저작권 문화

사건과 판례

크롤링 프로그램을 이용한
무단 데이터 복제의
형사적 책임

대법원 2022. 5. 12. 선고 2021도1533판결

글정진근 강원대학교 법학전문대학원 교수(대통령소속 국가지식재산위원회 위원)

숙박업체 예약 앱서비스를 제공하는 피해자는 숙박업소 리스트를 데이터베이스로 구축한 후, 고객들이 숙박업소를 검색하도록 API(Application Programming Interface)1)를 제공하였다. API는 고객의 앱(App)과 피해자의 데이터베이스 서버 사이에서 묻고 답하는 인터페이스를 제공하는 기능이나 프로그램, 서버를 의미하는데 문제는 API의 입이 방정맞았다는 데 있었다.

피해자가 예상했던 아름다운 그림 여행을 떠나자 APP→어디서잘까→API→어디서 자라고 할까?→DB SERVER→찾아보자→DBMS→찾았어→DE SERVER→여긴 어떤지 물어봐→API→여긴 어때?→APP 피해자가 예상하지 못 했던 기분 나쁜 그림 지피지기면 백전백승이라~ 물어봐 계속~→CRAWLING PROGRAM→묻고 또 물을 테니 정보 좀 줘→API→힘들지만 물으면 계속 대답할게→CRAWLING PROGRAM→대답이에요~

고객이 아닌, 고객이 될 생각도 없던, 실상은 피해자의 사업에 눈독을 들이고 있던 경쟁업체인 피고인들은 방정맞은 API에게 물어 피해자 데이터베이스의 숨겨진 무언가를 알고 싶었다. 그래서 크롤링(crawling)2) 프로그램을 만들었다. 크롤링 프로그램은 피해자의 API에게 묻고 또 물었다. 그리고 중요한 것을 기록해서 피고인들에게 알려주었다. 무려 1,600만 번이나 물었다. 대답하느라 녹초가 되어버린 서버를 본 피해자는 피고들의 인터넷 주소를 차단하기도 했다. 그렇지만 피고들은 녹록치 않았다. 인터넷 주소는 컴퓨터를 껐다 켜면서 자동 설정하면 바뀌는 것일 뿐. 주소를 바꾼 크롤링 프로그램은 다시 피해자의 서버를 밤새 괴롭혔다.

참다못한 피해자는 피고들의 처벌을 구한다. 법원은 어떤 판단을 할까?

사안의 개요

검사의 공소사실에 따르면, 피고인들은 크롤링 프로그램을 만들어 2016년 6월 1일부터 10월 3일까지 4개월 동안 무려 1,600만 회에 걸쳐 피해자의 API에 질문을 던졌고, 약 246회 피해자 API서버가 대답한 정보를 무단으로 복제하였다.

이에 검사는 정보통신망이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망 법’이라 함) 제48조 제1항 및 제71조 제1항 제9호에 따른 정보통신망 침해죄, 저작권법 제93조 이하 및 제136조 제2항 제3호에 따른 저작권 침해죄, 형법 제314조 제2항에 따른 컴퓨터 등 장애 업무방해죄로 기소하였다.

법원의 동상이몽

법원은 생각이 달랐다. 제1심 법원은 정보통신망 침해죄, 저작권 침해죄, 컴퓨터 등 장애 업무방해죄에 대해 대부분 유죄를 인정하였으나, 원심인 서울중앙지방법원판결3)에서는 제1심을 파기하면서 공소사실 전부에 대하여 무죄를 선고하였고, 대법원4) 역시 상고를 모두 기각하고 원심을 지지하였다. 피고인들을 형사처벌할 수 없었다.

