웹크롤링의 형사처벌 가능성: 대법원 2021도1533 판결 완전분석






웹크롤링의 형사처벌 가능성: 대법원 2021도1533 판결 완전분석


웹크롤링 형사처벌 대법원 판결 분석 인포그래픽. 대법원 2021도1533 판결의 핵심 내용, 정보통신망 침입죄, 저작권법 위반, 업무방해죄 판단기준을 시각적으로 설명하며 웹크롤링 합법성 판단 요소들을 상세히 제시

현대 디지털 경제에서 빅데이터와 머신러닝 기술이 급속도로 발전하면서, 인터넷상의 대용량 정보를 자동 수집하는 ‘웹크롤링(Web Crawling)’ 기법의 활용도가 폭발적으로 증가하고 있습니다. 포털 검색부터 전자상거래 가격 모니터링, 금융 투자 정보 분석까지 크롤링 기술 없이는 상상할 수 없는 서비스들이 우리 일상을 둘러싸고 있습니다. 그러나 이러한 기술적 혁신 뒤에는 복잡한 법적 쟁점들이 얽혀 있습니다. 특히 경쟁업체의 핵심 데이터를 크롤링하는 행위가 언제, 어느 범위까지 법적으로 허용되는지에 대한 명확한 기준이 필요했습니다.

이런 배경에서 대법원이 내린 중대한 판결(대법원 2022. 5. 12. 선고 2021도1533 판결)이 있습니다. 이는 숙박업계 플랫폼 간 데이터 크롤링 사건에서 형사 처벌 가능성을 최초로 명확히 한 역사적 판례로 평가받고 있습니다.

1. 사건 배경: 경쟁업체 데이터 크롤링 분쟁

본 사건은 숙박정보 제공 및 예약중개 서비스를 영위하는 A사(피고인측)의 직원들이 동종업계 경쟁사인 B사(피해업체)가 운영하는 모바일 애플리케이션(‘바로예약’) 및 웹사이트에서 데이터를 자동화 방식으로 무단 취득했다는 혐의로 기소된 형사재판입니다.

기소 내용의 주요 포인트:

  • 정보 획득 과정: 피고인측은 패킷분석 도구 등을 활용하여 피해업체 앱의 프로그램 소스코드, API 서버 접속정보(모듈구조, URL주소, 명령문법 등)를 해독하였습니다.
  • 우회적 접속: 해독한 정보를 바탕으로 일반 사용자로 위장하여 PC환경에서 피해업체의 API 서버로 직접 접속하였습니다.
  • 크롤링 시스템 구축 및 운영: 특정 지점(피고인 회사 중심 반경 1000km) 범위 내 전체 숙박시설 정보를 일괄 조회하는 크롤링 시스템을 개발·사용하였습니다. (일반적으로 해당 앱은 사용자 위치 기준 7~30km 내 정보만 제공)
  • 대량 데이터 수집: 약 4개월 기간(2016. 6. 1. ~ 10. 3.) 동안 일일 1~2차례씩 크롤링 시스템을 가동하여 API 서버에 접속, 제휴 숙박업체의 상호명, 소재지, 객실명 등의 정보를 무단 복사하였습니다.

적용된 법적 혐의:

  • 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 (정보통신망 무단침입 등)
  • 저작권법 위반 (데이터베이스 제작자 권리 침해)
  • 형법상 컴퓨터 등 사용 업무방해

1·2심 판단의 극명한 대조:

1심 법원 (유죄 인정):

  • (정보통신망 침입 관련) 피해업체가 API 정보를 비공개로 관리했고, 이용약관으로 자동접속 프로그램 사용을 명시적으로 금지했으며, IP 차단 조치에도 불구하고 피고인들이 IP를 변경하여 계속 접속한 점 등을 종합하여 침입행위로 판단하였습니다.
  • (저작권법 위반 관련) 6개월여 기간 264차례에 걸쳐 지속적, 조직적으로 데이터베이스를 무단 복제하였다고 인정하였습니다.
  • (업무방해 관련) 앱의 정상적인 검색범위를 초과하여 전국단위 정보를 요청함으로써 대량 호출을 야기하여 업무를 방해하였다고 판단하였습니다.

