[해킹 관련 판결] ‘정당한 접근권한’의 판단기준

[대법원 2005.11.25. 선고 2005도870 판결]

【판시사항】

[1] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항에 의하여 금지되는 행위의 범위

[2] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항의 ‘정당한 접근권한’의 판단 기준

[3] 이용자가 자신의 아이디와 비밀번호를 알려주며 사용을 승낙하여 제3자로 하여금 정보통신망을 사용하도록 한 경우, 그 제3자에게 정당한 접근권한이 있는지 여부(한정 소극)

[4] 피고인이 업무상 알게 된 직속상관의 아이디와 비밀번호를 이용하여 직속상관이 모르는 사이에 군 내부전산망 등에 접속하여 직속상관의 명의로 군사령관에게 이메일을 보낸 사안에서, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항에 규정한 정당한 접근권한 없이 정보통신망에 침입하는 행위에 해당한다고 한 사례

【판결요지】

[1] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항은 구 전산망 보급확장과 이용촉진 등에 관한 법률 제22조 제2항 및 구 정보통신망 이용촉진 등에 관한 법률 제19조 제3항과 달리 정보통신망에 대한 보호조치를 침해하거나 훼손할 것을 구성요건으로 하지 않고 ‘정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신망에 침입’하는 행위를 금지하고 있으므로, 정보통신망 이용촉진 및 정보보호 등에 관한 법률은 그 보호조치에 대한 침해나 훼손이 수반되지 않더라도 부정한 방법으로 타인의 식별부호(아이디와 비밀번호)를 이용하거나 보호조치에 따른 제한을 면할 수 있게 하는 부정한 명령을 입력하는 등의 방법으로 침입하는 행위도 금지하고 있다고 보아야 한다.

[2] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항은 이용자의 신뢰 내지 그의 이익을 보호하기 위한 규정이 아니라 정보통신망 자체의 안정성과 그 정보의 신뢰성을 보호하기 위한 것이라고 할 것이므로, 위 규정에서 접근권한을 부여하거나 허용되는 범위를 설정하는 주체는 서비스제공자라 할 것이고, 따라서 서비스제공자로부터 권한을 부여받은 이용자가 아닌 제3자가 정보통신망에 접속한 경우 그에게 접근권한이 있는지 여부는 서비스제공자가 부여한 접근권한을 기준으로 판단하여야 한다.

[3] 이용자가 자신의 아이디와 비밀번호를 알려주며 사용을 승낙하여 제3자로 하여금 정보통신망을 사용하도록 한 경우라고 하더라도, 그 제3자의 사용이 이용자의 사자(使者) 내지 사실행위를 대행하는 자에 불과할 뿐 이용자의 의도에 따라 이용자의 이익을 위하여 사용되는 경우와 같이 사회통념상 이용자가 직접 사용하는 것에 불과하거나, 서비스제공자가 이용자에게 제3자로 하여금 사용할 수 있도록 승낙하는 권한을 부여하였다고 볼 수 있거나 또는 서비스제공자에게 제3자로 하여금 사용하도록 한 사정을 고지하였다면 서비스제공자도 동의하였으리라고 추인되는 경우 등을 제외하고는, 원칙적으로 그 제3자에게는 정당한 접근권한이 없다고 봄이 상당하다.

[4] 피고인이 업무상 알게 된 직속상관의 아이디와 비밀번호를 이용하여 직속상관이 모르는 사이에 군 내부전산망 등에 접속하여 직속상관의 명의로 군사령관에게 이메일을 보낸 사안에서, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항에 규정한 정당한 접근권한 없이 정보통신망에 침입하는 행위에 해당한다고 한 사례.

【참조조문】

[1]정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항/ [2]정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항/ [3]정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항/ [4]정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항

【원심판결】

고등군사법원 2005. 1. 11. 선고 2004노125 판결

【주 문】

상고를 기각한다.

【이 유】

1. 공소사실 및 원심 판단의 요지

이 사건 공소사실의 요지는, 피고인의 직속상관인 공소외 소령이 소관업무에 관한 보고를 육군본부 등에 대신 발송할 수 있도록 하는 등 업무상 필요에 의해 아이디와 비밀번호를 예하 장교와 사병들에게 공지시킴에 따라 피고인도 이를 알게 되었음을 기화로, 2회에 걸쳐 허용된 접근권한을 초과하여 피고인의 컴퓨터로 소령의 아이디와 비밀번호를 입력하여 육군웹메일과 핸드오피스 시스템에 접속한 후 소령 명의로 대장인 1군사령관에게 “군사령관 보아라. 네놈이 감히 최대위(피고인을 지칭)를 징계하려고 했던 것에 피가 거꾸로 솟구친다. 장성 하나쯤 인사처리하는 것은 문제도 아니다. 몸조심 해라.”라는 취지의 이메일을 보냄으로써 정보통신망인 소령의 육군웹메일 및 핸드오피스 계정에 각 침입하였다는 것인바, 원심은 타인의 아이디와 비밀번호를 이용하여 타인의 정보통신망에 침입하는 행위도 정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신망에 침입하는 행위에 포함된다는 이유로, 위 각 공소사실을 모두 유죄라고 인정하였다.

