O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

[논문2] 정보통신망침입에 대한 연구 - 조성훈 변호사

2.556 visualizações

Publicada em

정보통신망법 제48조 1항에 대한 연구

Publicada em: Direito
  • Seja o primeiro a comentar

[논문2] 정보통신망침입에 대한 연구 - 조성훈 변호사

  1. 1. 硏究論文 117 논문요약 1995. 12. 29. 법률 제5057호로 개정된 형법은 “컴퓨터 등 정보처리장치”와 “전자기 록 등 특수매체기록”의 개념을 도입하여 기존 구성요건을 정비하고 새로운 구성요건을 신설하는 등으로 컴퓨터범죄의 기본 틀을 마련하였다. 한편 2001. 1. 16. 법률 제6360 호로 전부 개정된 “정보통신망이용촉진및정보보호등에관한법률” 제48조는 “정보통신망 침해행위 등의 금지”라는 표제 하에 일련의 행위를 금지하고 이를 위반할 경우 처벌하 도록 규정하는 바, 컴퓨터범죄 관련 형법 구성요건과 정보통신망법의 관계가 반드시 명확한 것은 아니다. 본고에서는 위 두 법률의 규정을 비교하여 그 차이점을 분석하고, 정보통신망법 제 48조 제1항과 유사한 구조를 가진 미국의 Computer Fraud and Abuse Act의 기본 구조 를 살펴본 후, 정보통신망법 제48조 제1항의 범위가 부당히 확장되는 것을 방지하려면 ‘권한 없는 정보통신망 침입’은 기술적 보호조치 또는 이에 준하는 보호조치를 무력화 하거나 우회하는 방법으로 자신에게 부여되지 않은 권한을 취득하고 이를 이용하여 정 보통신망에 접근한 경우로 제한되어야 한다는 해석론을 제시한다. [주제어] 컴퓨터범죄, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 정보통신망 침입, 정보통신망 침해, 권한 없는 접근 Computer Crime, Information Network Trespass, Access without Authorization, the Computer Fraud and Abuse Act, Computer Trespass 硏究論文 정보통신망 침입에 대한 연구 - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조를 중심으로 - 변호사(대한민국, 미국 뉴욕 주), 법학박사 趙 成 焄 * 논문접수 : 2013. 8. 6. * 심사개시 : 2013. 9. 9. * 게재확정 : 2013. 10. 1.
  2. 2. 法曹 2013․12(Vol.687)118 目 次 Ⅰ. 들어가며 Ⅱ. 형법 상 컴퓨터범죄 관련 구성요건 과 정보통신망법 제48조 1. 형법 상 컴퓨터범죄 관련 구성요건 2. 정보통신망법 제48조 Ⅲ. 비교법적 고찰: THE COMPUTER FRAUD AND ABUSE ACT 1. 규정 일반 2. 입법 배경 3. 무단침입죄와 범죄목적침입죄의 법 적 성격 4. 다른 법리와의 관계 5. ‘권한 없는 접근’의 해석 Ⅳ. 정보통신망 칩입의 해석 1. 정보통신망법 제48조 제1항의 문제 점 2. ‘권한 없는 침입’의 범위 3. 대법원 2013. 3. 28. 선고 2010도 14607 판결 Ⅴ. 마치며 Ⅰ. 들어가며 컴퓨터범죄(computer crime)라는 개념을 인정할 것인지, 또한 이를 인정한다면 어떻게 정의할 것인지 등의 논의는 아직도 진행형인 것 으로 보인다.1) 본고는 개략적이나마 컴퓨터범죄라는 독자적 범주를 1) 예컨대, Scott Charney & Kent Alexander, Computer Crime, 45 EMORY L. J. 931, 934 (1996) (범죄의 대상(target of offense)으로서의 컴퓨터, 전통적 범죄의 도구(tool of traditional offense)로서의 컴퓨터, 증 거저장수단(storage device for evidence)으로서의 컴퓨터로 구분함); 배 종대, 「형사정책」(제2판), (1999), 678면 (광의의 컴퓨터범죄를 ‘컴퓨터 가 행위수단이자 목적인 모든 행위’로 협의의 컴퓨터범죄를 ‘컴퓨터가 행 위의 수단 또는 목적인 고의의 재산적 피해’라고 파악하고, 컴퓨터범죄를 유형을 컴퓨터부정조작, 컴퓨터파괴, 컴퓨터스파이, 시간절도로 구분함); Orin S. Kerr, Cybercrime’s Scope: Interpreting Access and Authorization in Computer Misuse Statutes, 78 N.Y.U. L. REV. 1596,
  3. 3. 硏究論文 119 인정할 수 있고, 컴퓨터를 대상으로 하는 유형과 컴퓨터를 도구로 사 용하는 유형으로 크게 대별할 수 있다는 전제에서 논의를 시작하기 로 한다. 1995. 12. 29. 법률 제5057호로 개정된 형법은 “컴퓨터 등 정보처리장치(이하 ‘정보처리장치’라 한다)”와 “전자기록 등 특수매체 기록(이하 ‘특수매체기록’이라 한다)”의 개념을 도입하여 기존 구성요 건을 정비하고 새로운 구성요건을 신설하는 등으로 컴퓨터범죄의 기 본 틀을 마련하였다. 한편 2001. 1. 16. 법률 제6360호로 전부 개정된 “정보통신망이용촉진및정보보호등에관한법률(이하 ‘정보통신망법’이라 한다)” 제48조는 “정보통신망 침해행위 등의 금지”라는 표제 하에 일 련의 행위를 금지하고 이를 위반할 경우 처벌하도록 규정하는바, 컴 퓨터범죄 관련 형법 구성요건과 정보통신망법의 관계가 반드시 명확 한 것은 아니다. 본고에서는 위 두 법률의 규정을 비교하여 그 차이점을 분석하고, 정보통신망법 제48조와 유사한 구조를 가진 미국의 “Computer Fraud and Abuse Act”의 기본 구조를 살펴본 후, 정보통신망법 제 48조의 적용범위에 대한 해석론을 제시하고자 한다. Ⅱ. 형법 상 컴퓨터범죄 관련 구성요건과 정보통신망법 제48조 1. 형법 상 컴퓨터범죄 관련 구성요건 1602 (2003) (컴퓨터남용(computer misuse)과 컴퓨터를 이용한 전통적 범죄(traditional crimes committed using computers)로 구분함); THOMAS K. CLANCY, CYBER CRIME AND DIGITAL EVIDENCE: MATERIALS AND CASES 1 (2011) (대상(target)으로 서의 컴퓨터, 도구(tool)로서의 컴퓨터, 증거저장수단(container)으로서의 컴퓨터로 구분함).
  4. 4. 法曹 2013․12(Vol.687)120 1995. 12. 29. 법률 제5057호로 개정된 형법은 ‘정보처리장치’와 ‘특 수매체기록’의 개념을 도입하여 기존 구성요건을 정비하고 새로운 구 성요건을 신설하는 등으로 컴퓨터범죄의 기본 틀을 마련하였다.2) 컴 퓨터범죄 관련 형법 구성요건들은 다양한 방법으로 분류될 수 있겠 으나,3) 본고의 목적을 위하여 다음과 같이 구분하고자 한다. 첫 번째로, ‘특수매체기록’ 개념으로 넓은 의미의 ‘문서’ 개념을 보완 한 경우이다. 형법 제140조 제3항(공무상비밀전자기록등내용탐지),4) 제227조의2(공전자기록등위작ㆍ변작), 제228조 제1항(공전자기록등불 실기재), 제229조(위작ㆍ변작공전자기록등행사, 불실기재공전자기록등 행사), 제232조의2(사전자기록등위작ㆍ변작), 제234조(위작ㆍ변작사전 자기록등행사), 제316조 제2항(전자기록등내용탐지)가 이에 해당한다. 두 번째로, ‘특수매체기록’ 개념으로 ‘재물’ 또는 ‘물건’의 개념을 보완 한 경우이다. 형법 제141조 제1항(공용전자기록등손상ㆍ은닉ㆍ무효), 제323조(권리행사방해), 제366조(전자기록등손괴ㆍ은닉)가 이에 해당 한다. 세 번째로, ‘정보처리장치’를 매개로 한 구성요건이다. 본 유형이 본고의 목적을 위하여 가장 중요한 의미를 가지는바, 형법 제314조 제 2항(컴퓨터등손괴ㆍ전자기록등손괴ㆍ컴퓨터등장애업무방해),5) 형법 제 2) 제140조 제3항, 제227조의2, 제232조의2, 제314조 제2항, 제316조 제2항, 제347조의2를 각 신설하고, 제141조 제1항, 제228조 제1항, 제229조, 제 234조, 제323조, 제366조를 각 개정하였다. 3) 예컨대, 배종대 교수는 컴퓨터조작범죄(전자기록위작죄 등, 컴퓨터사용사 기죄, 컴퓨터업무방해죄, 컴퓨터데이터손괴죄)와 기타 유형(컴퓨터데이터 탐지죄, 권한없는 컴퓨터의 이용, 권리행사방해죄)으로 나누고 있다. 배종 대, 앞의 책(각주 1), 682면. 4) 죄명은 대검찰청예규 제542호 ‘공소장 및 불기소장에 기재할 죄명에 관한 예규’에 따른 것이다. 5) 형법 제314조 제2항의 행위유형에는 “특수매체 기록을 손괴”하는 경우도 포함되어 있으나, 정보처리에 장애를 일으키게 한다는 측면에 주목하여 위와 같이 분류하였다.
  5. 5. 硏究論文 121 347조의2(컴퓨터등사용사기)가 이에 해당한다. 2. 정보통신망법 제48조 가. 개정 경과 한편 2001. 1. 16. 법률 제6360호로 전부 개정된 “정보통신망이용촉 진및정보보호등에관한법률” 제48조는 “정보통신망 침해행위 등의 금 지”라는 표제 하에 일련의 행위를 금지하고 이를 위반할 경우 처벌 하도록 규정하였고, 위 규정은 2013. 3. 23. 법률 제11690호로 개정된 “정보통신망 이용촉진 및 정보보호 등에 관한 법률” 제48조에 이르 기까지 기본적으로 큰 변화 없이 다음과 같이 규정하고 있다.6) 제1항: 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다. 제2항: 누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손ㆍ멸실ㆍ변경ㆍ위조하거나 그 운용을 방해할 수 있는 프로그램(이하 “악성프로그램”이라 한다)을 전달 또는 유포하여 서는 아니 된다. 제3항: 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대 량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애가 발생하게 하여서는 아니 된다. 한편 정보통신망법 제71조 제9호는 “제48조 제2항을 위반하여 악성 프로그램을 전달 또는 유포한 자”를, 제71조 제10호는 “제48조 제3항 을 위반하여 정보통신망에 장애가 발생하게 한 자”를 각 5년 이하의 6) 제48조 제1항에 “허용된 접근권한을 초과하여”가 “허용된 접근권한을 넘 어”로 수정된 외에 별다른 변화는 없다.
  6. 6. 法曹 2013․12(Vol.687)122 징역 또는 5천 만 원 이하의 벌금에 처하도록 하고, 같은 법 제72조 제1호도 “제48조 제1항을 위반하여 정보통신망에 침입한 자”를 3년 이 하의 징역 또는 3천 만 원 이하에 벌금에 처하도록 규정하고 있다. 위 조항은 정부가 제출한 개정법률안(의안번호 367)에서 제안된 것 인바, 위 개정법률안은 남궁석 의원 등이 발의한 개정법률안(의안번 호 462) 등과 통합된 대안(의안번호 529)에 반영됨으로써 폐기되었고, 위 대안은 약간의 자구수정을 거쳐 2000. 12. 15. 본회의에서 별다른 논의 없이 그대로 가결되었다.7) 원 정부안의 ‘의안원문’, ‘심사보고서’, ‘검토보고서’ 등을 살피면, “컴퓨터바이러스를 전달ㆍ유포하거나 타인 의 정보통신망의 안정적 운영을 방해할 목적으로 대량의 정보를 전 송하는 등의 행위에 대한 처벌근거를 마련함”이라고 그 제안이유를 밝히고 있고 (의안원문), “최근에 정보통신서비스제공자의 서비스제 공과 관련하여 정보통신망의 안전성과 신뢰성을 저해하는 사례가 빈 발하고 있음에 비추어 그러한 저해행위의 유형을 입법적으로 열거하 여 구체화하고 정보보호관리 체계를 확립하여 건전한 정보이용기반 을 조성하기 위한 합당한 규정 설정으로 이해”된다고 기재하고 있을 뿐이다(심사보고서 및 검토보고서).8) 아래에서는 형법의 기존 컴퓨터 범죄 구성요건과 위 조항을 비교하여 그 특징을 살펴보도록 한다. 나. 제48조 제2항 제48조 제2항은 “악성프로그램을 전달ㆍ유포”하는 것을 금지한다.9) 7) 국회의안정보시스템, http://likms.assembly.go.kr/bill/jsp/BillDetail.jsp?bill_id= 016643. 8) 국회의안정보시스템, http://likms.assembly.go.kr/bill/jsp/BillDetail.jsp?bill_id= 016481. 9) 정보통신망법 제48조 제2항은 “악성프로그램”을 “정보통신시스템, 데이터 또는 프로그램 등을 훼손ㆍ멸실ㆍ변경ㆍ위조하거나 그 운용을 방해할 수
  7. 7. 硏究論文 123 본 조항이 제정되기 전에는 바이러스 등 악성프로그램으로 인하여 “정보처리에 장애가 발생하게 하여 사람의 업무를 방해”하여야 형법 제314조 제2항의 구성요건에 해당하였던 반면, 위 조항으로 인하여 바이러스 등 악성프로그램을 전달ㆍ유포하는 행위만으로도 처벌이 가능하게 되었다는 점에서 의미가 있고, 따라서 제48조 제2호는 형법 제314조 제2항을 보완하는 역할을 하는 것이다. 다. 제48조 제3항 한편 제48조 제3항은 “대량의 신호 또는 데이터를 보내거나 부정 한 명령을 처리하도록 하는 등의 방법”, 즉 소위 서비스거부공격 (denial of service)을 행위태양으로 규정한다. 다만 서비스거부공격은 형법 제314조 제2항에 의하여도 처벌할 수 있으므로 본 조항은 컴퓨 터등장애업무방해죄 중 특별한 행위 유형을 처벌하는 것으로 해석할 수도 있다. 그러나 형법은 “정보처리에 장애를 발생하게 하여 사람의 업무를 방해”하는 것을 금지하는 반면, 정보통신망은 “정보통신망에 장애가 발생”하도록 하는 것을 금지한다는 점을 눈여겨볼 필요가 있 다. 다시 말하면, 형법 제314조 제2항은 기본적으로 ‘정보처리장치’라 는 정보통신망의 하부 시스템에 장애가 발생할 것을 요건으로 하는 반면, 정보통신망법 제48조 제3항은 보다 큰 개념인 ‘정보통신망’에 장애가 발생할 것을 요건으로 한다는 점에서 차이가 있는 것이다. 라. 제48조 제1항 그러나 기존 컴퓨터범죄 관련 형법 구성요건과 비교할 때 가장 이 질적인 것은 제48조 제1항이다. 먼저 동 조항의 객체는 ‘정보통신망’ 있는 프로그램”으로 정의한다.