항소심 법원 (무죄 선고):

  • (정보통신망 침입 관련) API 접근에 회원가입이나 패스워드가 불필요했고, 패킷분석은 일반적인 기술이며, API 서버 URL을 은닉하거나 접근을 차단하는 기술적 조치가 부재했다는 점, 수집한 정보는 공개정보이며 검색범위 확대만으로 접근권한 초과로 보기 어렵다는 점, 이용약관은 회원에게만 적용된다는 점 등을 근거로 무죄로 판단하였습니다.
  • (저작권법 위반 관련) 수집 정보 항목(3~8개)이 전체 항목(50여 개) 대비 ‘상당한 부분’에 해당하지 않고, 내용도 대부분 공개정보이며 앱을 통해서도 취득 가능한 정보라고 판단하였습니다.
  • (업무방해 관련) API 서버는 명령에 따라 정보를 반환하는 것이 설계목적이므로, 허용된 명령구문 범위 내에서 정보를 요청한 것은 ‘허위정보 또는 부정한 명령 입력’이 아니며, 서버 장애 발생일도 통상적 이용 증가 시점과 중복될 수 있다고 보았습니다.

이처럼 1·2심의 판단이 정반대로 갈리면서, 웹크롤링의 형사책임에 대한 대법원의 최종 판단에 업계의 관심이 집중되었습니다.

2. 웹크롤링 기술과 관련 법적 이슈

대법원 판결의 핵심을 이해하기 위해서는 먼저 웹크롤링 기술의 본질과 그를 둘러싼 법적 논점들을 정확히 파악할 필요가 있습니다.

웹크롤링의 기술적 정의:

웹크롤링은 ‘크롤러(Crawler)’라고 불리는 자동화 소프트웨어를 통해 월드와이드웹상의 웹페이지 데이터를 체계적으로 탐색하고 수집하는 프로세스입니다. 지정된 웹주소(URL)에서 출발하여 페이지 내 하이퍼링크를 순차적으로 추적하면서 연쇄적으로 데이터를 다운로드하고 저장합니다.

  • 웹스크래핑과의 구분: 스크래핑이 웹페이지 화면에서 특정 데이터만을 추출·가공하는 데 집중하는 반면, 크롤링은 웹페이지 자체를 수집하고 링크를 따라 이동하며 광범위한 데이터를 모으는 과정에 더 중점을 둡니다. 하지만 실무에서는 데이터 수집 목적으로 혼용되어 사용되는 경우가 많습니다.
  • 해킹과의 명확한 차별점: 크롤링은 기본적으로 인터넷에 ‘공개된’ 서버에 접속하여 정보를 수집하는 것이므로, 시스템에 불법적으로 침투하거나 데이터를 변조·파괴하는 해킹행위와는 본질적으로 다릅니다. (이번 대법원 판결은 크롤링이 정보통신망 침입이라는 ‘해킹’ 범주에 해당하지 않음을 법적으로 확정한 첫 사례라는 점에서 의미가 있습니다.)

웹크롤링의 현실적 활용:

  • 검색엔진: 구글, 네이버 등은 크롤러를 통해 전세계 웹정보를 수집하고 색인화하여 검색서비스를 제공합니다.
  • 가격비교: 다수 쇼핑몰의 상품정보를 크롤링하여 가격을 비교분석해줍니다.
  • 데이터분석: 뉴스기사, SNS 포스팅 등을 크롤링하여 사회적 트렌드나 여론을 분석합니다.
  • 시장조사 및 경쟁분석: 경쟁사의 공개된 가격, 서비스정보 등을 수집하여 비즈니스 전략 수립에 활용합니다.

웹크롤링 관련 법적 규제와 분쟁 양상:

대부분의 웹사이트는 검색엔진 노출을 위해 기본적인 크롤링을 허용합니다. 하지만 경쟁사가 상업적 목적으로 대량의 데이터를 무단으로 크롤링하는 경우 분쟁이 발생합니다.

  • 기술적 방지수단 (robots.txt): 웹사이트 운영자는 `robots.txt` 파일을 통해 특정 크롤러의 접근을 제한하거나 허용할 수 있습니다. 하지만 이는 강제성 없는 권고 수준이며, 모든 크롤러가 이를 준수하는 것은 아닙니다.
  • 법적 쟁점의 진화: 초기에는 개인정보 침해 문제가 주였다면, 데이터가 핵심자산이 되면서 경쟁법적 관점(데이터 접근 거부가 시장경쟁을 제한하는지, 혹은 크롤링행위 자체가 불공정 경쟁수단인지)에서의 논의가 활발해졌습니다.
  • 형사법적 관심: 상대적으로 형사처벌 가능성에 대한 논의는 적었습니다. 이번 대법원 판결은 바로 이 크롤링행위의 형사책임 문제를 정면으로 다루었다는 점에서 주목받습니다.

