2024-03-29 03:30 (금)
[이용재 변호사의 법정에서] 정보통신망 침입과 URL 입력
상태바
[이용재 변호사의 법정에서] 정보통신망 침입과 URL 입력
  • 길민권 기자
  • 승인 2017.08.28 14:33
이 기사를 공유합니다

“필요이상으로 처벌범위 확대하는 방식으로 정보통신망법 해석하지 않기를…”

▲ 이용재 변호사
▲ 이용재 변호사. 산건 법률사무소
2016년에 합격자 발표 시점 이전에 국가고시센터에 접속하여 합격자 명단을 다운로드받은 사건이 발생하였고, 파일을 다운로드받은 사람은 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)위반죄로 기소되었다.

인사혁신처의 담당자는 합격자 명단을 데이터베이스에 업로드한 이후 예약기능을 이용하여, 설정해둔 발표시점이 되어야 게시되도록 설정하였다. 그런데 피고인은 URL 주소의 파일숫자 끝 번호를 계속하여 변경·입력하는 방법으로 합격자 명단을 다운로드받았다.

2017년 2월 1심 법원은 정보통신망법 제71조 제1항 제9호, 제11호, 제48조 제1항, 제49조를 적용해서, 피고인이 정당한 접근권한 없이 정보통신망에 침입하고, 정보통신망에 의해 처리·보관되고 있는 타인의 비밀을 침해하고 누설하였다고 판단한 후, 피고인에게 집행유예 판결을 선고하였다.

시험을 주관하는 기관 입장에서는, 피고인의 행위로 당초 예정되어 있던 계획에 따라 합격자 발표를 하지 못한 점은 분명하다. 피고인이 파일을 다운로드 받았을 뿐만 아니라, 파일을 다운로드 받을 수 있는 주소를 널리 알려진 사이트 게시판에 게시함으로써, 인사혁신처는 예정시각보다 하루 앞당겨 합격자발표 공고를 하게 되었다.

이러한 상황이 드러나자, 수사를 거쳐 검찰이 피고인을 기소하였고, 1심 법원은 게시판에 합격자 명단파일이 공개되어 있지 않았는데, 파일에 직접 접근할 수 있는 주소(URL)를 알아내어 파일을 다운로드 한 것은 정당하지 않은 접근이라고 판단한 것으로 보인다.

1심 판결이 있기 전에 보안전문가로부터 URL을 변경해서 입력하는 것이 정보통신망 침입이 될 수가 있냐는 질문을 들었을 때, 구체적인 행위를 검토해봐야겠지만 URL 주소를 변경한 것만으로는 정보통신망 침입으로 보기 어려울 것이라는 의견을 밝혔었다. 그런데 1심 법원이 URL 변경 입력행위를 정보통신망 침입이라고 판단하여 유죄판결을 선고했다는 소식을 듣고 어떤 판단을 거쳐 정보통신망 침입이 될 수 있는지 알아보기 위해 판결문을 찾아서 읽어보았다.

그런데 1심 판결은 검찰의 공소사실에 대응하는 범죄사실을 기재한 후, 피고인이나 변호인의 무죄주장에 대해서 별다른 판단을 하지 않고 유죄판결을 하였다. URL 변경입력이 당연히 정보통신망 침입에 해당한다는 점이 의문의 여지없이 명백한 것처럼 별다른 판단을 기재하지 않은 것이다. 무죄주장에 대한 판단이 형사판결에 반드시 들어가 있어야 하는 것은 아니지만, URL 변경입력이 형사처벌 대상이 되는지 의문이 제기되는 현실에서 아무런 논증이 없었다는 점이 아쉬운 일이다.

오히려 1심 법원은 피고인이 “타인의 관심과 주목을 받으려는 소아병적인 생각으로 인터넷 사이트 게시판에 합격자 명단 파일을 다운로드 받을 수 있는 주소를 게시”하였고, ‘무분별한 행위로 사회적으로 큰 혼란이 야기되었고, 공무원 선발 업무에 대한 신뢰가 추락’하여 죄질이 좋지 않다고 밝히고 있다. 실제 1심에서 유죄 판결이 선고된 후 보안 업계 종사자 사이에서 화제가 된 것으로 기억한다.

일반이용자가 합격자 명단에 발표시점이 되기 전까지 접근할 수 없게 하는 것이 담당자 더 나아가 국가기관의 의도였음은 명백하다. 그리고 피고인이 발표시점에 이전에 파일을 다운로드 받고 다른 사람들도 합격자 명단에 접근할 수 있게 주소를 알려줌으로써, 당초 계획을 못 지킨 것도 확실하다. 그러나 어떠한 행위가 범죄가 되는지 여부를 판단할 때는 행위자의 의사(고의나 목적 등)도 중요하지만, 가장 기본이 되는 것은 객관적인 행위와 상황이다. 설사 인사혁신처의 담당자와 국가기관의 의도가 발표시점 전까지 파일에 일반 이용자들이 접근할 수 없게 하는 것이었더라도, 파일에 접근할 수 있는 주소(URL)를 입력해서 일반이용자들도 다운로드받을 수 있었다면 일반이용자는 주어진 권한 범위 안에서 정보통신망에 접근한 것에 불과하다.

물론 파일에 접근할 수 있는 주소(URL)를 몰랐다면, 합격자 명단이 게시판에 보이지 않게 한 담당자의 조치만으로도 파일을 다운로드할 수 없었을 것이다. 그러나 단순한 규칙으로 URL을 부여하여 문제가 된 파일에 접근할 수 있는 주소(URL)를 알아냈다면, 접근권한이 있는 사람 누구나 파일을 다운로드 받는 데에 문제는 없다.