  8. 8. 法曹 2013․12(Vol.687)124 으로, 형법이 정보처리장치와 특수매체기록을 기본으로 하는 것과 구 분된다. 정보통신망법 제2조 제1호는 정보통신망을 “전기통신사업법 제2조 제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴 퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ 검색ㆍ송신 또는 수신하는 정보통신체제”로 규정하는바,10) 이는 제48 조뿐만 아니라 정보통신망법 전체의 기본개념인 것이다. 다음으로 제48조 제1항은 “정당한 접근권한 없이 또는 허용된 접 근권한을 넘어 … 침입”하는 것을 행위태양으로 한다. 한편 형법 제 314조 제2항,11) 제347조의212)가 대표적 행위 유형으로 규정하는 “허 위정보의 입력”은 내용이 진실에 반하는 정보를 입력하는 것을, “부 정한 명령의 입력”은 당해 정보처리장치의 사무처리 목적에 비추어 입력할 수 없는 명령을 하는 것을 각 의미하는 것으로 해석된다.13) 즉, 문언 상 형법은 정보가 허위인지 여부, 명령이 부정한지 여부를 따질 뿐 입력 권한을 직접적으로 문제 삼지 않는 반면, 제48조 제1항 10) 한편 전기통신사업법 제2조 제1호는 “전기통신”이란 “유선ㆍ무선ㆍ광선 또는 그 밖의 전자적 방식으로 부호ㆍ문언ㆍ음향 또는 영상을 송신하거 나 수신하는 것”이라 정의하며, 같은 법 제2조 제2호는, “전기통신설비” 란 “전기통신을 하기 위한 기계ㆍ기구ㆍ선로 또는 그 밖에 전기통신에 필요한 설비를 말한다”고 규정한다. 11) 제314조(업무방해) ② 컴퓨터 등 정보처리장치 또는 전자기록 등 특수 매체기록을 손괴하거나 정보처리장치에 허위의 정보 또는 부정한 명령 을 입력하거나 기타 방법으로 정보처리에 장애를 발생하게 하여 사람의 업무를 방해한 자도 제1항의 형[5년 이하의 징역 또는 1천500만원 이하 의 벌금]과 같다. 12) 제347조의2(컴퓨터등 사용사기) 컴퓨터 등 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 권한 없이 정보를 입력ㆍ변경하여 정보 처리를 하게 함으로써 재산상의 이익을 취득하거나 제3자로 하여금 취 득하게 한 자는 10년 이하의 징역 또는 2천만원 이하의 벌금에 처한다. 13) 김일수ㆍ서보학, 「형법각론」(제6판), (2004), 217면; 박상기, 「형법각 론」(제5판), (2004), 212면.
  9. 9. 硏究論文 125 은 권한 여부에 초점을 맞추는 점에서 구분되는 것이다.14) 또한 2001. 12. 29. 개정된 형법(법률 제6543호)은 제347조의2의 행 위태양으로 “권한 없이 정보를 입력ㆍ변경”하는 것을 추가하였는바, 이는 주로 ‘진정한 정보의 권한 없는 사용’의 경우를 의미한다고 해 석된다. 예컨대, 예금주인 현금카드 소유자로부터 일정한 금액의 현 금을 인출해 오라는 부탁을 받으면서 이와 함께 현금카드를 건네받 은 것을 기화로 그 위임을 받은 금액을 초과하여 현금을 인출하는 방법으로 그 차액 상당의 재산상 이익을 취득한 경우,15) 타인의 명의 를 모용하여 발급받은 신용카드의 번호와 그 비밀번호를 이용하여 ARS전화서비스나 인터넷 등을 통하여 신용대출을 받는 방법으로 재 산상 이익을 취득한 경우16) 등이 이에 해당한다. 물론 형법의 “부정한 명령의 입력”이나, “권한 없이 정보를 입력ㆍ 변경”하는 것에 정보통신망법 제48조 제1항의 행위 태양이 포섭되지 아니한다고 해석할 수는 없다. “부정한 명령의 입력”은 ‘부정한 명령을 입력하는 행위’뿐만 아니라 ‘명령을 부정하게 입력하는 행위’도 포함하 며,17) “권한 없이 정보를 입력ㆍ변경”하는 것도 ‘사용권한 없이 정보를 14) 또한 형법 제314조 제2항의 ‘기타 방법’은 컴퓨터에 대한 가해수단으로 그 작동에 직접 영향을 미치는 일체의 행위를 의미하므로, 단순히 권한 없이 컴퓨터에 어떠한 정보ㆍ명령을 입력하는 것만으로는 이에 해당하 기 어렵다 할 것이다. 15) 대법원 2006. 3. 24. 선고 2005도3516 판결. 16) 대법원 2006. 7. 27. 선고 2006도3126 판결. 17) 예컨대 대법원은 다음과 같이 판시한다. “구형법(2001. 12. 29. 법률 제 6543호로 개정되기 전의 것) 제347조의2 규정의 입법취지와 목적은 프 로그램 자체는 변경(조작)함이 없이 명령을 입력(사용)할 권한 없는 자 가 명령을 입력하는 것도 부정한 명령을 입력하는 행위에 포함한다고 보아, 진실한 자료의 권한 없는 사용에 의한 재산상 이익 취득행위도 처벌대상으로 삼으려는 것이었음을 알 수 있고, 오히려 그러한 범죄유 형이 프로그램을 구성하는 개개의 명령을 부정하게 변경, 삭제, 추가하
  10. 10. 法曹 2013․12(Vol.687)126 사용’하는 것뿐만 아니라 ‘입력권한 없이 정보를 입력’하는 경우도 포 함한다고 해석될 수 있기 때문이다.18) 따라서 이는 단순히 표현의 차 이에 불과하다고 볼 여지도 있다. 형법 제314조 제2항, 제347조의2와 더욱 큰 차이를 보이는 것은 위 구성요건들이 업무를 방해하거나 재산 상 이익을 취득할 것을 요구하는 반면, 정보통신망법 제48조 제1항은 그러한 추가 요건을 요구하지 아니하며 컴퓨터범죄 관련 형법 구성요 건에서 찾아보기 어려운 “침입”이라는 단어를 사용한다는 점이다. 마. 정보통신망법 제48조의 의미 그렇다면 정보통신망법 제48조는 기존 컴퓨터범죄 관련 형법 구성 요건과 비교하여 어떠한 의미를 가지는 것인가? 즉, 위 조항은 기존 구성요건 중 특히 ‘정보처리장치’를 매개로 한 제314조 제2항, 제347조 의2를 보완하는 의미를 가지는 것인지, 아니면 기존 구성요건에 더하 여 ‘정보통신망범죄’라는 새로운 평면을 더한 것인지 여부가 문제된다. 또한 제48조 제1항은 우리 형법 구성요건 및 그와 유사한 체계를 가지고 있는 독일형법규정19) 등에서는 찾아보기 어려운 독특한 구조 는 방법에 의한 재산상 이익 취득의 범죄 유형보다 훨씬 손쉽게 또 더 자주 저질러질 것임도 충분히 예상되었던 점에 비추어 이러한 입법취지 와 목적은 충분히 수긍할 수 있다. 나아가 그와 같은 권한 없는 자에 의한 명령 입력행위를 ‘명령을 부정하게 입력하는 행위’ 또는 ‘부정한 명 령을 입력하는 행위’에 포함된다고 해석하는 것이 그 문언의 통상적인 의미를 벗어나는 것이라고 할 수도 없다.” 대법원 2003. 1. 10. 2002도 2363 판결. 18) 예컨대, 금융기관 직원이 범죄의 목적으로 전산단말기를 이용하여 다른 공범들이 지정한 특정계좌에 무자원 송금의 방식으로 거액을 입금한 경 우 ‘입력권한을 초과하여 정보를 입력’하는 것인바, 대법원 2006. 1. 26. 선고 2005도8507 판결은 이에 대하여 형법 제347조의2 컴퓨터등사용사 기죄의 성립을 인정하였다. 19) 정보통신망법 제48조와 관련하여 참고할 수 있는 독일형법규정은 제202
  11. 11. 硏究論文 127 를 가진 반면, “권한 없는 접근(unauthorized access) 또는 권한을 넘 어선 접근(exceeding authorized access)”을 기본 행위태양으로 정하고 있는 미국의 “Computer Fraud and Abuse Act”20)와 유사한 구조를 가지고 있다. CFAA가 정보통신망법 제48조의 입법과정에 어느 정도 의 영향을 주었는지는 확실하지 않다. 그러나 그 구조적 유사성을 고 려할 때, CFAA의 해석론을 살펴봄으로써 정보통신망법 제48조와 관 련된 의문점을 해결할 단초를 얻을 수 있다고 생각된다. 아래에서는 항을 바꾸어 CFAA의 입법배경, 내용, 해석론 등을 살펴보기로 한다. 조a(StGB § 202a Ausspähen von Daten), 제263조a(§ 263a Computerbe trug), 제303조b (§ 303b Computersabotage) 등이 있는바, 구체적으로 아래와 같이 규정하고 있다. 제202조a (정보탐지) ① 그를 위해서 작성된 것이 아니고 무권한 접근 에 대하여 특별히 보호된 정보에 권한 없이 보안장치를 해제함으로써 접근하거나 제3자로 하여금 접근하게 한 자는 3년 이하의 자유형 또는 벌금형에 처한다. ② 제1항의 정보는 전기적ㆍ자기적으로 또는 기타 직접 인식할 수 없도 록 저장되고 전달되는 정보만을 의미한다. 제263조a (컴퓨터사기) ① 위법한 재산상의 이익을 자신이 취득하거나 제3자로 하여금 취득하게 할 의사로 프로그램의 부정확한 구성, 부정확 하거나 불충분한 정보의 사용, 정보의 권한 없는 사용, 기타 (정보처리) 과정에 대한 권한 없는 작용에 의하여 정보처리의 결과에 영향을 줌으 로써 타인의 재산에 손해를 가한 자는 5년 이하의 자유형 또는 벌금형 에 처한다. (이하 생략) 제303조b (컴퓨터업무방해) ① 타인의 중요한 정보처리를 다음 각호 1 의 행위를 통하여 현저하게 방해한 자는 3년 이하의 자유형 또는 벌금 형에 처한다. 1. 제303조a 제1항의 범죄행위 [데이터손괴] 2. 타인에게 손해를 가하려는 의도로 정보(제202조a 제2항)를 입력하거 나 전송하는 행위 3. 정보처리장치 또는 전산자료가 입력된 물체를 파괴, 손상, 사용불능, 제거 또는 변경하는 행위 (이하 생략) 20) 18 U.S.C. §1030.
  12. 12. 法曹 2013․12(Vol.687)128 Ⅲ. 비교법적 고찰: THE COMPUTER FRAUD AND ABUSE ACT 1. 규정 일반 미국 연방 법률인 “Computer Fraud and Abuse Act(이하 ‘CFAA’ 라 한다)”의 주요 규정을 살펴보면 아래와 같다.21) 18 U.S.C. § 1030(a)(2)22) 누구든지 고의로 권한 없이 컴퓨터에 접근하거나 허용된 권한을 넘어 접근하여 다음과 같은 정보를 취득한 자는 본조 (c)항에 규정된 바와 같이 처벌한다. (A) 금융기관 또는 카드발급자가 보유하는 금융기록에 있는 정보, 또는 소비자신용보고회사가 보유하는 소비자에 대한 정보 21) CFAA는 1984년에 제정된 후 1986, 1988, 1989, 1990, 1994, 1996, 2001, 2002, 2008년 등 수회에 걸쳐 개정되었다. 그 구체적 경과에 대하여는, Orin S. Kerr, Vagueness Challenges to the Computer Fraud and Abuse Act, 94 MINN. L. REV. 1561, 1563-1571 (2010). 연방법률과 유사한 내용을 담고 있는 각 주 법률에 대한 개관으로는, Susan W. Brenner, State Cybercrime Legislation in the United States of America: A Survey, 7 RICH. J. L. & TECH. 28 (2001). 22) 18 U.S.C. §1030 (a) Whoever (…) (2) intentionally accesses a computer without authorization or exceeds authorized access, and thereby obtains—(A) information contained in a financial record of a financial institution, or of a card issuer as defined in section 1602 (n) [1] of title 15, or contained in a file of a consumer reporting agency on a consumer, as such terms are defined in the Fair Credit Reporting Act (15 U.S.C. 1681 et seq.); (B) information from any department or agency of the United States; or (C) information from any protected computer; (…) shall be punished as provided in subsection (c) of this section.
