직원들의 다면평가 결과가 게시된 인터넷 페이지 주소(URL)의 일부 숫자를 임의로 바꿔 다른 직원들의 평가 결과를 확인하고, 회사 간부에게 유출하기까지 한 직원을 정보통신망법 위반죄로 처벌할 수 없다는 대법원 판결이 나왔다.
서비스 제공 업체가 보안조치를 제대로 갖추지 않아 특별히 부정한 명령을 입력하지 않고도 단순히 인터넷 주소의 일부 숫자를 바꿔 입력하는 방법으로 접근이 가능했다면 이를 정보통신망 침해로 볼 수 없고, 나아가 부정한 방법으로 취득한 타인의 정보를 누설한 것으로도 볼 수 없다는 취지의 판결이다.
15일 법조계에 따르면 대법원 1부(주심 오경미 대법관)는 정보통신망법 위반(정보통신망 침입 및 타인 정보 누설) 혐의로 기소된 함모씨(46)에게 징역 8개월에 집행유예 2년을 선고한 원심판결을 무죄 취지로 파기하고 사건을 수원지법으로 돌려보냈다.
재판부는 “원심의 판단에는 정보통신망법 제48조 1항 및 제49조에 관한 법리를 오해한 잘못이 있다”고 파기환송의 이유를 밝혔다.
경기아트센터에서 안전시설팀 직원으로 일하고 있던 함씨는 2020년 1월 다른 동료 직원 51명의 다면평가 결과를 무단으로 열람하고, 휴대전화를 통해 캡처해뒀다가 같은 해 3월 센터 본부장의 요청을 받고 전송한 혐의로 재판에 넘겨졌다.
경기아트센터는 직원들의 인사 관리에 활용하기 위해 매년 직원 간 다면평가를 실시한 뒤 그 결과를 각 직원에게 통보했다. 다면평가 결과에는 평가대상자의 이름, 소속, 평가점수, 평가자의 서술평가가 포함돼 있었다.
센터는 2019년 A씨가 대표로 있는 B사와 다면평가 조사용역계약을 체결했다. B사는 2019년 12월 30일부터 2020년 1월 3일까지 78명의 직원을 상대로 다면평가 자료를 수집하고, 이를 분석한 뒤 각 센터 직원들에게 자신의 다면평가 결과를 열람할 수 있는 인터넷 주소를 전송했다.
그런데 그전까지 보안을 위해 무작위 7개 문자 암호화방식 등이 사용됐던 것과 달리 B사는 숫자 부여 방식을 사용해 개인별로 부여된 인터넷 주소의 끝자리 숫자만 변경하면 누구나 다른 직원들의 다면평가 결과 페이지에 접속할 수 있게 돼버렸다.
우연히 이 같은 사실을 알게 된 함씨는 2020년 1월 3일 자신의 휴대전화를 이용해 임직원 51명의 다면평가 결과를 열람했고, 이를 캡처해 사진으로 저장했다. 그리고 같은 해 3월 9일 센터 본부장으로부터 직원들의 다면평가 자료를 달라는 요청을 받고 카카오톡 메신저를 이용해 51명의 다면평가 결과 캡처 사진을 전송했다.
검찰은 함씨의 행위가 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입한 행위에 해당하며, 정보통신망에 의해 처리·보관 또는 전송되는 타인의 비밀을 누설한 행위에 해당한다고 판단, 함씨를 정보통신망법 제48조(정보통신망 침해행위 등의 금지) 1항 및 제49조(비밀 등의 보호) 위반 혐의로 재판에 넘겼다. 두 혐의 모두 ‘5년 이하의 징역 또는 5000만원 이하의 벌금’으로 처벌되는 범죄다.
또 개인정보를 처리하면서 제대로 안전조치를 취하지 않은 A씨와 B사는 개인정보보호법 위반 혐의로 함께 기소했다. 개인정보보호법은 회사 대표가 안전조치의무 위반으로 처벌될 경우 법인에도 같은 벌금형을 과하도록 양벌규정을 두고 있다.
1심 법원은 함씨의 혐의를 모두 유죄로 인정, 징역 8개월에 집행유예 2년을 선고했다. A씨와 B사에는 각 벌금 500만원을 선고했다.
재판에서 함씨는 “개인정보취급 담당자로서 다면평가자료 보안에 문제가 있음을 발견하고 관련 증거 수집과 외부업체의 관련 증거인멸을 염려해 다면평가 결과를 캡처해둔 것일 뿐 정보통신망 침해의 고의가 없었다”고 주장했다.
또 “센터 본부장의 요구에 따라 이를 전송한 것은 누설이라고 할 수 없고, 자신의 행위는 증거 확보의 필요성과 상급자의 요청에 의한 정당행위로서 위법성이 없다”라고도 했다.
하지만 재판부는 이 같은 함씨의 주장을 받아들이지 않았다.