특히 게시글을 업로드하였으나, 개발자의 실수로 메인페이지에 게시글의 링크를 게재하지 않은 경우, 게시글의 주소(URL)를 입력해서 접근하더라도 접근권한에 문제가 없을 뿐만 아니라 게시글에 접근하는 것이 정보서비스 제공자의 의사에 반하지도 않는다. 그런데 객관적(시스템적)으로 게시글이나 파일에 접근할 권한이 있고 그러한 권한은 정보서비스제공자가 부여한 것임에도 불구하고 정보서비스 제공자의 내심의 의사에 따라 접근권한이 있는 경우와 없는 경우로 나뉜다고 해석하는 것은 형사처벌의 불명확성을 확대하는 것이다.

정보통신망법에서는 “정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입”하는 것을 처벌하는데, 특정 파일에(일정 시점까지) 접근할 수 없게 하는 것이 정보서비스 제공자의 내심의 의사였다는 사실만으로, 시스템상 접근권한이 있는 사람에게 객관적으로 허용된 접근권한이 사라진다고 해석할 수는 없기 때문이다.

설사 인사혁신처 담당자는 발표시점 전까지 일반사용자가 합격자 명단을 볼 수 없게 하려는 의사를 지니고 있었더라도, 실제 일반사용자가 발표시점 전에도 데이터베이스에 업로드된 파일에 접근할 수 있었다면, “접근권한 없이” 정보통신망에 침입하였다고 볼 수 없다. 따라서 파일에 접근할 수 있는 URL 주소를 예측가능하게(간단한 규칙대로) 배정하고, 파일을 다운로드받을 수 있는 주소(URL)를 직접 입력해서 발표시점 전에 일반인도 파일에 접근할 수 있도록 한 부주의가 있다면 그러한 부주의에 따른 책임을 일반사용자에게 물을 수 없다.

피고인은 1심 판결에 불복하여 항소를 제기하였고, 항소심법원은 2017년 7월, 피고인이 파일을 다운로드할 당시 사이트는 누구나 접속할 수 있었고 파일에 보호조치가 되어 있지 않았으며 피고인은 우연히 알아낸 파일의 주소를 웹브라우저 주소창에 입력하여 이 사건 파일을 다운로드하였다고 인정할 수 있을 뿐이므로 피고인이 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 부정한 방법으로 사이트에 접속하였다거나 웹브라우저 주소창에 직접 어떤 주소를 입력하는 행위가 금지되어 있다고 할 수 없다고 판단한 후, 1심 판결을 파기하고 무죄를 선고하였다.

정보통신망법 제49조에서는 정보통신망에 의하여 처리·보관·전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용·누설하는 행위도, 정보통신망 침입과 별개로 금지하고 있다. 그러나 판례는 정보통신망에 의해 처리·보관되는 타인의 비밀을 침해하거나 누설한 경우에도, 정보통신망에 접근할 정당한 권한이 있는 사람이 행한 경우라면 정보통신망법 제49조 위반이 아니라고 보고 있다.

정보통신망법 제49조는 접근권한이 없는 사람이 부정한 수단이나 방법으로 정보통신망에서 타인의 비밀을 침해하거나 누설한 경우에 적용된다고 해석하고 있는 것이다. 판례는 그 근거로, 정보통신망법은 정보통신망의 안정성과 정보의 신뢰성 확보를 위해 제정된 법으로 이와 무관한 행위까지 정보통신망법의 처벌대상으로 삼는 것은 입법 취지에 비추어 처벌범위를 지나치게 넓히는 결과가 되어 부당하다는 점을 들고 있다.

항소심 법원은, 피고인이 합격자 명단을 다운로드 받은 것은 정당한 권한 범위 안에서 이루어진 것으로 판단하였고, 그 결과 합격자 명단이 타인의 비밀에 해당하더라도 파일을 부정한 수단이나 방법으로 취득한 것이 아니므로 정보통신망법 제49조 위반죄도 인정되지 않는다고 판단하였다.

GUI가 도입되기 전에는 마우스가 아닌 키보드가 기본 입력도구였고, URL를 입력하는 방식은 여전히 인터넷 이용의 기본적인 방식에 해당한다. 그런데 주소(URL)를 사전에 명백히 알고 있지 않은 상태에서 입력하였다는 사정 때문에 정보통신망 침입이라고 한다면, 정보통신망법 위반으로 처벌될 수 있는 행위는 필요이상으로 광범위해진다. 설사 특정 파일이나 정보에 접근을 하지 못하게 하는 것이 정보통신서비즈 제공자(담당자)의 의도였다고 하더라도 실제로 접근권한 부여를 잘못하여 시스템상 권한 자체가 인정되는 사람이 권한 범위 내에서 한 행위는 정보통신망의 안전성과 정보의 신뢰성 확보와도 무관한 행위이다. 따라서 URL 파라미터를 조작해서 자신에게 없는 권한(예 : 관리자)을 획득하고, 원래 접근이 금지된 정보를 취득한 것이 아니라면 URL 입력은 정보통신망법이 인정하는 정상적인 접근에 불과하다.

무죄를 선고한 항소심 법원의 판결에 불복한 검사가 상고를 하여, 2017년 8월 현재 사건은 대법원에 계속 중이다. 부디 대법원에서는 정보통신망 이용행위의 특성을 고려하여, 필요이상으로 처벌범위를 확대하는 방식으로 정보통신망법을 해석하지 않기를 기대해 본다. 또한 향후 수사기관과 1심 법원에서도 첫인상만으로 심도 깊은 판단 없이 정보통신망 이용행위를 범죄로 판단하고 기소하거나 유죄로 판단하는 일이 없기를 희망한다.

[글. 이용재 변호사(산건 법률사무소) / 대한변협 법제연구원 일반연구위원 /
문의: hdan031@gmail.com]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★