  13. 13. 硏究論文 129 (B) 연방정부기관이 보유하는 정보 (C) ‘보호대상 컴퓨터’에 있는 정보 18 U.S.C. § 1030(a)(3)23) 누구든지 고의로 권한 없이 연방정부기관이 배타적으로 사용하고 일반에 공개되지 아니한 컴퓨터에 접근한 자는 본조 (c)항에 규정된 바와 같이 처벌한다. 다만 그 컴퓨터가 연방정부기관이 배타적으로 사용하는 것이 아니라 하더라도, 일반에 공개되지 아니한 것이고, 연 방정부기관에 의하여 또는 이를 위해 사용되는 것이라면, 그 사용에 영향을 주는 경우에 한하여 위와 같다. 18 U.S.C. § 1030(a)(4)24) 누구든지 자신의 행위를 인지하면서 편취 범의를 가지고, 권한 없 이 ‘보호대상 컴퓨터’에 접근하거나 허용된 권한을 넘어 접근하고, 그 러한 행위로 말미암아 의도된 사기범행을 발전시키고 재물 또는 재 23) 18 U.S.C. §1030 (a) Whoever (…) (3) intentionally, without authorization to access any nonpublic computer of a department or agency of the United States, accesses such a computer of that department or agency that is exclusively for the use of the Government of the United States or, in the case of a computer not exclusively for such use, is used by or for the Government of the United States and such conduct affects that use by or for the Government of the United States; (…) shall be punished as provided in subsection (c) of this section. 24) 18 U.S.C. §1030. (a) Whoever (…) (4) knowingly and with intent to defraud, accesses a protected computer without authorization, or exceeds authorized access, and by means of such conduct furthers the intended fraud and obtains anything of value, unless the object of the fraud and the thing obtained consists only of the use of the computer and the value of such use is not more than $5,000 in any 1-year period; (…) shall be punished as provided in subsection (c) of this section.
  14. 14. 法曹 2013․12(Vol.687)130 산상 이익을 취득한 자는 본조 (c)항에 규정된 바와 같이 처벌한다. 다만 사기범행의 객체와 취득한 이익이 컴퓨터의 사용으로 인한 이 익에 한정되어 있고, 그러한 사용의 연간 가치가 미화 5,000달러를 초과하지 아니하는 때에는 그러하지 아니하다. 18 U.S.C. § 1030(a)(5)25) (A) 누구든지 자신의 행위를 인지하면서 프로그램, 정보, 코드, 또 는 명령이 전송되도록 하고, 그러한 행위의 결과로 말미암아 고의로 ‘보호대상 컴퓨터’에 손해26)를 가한 자는 본조 (c)항에 규정된 바와 같이 처벌한다. (B) 누구든지 고의로 권한 없이 ‘보호대상 컴퓨터’에 접근하고, 그 러한 행위의 결과로 말미암아 무분별하게 손해를 가한 자는 본조 (c) 항에 규정된바와 같이 처벌한다. (C) 누구든지 고의로 권한 없이 ‘보호대상 컴퓨터’에 접근하고, 그 러한 행위의 결과로 말미암아 손해와 손실27)을 가한 자는 본조 (c) 항에 규정된바와 같이 처벌한다. 25) 18 U.S.C. §1030. (a) Whoever (…) (5)(A) knowingly causes the transmission of a program, information, code, or command, and as a result of such conduct, intentionally causes damage without authorization, to a protected computer; (B) intentionally accesses a protected computer without authorization, and as a result of such conduct, recklessly causes damage; or (C) intentionally accesses a protected computer without authorization, and as a result of such conduct, causes damage and loss; (…) shall be punished as provided in subsection (c) of this section. 26) ‘손해(damage)’라 함은, 데이터ㆍ프로그램ㆍ시스템ㆍ정보의 완전성 또는 유용성에 손상을 가하는 것을 의미한다. 18 U.S.C. § 1030(e)(8). 27) ‘손실(loss)’이라 함은, 범행대응비용, 손해산정비용, 데이터ㆍ프로그램ㆍ 시스템ㆍ정보복구비용, 서비스중단으로 인한 비용 등을 포함하여 피해 자가 지출한 모든 비용 중 합리적 범위 내의 것을 말한다. 18 U.S.C. § 1030(e)(11).
  15. 15. 硏究論文 131 18 U.S.C. § 1030(e)(2)28) ‘보호대상 컴퓨터’란 다음의 것을 말한다. (A) 연방정부 또는 금융기관이 배타적으로 사용하는 컴퓨터. 다만 그 컴퓨터가 배타적으로 사용되는 것이 아니라 하더라도, 연방정부 또 는 금융기관에 의하여 또는 이를 위해 사용되는 것이라면, 해당 범행이 그 사용에 영향을 주는 경우에 한하여 보호대상 컴퓨터에 해당한다. (B) 주간통상ㆍ해외통상, 주간통신ㆍ해외통신에 사용되거나 그에 영향을 주는 컴퓨터. 다만 국외에 있는 컴퓨터라 하더라도 주간통상 ㆍ해외통상, 또는 국내의 통신에 영향을 주는 때에는 보호대상 컴퓨 터에 해당한다. CFAA의 핵심규정은 제1030조(a)(2)와 제1030조(a)(3)이다. (이하 위 두 조항을 ‘접근조항’이라 한다.) 제1030조(a)(2)는 권한 없이 또는 허용된 권한을 넘어 컴퓨터에 접속하여 특정 정보를 취득하는 것을 금하고 있고, 제1030조(a)(3)는 연방정부기관이 배타적으로 사용하는 비공개컴퓨터에 대한 권한 없는 접속을 금지한다. 일견 한정된 범위 에 대하여 권한 없는 접속을 금하는 것으로 보일 수도 있으나, 사실 위 ‘접근조항’은 극히 광범위한 규정이다. 그 이유는 ‘보호대상 컴퓨 28) 18 U.S.C. §1030. (e) As used in this section— (…) (2) the term “protected computer” means a computer— (A) exclusively for the use of a financial institution or the United States Government, or, in the case of a computer not exclusively for such use, used by or for a financial institution or the United States Government and the conduct constituting the offense affects that use by or for the financial institution or the Government; or (B) which is used in or affecting interstate or foreign commerce or communication, including a computer located outside the United States that is used in a manner that affects interstate or foreign commerce or communication of the United States (…)
  16. 16. 法曹 2013․12(Vol.687)132 터(protected computer)’의 정의를 살펴보면 알 수 있다. CFAA는 ‘보호대상 컴퓨터’를 “주간통상ㆍ해외통상(interstate or foreign commerce), 주간통신ㆍ해외통신(interstate or foreign communication)에 사용되거나 그에 영향을 주는 컴퓨터”로 정의한다. 이는 연방제국가인 미 국에서 연방의회는 헌법에 열거되지 아니한 사항에 대하여 입법권을 행사 할 수 없다는 특성에서 말미암은 조항이다.29) CFAA는 연방의회에 가장 광범위한 권한을 부여하는 연방헌법 제1조 제8항 제3호에 의거하여 위 법 률을 제정한 것인바, 주간통상조항(Interstate Commerce Clause) 또는 상거래규제조항(Commerce Clause)이라고 불리는 위 조항은 연방의 회에 “외국과의 통상 및 주 상호간의 통상”을 규제할 수 있는 권한 을 부여한다. 따라서 입법형식상 ‘모든 컴퓨터’라는 식으로는 규정할 수 없고 위와 같이 ‘주 상호간의 통상에 사용되거나 그에 영향을 주 는 컴퓨터’ 등의 제한을 두어야 하는 것이다. 그러나 연방대법원은 극히 미미한 경제적 영향을 미치는 경우에도 주간통상(interstate commerce)에 영향을 준다고 판단하므로,30) 비록 위와 같은 제한을 둔다 하더라도 그 범위는 대단히 넓다. 특히 위 정의규정의 내용을 살펴보면, 사실상 인터넷을 통하여 연결될 수 있는 모든 컴퓨터가 그 대상이 될 수 있는 것이다. 또한 “정보를 취득”하여야 하는 요건도 29) 예컨대, 연방대법원은 연방헌법의 특허 및 저작권조항(U.S. Constitution, Art. I, § 8, cl. 8)이 연방의회로 하여금 연방상표법을 제정할 권한을 부 여한 것으로 볼 수 없다는 이유로 위헌이라 선언하였다. The Trade-Mark Cases, 100 U.S. 82 (1879). 이후 연방의회는 특허 및 저작 권조항이 아닌 주간통상조항(Interstate Commerce Clause, Art. I, § 8, cl. 3)에 근거하여 연방상표법을 제정하였다. 30) See e.g., Wickard v. Filburn, 317 U.S. 111 (1942); Katenbach v. McLung, 379 U.S. 294 (1964); Gonzales v. Raich, 545 U.S. 1 (2005) (집에서 개인 용도로 마리화나를 재배하는 행위도 주간통상에 영향을 미칠 가능성이 있으므로 연방 법률에 의한 규제가 가능하다고 판시함).
  17. 17. 硏究論文 133 컴퓨터에 있는 자료를 단순 열람한 것만으로 충족된다는 해석이 일 반적이다.31) 결론적으로, 위 ‘접근조항’은 ‘(인터넷을 통하여 연결될 수 있는 사실상 거의 대부분의) 컴퓨터에 대한 권한 없는 또는 권한 을 초과한 접근’을 금지하는 것이 된다. 한편 제1030조(a)(4)(이하 ‘사기조항’이라 한다)는 우리 형법의 컴퓨 터등사용사기죄와 유사한 취지로 볼 수 있으나, 형법 제347조의2와 달리 그 행위유형을 광범위하게 정하고 있음을 알 수 있다. 즉, 권한 없이 또는 허용된 권한을 넘어 ‘보호대상 컴퓨터’에 접근하고, 그러한 행위가 의도된 사기범행의 일련의 과정 중 하나에 해당하면 구성요 건을 만족하게 된다. 또한 제1030조(a)(5)(이하 ‘손해조항’이라 한다) 도 우리 형법의 컴퓨터등장애업무방해죄와 유사한 취지이나 역시 그 행위유형을 광범위하게 정하고 있음을 알 수 있다. 위 두 조항에서도 핵심개념은 ‘컴퓨터에 대한 권한 없는 또는 권한을 초과한 접근’인 것이다. 그렇다면 CFAA는 어떠한 이유로 ‘컴퓨터에 대한 권한 없는 또는 권한을 초과한 접근’을 기본개념으로 받아들이게 된 것인가? 2. 입법 배경 CFAA 역시 다른 국가와 마찬가지로 컴퓨터범죄를 기존 범죄구성 요건으로 규율하는데 있어 많은 문제점이 노출되었다는 점을 그 배경 으로 하고 있다.32) 앞서 기술한 바와 같이, 컴퓨터범죄는 컴퓨터를 대 31) See e.g., S. Rep. No. 99-432 (1986), reprinted in 1986 U.S.C.C.A.N. 2479, 2484. 32) CFAA 입법배경에 대한 일반적 설명으로는, UNITED STATES DEPARTMENT OF JUSTICE, PROSECUTING COMPUTER CRIMES 1-3 (2d ed. 2010); Kerr, Cybercrime’s Scope, supra note 1, at 1602-1615 참고.
  18. 18. 法曹 2013․12(Vol.687)134 상으로 하는 유형과 컴퓨터를 도구로 사용하는 유형으로 크게 대별할 수 있는바, 컴퓨터가 기존 범죄의 도구로 사용되는 것에 불과한 경우 에는 기존 법리나 구성요건에 큰 변화를 요구하는 것은 아니다.33) 1995년 형법에서 개정ㆍ신설된 구성요건 중 ‘특수매체기록’ 개념으로 넓은 의미의 ‘문서’ 개념을 보완한 것과, ‘특수매체기록’ 개념으로 ‘재 물’ 또는 ‘물건’의 개념을 보완한 것이 대체로 이에 해당한다 할 것이 다. 또한 예를 들어 명예훼손의 경우 정보통신망법 제70조가 벌칙규 정을 두고 있기는 하지만,34) 동 조항이 없다 하더라도 기존 형법 제 307조로 규율할 수 있는 것이다. 그러나 컴퓨터를 대상으로 하는 유 형, 즉 해킹(hacking), 악성프로그램 유포, 서비스거부공격(denial of service) 등에 대하여는 기존 구성요건을 보완하거나 확장 적용하는 것만으로는 한계가 있었기 때문에 새로운 입법이 요구된 것이다.35) 위와 같은 이유로 제정된 CFAA는 無斷侵入罪(criminal trespass) 또는 犯罪目的侵入罪(burglary)에 그 연원을 두고 있다. 즉, 무단침입 33) 이러한 견지에서 Olivenbaum은 재산권 개념을 재설정(redefining property)하는 등 최소한의 입법적 조치로 대부분의 컴퓨터범죄를 기존 구성요건에 포섭할 수 있다고 주장한다. Joseph M. Olivenbaum, CTRL-ALT-DEL: Rethinking Federal Computer Crime Legislation, 27 SETON HALL L. REV. 574, 575-579, 590-591 (1997); see also Susan W. Brenner, Is There Such a Thing as “Virtual Crime?”, 4 CAL. CRIM. L. REV. 1 ¶ 129 (2001). 34) 정보통신망법 제70조(벌칙) ① 사람을 비방할 목적으로 정보통신망을 통하여 공공연하게 사실을 드러내어 다른 사람의 명예를 훼손한 자는 3 년 이하의 징역이나 금고 또는 2천만원 이하의 벌금에 처한다. ② 사람 을 비방할 목적으로 정보통신망을 통하여 공공연하게 거짓의 사실을 드 러내어 다른 사람의 명예를 훼손한 자는 7년 이하의 징역, 10년 이하의 자격정지 또는 5천만원 이하의 벌금에 처한다. (이하 생략) 35) 컴퓨터범죄에 대한 기존 재산범죄 법리 적용 사례와 그 한계에 대하여 는, Kerr, Cybercrime’s Scope, supra note 1, at 1607-1615; ORIN S. KERR, COMPUTER CRIME LAW 13-26 (2d ed. 2009).