재판부는 ▲함씨가 보안상 문제를 발견하고도 바로 다면평가 주무부처인 인사팀이나 감사팀에 통보하지 않은 점 ▲문제를 시정하기 위해 업체 측에 통보하지도 않은 채 약 2개월 동안 그대로 휴대전화에 캡처 사진을 보관한 점 ▲함씨가 캡처 사진을 전송한 본부장은 함씨와 개인적인 친분이 있었을 뿐 인사평가나 보안업무와는 관련이 없는 공연 업무 담당자였던 점 ▲함씨가 회사 조사 과정에 협조하지 않아 수사기관에 수사 요청을 하게 된 점 ▲함씨는 경찰에서 “매년 작성하는 ‘개인정보 보안점검 및 내부감사 점검 결과보고서’ 작성을 위해 증거를 수집했다”는 취지로 진술했지만, 막상 2019년, 2020년 결과보고서에 이에 대한 기재가 없다는 지적을 받자 “분기별로 작성되는 ‘정보보안 보고서’에 기재하려고 했다”라고 진술을 바꿨고, 다면평가 결과 유출과 관련된 어떠한 문건도 작성하지 않은 점 ▲공식적으로 위 정보 유출에 대한 조사가 시작되자 캡처 화면을 모두 삭제한 점 등을 함씨의 정보통신망 침입 및 타인 비밀 누설의 고의를 인정할 수 있는 근거로 들었다.
재판부는 “A씨는 정당한 권한 없이 다면평가 결과를 열람하는 것에 그치지 않고 화면을 캡처하고 전송했다”라며 “그 죄책이 결코 가볍지 않음에도 불구하고 범행을 극구 부인하고 있어 엄중한 처벌이 필요하다”고 말했다.
함씨는 항소했지만 2심의 판단도 같았다. A씨와 B사는 항소하지 않아 1심 판결이 그대로 확정됐다. 함씨는 다시 상고했다.
그런데 대법원에서 결과가 완전히 뒤집혔다.
먼저 대법원은 애초 열람 대상이 제한됐다고 보기 어려운 데다가, 함씨가 단지 인터넷 주소 마지막 숫자 2자리만 바꿨을 뿐 다른 부정한 명령을 입력하지 않았기 때문에 정보통신망 침입으로 보기 어렵다고 판단했다.
재판부는 “평가대상자에게 개별적으로 전송돼 자신의 다면평가 결과를 열람할 수 있는 인터넷 페이지는 별도의 로그인 절차나 개인인증 절차 없이 접속이 가능했고, 그 인터넷 주소도 암호화돼 있지 않았다”라며 “B사는 임직원들에게 다면평가 결과가 게시된 인터넷 페이지 주소를 전송한 이메일이나, 문자메시지에서 다른 직원의 다면평가 결과의 열람을 제한하는 것으로 볼 만한 내용을 포함시키지 않았다”고 전제했다.
재판부는 “인터넷 주소 마지막이 숫자 2자리로 구성돼 있어 단순하게 해당 주소에서 마지막 숫자 2자리를 다르게 입력하는 방법만으로 다른 임직원의 다면평가 결과를 열람할 수 있는 인터넷 페이지에 접속할 수 있었다”라며 “피고인은 자신의 추측에 따라 자신에게 전송된 인터넷 주소의 마지막 숫자 2자리를 변경해 입력하는 방법을 반복함으로써 다른 임직원의 다면평가 결과를 열람할 수 있는 인터넷 페이지에 접속할 수 있었을 뿐 그 외에 어떠한 다른 명령도 입력하지 않았다”고 밝혔다.
이어 “따라서 피고인이 인터넷 페이지 주소의 일부 숫자를 바꿔 넣는 방법으로 다른 사람의 다면평가 결과가 게시돼 있는 인터넷 페이지에 접속했다고 하더라도 이를 정보통신망에 침입하는 행위에 해당한다고 할 수 없다”고 결론 내렸다.
또 대법원은 정보통신망에 침입해 얻어낸 정보가 아니기 때문에 함씨를 정보통신망법상 타인 정보 누설 혐의로도 처벌할 수 없다고 봤다.
재판부는 대법원 판례를 원용해 “정보통신망법 제49조에서 말하는 타인의 비밀 ‘누설’이란 타인의 비밀에 관한 일체의 누설행위를 의미하는 것이 아니라, 정보통신망에 의해 처리·보관 또는 전송되는 타인의 비밀을 정보통신망에 침입하는 등의 부정한 수단 또는 방법으로 취득한 사람이나 그 비밀이 위와 같은 방법으로 취득된 것임을 알고 있는 사람이 그 비밀을 아직 알지 못하는 타인에게 이를 알려주는 행위만을 의미한다”고 밝혔다.
이어 “피고인이 다른 임직원들의 다면평가 결과가 게시된 인터넷 페이지에 접속하기 위해 일부 인터넷 주소를 변경해 입력한 것 외에 별도로 부정한 수단 또는 방법으로 볼 만한 행위를 하지 않았으므로, 피고인이 정보통신망인 인터넷에 게시된 타인의 비밀에 해당하는 다면평가 결과를 정보통신망에 침입하는 등의 부정한 수단 또는 방법으로 취득하거나 누설했다고 할 수 없다”고 판단했다.
최석진 법조전문기자 csj0404@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>