2. 상고이유(상고이유서 제출기간이 경과한 후에 제출된 상고이유보충서는 상고이유를 보충하는 범위 내에서)에 대한 판단

먼저 이 사건 공소사실에 대한 처벌근거규정을 살피건대, 2001. 1. 16. 법률 제6360호로 전문 개정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라 약칭한다)의 전신인 구 전산망 보급확장과 이용촉진 등에 관한 법률 제22조 제2항 및 구 정보통신망 이용촉진 등에 관한 법률 제19조 제3항은 모두 정보통신서비스제공자가 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 강구하여야 함을 전제로 그러한 보호조치를 불법 또는 부당한 방법으로 침해하거나 훼손하는 행위를 금지하고 있었으나, 이 사건 공소사실에 적용된 정보통신망법 제48조 제1항은 그러한 보호조치를 침해하거나 훼손할 것을 구성요건으로 하지 않고 “정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신망에 침입”하는 행위를 금지하고 있으므로, 정보통신망법은 그 보호조치에 대한 침해나 훼손이 수반되지 않더라도 부정한 방법으로 타인의 식별부호(아이디와 비밀번호)를 이용하거나 보호조치에 따른 제한을 면할 수 있게 하는 부정한 명령을 입력하는 등의 방법으로 침입하는 행위도 금지하고 있다고 보아야 할 것이다.

나아가 정보통신망법 제48조 제1항은 위 규정이 속한 정보통신망법 제6장의 제목이 “정보통신망의 안정성 확보 등”인 데서 나타나듯이 이용자의 신뢰 내지 그의 이익을 보호하기 위한 규정이 아니라 정보통신망 자체의 안정성과 그 정보의 신뢰성을 보호하기 위한 것이라고 할 것이므로, 위 규정에서 접근권한을 부여하거나 허용되는 범위를 설정하는 주체는 서비스제공자라 할 것이고, 따라서 서비스제공자로부터 권한을 부여받은 이용자가 아닌 제3자가 정보통신망에 접속한 경우 그에게 접근권한이 있는지 여부는 서비스제공자가 부여한 접근권한을 기준으로 판단하여야 할 것이다.

그렇다면 실제공간과는 달리 행위자가 누구인지 명확하게 확인하기 어려운 가상공간에서 아이디와 비밀번호 등 식별부호는 그 행위자의 인격을 표상하는 것으로서, 무분별한 아이디의 공유 등 익명성의 남용으로 인한 정보통신망의 무질서 내지 상호신뢰의 저하는, 부정한 방법으로 보호조치를 물리적으로 침해하는 소위 해킹 등의 경우와 마찬가지로 정보통신망의 안정성과 그 안에 담긴 정보의 신뢰성을 해할 수 있다 할 것이므로, 비록 이용자가 자신의 아이디와 비밀번호를 알려주며 사용을 승낙하여 제3자로 하여금 정보통신망을 사용하도록 한 경우라고 하더라도, 그 제3자의 사용이 이용자의 사자(使者) 내지 사실행위를 대행하는 자에 불과할 뿐 이용자의 의도에 따라 이용자의 이익을 위하여 사용되는 경우와 같이 사회통념상 이용자가 직접 사용하는 것에 불과하거나, 서비스제공자가 이용자에게 제3자로 하여금 사용할 수 있도록 승낙하는 권한을 부여하였다고 볼 수 있거나 또는 서비스제공자에게 제3자로 하여금 사용하도록 한 사정을 고지하였다면 서비스제공자도 동의하였으리라고 추인되는 경우 등을 제외하고는, 원칙적으로 그 제3자에게는 정당한 접근권한이 없다고 봄이 상당하다.

돌이켜 이 사건 공소사실에 관하여 보건대, 피고인이 육군웹메일이나 핸드오피스 시스템에 위 공소외 소령의 아이디와 비밀번호로 접속하여 소령이 알지 못하는 사이에 그의 명의로 대장에게 피고인의 이익을 위한 이메일을 보낸 것은 사회통념상 서비스제공자가 소령에게 부여한 접근권한을 소령이 직접 사용한 것과 동일시할 수 있는 경우라고 할 수 없을 뿐 아니라, 군 내부전산망이나 전자결제시스템에서 서비스제공자가 이용자인 소령에게 자신의 식별부호를 타인으로 하여금 마음대로 사용할 수 있도록 하는 것을 승낙하는 권한을 부여하였다고 보기도 어렵고, 공소사실 기재와 같은 피고인의 사용은 별개의 인격으로 새로운 이용자가 되어야 할 피고인이 자신의 이익을 위하여 소령에게 부여된 접근권한을 함부로 사용한 것으로 이에 대하여 서비스제공자가 동의하였으리라고 보이지도 아니하므로, 피고인이 소령의 식별부호를 이용하여 육군웹메일과 핸드오피스의 소령의 계정에 접속한 행위는 모두 정보통신망법 제48조 제1항에 규정한 정당한 접근권한 없이 정보통신망에 침입하는 행위에 해당한다고 할 것이다.

그렇다면 정당한 접근권한 없이 정보통신망에 침입하였다는 것이 아니라 허용된 접근권한을 초과하여 정보통신망에 침입하였다는 취지의 공소사실을 그대로 유죄라고 인정한 원심판결은 그 설시에 있어서 다소 부적절한 점이 없지 아니하나, 공소사실 기재의 피고인의 각 행위가 정보통신망법 제48조 제1항에 정한 부정한 침입행위에 해당한다고 본 결론에 있어서는 정당하고, 이와 다른 전제에서 소령의 사용승낙이 있었으니 피고인의 행위는 죄가 되지 아니한다는 이유로 원심판결에 정보통신망법 제48조 제1항의 해석에 관한 법리를 오해한 잘못이 있다는 상고이유의 논지는 이유 없다.

3. 결 론

그러므로 상고를 기각하기로 하여 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.