226 판결(공2019상, 420)
【전문】
【피 고 인】
피고인
【상 고 인】
피고인
【변 호 인】
법무법인 이안 외 1인
【원심판결】
수원지법 2023. 1. 11. 선고 2021노8875 판결
【주 문】
원심판결을 파기하고, 사건을 수원지방법원에 환송한다.
【이 유】
상고이유를 판단한다.
1. 공소사실의 요지
피고인은 (센터명 생략)센터의 안전시설팀 직원이다. (센터명 생략)센터에서는 직원 인사관리에 활용하고자 매년 직원 간 다면평가를 실시하고 있다. (센터명 생략)센터는 2019년도 다면평가 조사용역을 제1심공동피고인 주식회사(회사명 생략)[이하 ‘(회사명 생략)’이라고 한다]에 위탁하는 계약을 체결하였고, (회사명 생략)은 위 용역계약에 따라 다면평가 온라인 링크개발, 온라인 조사를 진행한 후 2019. 12. 30.경부터 2020. 1. 3.경까지 (센터명 생략)센터 직원 78명의 이름, 소속, 평가 점수, 평가자의 서술평가가 기재된 다면평가 결과를 ‘(url 생략) (개인별숫자 2자리)’에 게시하고, 직원들의 이메일과 휴대전화 문자메시지로 개인별로 부여된 인터넷 주소를 전송하여 자신의 다면평가 결과를 열람할 수 있도록 하였다.
피고인은 2020. 1. 3. 22:00경 자신의 휴대전화를 이용하여 위와 같이 피고인에게 전송된 자신의 인터넷 다면평가 결과 열람 페이지에 접속하여 인터넷 주소의 끝자리에 부여된 숫자를 변경하는 방법으로 (센터명 생략)센터에 근무하는 임직원들의 다면평가 결과를 열람한 후, 제1심 판시 범죄일람표 기재와 같이 총 51명의 평가 결과가 표시된 휴대전화 화면을 캡처하여 자신의 휴대전화에 저장하고, 2020. 3. 9.경 카카오톡 메신저를 이용하여 위 51명의 다면평가 결과 캡처 사진을 (센터명 생략)센터의 본부장에게 전송하였다.
이로써 피고인은 정당한 접근권한 없이 정보통신망에 침입하여 정보통신망에 의하여 처리 및 보관되고 있는 타인의 비밀을 침해하고 이를 누설하였다.
2. 원심의 판단
원심은 다음과 같은 이유로 위 공소사실을 유죄로 인정한 제1심판결을 유지하였다.
가. 서비스제공자는 (센터명 생략)센터의 직원들에게 각각 자신의 다면평가결과 열람 페이지에 대하여만 접근할 수 있는 권한을 부여하였다. 따라서 피고인이 인터넷 주소의 마지막 숫자를 변경하여 입력하는 방식으로 다른 직원의 다면평가결과 열람 페이지에 접속한 것은 부정한 방법으로 타인의 식별부호를 이용하는 방법으로 정당한 접근권한 없이 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통산망법’이라고 한다) 제48조 제1항을 위반하여 정보통신망에 침입한 행위에 해당한다. 다면평가결과 열람 페이지에 대한 서비스제공자의 보호조치가 미흡하였다는 사정은 그러한 판단에 직접적 영향을 미치지 못한다.
나. 피고인이 정보통신망법 제48조 제1항을 위반하여 정당한 접근권한 없이 정보통신망에 침입하여 타인의 다면평가결과를 취득하고 다른 사람에게 전송한 것은 부정한 방법으로 정보통신망법 제49조를 위반하여 타인의 비밀을 침해, 누설한 것에 해당한다.
3. 대법원의 판단
가. 정보통신망법 제48조 제1항의 정보통신망에 침입에 관하여
1) 정보통신망법 제48조 제1항은 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하는 것을 금지하고 있다. 위 규정은 이용자의 신뢰 내지 그의 이익을 보호하기 위한 규정이 아니라 정보통신망 자체의 안정성과 그 정보의 신뢰성을 보호하기 위한 것이므로, 위 규정에서 접근권한을 부여하거나 허용되는 범위를 설정하는 주체는 서비스제공자이다. 따라서 서비스제공자로부터 권한을 부여받은 이용자가 아닌 제3자가 정보통신망에 접속한 경우 그에게 접근권한이 있는지 여부는 서비스제공자가 부여한 접근권한을 기준으로 판단하여야 한다. 그리고 정보통신망에 대하여 서비스제공자가 접근권한을 제한하고 있는지 여부는 보호조치나 이용약관 등 객관적으로 드러난 여러 사정을 종합적으로 고려하여 신중하게 판단하여야 한다(대법원 2022. 5. 12. 선고 2021도1533 판결).
2) 원심판결 이유와 기록에 따르면, 다음의 사실을 알 수 있다.
가) (센터명 생략)센터로부터 2019년도 다면평가 조사용역을 의뢰받은 (회사명 생략)은 다면평가를 실시한 후 2019. 12. 30.경부터 2020. 1. 3.경까지 (센터명 생략)센터의 직원들에게 개별적인 이메일과 문자메시지로 각자의 다면평가 결과가 게시된 인터넷 페이지 주소를 전송하여 위 결과를 열람할 수 있도록 하였다.