  19. 19. 硏究論文 135 죄나 범죄목적침입죄가 부동산에 대한 권리ㆍ이익을 보호하는 것과 같이, CFAA는 컴퓨터에 대한 권리ㆍ이익을 보호하는 역할을 하는 것이다. 각종 의회보고서에서 이러한 의도는 명확하게 나타나고 있으 며,36) CFAA와 유사한 구조로 입법된 주 법률 중에는 명시적으로 ‘컴퓨터무단침입죄(Computer Trespass)’라는 단어를 사용하는 경우도 적지 않다.37) 아래에서는 항을 바꾸어 무단침입죄와 범죄목적침입죄 의 법적성격에 대하여 살펴보기로 한다. 3. 무단침입죄와 범죄목적침입죄의 법적 성격 무단침입죄 또는 범죄목적침입죄는 원칙적으로 개별 주 법에 따라 그 성립요건, 처벌 등에 차이가 있으나,38) 模範刑法典(Model Penal Code)의 규정을 살펴봄으로써 그 개략적 성격을 파악할 수 있다. 모 범형법전은 無斷侵入罪(criminal trespass)는 권한이 없다는 사실을 알 면서 건조물, 또는 건조물 중 독립되어 보호되는 구역에 침입함으로써 성립한다고 규정한다.39) 普通法上 侵入禁止(common law trespass)는 36) H.R. Rep. No. 98-894 (1984), reprinted in 1984 U.S.C.C.A.N. 3689; S. Rep. No. 99-432 (1986), reprinted in 1986 U.S.C.C.A.N. 2479; S. Rep. No. 104-357 (1996). 37) 뉴욕(New York), 버지니아(Virginia), 조지아(Georgia), 워싱턴(Washing ton), 알칸사스(Arkansas), 펜실베이니아(Pennsylvania) 주 등이다. N.Y. Penal Law § 156.10; Va Code Ann. § 18.2-152.4; Ga. Code Ann. § 16 -9-93(b); Wash. Rev. Code Ann. § 9A.52.110; Ark. Code Ann. § 5-41. 104. 38) 연방 법률에서는 연방정부의 특정재산 또는 특별한 법적지위를 가지는 구역을 객체로 하는 소수의 구성요건만을 인정하고 있다. 18 U.S.C. § 1382 (군용재산을 객체로 함); 18 U.S.C. § 1165 (원주민보호구역을 객 체로 함). 39) Model Penal Code §221.2(1) (1962). 한편 §221.2(2)는, 권한이 없다는 사실을 알면서 어떠한 장소이든 침입을 금지하는 표지(notice)가 있는
  20. 20. 法曹 2013․12(Vol.687)136 민사상 책임에 그쳤으나, 현대의 주 법률은 이를 성문법에 의하여 범 죄로 규정하는 경우가 많다.40) 그러나 설사 범죄로 규정한 경우라 하 더라도 통상 輕罪(misdemeanor) 책임을 지는 것에 그친다.41) 한편 모범형법전은 犯罪目的侵入罪(burglary)는 범죄를 범할 목적 으로 건조물, 또는 건조물 중 독립되어 보호되는 구역에 침입함으로 써 성립한다고 규정한다.42) 普通法上 犯罪目的侵入罪(common law burglary)는 야간에 중죄(felony)를 범할 목적으로 타인의 주거에 시 설물을 손괴하고 침입하는 것을 요건으로 하였으나,43) 현대의 주 법 률들은, 시기를 야간에 국한하지 아니하거나, 중죄뿐만 아니라 경죄 를 저지를 목적인 경우에도 범죄목적침입죄 성립을 인정하거나, 시설 물 손괴를 요건으로 하지 아니하거나, 객체를 주거 외의 장소로 넓히 는 등으로 그 요건을 완화하여 왔기 때문에,44) ‘죄를 범할 목적’이 그 핵심요건으로 남게 된 것이다.45) 또한 범죄목적침입죄는 무단침입죄 곳에 침입하는 것을 금지한다. 40) See e.g., State v. Shack, 277 A.2d 369 (N.J. 1971); Jacque v. Steenberg Homes, Inc., 563 N.W.2d 154 (Wis. 1997). 41) Model Penal Code §221.2. 42) Model Penal Code §221.1 (1962) (“A person is guilty of burglary if he enters a building or occupied structure, or separately secured or occupied portion thereof, with purpose to commit a crime therein, unless the premises are at the time open to the public or the actor is licensed or privileged to enter.”). 43) JOSHUA DRESSLER, UNDERSTANDING CRIMINAL LAW 383 (5th ed. 2009). 44) WAYNE R. LAFAVE, CRIMINAL LAW 885 (3d ed. 2000). 45) 따라서 이는 무단침입죄(criminal trespass)의 가중구성요건이자 일종의 미수범 처벌규정에 해당한다. DRESSLER, UNDERSTANDING CRIMINAL LAW, supra note 43, at 383-384. 우리 형법은 따로 범죄 목적침입죄를 규정하지 아니하지만, 예컨대 야간주거침입절도미수(형법 제342조, 제330조)를 처벌함으로써 유사한 결과를 얻을 수 있다. 야간주 거침입절도죄의 실행의 착수 시기는 주거에 침입한 때이기 때문이다
  21. 21. 硏究論文 137 와 달리 重罪(felony)에 해당한다.46) 그렇다면 무단침입죄와 범죄목적침입죄는 어떠한 법익을 보호하는 것인가? 그 일차적 보호대상은 사유재산(private property)과 사적영 역(private sphere)이라 할 것이다.47) 이에 대하여는 약간의 추가설명 이 필요한바, 재산권제도를 정당화하고 이를 분석함에 있어 가장 지 배적인 이론이라 할 수 있는 功利主義(utilitarianism), 특히 法의 經 濟的 分析(economic analysis of law)을 기초로 하는 현대적 형태의 공리주의 재산권이론에 비추어 위 구성요건의 법적성격을 간략히 살 펴보기로 한다.48) 功利主義 財産權理論(utilitarian property theory)은 다음과 같은 두 (대법원 2006. 9. 14. 선고 2006도2824 판결 등). 한편 대법원은 “일반인 의 출입이 허용된 건조물이라고 하더라도 관리자의 명시적 또는 추정적 의사에 반하여 그 곳에 들어간 것이라면 건조물침입죄가 성립하는 것이 므로, 일반인의 출입이 허용된 건조물에 그 시설을 손괴하는 등 범죄의 목적으로 들어간 경우에는 건조물침입죄가 성립된다”고 판시하는 점도 주목할 필요가 있다 (대법원 2007. 3. 15. 선고 2006도7079 판결). 46) Model Penal Code §221.1. 한편 모범형법전은 사형 또는 1년 이상의 징 역형에 처할 수 있는 범죄를 중죄(felony)로 정의한다. Model Penal Code §1.04(2). 47) 무단침입죄, 범죄목적침입죄의 재산범죄적 성격은 모범형법전이 무단침 입죄와 범죄목적침입죄를 ‘재산범죄(Offenses Against Property)’의 항목 에 규정하는 것에서도 잘 나타나고 있다. 무단침입죄, 범죄목적침입죄, 보통법 상 침입금지 법리와 재산권보호의 관계에 대한 일반적 설명으로 는, THOMAS W. MERRILL & HENRY E. SMITH, PROPERTY: PRINCIPLES AND POLICIES 393-394, 401-408 (2007); WILLIAM L. PROSSER, TORTS 63 (4th ed. 1971). 48) GREGORY S. ALEXANDER & EDUARDO M. PEÑALVER, AN INTRODUCTION TO PROPERTY THEORY 11 (2012). 공리주의 재산권이론의 지배적 지위는 적어도 영미법학에서는 분명한 경향이며, 재산권에 대한 경제적 분석을 시도할 경우 현대 경제학의 암묵적 토대 인 공리주의의 영향력에서 벗어나기 어렵다는 점을 고려하면, 다른 法 圈에서도 일정 부분 타당성을 가지는 것이라 생각된다.
  22. 22. 法曹 2013․12(Vol.687)138 가지 관점에서 재산권제도, 특히 그 핵심인 배타적 지배권의 정당화 논거를 제시한다. 즉, 재산권은 (1) 자원에 대한 효율적 投資誘引을 제 공하며, (2) 희소한 자원의 過多使用을 방지하여 자원의 효율적 배분을 달성한다는 것이다.49) 예컨대 황무지를 개간하고 농사를 지은 결과물 을 향유할 수 있는 보장이 없다면, 시간과 노력을 투자하여 토지를 개 발할 경제적 유인은 사라지게 되며, 이는 사회 전체적으로도 자원의 효율적 활용을 저해하는 결과가 된다.50) 따라서 재산권제도를 도입하 여 경제주체로 하여금 자신의 노력에 대한 결과를 향유할 수 있도록 하는 것이 자원 배분의 효율성을 제고하는 방법이 되는 것이다. 그런데 소유자가 어떠한 방법으로 자원을 개발하고 수익을 올릴 것인지를 미리 예측하고 사용ㆍ수익권한을 부여하는 것은 법 기술적 으로 효율적이지 않고 가능하지도 않다. 즉, 적극적으로 특정한 사용 ㆍ수익 권능의 목록을 작성하여 이를 권리의 내용으로 정하는 방법 을 선택할 수는 없는 것이다. 소유자 본인조차도 자신이 어떠한 방식 으로 사용ㆍ수익할 것인지를 미리 알지 못하기 때문이다. 따라서 직 접적으로 권리의 내용을 정하기보다는, 對世的 效力을 가지는 妨害排 除請求權(a right to exclude good against the world)을 부여하여 다 른 경제주체들이 소유자의 투자로 인한 수익을 향유하는 것을 금지 함으로써 간접적으로 투자유인을 제공하게 되는 것이다.51) 다시 말 49) 전자의 논거를 動態的分析(dynamic analysis)으로, 후자를 情態的分析 (static analysis)으로 각 칭하기도 하는바, 포즈너 판사가 대표적으로 이러한 설명방법을 취한다. RICHARD A. POSNER, ECONOMIC ANALYSIS OF LAW 31 (7th ed. 2007). 50) Id. at 32; Thomas W. Merrill, The Demsetz Thesis and the Evolution of Property Rights, 31 J. LEGAL STUD. S331, S332 (2002). 51) 물권적 방해배제청구권의 이러한 장점에 대하여는 다음의 문헌을 참고 할 수 있다. Henry E. Smith, Self-Help and the Nature of Property,
  23. 23. 硏究論文 139 하면, 재산을 어떠한 방식으로 사용할 것인지에 대하여는 당해 재산 을 지배하는 권리자에게 전적인 자유를 부여하고, 다만 권리자가 자 신의 사용이익을 간섭하는 자를 축출하려는 경우에만 법적구제절차 를 제공한다. 이러한 간접적 보호방법은 법적구제절차를 설계함에 있 어 극적인 簡明性(simplicity)을 제공하며, 재산권거래와 관련한 사회 전체의 情報費用(information cost)을 낮추는 역할을 한다.52) 한편 형법적 보호는 이러한 민사적 구제절차를 뒷받침하고 이를 강 화하여주는 역할을 함으로써 사유재산에 대한 광범위한 보호를 제공하 는 것이다. 나아가 형법은 사유재산제도를 유지함에 있어 불가결한 역 할을 한다.53) 민사구제수단만으로는 감시비용의 문제, 완전보상 불가 능의 문제 등으로 인하여 효율적인 제재수단이 될 수 없기 때문이 다.54) 무단침입죄와 범죄목적침입죄의 재산죄로서의 성격을 강조하는 것은 주거침입죄의 보호법익을 사실상 평온 또는 주거권으로 파악하는 우리 형법의 해석과는 다소 관점을 달리 하는 것임을 유의할 필요가 있다.55) 이와 같이 무단침입죄와 범죄목적침입죄는 개인의 재산권적 1 J. L. ECON. & POL’Y 69, 78 (2005). 52) Thomas W. Merrill & Henry E. Smith, Optimal Standardization in the Law of Property: The Numerus Clausus Principle, 110 YALE L. J. 1, 24 (2000) (물권적 방해배제청구권과 정보비용의 관계를 설명함). 53) Guido Calabresi & A. Douglas Melamed, Property Rules, Liability Rules, and Inalienability: One View of the Cathedral, 86 HARV. L. REV. 1089, 1124-1127 (1972) (물권적 방해배제청구권 제도를 유지함 에 있어 형법적 재제의 필요성에 대하여 설명함). 54) Alvin K. Klevorick, On the Economic Theory of Crime, in CRIMINAL JUSTICE: NOMOS XXVII 289, 301-304 (J. Rolan Pennock & John W. Chapman eds., 1985) (사회가 선택한 바람직한 거래구조(transaction structure)를 유지하는 것이 형법의 기능이라고 설명함); Richard A. Posner, An Economic Theory of the Criminal Law, 85 COLUM. L. REV. 1193, 1195 (1984) (형법의 기능은 시장을 통하지 아니하는 강제된 거래를 막는 데 있다고 설명함).