정보통신망 침해죄

정보통신망 침해죄가 되기 위해서는 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여야 한다. 즉 허락 없이 남의 네트워크에 침입해야 한다. 그런데 피해자의 API서버는 크롤링 프로그램의 접근을 제한하는 보안장치나 보호조치를 걸어놓지 않은 채, 앱을 통하건 URL주소를 입력하건 차등 없이 성실하게 대답을 해주고 있었다. 그래서 법원은 접근권한에 제한이 없다고 판단했고, 그렇다면 당연히 정당한 접근권한이 없다거나 허용된 접근권한을 넘을 일도 없다고 판단했다. 그 결과 정보통신망 침해죄에 대해 무죄를 선고했다.

저작권 침해죄

검사의 공소는 저작권 침해죄 중 데이터베이스제작자의 권리를 침해한 데 대한 저작권법 제136조 제2항 제3호의 “제93조에 따라 보호되는 데이터베이스제작자의 권리를 복제·배포·방송 또는 전송의 방법으로 침해한 자는 3년 이하의 징역 또는 3천만 원 이하의 벌금에 처하거나 이를 병과 할 수 있다”는 규정을 토대로 한다. 쟁점은 약 246회에 걸쳐 복제한 것이 양적으로 또는 질적으로 피해자 데이터베이스의 전부 또는 상당한 부분인지에 있었다.

이에 대해 법원은 “데이터베이스제작자의 권리가 침해되었다고 하기 위해서는 데이터베이스의 전부 또는 상당한 부분이 복제”되어야 한다고 밝혔다. 이때 상당한 부분의 복제에 해당하는지를 판단할 때는 “양적인 측면만이 아니라 질적인 측면도 고려”되어야 한다. 질적으로 상당한 부분인지 여부는 “데이터베이스제작자가 그 복제 등이 된 부분의 제작 또는 그 소재의 갱신 등에 인적 또는 물적으로 상당한 투자를 하였는지를 기준으로 제반사정에 비추어 판단”해야 한다. 또한 피고인들이 수집한 정보들은 피해자 데이터베이스의 일부에 해당하고, 이 정보들은 이미 상당히 알려진 정보로서 그 수집에 상당한 비용이나 노력이 들었을 것으로 보이지 않거나 이미 이 사건 앱을 통해 공개되어 확보할 수 있었던 것일 뿐만 아니라, 해당 데이터베이스의 통상적인 이용과 충돌하거나 피해자의 이익을 부당하게 해치는 경우에 해당하지 않는다고 판단해 무죄를 선고하였다.

억울한 피해자는 저작권법 제93조 제2항 “데이터베이스의 개별 소재는 제1항에 따른 해당 데이터베이스의 상당한 부분으로 간주되지 아니한다. 다만 데이터베이스의 개별 소재 또는 그 상당한 부분에 이르지 못하는 부분의 복제 등이라 하더라도 반복적이거나 특정한 목적을 위하여 체계적으로 함으로써 해당 데이터베이스의 통상적인 이용과 충돌하거나 데이터베이스제작자의 이익을 부당하게 해치는 경우에는 해당 데이터베이스의 상당한 부분의 복제 등으로 본다”는 규정을 들어 호소했을 것으로 보인다. 비록 피고인들이 복제한 부분이 상당한 부분이 아니더라도, 피고인들은 경쟁사인 피해자의 정보를 캐내려는 특정하고 불순하기까지 한 목적을 위해 체계적으로 크롤링 계획을 세웠다. 이러한 이용은 데이터베이스의 통상적인 이용과 충돌하는 것이 당연하다. 그렇다면 우리 저작권법은 이를 ‘상당한 부분’의 복제로 보니 저작권 침해죄는 인정되어야 할 것이다.

그러나 법원은 별다른 설명도 없이 이를 인정하지 않았다. 대법원은 “피고인 등의 데이터베이스 복제가 피해자 회사의 해당 데이터베이스의 통상적인 이용과 충돌하거나, 피해자의 이익을 부당하게 해친다고 보기 어렵다”는 결론으로 모든 설명을 얼버무렸다. 원심인 서울중앙지법 역시 같은 한 줄로 설명을 대신했다. 결론은 저작권 침해죄에 대해 법원은 무죄를 선고했다.