나) 위 다면평가 결과에는 평가대상자의 이름, 소속, 평가점수, 평가자의 서술평가가 기재되어 있었다.
다) 그런데 평가대상자에게 개별적으로 전송되어 자신의 다면평가 결과를 열람할 수 있는 인터넷 페이지는 별도의 로그인 절차나 개인인증절차 없이 접속이 가능하였고, 그 인터넷 주소도 암호화되어 있지 않았다. 특히 인터넷 주소 마지막이 숫자 2자리로 구성되어 있어 단순하게 해당 주소에서 마지막 숫자 2자리를 다르게 입력하는 방법만으로 다른 임직원의 다면평가 결과를 열람할 수 있는 인터넷 페이지에 접속할 수 있었다.
라) 피고인은 자신의 추측에 따라 자신에게 전송된 인터넷 주소의 마지막 숫자 2자리를 변경하여 입력하는 방법을 반복함으로써 다른 임직원의 다면평가 결과를 열람할 수 있는 인터넷 페이지에 접속할 수 있었다. 피고인은 그 과정에서 위와 같이 인터넷 주소의 일부 숫자를 변경하여 입력한 것 외에 어떠한 다른 명령을 입력하지 않았다.
마) (회사명 생략)은 (센터명 생략)센터나 그 임직원들에게 다면평가 결과가 게시된 인터넷 페이지 주소를 전송한 이메일이나, 문자메시지에서 다른 임직원들의 다면평가 결과의 열람을 제한하는 것으로 볼 만한 내용을 포함시키지 않았다.
바) (회사명 생략)과 그 대표이사인 공소외인은 위와 같이 개인정보인 다면평가 결과가 유출되지 않도록 안정성 확보에 필요한 조치를 취하지 아니하였다는 이유로 개인정보 보호법 위반죄로 유죄판결을 받았고, 그 판결이 확정되었다.
3) 이러한 사실을 앞서 본 법리에 비추어 살펴보면, (회사명 생략)이 (센터명 생략)센터 임직원들에게 본인의 다면평가 결과가 게시된 인터넷 페이지의 주소만을 개별적으로 전달하였다고 하더라도, 아무런 보호조치 없이 다면평가 결과가 게시된 인터넷 페이지의 주소를 입력하는 방법만으로도 다면평가 결과를 열람할 수 있도록 한 이상, 위와 같은 사정만으로 위 인터넷 페이지의 접근권한을 해당 평가대상자인 임직원 본인으로 제한하였다고 보기 어렵다. 따라서 피고인이 인터넷 페이지 주소의 일부 숫자를 바꾸어 넣는 방법으로 다른 사람의 다면평가 결과가 게시되어 있는 인터넷 페이지에 접속하였다고 하더라도 이를 정보통신망법 제48조 제1항에서 금지하고 있는 정보통신망에 침입하는 행위에 해당한다고 할 수 없다.
나. 정보통신망법 제49조의 타인의 비밀 침해, 누설에 관하여
1) 정보통신망법 제49조에서 말하는 타인의 비밀 ‘침해’란 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 비밀을 정보통신망에 침입하는 등 부정한 수단 또는 방법으로 취득하는 행위를 말한다. 타인의 비밀 ‘누설’이란 타인의 비밀에 관한 일체의 누설행위를 의미하는 것이 아니라, 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 비밀을 정보통신망에 침입하는 등의 부정한 수단 또는 방법으로 취득한 사람이나 그 비밀이 위와 같은 방법으로 취득된 것임을 알고 있는 사람이 그 비밀을 아직 알지 못하는 타인에게 이를 알려주는 행위만을 의미한다(대법원 2018. 12. 27. 선고 2017도15226 판결).
2) 위 가.의 2)항에서 본 사실을 위 법리에 비추어 살펴보면, 피고인이 다른 임직원들의 다면평가 결과가 게시된 인터넷 페이지에 접속하기 위하여 일부 인터넷 주소를 변경하여 입력한 것 외에 별도로 부정한 수단 또는 방법으로 볼 만한 행위를 하지 않았으므로, 피고인이 정보통신망인 인터넷에 게시된 타인의 비밀에 해당하는 다면평과 결과를 정보통신망에 침입하는 등의 부정한 수단 또는 방법으로 취득하거나 누설하였다고 할 수 없다.
다. 그런데도 원심은 판시와 같은 이유만으로 피고인이 정보통신망법 제48조 제1항 및 제49조를 위반하였다고 판단하였으니, 이러한 원심의 판단에는 정보통신망법 제48조 제1항 및 제49조에 관한 법리를 오해한 잘못이 있다. 이를 지적하는 피고인의 상고이유 주장은 이유 있다.
4. 결론
그러므로 원심판결을 파기하고, 사건을 다시 심리·판단하도록 원심법원에 환송하기로 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.
대법관 김선수(재판장) 노태악 오경미(주심) 서경환