  24. 24. 法曹 2013․12(Vol.687)140 이익과 배타적 사적 영역을 확보하여 주는 중요한 역할을 하는바, 연 방의회는 컴퓨터에 대하여도 이러한 이익을 보호하여 줄 필요가 있다 는 전제에서, 기존 무단침입죄ㆍ범죄목적침입죄가 물리적 공간, 인간의 신체에 의한 침입 등을 성립요건으로 하는 이유로 컴퓨터범죄에 적절 하게 대응하지 못하는 점을 고려하여 CFAA를 제정하게 된 것이다. 4. 다른 법리와의 관계 CFAA는 ‘권한 없는 접근(access without authorization)’을 규율하 는 보다 넓은 법 분야 중 하나로 분석될 수 있음을 유의하여야 한 다.56) 인터넷을 통하여 정보서비스를 제공하는 경우,57) 원활한 서비스 55) 주지하다시피 주거침입죄(형법 제319조 제1항)의 보호법익에 대하여, 事 實上 平穩說은 주거를 지배하는 사실관계, 즉 주거에 대한 공동생활자 전원의 사실상 평온을 그 보호법익으로 파악하고, 住居權說은 주거의 평온을 유지할 수 있는 권리, 즉 주거권을 그 보호법익으로 파악한다. 한편 대법원은 “주거침입죄는 사실상의 주거의 평온을 보호법익으로 하 는 것이므로, 그 거주자 또는 간수자가 건조물 등에 거주 또는 간수할 법률상 권한을 가지고 있는 여부는 범죄의 성립을 좌우하는 것이 아니” 라고 판시하는바 (대법원 2008. 5. 8. 선고 2007도11322 판결 등), 주거 침입죄의 재산범죄적 성격에 대하여는 별도의 진지한 추가 논의가 필요 하다고 판단된다. 56) 이와 같은 다양한 법 원칙을 포괄하여 ‘사이버재산권(cyberproperty)’ 또 는 ‘가상재산권(virtual property)’이라 칭하는 견해도 있다. See e.g., Patricia L. Bellia, Defending Cyberproperty, 79 N.Y.U. L. REV. 2164, 2254 (2004); Joshua A.T. Fairfield, Virtual Property, 85 B.U. L. REV. 1047 (2005). 더 나아가 개인의 프라이버시 정보에 대하여도 재산 권 법리를 확장 적용할 것을 주장하기도 한다. See e.g., Paul M. Schwartz, Property, Privacy, and Personal Data, 117 HARV. L. REV. 2056 (2004); LAWRENCE LESSIG, CODE: VERSION 2.0 200 (2006). 그러나 프라이버시 정보의 재산권화 주장이 전면적 동의를 받는 것은 아님을 유의하여야 한다. See e.g., Daniel J. Solove, Privacy and Power: Computer Databases and Metaphors for Information Privacy,
  25. 25. 硏究論文 141 제공을 방해하는 다양한 위협을 무력화할 수 있는 법적보호를 필요로 하게 된다. 그 중 가장 대표적인 것이 ‘普通法上 動産侵害 法理 (common law trespass to chattels)’를 적용하는 것이었다.58) 위 법리 는 대규모 스팸메일 발송,59) 자동정보수집 프로그램을 이용하여 경쟁 자의 웹사이트로부터 사업 관련 정보를 취득하는 경우60) 등을 넘어 비상업적 목적으로 이메일서비스를 제공하는 회사의 이익에 반하는 이메일을 발송한 경우에 적용되기도 하였다.61) 한편 동산침해법리 외 53 STAN. L. REV. 1393 (2001). 57) 우리 정보통신망법은 “정보통신서비스”를 “전기통신사업법 제2조 제6호 에 따른 전기통신역무와 이를 이용하여 정보를 제공하거나 정보의 제공 을 매개하는 것”이라 규정하는바 (정보통신망법 제2조 제2호), 위와 같 은 서비스의 범위와 대체로 일치한다고 생각된다. 58) 그 명칭에서 알 수 있듯 동산침해 역시 CFAA와 연원을 같이 하며, 피 고가 원고의 점유를 방해하여 손해를 발생하도록 할 것을 요건으로 한 다. Restatement (Second) of Torts § 217 (1965). 한편 인터넷을 통한 정보서비스에 대하여 동산침해법리를 적용하는 것에 대하여는 다음과 같은 찬반양론이 있다. Dan L. Burk, The Trouble with Trespass, 4 J. SMALL & EMERGING BUS. L. 27 (2000) (동산침해법리보다는 당 사자 간 이익형량에 의하여 침해의 합리성 여부를 판단할 수 있는 유연 한 기준을 적용할 것을 주장함); Richard A. Epstein, Cybertrespass, 70 U. CHI. L. REV. 73 (2003) (사이버공간에 있어서 일반적 법리 적용을 배제할 이유가 없다는 이유로 동산침해법리 적용을 긍정함); David McGowan, Website Access: The Case for Consent, 35 LOY. U. CHI. L.J. 341 (2003) (동산침해법리를 인터넷을 통한 정보서비스제공 에 적용할 경우의 장점을 설명함). 59) CompuServe Inc. v. Cyber Promotions, Inc., 962 F.Supp. 1015 (S.D. Ohio 1997); America Online, Inc. v. National Health Care Disc., Inc., 121 F.Supp.2d 1255 (N.D. Iowa 2000); America Online, Inc. v. LCGM, Inc., 46 F.Supp.2d 444 (E.D. Va. 1998); America Online, Inc. v. IMS, 24 F.Supp.2d 548 (E.D. Va. 1998); Hotmail Corp. v. Van$ Money Pie Inc., 47 U.S.P.Q.2d (BNA) 1020 (N.D. Cal. 1998). 60) eBay, Inc. v. Bidder’s Edge, Inc., 100 F.Supp.2d 1058 (N.D. Cal. 2000); Register.com, Inc. v. Verio, Inc., 356 F.3d 393 (2d Cir. 2004). 61) Intel Corp. v. Hamidi, 114 Cal.Rptr.2d 244 (Ct. App. 2001). 그러나 위
  26. 26. 法曹 2013․12(Vol.687)142 에 일반 계약법에 기초한 법적 구제를 구하는 경우도 있다.62) 이에 더하여 정보서비스의 구성요소 중 일부가 재산권에 의한 보호를 받을 경우 저작권법 등에 의하여 방해배제를 청구할 수도 있을 것이다.63) 한편 CFAA는 그 위반에 근거한 민사구제절차도 허용하기 때문 에,64) 위 청구원인과 독립하여 또는 이에 더하여 주장될 수 있다는 점에서 그 복잡성을 더하는 것이다.65) 위 법리들과 CFAA의 관계를 상세히 논하는 것은 본고의 범위를 넘는 것이라 사료되나, 다만 CFAA는 본질적으로 형사구성요건을 규정한 점 등을 이유로 위 법 리들보다 그 적용범위가 제한되어야 한다고 주장하는 견해가 있음을 지적해두고자 한다.66) 5. ‘권한 없는 접근’의 해석 판결은 Intel Corp. v. Hamidi, 71 P.3d 296 (Cal. 2003)에 의하여 파기 되었다. 62) Pollstar v. Gigmania Ltd., 170 F.Supp.2d 974 (E.D. Cal. 2000); Ticketmaster Corp. v. Tickets.com, Inc., No. CV 99-7654, 2003 WL 21406289, at *1-*2 (C.D. Cal. Mar. 7, 2003); see also Register.com, Inc. v. Verio, Inc., 356 F.3d 393 (2d Cir. 2004). 63) 정보접근권 침해를 우려하며 이를 부정적으로 보는 견해로는, Maureen A. O’Rourke, Property Rights and Competition on the Internet: In Search of an Appropriate Analogy, 16 BERKELEY TECH. L. J. 561, 583 (2001). 64) 18 U.S.C. § 1030(g). 65) See e.g., EF Cultural Travel BV v. Explorica, Inc., 274 F.3d 577 (1st Cir. 2001); America Online, Inc. v. National Health Care Disc., Inc., 174 F.Supp.2d 890 (N.D. Iowa 2001); America Online, Inc. v. LCGM, Inc., 46 F.Supp.2d 444 (E.D. Va. 1998); Register.com, Inc. v. Verio, Inc., 126 F.Supp.2d 238 (S.D.N.Y. 2000), aff’d on other grounds, 356 F.3d 393 (2d Cir. 2004). 66) Bellia, Defending Cyberproperty, supra note 56, at 2253.
  27. 27. 硏究論文 143 가. ‘접근’의 범위 무단침입죄, 범죄목적침입죄를 그 연원으로 하는 CFAA는, 무단침입 죄가 ‘권한 없는 침입(entering without license or privilege)’을 금지함 에 반하여, ‘권한 없는 접근(accessing without authorization)’을 금지하 는 구조를 가지게 되었다. 그러나 위와 같은 구조적 유사성에도 불구하 고, CFAA의 요건이 무엇을 의미하는지가 반드시 명확한 것은 아니다. 우선 ‘접근’이 무엇을 의미하는지 여부가 문제된다. ‘침입’은 물리적 공 간에 인간의 신체가 현존할 것(presence of a human body on physical land)이라는 비교적 명확한 징표를 가지는 반면, 컴퓨터에 접근한다는 것이 구체적으로 어떠한 의미인지는 보다 상세한 검토를 요한다. 먼저 ‘접근’의 범위를 좁게 해석하여 일반에 공개되지 아니한 정보 를 취득한 경우, 즉 패스워드나 기타 기술적 수단에 의해 보호되는 정보를 취득한 경우에만 접근에 해당하는 것으로 해석하는 견해가 있다.67) 한편 ‘접근’의 범위를 넓게 해석하여 어떠한 것이든지 컴퓨터 로 하여금 명령을 수행하도록 하였다면 접근에 해당한다는 견해도 있다.68) 그러나 접근의 범위를 넓게 해석하는 견해가 CFAA의 적용 범위를 넓히려는 시도가 아닌 점을 유의하여야 한다. 위 견해는 정보 통신기술의 발전에 따라 다양한 유형의 컴퓨터범죄가 존재하는 점을 고려하여 접근의 범위를 넓게 해석하면서도, 다만 ‘권한’의 범위를 축 소함으로써 균형을 시도한다는 점에서 접근의 범위를 좁게 해석하는 견해와 실질적으로 다르지 않다.69) 그렇다면 악성프로그램, 서비스거 부공격 등의 다양한 행위태양을 포섭하기 위해서도 ‘접근’의 범위는 67) Id. at 2254; State v. Allen, 917 P.2d 848 (Kan. 1996). 68) Kerr, Cybercrime’s Scope, supra note 1, at 1646; State v. Riley, 846 F.2d 1365 (Wash. 1993) (en banc). 69) Kerr, Cybercrime’s Scope, supra note 1, at 1646-1648.
  28. 28. 法曹 2013․12(Vol.687)144 넓게 해석하는 것이 타당하다고 본다.70) 나. ‘권한’의 범위 다음으로 어떠한 경우에 ‘권한 없는’ 접근으로 볼 것인지 여부가 문제된다 할 것이다. ‘접근’을 위와 같이 넓게 해석할 경우 권한의 범 위를 여하히 해석하는가에 따라 CFAA의 적용범위가 크게 달라질 것이므로 본 문제는 CFAA 해석에 있어 핵심적 위치를 차지한다. 이 는 그 권한 부여의 방식에 따라 나누어 살펴보는 것이 일반적이다. (1) 먼저 코드기반규제(code-based restriction)를 위반한 경우 권 한 없는 접근에 해당한다는 점에 대하여는 별다른 이견이 없고,71) 전 형적인 해커 사건을 다룬 연방제2항소법원의 United States v. Morris 판결도 마찬가지로 판시한다.72) 코드기반규제란, 패스워드에 의하여만 접근을 허용하거나 사용권한을 각자 다르게 규정한 계정 (account)을 부여하는 등 프로그램을 기반으로 접근권한을 정하여 주 는 방법이다. 코드기반규제는 다양한 방법으로 회피될 수 있는바, 먼 저 다른 사람의 사용자명과 패스워드를 도용하는 방법(false identification)으로 이를 무력화시킬 수 있고, 다음으로, 권한부여 프 70) 이와 같은 견지에서 아이오와법원은, 서비스이용약관(terms of service) 에 위반하여 AOL고객들에게 스팸 메일을 대량으로 발송한 경우 AOL 의 컴퓨터에 권한 없이 접속한 것에 해당한다고 판시하였다. America Online v. National Health Care Discount, Inc., 121 F.Supp.2d 1255 (N.D. Iowa 2000). 71) Bellia, Defending Cyberproperty, supra note 56, at 2253; Kerr, Cybercrime’s Scope, supra note 1, at 1648-1660. 72) United States v. Morris, 928 F.2d 504 (2d Cir. 2001). 한편 위 판결은 ‘의도된 기능 기준(intended function test)’을 도입하였다고 평가받는바, 이는 우리 형법 제314조 제2항, 제347조의2의 “부정한 명령의 입력”은 당해 정보처리장치의 사무처리 목적에 비추어 입력할 수 없는 명령을 하는 것을 의미한다고 해석하는 것과 유사한 취지이다.
