회사 다면평가 열람용 인터넷 주소 일부 숫자를 바꿔 입력하는 방법을 반복해 다른 직원의 평가 결과를 열람하고 이를 캡처해 타인에게 전송했더라도 정보통신망법 위반으로 볼 수 없다는 취지의 대법원 판결이 나왔다. 다면평가 결과가 게시된 인터넷 페이지에 별도의 개인인증 절차 없이 주소만 입력해 접속할 수 있었다면, 페이지 접근권한을 임직원 본인으로 제한했다고 보기 어렵다는 판단이다.
대법원 형사1부(주심 오경미 대법관)는 지난달 26일 정보통신망이용촉진및정보보호법률 위반 혐의로 기소된 A 씨에게 징역형의 집행유예를 선고한 원심을 파기하고 사건을 수원지법으로 돌려보냈다(2023도1086).
A 씨는 경기도의 B 아트센터에 근무하는 직원이다. B 센터는 직원 인사관리를 위해 매년 직원 간 다면평가를 실시했는데 직원들은 개인별로 부여된 인터넷 주소에 접속해 본인의 평가 결과를 열람할 수 있었다. A 씨는 자신의 다면평가 열람 페이지 주소 마지막 숫자 2자리를 다르게 입력하는 방법을 반복해 B 센터 임직원 51명의 평가 결과를 일일이 열어 보고 그 화면을 캡처한 뒤, 캡처 사진을 B 센터 본부장에게 전송한 혐의를 받았다.
1심은 “A 씨가 정당한 접근권한 없이 정보통신망에 침입해 타인의 비밀을 침해하고 누설했다”며 A 씨에게 징역 8개월에 집행유예 2년을 선고했다. B 센터와 용역계약을 맺고 다면평가 온라인 링크 개발과 조사를 진행하고 직원들에게 평가 결과 주소를 전송한 C 업체와 대표이사 D 씨에게는 “B 센터 임직원의 개인정보 유출을 방지하기 위한 조치를 취하지 않아 개인정보보호법을 위반했다”며 각각 벌금 500만 원을 부과했다. 2심도 A 씨의 항소를 기각하고 1심 판결을 유지했다.
하지만 대법원 판단은 달랐다. 대법원은 “정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하는 것을 금지한 정보통신망법 제48조 제1항은 정보통신망 자체의 안정성과 정보의 신뢰성을 보호하기 위한 것이므로 접근권한을 부여하거나 허용되는 범위를 설정하는 주체는 서비스제공자”라며 “서비스제공자로부터 권한을 부여받은 이용자가 아닌 제3자가 정보통신망에 접속한 경우 그에게 접근권한이 있는지 여부는 서비스제공자가 부여한 접근권한을 기준으로 판단해야 하며, 서비스제공자가 접근권한을 제한하는지 여부는 보호조치나 이용약관 등 객관적으로 드러난 여러 사정을 종합적으로 고려해 신중하게 판단해야 한다”고 전제했다.
이어 “평가결과 열람 인터넷 페이지는 별도의 로그인이나 개인인증 절차 없이 접속이 가능했으며 △주소 마지막이 숫자 2자리로 단순하게 구성돼 있었으며 주소가 암호화돼 있지 않은 점 △C 업체가 임직원들에게 평가 결과 주소를 전송한 이메일과 문자메시지에서 다른 임직원의 열람을 제한하는 것으로 볼 만한 내용을 포함시키지 않은 점에 따라 C 업체와 D 씨는 안정성 확보에 필요한 조치를 취하지 않았다는 이유로 유죄 판결을 확정 받았다”고 밝혔다.
그러면서 “C 업체가 B 센터 임직원들에게 본인의 다면평가 결과가 게시된 인터넷 페이지의 주소만을 개별적으로 전달했다 하더라도, 아무런 보호조치 없이 다면평가 결과가 게시된 인터넷 주소를 입력하는 방법만으로도 다면평가 결과를 열람할 수 있도록 한 이상, 인터넷 페이지 접근권한을 임직원 본인으로 제한했다고 보기 어렵다”며 “A 씨가 인터넷 주소의 일부 숫자를 바꿔 넣는 방법으로 다른 사람의 평가 결과가 게시된 페이지에 접속했다 하더라도 정보통신망법 제48조 제1항이 금지하는 정보통신망 침입 행위에 해당한다고 할 수 없다”고 판단했다.
A 씨가 다른 임직원의 평가열람 페이지에 접속해 타인에게 비밀을 누설했다는 혐의에 대해서도 대법원은 “A 씨가 인터넷 주소 일부를 변경해 입력한 것 외에 별도로 부정한 수단 또는 방법으로 볼 만한 행위를 하지 않았으므로 다면평가 결과를 부정한 수단 또는 방법으로 취득하거나 누설했다고 할 수 없다”고 판시했다.
홍윤지 법률신문 기자
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>