3. 대법원 판결: 웹크롤링 형사책임 기준

대상판결(대법원 2021도1533)은 앞서 언급된 세 가지 혐의 모두에 대해 무죄를 선고한 항소심의 판단이 타당하다고 보았습니다. 각 혐의에 대한 대법원의 구체적인 판단근거는 다음과 같습니다.

정보통신망 침입죄 (정보통신망법 위반): “접근권한은 객관적으로 판단해야”

핵심 쟁점: 피고인들이 피해업체의 API 서버에 접근할 ‘정당한 권한’이 있었는가?

대법원의 판단기준: 정보통신망 침입죄에서의 ‘접근권한’ 유무는 서비스 제공자의 주관적 의사가 아니라, ① 접근을 막기 위한 기술적 보호조치가 있었는지, ② 이용약관 등에 접근방법이나 허용범위가 명시되어 있는지 등 ‘객관적으로 드러난 사정’을 종합하여 신중하게 판단해야 한다고 새로운 법리를 제시했습니다.

사건에의 적용:

  • 피해업체의 API 서버 URL 등은 패킷분석 등으로 용이하게 파악할 수 있었고, 별도의 인증절차나 접근을 차단하는 기술적 보호조치가 부재했습니다.
  • 이용약관에 자동접속 프로그램 금지조항이 있었으나, 이는 회원에게 적용되는 것으로 해석되며, 비회원인 피고인들에게 적용된다고 보기 어렵고, 내용 자체도 API 서버 접근 자체를 금지하는 것으로 해석하기 어렵다고 판단했습니다.
  • 피해업체가 IP를 차단한 것은 대량호출에 따른 기술적 조치일 뿐, 해당 IP 외에 다른 IP를 통한 모든 접근까지 금지하는 의사를 객관적으로 표시했다고 보기 어렵다고 보았습니다.

데이터베이스 제작자 권리 침해 (저작권법 위반): “데이터베이스의 ‘상당한 부분’ 복제가 아니다”

핵심 쟁점: 피고인들이 복제한 정보가 피해업체 데이터베이스의 ‘전부 또는 상당한 부분’에 해당하는가?

대법원의 판단기준: ‘상당한 부분’인지 여부는 데이터베이스 전체 규모와 비교한 ‘양적’ 측면과, 해당 부분이 데이터베이스 구축을 위한 투자나 노력에서 차지하는 중요도라는 ‘질적’ 측면종합적으로 고려해야 합니다.

사건에의 적용:

  • 피고인들이 수집한 정보는 전체 약 50개 항목 중 3~8개에 불과하여 ‘양적’으로 상당하다고 보기 어렵습니다.
  • 수집된 정보(업체명, 주소, 가격 등)는 대부분 피해업체가 영업을 위해 이용자에게 공개한 정보이거나 통상적인 앱 이용으로도 쉽게 알 수 있는 것이어서, ‘질적’ 중요성도 낮다고 판단했습니다.

컴퓨터 등 장애 업무방해죄 (형법 위반): “‘부정한 명령’ 입력이 아니다”

핵심 쟁점: 피고인들이 앱의 정상범위를 넘어선 광범위한 검색명령을 API 서버에 입력한 것이 ‘부정한 명령’ 입력에 해당하고, 이로 인해 서버장애가 발생하여 업무를 방해했는가?

대법원의 판단기준: ‘부정한 명령’이란 시스템이 예정하고 있는 정상적인 사용목적과 방식에 반하는 명령을 의미합니다. 이 역시 관리자의 주관적 의도가 아니라 객관적으로 드러난 시스템의 허용범위 등을 기준으로 판단해야 합니다.

사건에의 적용:

  • 피해업체의 API 서버는 기본적으로 주어진 명령구문에 따라 정보를 반환하도록 설계되었으며, 검색반경 등에 명시적인 제한을 두지 않았습니다.
  • 따라서 피고인들이 API 서버가 허용하는 명령구문 형식 내에서 검색범위를 넓게 설정하여 정보를 요청한 것 자체를 시스템의 목적에 반하는 ‘부정한 명령’으로 볼 수 없다고 판단했습니다.

4. 판결의 법적 의의와 실무적 영향

이번 대법원 판결은 웹크롤링의 형사책임에 대한 중요한 법적 기준을 제시했습니다.