  29. 29. 硏究論文 145 로그램의 결함을 이용하여 이를 오작동하게 함으로써 허용될 수 없 는 권한을 부여하도록 할 수도 있다. 어떠한 방법을 이용하든 코드기 반규제를 위반한 경우에는 CFAA의 권한 없는 접근에 해당한다고 보아야 할 것이다. (2) 다음으로 권한부여에 있어 가장 느슨한 방식이라 할 수 있는 정보서비스 이용약관(terms of service)을 위반한 경우, 권한 없는 접 근에 해당하지 않는다고 해석하는 것이 일반적이다.73) 캘리포니아 주 연방지방법원도 United States v. Drew 판결74)에 서, 소위 소셜 네트워크 서비스(social network service)인 마이스페 이스(MySpace)의 이용자가 서비스이용약관에 위반한 것만으로는 권 한 없는 접근을 인정할 수 없다고 하였다. 피고인은 성인임에도 불구 하고 16세의 남성으로 자신의 인적사항을 허위로 꾸민 후 피고인 딸 의 급우였던 13세 소녀에게 접근하여 다양한 언어적ㆍ심리적 공격을 하였고, 결국 자살에 이르게 한 사건이다. 한편 위와 같이 인적사항 을 허위로 꾸민 행위는 마이스페이스의 서비스이용약관을 위반한 것 이었다. 이에 대하여 법원은 서비스이용약관을 위반한 것만으로 CFAA의 권한 없는 접근을 인정한다면, ‘막연하기 때문에 무효 (void-for-vagueness)’라는 원칙75)에 따라 헌법상 문제점을 야기한다 고 설시한다. 즉, 위와 같은 해석은 일반적으로 계약위반은 형사처벌 의 대상이 되지 아니한다는 원칙에 위반되고, CFAA 규정을 극도로 모호하게 만들며, 나아가 서비스 운영자에게 형사처벌의 대상을 정할 73) Bellia, Defending Cyberproperty, supra note 56, at 2253; Kerr, Cybercrime’s Scope, supra note 1, at 1648-1660. 74) United States v. Drew, 259 F.R.D. 449 (C.D. Cal. 2009). 75) Kolender v. Lawson, 461 U.S. 352 (1983). 우리 헌법재판소도 죄형법정 주의의 내용으로 명확성의 원칙을 선언한다. 헌법재판소 1992. 2. 25. 선 고 89헌가104 결정.
  30. 30. 法曹 2013․12(Vol.687)146 수 있는 실질적 권한을 부여하게 된다는 점에서 받아들일 수 없다는 것이다.76) 또한 캘리포니아 주 연방지방법원은 Facebook, Inc. v. Power Ventures, Inc. 판결77)에서도, 단순히 서비스이용약관에 위반 한 경우가 아닌 코드기반규제를 우회하려한 경우에만 권한 없는 접 근을 인정할 수 있다고 판시하였다. (3) 코드기반규제와 서비스이용약관의 중간 영역에서는, 권한 없는 접근의 해석과 관련하여 다음과 같은 유형의 사건들이 문제되었다. 먼저 피고용인이 고용인의 컴퓨터를 고용인의 이익에 반하는 방법 으로 사용한 경우인바, 이에 대하여는 각급 법원의 견해가 일치하지 아니한다. 예컨대 워싱턴 주 연방지방법원은 Shurgard Storage Centers v. Safeguard Self Storage 판결78)에서, 피고용인이 고용인의 컴퓨터를 고용인의 이익에 반하는 방법으로 사용한 경우 代理人理論 (agency theory)을 적용하여 ‘권한 없는 접근’에 해당한다고 판시하였 다. 위 사건에서 원고회사의 피고용인이었던 자가 피고회사로 이직하 면서 원고회사의 영업비밀 등 비밀정보를 취득한 후 이를 원고회사의 이메일을 이용하여 피고회사에 전송하였는바, 법원은 “대리인이 본인 과 상충하는 이해관계를 가지게 되었거나 기타 본인에 대한 충실의무 에 위반하는 상황이 되었을 때에, 그러한 사실을 본인이 알았던지 여 부에 관계없이, 대리인의 권한은 종료된다”는 대리인이론을 적용하 여,79) 피고용인의 위와 같은 행위는 원고회사 컴퓨터에 대한 권한 없 는 접근에 해당한다고 판단한 것이다.80) 그러나 연방제9항소법원은 76) United States v. Drew, 259 F.R.D. at 464. 77) Facebook, Inc. v. Power Ventures, Inc., 2010 WL 3291750 (N.D.Cal. 2010). 78) Shurgard Storage Centers, Inc. v. Safeguard Self Storage, Inc., 119 F.Supp.2d 1121 (W.D.Wash. 2000). 79) Restatement (Second) of Agency § 112 (1958).
  31. 31. 硏究論文 147 LVRC Holdings LLC v. Brekka 판결81)에서, 고용주에 대한 충실의무 를 위반한 경우에도 권한 없는 접근에 해당하지 않는다고 판시한다.82) 다음으로 자동정보수집 프로그램을 이용하여 경쟁자의 웹사이트로 부터 사업 관련 정보를 취득하는 경우인바, 본 유형에 대하여도 각급 법원은 판단은 일치하지 않고 있다. 예컨대 연방제1항소법원은 EF Cultural Travel BV v. Zefer Corp. 판결83)에서, 특별한 사정이 없는 한 스크레이퍼(scraper) 프로그램의 사용 그 자체로는 권한 없는 접속 에 해당하지 않는다고 하였다. 본 사건의 피고는 스크레이퍼 프로그 램을 사용하여 경쟁자의 가격 정보 등을 알아내었고, 원고는 그러한 행위가 웹사이트 운영자의 합리적 기대를 넘어선 것인지 여부를 기준 으로 하는 ‘합리적 기대 기준(reasonable expectations test)’을 적용하 여야 한다고 주장하였는바, 법원은 원고의 주장을 받아들이지 아니하 80) 유사한 취지의 민사판결로는 다음의 것이 있다. EF Cultural Travel BV v. Explorica, Inc., 274 F.3d 577 (1st Cir. 2001); Pac. Aerospace & Elec., Inc. v. Taylor, 295 F.Supp.2d 1188 (E.D. Wash. 2003); International Airport Centers, L.L.C. v. Citrin, 440 F.3d 418 (7th Cir. 2006); Hanger Prosthetics & Orthotics, Inc. v. Capstone Orthopedic, Inc., 556 F.Supp.2d 1122 (E.D. Cal. 2008). 한편 이러한 법리는 다음과 같이 형사판결에도 확장되었다. United States v. John, 597 F.3d 263 (5th Cir. 2010); United States v. Rodriguez, 628 F.3d 1258 (11th Cir. 2010). 81) LVRC Holdings LLC v. Brekka, 581 F.3d 1127 (9th Cir. 2009). 82) 유사한 취지의 민사판결로는 다음의 것이 있다. B&B Microscopes v. Armogida, 532 F.Supp.2d 744 (W.D. Pa. 2007); Diamond Power Intern., Inc. v. Davidson, 540 F.Supp.2d 1322 (N.D. Ga. 2007); Black & Decker (US), Inc. v. Smith, 568 F.Supp.2d 929 (W.D. Tenn. 2008); Bell Aerospace Services, Inc. v. U.S. Aero Services, Inc., 690 F.Supp.2d 1267 (M.D. Ala. 2010). 한편 이러한 법리는 다음과 같이 형 사판결에도 확장되었다. United States v. Nosal, 676 F.3d 854 (9th Cir. 2012). 83) EF Cultural Travel BV v. Zefer Corp., 318 F.3d 58 (1st Cir. 2003).
  32. 32. 法曹 2013․12(Vol.687)148 였다. 그러나 뉴욕 주 연방지방법원은 Register.com, Inc. v. Verio, Inc. 판결84)에서, 웹사이트 운영자가 자동정보수집 프로그램을 이용하 여 자신이 고객정보를 취득하는 것을 허용하지 않기로 하고 소송을 제기한 사실만으로도 권한 없는 접근을 인정할 수 있다고 판단하였다. 위와 같이 중간 영역에 해당하는 사건들에 대하여는 각급 법원의 판단이 일치하지 않는바, 위에 열거한 사건들은 형사사건과 민사사건 의 판단이 혼재하여 있음을 유의하여야 한다. 예컨대 Orin Kerr는 민 사사건에서 CFAA 규정에 대한 해석이 형사사건에 미칠 악영향에 대 하여 우려하면서,85) 코드기반규제(code-based restriction)에 위반한 경우에만, 권한 없는 접근에 해당한다는 해석론을 주장한다.86) 이러한 해석이 인터넷 이용자들에게 되도록 큰 자유를 부여함과 동시에 개인 정보보호와 보안문제를 해결할 수 있다는 것이다. 범죄구성요건을 정 하고는 있는 CFAA의 성격상 그 범위를 제한할 필요가 있다는 점, 위 ‘접근조항’ 중 18 U.S.C. § 1030(a)(2)(C)를 제외한 다른 구성요건이 금융정보, 신용정보, 연방정부의 정보ㆍ컴퓨터 등 일반에 공개되지 아 니한 정보에 대한 접근을 금지하는 것과 균형을 맞출 필요가 있는 점 등을 고려하면 설득력 있는 견해라고 생각된다. 다만 코드기반규제라 는 형식에 집착할 경우 정보서비스제공자들로 하여금 더욱 폐쇄적인 서비스 환경을 설계하도록 함으로써 역설적으로 인터넷 이용자들의 84) Register.com, Inc. v. Verio, Inc., 126 F.Supp.2d 238 (S.D.N.Y. 2000), aff’d on other grounds, 356 F.3d 393 (2d Cir. 2004). 위 사건에서 피고 는 자동정보수집 프로그램을 이용하여 경쟁자의 고객정보를 취득한 후 이를 이용하여 경쟁자의 고객들에게 접근하여 자신들의 서비스를 이용 하도록 유도하였다. 85) Kerr, Cybercrime’s Scope, supra note 1, at 1640. 86) Id. at 1648-1666. Patricia Bellia도 기본적으로 유사한 입장에 있다. Bellia, Defending Cyberproperty, supra note 56, at 2253.
  33. 33. 硏究論文 149 자유로운 활동을 제약할 우려도 있는 점도 고려되어야 할 것이다.87) Ⅳ. 정보통신망 침입의 해석 1. 정보통신망법 제48조 제1항의 문제점 앞서 살펴본 CFAA와 비교할 때 정보통신망법 제48조 제1항은 그 객체를 ‘컴퓨터’가 아닌 ‘정보통신망’으로 하고 있는 점에서 큰 차이 가 있다. 한편 정보통신망법 제2조 제1호를 보면 이는 매우 광범위한 개념임을 알 수 있다.88) 즉, 문언 상으로는 광역단위인터넷망부터 폐 쇄적으로 관리되는 소규모 인트라넷에 이르기까지 다양한 유형의 네 트워크가 모두 이에 해당할 수 있는 것이다. 그렇다면 어떠한 경우에 ‘권한 없는 침입’인지 여부를 명확히 하여야만 정보통신망법 제48조 제1항의 적용범위가 부당하게 확대되는 것을 방지할 수 있을 것이다. 2. 권한 없는 침입의 범위 가. 정보통신망의 법적성격 먼저 정보통신망 사용을 규율하는 규칙의 복잡성ㆍ다양성에 대하여 살펴본다. 재산권제도는 크게 私有(private property), 共同所有 (common property),89) 國有(state property)90)로 나눌 수 있다.91) 공 87) 이러한 점을 지적하는 견해로는, Bellia, Defending Cyberproperty, supra note 56, at 2218, 2261. 88) 정보통신망법 제2조 제1호는 정보통신망을 “전기통신사업법 제2조 제2 호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨 터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제”로 정의한다.