컴퓨터 등 장애 업무방해죄

검사는 컴퓨터 등 장애 업무방해죄로도 기소했는데, 엉뚱한 기소는 당연히 무죄판결을 받았다. 형법 제314조 제2항은 “컴퓨터 등 정보처리장치 또는 전자기록 등 특수매체기록을 손괴하거나 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 기타 방법으로 정보처리에 장애를 발생하게 하여 사람의 업무를 방해한 자도 제1항(업무방해죄)의 형과 같다”고 규정하고 있다. 이 죄가 성립되기 위해서는 허위의 정보 또는 부정한 명령을 입력하고, 그 결과 정보처리에 장애가 발생하고, 다시 그 결과 업무를 방해했어야 한다.

그런데 피고인의 크롤링 프로그램은 허위 정보를 입력하거나 부정한 명령을 입력하지도 않았다. 그저 여행하고 싶은 날짜와 장소를 집어 어디서 잘까 물어보았을 뿐이다. 결국 무죄가 선고되었다.

억울한 피해자, 타당한 판결인가?

몇몇 대목에서 피해자는 억울하다.

첫째, 246회 정도 나의 데이터베이스를 털어 복제했으면 상당한 부분을 복제한 것이 아닌가? 상당한가 아닌가의 기준은 무엇인가? 내 정보가 246개 밖에 없었으면 전부 복제된 것인데, 내가 열심히 노력해서 구축한 데이터베이스의 정보가 수백만 건이라 만분의 일이라고 해서 나의 노력을 인정하지 않는 것이 타당한가? 백번 양보해서 상당한 부분이 아니라고 하더라도 피고인들의 행위는 통상적인 이용과 충돌하지 않는가?

유명한 ‘물가정보지 사건’에서도 서울고등법원은 물가정보지를 구입하는 통상적인 이용방법이 아닌 원고 홈페이지에서 가격정보만을 추출한 데 대해 법원은 통상적인 이용과 충돌하거나 데이터베이스제작자의 이익을 부당하게 해치는 경우에 해당한다고 판시한 바 있다.5) 또 다른 ‘경매정보지 사건’에서 서울동부지방법원은 데이터베이스의 전부 또는 상당한 부분이 복제되었다는 주장·입증이 없는데도 불구하고 데이터베이스의 개별 소재에 해당하는 정보들의 복제물을 반복적으로 영업목적을 위하여 체계적으로 자신들의 인터넷 홈페이지에 게시한 데 대해 데이터베이스 제작자의 권리 침해를 인정한 바 있다.6) 대구지방법원 역시 ‘부동산 매물사진 사건’에서 매물 사진을 이용한 데 대해 데이터베이스의 통상적인 이용과 충돌하거나 데이터베이스제작자의 이익을 부당하게 해치는 경우로서 데이터베이스제작자의 권리를 보호해 주어야 하는 경우에 해당한다고 판시한 바 있다.7) 왜 이번은 결론이 다른가?

객관적으로 봤을 때, 무려 246개라고 하지만 그 내용이 “업체 명, 방 이름, 원래금액, 할인금액, 업체주소, 입실 및 퇴실기간, 날짜” 정도라면 데이터베이스를 구축하거나 갱신하는데 커다란 자원이 필요로 하지 않을 것 같은데, 인적 또는 물적 투자를 보호목적으로 하는 데이터베이스제작자의 권리를 고려할 때 형사처벌하는 것은 너무 가혹한 것이 아닌가? 더군다나 앱을 이용하면 누구나 얻을 수 있는 정보이고, 크롤링 프로그램이 DBMS(데이터베이스관리시스템)에 무단 접근하지도 않은 채 API서버에 공손히 물어보아 받은 정보에 불과하다.