주요 법적 의의:

  1. ‘객관적 사정’ 중시: 정보통신망 침입이나 업무방해죄 성립여부를 판단할 때, 서비스 제공자의 주관적 의사보다는 기술적 보호조치, 명시적 이용약관 등 객관적으로 외부로 드러난 사정을 기준으로 접근권한 유무나 명령의 부정성을 판단해야 함을 명확히 했습니다.
  2. 기술적 보호조치의 중요성 강조: 웹사이트나 API 서버 운영자가 데이터 접근을 제한하고 싶다면, 단순히 약관에 기재하는 것을 넘어 실질적인 기술적 접근통제 수단을 마련하는 것이 중요해졌습니다.
  3. 데이터베이스 ‘상당성’ 판단기준 구체화: 저작권법상 데이터베이스권 침해 판단시 ‘상당한 부분’의 의미를 양적·질적 측면에서 종합적으로 고려해야 함을 재확인했습니다.
  4. 모든 크롤링 면죄부 아님: 이 판결이 모든 종류의 웹크롤링에 면죄부를 준 것은 결코 아닙니다. 만약 강력한 기술적 보호조치를 우회하거나, 비공개 정보 또는 데이터베이스의 핵심적이고 상당한 부분을 무단으로 가져가는 경우 등 사안이 다르다면 형사책임이 인정될 가능성은 여전히 열려 있습니다.

실무적 영향과 가이드라인:

데이터 제공자 입장에서:

  • 크롤링을 방지하고 싶다면 robots.txt 파일 설정, IP 기반 접근제한, 캡차(CAPTCHA) 시스템, API 키 인증 등 다층적인 기술적 보호조치를 구현해야 합니다.
  • 이용약관에 크롤링 금지 조항을 명시하되, 비회원에게도 적용됨을 명확히 하고, 위반시 구체적인 제재조치를 명시해야 합니다.
  • 중요한 데이터는 회원가입 및 로그인 후에만 접근 가능하도록 하는 등 접근권한 체계를 명확히 구축해야 합니다.

크롤링 수행자 입장에서:

  • 대상 사이트의 robots.txt 파일을 확인하고 준수하며, 과도한 요청으로 서버에 부하를 주지 않도록 요청 간격을 조절해야 합니다.
  • 이용약관을 면밀히 검토하고, 크롤링 금지조항이 있다면 법적 리스크를 신중히 평가해야 합니다.
  • 개인정보나 핵심 영업비밀에 해당하는 정보는 수집을 피하고, 공개된 정보 위주로 수집해야 합니다.
  • 데이터베이스의 전부 또는 상당한 부분을 복제하는 것은 저작권법 위반 리스크가 있으므로 필요한 최소한의 정보만 수집해야 합니다.

5. 맺음말

대법원 2021도1533 판결은 데이터 경제시대에 필수적인 기술이 된 웹크롤링의 법적 허용범위, 특히 형사책임 문제에 대한 중요한 이정표를 제시했습니다. 서비스 제공자에게는 데이터 보호를 위해 보다 명확하고 객관적인 조치를 취할 것을 요구하는 한편, 크롤링 기술을 활용하는 기업에게는 타인의 정보통신망 안정성이나 데이터베이스 권리를 부당하게 침해하지 않도록 주의해야 할 경계를 설정해주었다고 평가할 수 있습니다.

앞으로도 기술발전과 함께 웹크롤링을 둘러싼 법적 논의는 계속될 것입니다. 이번 판결을 계기로 데이터의 자유로운 이용과 혁신촉진, 그리고 정보주체의 권리와 서비스 안정성 보호 사이의 균형점을 찾아나가기 위한 노력이 더욱 중요해질 것으로 보입니다.

자동화 기술의 발전과 함께 변화하는 법적 환경에 대응하여 기업들이 혁신을 추구하면서도 법적 리스크를 효과적으로 관리할 수 있도록 전문적인 법률 서비스가 필요합니다.

법무법인 케이앤피 실무 사례

글쓴이 소개

김태진 | 법무법인 케이앤피 대표변호사
기업 자문, 기업 분쟁, 기업 형사 전문 변호사
(전)검사 | 사법연수원 33기
고려대학교 법학 학사·형법 석사, University of California, Davis 법학석사(LL.M.)

법무법인 케이앤피 홈페이지 바로가기


Similar Posts

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다