  34. 34. 法曹 2013․12(Vol.687)150 동소유는 집단소유(group property)라고도 불리는바, 특정 집단이 이 를 배타적으로 사용하고 집단 외부인은 권한 없이 사용할 수 없다는 점에서, 누구에게도 배타적 권한이 인정되지 아니하는 非所有(open access)와는 구별되는 개념이다.92) 공동소유는 (1) 외부와 구별되는 특정 집단의 존재, (2) 소유의 객체인 재화, (3) 그 재화의 사용에 대 한 의사결정을 할 수 있는 일정한 內部規則(internal rule)을 필요로 한다.93) 그것은 법령일 수도 있고,94) 계약일 수도 있으며, 또는 특정 89) 민법 제2편 제3장 제3절이 ‘共同所有’라는 용어를 사용하는 점, ‘共有’가 비소유(open access)와 혼동되어 사용된다는 점 등을 고려하여 ‘common property’를 ‘공동소유’로 표현한 것이다. 90) 국가가 권리주체로 되는 國有(state property)뿐만 아니라 지방자치단체 등이 주체가 되는 公有(public property)도 상정할 수 있으나, 그 기본적 성격은 유사하다 할 것이다. 91) 이러한 구분방법에 대한 상세한 설명으로는, Michael A. Heller, The Dynamic Analytics of Property Law, 2 THEORETICAL INQ. L. 79, 82 (2001). 92) 그러나 共同所有(common property)와 非所有(open access)는 혼동되어 사용되는 경우가 많다. 예컨대 하딘은 개인적 합리성을 추구하는 사용 자들이 비배타성(non-excludibility)을 가진 재화를 지나치게 많이 사용 하여 결국 황폐화되는 결과를 낳는 현상, 즉 개인적 합리성에 기초한 행동이 사회적 합리성을 달성하지 못하는 경우를 설명하기 위하여 ‘공 유의 비극(tragedy of commons)’이라는 개념을 사용하였다{Garrett Hardin, The Tragedy of Commons, 162 SCI. 1243 (1968)}. 그러나 사 실 하딘이 논한 ‘공유’는 비소유(open access)를 의미하는 것이다. 이러 한 점을 지적하는 견해로는, Dean Lueck & Thomas J. Miceli, Property Law, in HANDBOOK OF LAW AND ECONOMICS 183, 194 (A. Mitchell Polinsky & Steven Shavell, eds., 2007). 93) 오스트롬은 共有資源(common pool resource)의 과다사용 문제를 해결 하기 위한 다양한 공동체의 형성과정과 지배구조를 검토한 결과, 다음 과 같은 조건을 갖추었을 때 성공적인 공유자원 지배구조를 유지할 수 있다고 주장하였다. 즉, (1) 자원을 사용할 수 있는 집단의 범위와 사용 대상인 자원의 범위가 명확하게 규정되고, (2) 제반여건에 따라 적절하 게 조정된 사용규칙, (3) 자원사용규칙에 대한 의사결정과정에 참여할
  35. 35. 硏究論文 151 사회관습에 기한 것일 수도 있다. 한편 사유와 공동소유의 중간 형태 인 準共同所有(semi-commons)의 개념을 설정하는 견해도 있다.95) 위 견해는 준공동소유란 각자 소유권이 설정되어 있는 재화를 집합한 후 그 전체에 대한 사용규칙을 설정하여 공동으로 사용하는 것이라 정의 하며, 위 개념을 이용하여 유럽중세시대 목초지 사용 태양을 설명한 다. 또한 준공동소유 개념을 확장하여 통신망(telecommunications network)의 지배구조를 설명하는 데에도 사용하고 있다.96) 흔히 인터넷은 공동통신규약(protocol)을 통하여 이어지는 ‘네트워 크의 네트워크’라 일컬어진다. 인터넷은 중심적 통제기관이 존재하지 아니하는 분산시스템(distributed system)이나, 상위 네트워크 아래에 하위 네트워크가 존재하고, 또 그 아래에 다른 계층의 하위 네트워크 가 존재하는 계층구조(hierarchial structure)를 가지고 있다.97) 전체 인터넷을 통제ㆍ관리하는 주체는 없지만, 이를 구성하는 각 부분(회 선, 라우터, 스위치 등)에 대하여는 소유권자가 있다.98) 이에 더하여 수 있는 기구, (4) 자원사용을 감시하고 규칙위반을 적발하는 기구, (5) 규칙위반에 대한 적절한 제재장치, (6) 신속하고 효율적인 분쟁해결기 구, (7) 외부간섭으로부터 상대적 자율성 유지 등의 조건이 충족되어야 한다는 것이다. ELINOR OSTROM, GOVERNING THE COMMONS: THE EVOLUTION OF INSTITUTIONS FOR COLLECTIVE ACTION 88-102 (1990). 94) 민법의 公有, 合有, 總有에 대한 규정을 그 예로 들 수 있다. 95) Henry E. Smith, Semicommon Property Rights and Scattering in the Open Fields, 29 J. LEGAL STUD. 131 (2000). 한편 본고에서 사용하 는 준공동소유 개념은 사유와 공동소유의 중간 형태를 의미한다는 점에 서, 민법 제278조에서 말하는 ‘공동소유규정이 소유권 이외의 재산권에 준용되는 경우’와는 구별되는 것임을 유의하여야 한다. 96) Henry E. Smith, Governing the Tele-Semicommons, 22 YALE J. ON REG. 289 (2005). 97) 정진욱ㆍ김현철ㆍ조강홍, 「컴퓨터네트워크」, (2003), 312면. 98) 기간통신업자들이 대부분의 인터넷용 회선을 소유하고 있으므로, 기간
  36. 36. 法曹 2013․12(Vol.687)152 개별 사용자들이 지배하는 컴퓨팅 자원(computing resource)이 더하 여져 하나의 체계를 이루는 것이다. 그렇다면 인터넷 또는 이를 구성 하는 다양한 계층의 네트워크도 일종의 중첩적 준공동소유 (semi-commons) 형태로 설명할 수 있다고 생각된다. 따라서 일정한 계층과 범위에 따라 그 사용을 규율하는 규칙을 발견할 수 있을 것 인바, 이는 법령의 형태로 존재할 수도 있고, 인터넷서비스제공자 (ISP, Internet service provider) 또는 포털 등 정보서비스제공자가 제공하는 이용약관의 형태일 수도 있으며, 특정 조직 내부에서 사용 되는 인트라넷에 대한 사용규칙이거나, 사용자 및 네트워크 운영자 간에 암묵적으로 받아들여지는 일종의 사회규범일 수도 있다. 혹은 레식(Lawrence Lessig)이 주장하듯 ‘코드(code)’ 그 자체일 수도 있 다.99) 그러나 구체적으로 어떠한 규칙이 ‘권한 없는 침입’ 여부를 판 단할 기준을 제시하는 것인지 파악하는 것은 쉬운 일이 아니다. 이는 형법의 ‘정보처리장치’나 CFAA의 ‘컴퓨터’와는 본질적으로 다른 성격이다. ‘컴퓨터’라고 해도 개인이 사용하는 컴퓨터(PC)에서 대규모 정보서비스를 제공하는 서버에 이르기까지 그 종류는 다양하 다. 그러나 궁극적으로는 그 관리주체를 파악할 수 있고, 그 이용에 대한 규칙을 인식하는 것도 크게 어렵지 않다. 달리 말하면, 컴퓨터 통신업자인 인터넷서비스제공자(ISP)는 자신의 회선과 장비를 이용하여, 기간통신업자가 아닌 인터넷서비스제공자(ISP)들은 기간통신업자로부터 임대한 회선에 자신의 장비(라우터, 스위치 등)를 더하여 개별 가입자망 을 구축한다. 한편 인터넷서비스제공자(ISP)들은 연동센터(IX, Internet eXchange)와 연결되거나 직접적 연결(private peering)의 방법으로 다른 인터넷서비스제공자의 가입자망과 연결하는바, 이와 같은 상호연결은 원칙적으로 각 당사자의 자율적 결정에 따르게 된다. 인터넷의 재산권 구조에 대한 상세는 다음의 문헌을 참고하기 바란다. 김정호ㆍ이완재, 「인터넷의 재산권 구조와 혼잡」, (2002). 99) LESSIG, CODE, supra note 56, at 1, 61.
  37. 37. 硏究論文 153 는 私有財産에 가깝다. 그러나 정보통신망의 경우는 다르다. 상호 연 결되어 있는 인터넷의 특징 때문에 그 관리주체를 명확히 파악하거 나 이용규칙을 인식하는 것이 어려운 경우가 많고, 이는 근본적으로 정보통신망의 準共同所有的 성격에서 기인하는 것이다. 나. 제한적 해석의 필요성 앞서 CFAA의 해석에 있어 코드기반규제위반과 서비스이용약관위 반이라는 양 극단의 중간 영역에 있는 사건들이 문제가 되었음을 지 적한바 있다. 즉, (1) 피고용인이 고용인의 컴퓨터를 고용인의 이익에 반하는 방법으로 사용한 경우나 (2) 자동정보수집 프로그램을 이용하 여 경쟁자의 웹사이트로부터 사업 관련 정보를 취득하는 경우에 대 한 미국 각급 법원의 판단은 일치하지 않고 있다. 한편 이러한 결과 는 그 관리주체와 이용규칙을 비교적 용이하게 파악할 수 있는 ‘컴퓨 터’라는 객체의 특성에서 비롯된다고 본다. 피고용인이 고용인의 컴 퓨터를 고용인의 이익에 반하는 방법으로 사용한 경우는 물론, 자동 정보수집 프로그램을 이용하여 경쟁자의 웹사이트로부터 정보를 캐 내는 등의 행위에서는 누구의 어떤 이익이 침해받고 있는지를 파악 하기 어렵지 않다. 아마도 그러한 이유 때문에 일부 법원이 CFAA에 근거한 청구를 배척하기 어려웠을 것이라 생각된다. 또한 위 사건들 의 상당수가 형사절차가 아닌 CFAA에 근거한 민사소송이었다는 점 도 그 해석에 영향을 미쳤을 것이다. 그러나 ‘정보통신망’을 객체로 하는 경우에는 그 사정이 다르다. 상 호 연결되어 있는 정보통신망을 일정한 범위로 구획화하기가 곤란한 점, 그 관리주체나 구체적 사용규칙이 다층적이고 다양하기 때문에 구체적 사건에서 적용될 기준을 파악하기가 용이하지 않은 점 등에
  38. 38. 法曹 2013․12(Vol.687)154 비추어, 정보통신망법 제48조는 CFAA보다 더욱 제한적으로 해석되 어야 할 것이다. 그와 같이 해석하지 아니한다면, 죄형법정주의가 요 구하는 명확성 원칙을 위배하여,100) 자칫 정보통신망법 제48조 제1항 이 소위 ‘인터넷 공간’에서 모든 규칙위반행위를 처벌하는 포괄적 규 정으로 전환될 위험이 있다. 즉, 무단침입죄의 전통에 따라 사유재산 또는 사적영역을 보호하는 CFAA와는 달리, 정보통신망법 제48조 제 1항은 특정 공유자원의 사용을 목표로 하는 공동체에서 광범위한 규 칙위반행위를 처벌하는 성격을 가질 수 있는 것이다.101) 이러한 문제는 ‘침입’의 해석과도 밀접한 관련이 있다. 정보통신망 제48조 제1항은 권한 없이 정보통신망에 ‘침입’하는 행위를 금지한다. 그렇다면 어떠한 경우에 ‘침입’에 해당한다고 볼 것인가? 먼저 형법 규정을 살피면, ‘침입’이란 주거ㆍ건조물ㆍ선박ㆍ항공기 등 구분되어 관리되는 영역 또는 사유재산을 침범하여 그 내부로 들어가는 경우 에 사용되는 단어임을 알 수 있다.102) 이는 다른 법률의 경우도 마찬 100) 즉, 컴퓨터에 대한 침입을 내용으로 하는 CFAA의 경우 컴퓨터 관리자 의 의사에 따라 처벌규정의 내용이 달라진다는 점에서 불명확성을 지 니게 되나, 정보통신망에 대한 침입을 내용으로 하는 정보통신망법의 경우 공유자원에 대한 이용규칙에 따라 처벌규정이 내용이 달라진다는 점에서 불명확성을 지니게 된다. 따라서 정보통신망법의 경우 상대적 으로 그 불명확성의 위험이 더욱 크다고 할 수 있다. 101) 비록 CFAA는 정보통신망이 아닌 컴퓨터를 객체로 정하고 있기는 하 지만, 이러한 우려 때문에 캘리포니아 주 연방지방법원은 United States v. Drew 판결에서, 서비스이용약관을 위반한 것만으로 CFAA 의 권한 없는 접근을 인정한다면, ‘막연하기 때문에 무효 (void-for-vagueness)’라는 원칙에 따라 헌법상 문제점을 야기한다고 판시한 것이며, Facebook, Inc. v. Power Ventures, Inc. 판결에서도, 단순히 서비스이용약관에 위반한 경우가 아닌 코드기반규제를 우회하 려한 경우에만 권한 없는 접근을 인정할 수 있다고 판단한 것이다. 102) 형법에서 ‘침입(侵入)’이라는 단어가 사용되는 구성요건은 다음과 같다. (1) 제140조의2(부동산강제집행효용침해): “강제집행으로 명도 또는 인
  39. 39. 硏究論文 155 가지이다. 즉, ‘침입’은 무엇인가 기타 공간과 구분되어 관리되는 영 역을 침범하여 그 내부로 들어가는 경우에 사용되는 것이 일반적이 다.103) ‘권한 없는’이라는 요건을 광범위하게 해석할 경우, 위와 같은 ‘침입’의 일반적 개념과 상충하게 된다. 달리 말하면, 특정인이 인터 넷서비스제공자에게 정당한 요금을 지불하고 인터넷을 사용하던 중 이를 이용하여 어떠한 범죄를 저지르거나 또는 (그 내용을 미리 확 정하기 어려운) 특정이용규칙에 위반한 경우 그의 지위는 ‘침입자’로 전환될 수 있는 것인바, 이는 ‘침입’이라는 단어가 사용되는 일반 용 례 상 상정하기 어려운 것이다. 따라서 필자는 기술적 보호조치(technological protection measures) 도된 부동산에 침입”하는 경우, (2) 제319조 제1항(주거침입)과 제320 조(특수주거침입): “사람의 주거, 관리하는 건조물, 선박이나 항공기 또 는 점유하는 방실에 침입”하는 경우, (3) 제330조(야간주거침입절도): “사람의 주거, 간수하는 저택, 건조물이나 선박 또는 점유하는 방실에 침입”하는 경우, (4) 제331조 제1항(특수절도) “문호 또는 장벽 기타 건조물의 일부를 손괴하고 전 조의 장소에 침입”하는 경우, (5) 제334 조 제1항(특수강도) “사람의 주거, 관리하는 건조물, 선박이나 항공기 또는 점유하는 방실에 침입”하는 경우, (6) 제340조 제1항(해상강도) “해상에서 선박을 강취하거나 선박 내에 침입”하는 경우이다. 103) 예컨대, 군사기밀보호법 제17조 제1항은 “군사보호구역을 침입한 사람” 을 처벌하고, 경비업법 제14조 제8항은 “무기 또는 폭발물을 소지하고 국가중요시설에 침입한 자” 또는 “국가중요시설에 침입한 무장간첩” 등의 경우를 제외하고는 사람에게 위해를 끼쳐서는 아니 된다고 규정 하며, 형의 집행 및 수용자의 처우에 관한 법률 제100조 제2항 제5호 도 “교정시설에 침입하거나 하려고 하는 때” 강제력을 행사할 수 있다 고 규정한다. 한편 감염병의 예방 및 관리에 관한 법률 제2조 제13호 는 “감염병환자란 감염병의 병원체가 인체에 침입하여 증상을 나타내 는 사람”이라고 규정하고, 검역법 제2조 제3호도 “검역감염병 환자란 검역감염병 병원체가 인체에 침입하여 증상을 나타내는 사람”이라 규 정하는바, 이러한 용례에서도 ‘인체’라는 가장 사적인 영역에 ‘병원체’가 침범하여 내부로 들어가는 것을 의미하는 것이다.