만약 이러한 행위를 형사처벌한다면 앞으로 크롤링 프로그램을 이용한 데이터의 수집은 불가능하게 되고, 이는 빅데이터 산업 등 제4차 산업의 핵심 먹거리라고 하는 데이터 산업발전에 해가 될 것이다. 더 나아가 인터넷은 본래 개방 환경(open environment)을 지향해 왔는데, 특별한 보호조치도 없는 사이트에서의 정보 수집을 금지한다면 정보접근권이나 정보공유 또는 정보평등이나 경쟁의 자유는 어떻게 실현할 것인지 등 여러 가지 생각들이 법원의 머리를 혼란스럽게 했을 것이다.

둘째, 정보통신망 침해죄를 인정하지 않은 것도 억울할 수 있다. 법원의 설명대로라면 방화벽이나 보호조치를 하지 않은 모든 사이트에 대한 접근은 정당하다는 것인데, 문 열어 놓았다고 남의 집에 들어갈 수 있는 것은 아니다. 더군다나 보호조치의 무력화는 별도의 처벌 규정을 가지고 있고, 정보통신망법 제48조 제1항 어디에도 정보통신망 침해죄가 되기 위해서는 “보호조치를 침해하거나 훼손할 것”을 구성요건으로 하지 않고 있으며, 대법원 판례8) 역시 보호조치 침해나 훼손을 구성요건으로 하지 않음을 확인했었다.

객관적으로 봤을 때, 이 사건에서 피고인들이 만든 크롤링 프로그램은 정보통신망에 침입한 것으로 보기도 어려울 수 있다. 피해자들의 데이터베이스 서버나 DBMS에 접근한 것도 아니고, API에 물어본 것인데 이를 침입이라고 할 수 있을까?

더 나아가 정보통신망의 세계에서는 설령 데이터베이스서버나 DBMS라고 하더라도 크롤링의 대상이 될 수 있고, 보안이나 보호조치의 무력화가 동반되지 않는 데이터 수집 그 자체는 허용되는 것이 룰(rule) 이다.

에필로그

결론은 보호조치 없는 API를 이용한 크롤링은 형사처벌할 수 없다는 것이다. 물론 크롤링을 이용해 정보를 수집하여 이용하는 행위는 부정경쟁행위나 불법행위로 민사책임을 질 가능성은 있다. 최근 데이터 부정 사용행위가 부정경쟁방지법 제2조 카목으로 도입되기도 했고, 그렇지 않더라도 보충규정인 파목의 규정이나 민법 제750조의 불법행위규정을 원용한 손해배상청구가 가능할 수 있기 때문이다. 크롤링의 자유에 대해 민사적 판단은 어디까지 허용할 것인지 매우 궁금해지는 대목이다.

1) 응용프로그램(Application) 간에 이루어지는 통신이나 메시지 교환의 방법을 의미하는데, API의 전단에는 이용자의 호출이 있고 그 후단에는 호출에 대한 정보제공을 위한 서버나 프로그램이 존재한다.
2) 크롤링이란 웹(web) 또는 타인의 서버에 접속하여 유용한 정보를 찾아 특정 데이터베이스시스템으로 수집해 오는 작업이나 기술을 의미하는데, 이러한 작업은 자동화된 크롤링 프로그램에 의해 수행되는 것이 일반적이다. 정보검색서비스 등을 제공하기 위해 주로 이용되며, 해킹이나 반해킹 등 다양한 목적으로 이용된다.
3) 서울중앙지방법원 2021. 1. 13. 선고 2020노611판결.
4) 대법원 2022. 5. 12. 선고 2021도1533판결.
5) 서울고등법원 2010. 6. 9. 선고 2009나96306판결.
6) 서울동부지방법원 2014. 12. 24. 선고 2014가합104306판결.
7) 대구지방법원 2013. 10. 1. 선고 2012가합42110판결.
8) 대법원 2005. 11. 25. 선고 2005도870판결.