  40. 40. 法曹 2013․12(Vol.687)156 또는 이에 준하는 보호조치를 무력화하거나 우회하는 방법으로 자신 에게 부여되지 않은 권한을 취득하고 이를 이용하여 정보통신망에 접근한 경우에만 ‘권한 없는 침입’에 해당한다는 해석론을 제시하고 자 한다. 달리 말하면, 제48조 제1항의 정보통신망은 ‘기술적 보호조 치 또는 이에 준하는 보호조치에 의하여 피고인에게 접근권한을 부 여하지 아니하였거나 접근권한을 제한한 것’에 한정되어야 한다. 이 러한 해석에 따른다면, 대법원이 업무상 알게 된 직속상관의 아이디 와 비밀번호를 이용하여 상관이 모르는 사이에 군 내부전산망에 접 속하여 상관 명의로 군사령관에게 이메일을 보낸 사안에 대하여 정 보통신망법 제48조 제1항의 접근권한 없이 정보통신망에 침입하는 행위에 해당한다고 판시한 것은 정당하다 할 것이다.104) 다른 사람의 비밀번호 등을 이용하여 정보통신망에 접근한 것은 기술적 보호조치 를 우회한 것에 해당하기 때문이다.105) 104) 대법원 2005. 11. 25. 선고 2005도870 판결. 다만 위 사안은 이용자가 피고인으로 하여금 자신의 비밀번호 등을 이용하여 일정 범위의 사실 행위를 대행할 수 있도록 한 것이어서, 전형적인 비밀번호도용의 사안 은 아니다. 그러함에도 대법원은 정보통신망의 안정성 확보를 위해 식 별부호가 중요한 역할을 하는 점 등을 고려하여 “서비스제공자가 이용 자에게 제3자로 하여금 사용할 수 있도록 승낙하는 권한을 부여하였다 고 볼 수 있거나 또는 서비스제공자에게 제3자로 하여금 사용하도록 한 사정을 고지하였다면 서비스제공자도 동의하였으리라고 추인되는 경우 등을 제외하고는, 원칙적으로 그 제3자에게는 정당한 접근권한이 없다”고 판단하여 권한 없는 접근을 인정하였다. 105) 대법원도 “구 정보통신망 이용촉진 등에 관한 법률 제19조 제3항은 (…) 정보통신서비스제공자가 정보통신망의 안정성 및 정보의 신뢰성 을 확보하기 위한 보호조치를 강구하여야 함을 전제로 그러한 보호조 치를 불법 또는 부당한 방법으로 침해하거나 훼손하는 행위를 금지하 고 있었으나, (…) 정보통신망법 제48조 제1항은 그러한 보호조치를 침해하거나 훼손할 것을 구성요건으로 하지 않(…)으므로, 정보통신망 법은 그 보호조치에 대한 침해나 훼손이 수반되지 않더라도 부정한 방법으로 타인의 식별부호(아이디와 비밀번호)를 이용하거나 보호조치
  41. 41. 硏究論文 157 앞서 논한바와 같이, 과연 CFAA가 정보통신망법 제48조의 입법과 정 영향을 준 것인지 여부는 확실하지 않다. 만약 CFAA의 기본구조 를 참고하여 ‘권한 없는 침입’을 행위태양으로 규정하되 다만 그 대 상을 ‘컴퓨터’에서 ‘정보통신망’으로 바꾼 것이라면,106) 이는 각 대상 의 본질적 차이점을 충분히 고려하지 아니한 입법이었다는 비판이 가능하다. ‘권한 없는 침입’이라는 행위태양은 사유재산이거나 또는 (1) 외부와 구별되는 특정 집단의 존재, (2) 소유ㆍ사용의 객체인 특 정 재화, (3) 그 재화의 사용에 대한 규칙이 외부에서도 명확하게 인 식될 수 있는 대상을 그 객체로 삼아야 하는바, 정보통신망법이 규정 하는 ‘정보통신망’은 그러한 징표를 충분히 갖추었다고 보기 어렵기 때문이다. 따라서 필자의 제안과 같이 정보통신망의 범위를 제한적으 로 해석하여야 그 불명확성을 제거할 수 있다고 생각된다. 3. 대법원 2013. 3. 28. 선고 2010도14607 판결 가. 정보통신망법 제48조 제1항 최근 악성프로그램을 사용한 검색순위조작 사건에서 정보통신망법 에 따른 제한을 면할 수 있게 하는 부정한 명령을 입력하는 등의 방 법으로 침입하는 행위도 금지하고 있다”고 판시하였다. 대법원 2005. 11. 25. 선고 2005도870 판결. 106) 이에는 두 가지 정도의 이유가 있었을 것으로 추측할 수 있다. 먼저, 법 전체의 일관성ㆍ통일성을 유지하기 위하여 정보통신망법의 중심개 념인 ‘정보통신망’을 그 대상으로 규정하였을 수 있다. 또한, 1995년 형 법 개정 당시 일반적 컴퓨터침입금지죄를 도입하지 않은 입법자의 의 도를 특별형법의 제정을 통하여 우회할 수 없다는 고려가 작용하였을 수도 있다. 위 두 가지 이유가 모두 구체적 입법과정에서 고려된 것인 지, 어느 하나만이 결정적 역할을 한 것인지, 또는 어떠한 다른 고려가 작용한 것인지는 명확하지 아니하다.
  42. 42. 法曹 2013․12(Vol.687)158 제48조에 대한 주목할 만한 대법원의 판결이 있었다.107) 아래에서는 이에 대하여 상세히 살펴보고자 한다. 먼저 위 판결 중 중요부분을 요약하여 아래에 제시한다. “원심은, 피고인의 공소 외 회사는 그 회사가 운영하는 웹사이트에 서 컴퓨터 사용자들이 무료프로그램을 다운로드받을 경우 악성프로 그램이 몰래 숨겨진 ‘ActiveX’를 필수적으로 설치하도록 유도하는 방 법으로 그들의 컴퓨터(이하 ‘피해 컴퓨터’라 한다)에 이 사건 프로그 램을 설치하였는데, (…) 이 사건 프로그램이 (…) 공소 외 회사 서버 컴퓨터 작업지시에 따라 피해 컴퓨터로 하여금 네이버 시스템에 연 결하여 특정 검색어를 검색하거나 검색 후 나오는 결과 화면에서 특 정 링크를 클릭한 것처럼 네이버 시스템에 허위의 신호를 발송하는 등의 작업을 하도록 한 원심 판시 인정사실에 비추어, 위 피고인이 정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 피해 컴퓨 터 사용자들이 사용하는 정보통신망을 침입한 사실을 인정할 수 있 다는 이유로, (…) 이 부분 공소사실에 대하여 유죄를 선고한 제1심 판결을 그대로 유지하였다.” “(…) 원심 판시에서 알 수 있는 피해 컴퓨터에 연결된 정보통신망 을 이용한 이 사건 프로그램의 피해 컴퓨터 내의 설치 경위, 피해 컴 퓨터 사용자들이 인식하지 못하는 상태에서의 이 사건 프로그램의 실행 및 피해 컴퓨터에 연결된 정보통신망을 이용한 공소외 1 회사 서버 컴퓨터와의 통신, 그 통신에 의한 지시에 따라 피해 컴퓨터와 네이버 시스템 사이에 연결되는 정보통신망을 이용한 네이버 시스템 에 대한 허위 신호 발송 결과 등에 비추어 보면, 이 사건 프로그램이 설치됨으로써 피해 컴퓨터 사용자들이 사용하는 정보통신망에 침입 107) 대법원 2013. 3. 28. 선고 2010도14607 판결.
  43. 43. 硏究論文 159 하였다고 판단한 원심판결은 위의 법리에 기초한 것으로서, (…) 제 48조 제1항에서 정한 정보통신망의 침입에 관한 법리를 오해하는 등 의 사유로 판결에 영향을 미친 위법이 없다.”108) 본 판결이 제시하는 사실관계만으로는 피고인이나 소위 ‘피해컴퓨 터’ 사용자들이 사용하는 정보통신망이 어떠한 종류의 것이었는지 명 확하지 않다. 그러나 만약 피고인 또는 피해컴퓨터 사용자들이 일반 적인 인터넷서비스제공자와 정당한 계약을 체결하고 인터넷을 사용 하는 경우라면, 위 판시에 약간의 의문이 제기될 수 있다고 본다. 주 지하다시피 인터넷은 패킷 스위칭 시스템(packet switching system) 으로 네트워크를 통하여 전달되는 데이터는 작은 패킷으로 나누어진 후 데이터를 전송한 컴퓨터의 주소, 목적지 컴퓨터의 주소, 나뉜 데 이터들이 다시 조립될 수 있도록 하는 정보 등을 포함한 헤더 (header)를 포함하여 전송된다. 또한 나누어진 패킷은 다양한 경로를 통하여 목적지에 도달하며 미리 그 전달경로를 파악할 수는 없다. 그 렇다면 만약 피고인과 피해컴퓨터 사용자들의 인터넷서비스제공자가 다르다 할지라도, 피고인이 일반적인 방법으로 인터넷을 이용하는 경 우라면 다른 인터넷서비스제공자가 제공하는 정보통신망을 이용하는 것도 침입에 해당한다고 보기는 어렵다. 그러한 이용은 인터넷의 원 리에 비추어 당연한 것이기 때문이다. 한편 위 판결은 ‘피해 컴퓨터’라는 단어를 사용하고 있음을 주목하 여야 한다. 물론 대법원이 범행경위를 설명하는 과정에서 어떠한 객 체를 특정할 필요가 있어 위와 같은 단어를 사용하였을 수도 있다. 그러나 대법원이 ‘피해 컴퓨터에 연결된 정보통신망’ 또는 ‘피해 컴퓨 터와 네이버 시스템 사이에 연결되는 정보통신망’ 등의 표현을 사용 108) 밑줄은 필자가 부가한 것이다.
  44. 44. 法曹 2013․12(Vol.687)160 하는 점은 더욱 문제라고 보아야 한다. 이는 컴퓨터를 매개로 정보통 신망을 개별화한 후 그 침해 여부를 판단하려는 것이 아닌가라는 의 문을 불러일으키기 때문이다. 달리 말하면, 피해 컴퓨터(A)와 네이버 시스템(B)을 두 개의 구분되는 접속점(node)으로 규정하고 이를 연결 하는 망(A-B)을 다른 정보통신망과 구별할 수 있다는 전제에서, 피 고인의 행위가 피해 컴퓨터와 네이버 시스템을 연결하는 정보통신망 을 침입한 것으로 판단한 것이 아닌가라는 의문이다. 그러나 앞서 논한 인터넷의 일반적 성격에 비추어 ‘피해 컴퓨터 사 용자들이 사용하는 정보통신망’ 또는 ‘피해 컴퓨터와 네이버 시스템 사이에 연결되는 정보통신망’을 다른 정보통신망과 구별하기는 어렵 다 할 것이다.109) 나아가 컴퓨터를 매개로 정보통신망을 개별화한 후 그 침해 여부를 판단하는 입장을 취한다면, 사실상 해석을 통하여 CFAA와 같이 ‘권한 없는 컴퓨터 침입’을 금지하는 새로운 구성요건 을 창설하는 결과가 되며, 이는 1995년 형법 개정 당시 일반적 컴퓨 터침입금지죄를 도입하지 않은 입법자의 의도에 정면으로 배치되는 것이다. 만약 피고인이 폐쇄적으로 운영되는 사내 인트라넷 등에 권 한 없이 침입하여 내부 컴퓨터에 악성프로그램이 설치되도록 하였다 면 당연히 제48조 제1항의 침입에 해당할 것이다. 그러나 일반적 인 터넷 사용 환경에서라면, 위와 같은 악성프로그램배포 및 이를 이용 한 검색어순위조작을 하였다 하더라도 컴퓨터등장애업무방해죄에 해 당할 수 있음은 별론으로 하고110) 정보통신망법 제48조 제1항의 권 109) 특히 위 사건에서 피해 컴퓨터 사용자들이 사용하는 정보통신망이 ‘기 술적 보호조치 또는 이에 준하는 보호조치에 의하여 피고인에게 접근 권한을 부여하지 아니하였거나 접근권한을 제한한 것’인지 여부를 판 단할 수 있는 별다른 정황이 보이지 않는 점에서도 그러하다. 110) 물론 이러한 행위는 형법 제314조 제2항에 해당한다. “포털사이트 운 영회사의 통계집계시스템 서버에 허위의 클릭정보를 전송하여 검색순

×