정보통신망이용촉진및정보보호등에관한법률위반(정보통신망침해등),개인정보보호법위반
2020고단1404 정보통신망이용촉진및정보보호등에관한법률위반
(정보통신망침해등), 개인정보보호법위반
A, 1983년생, 남, 자영업
주거
등록기준지
장송이(기소), 김정원(공판)
변호사 김완승
2021. 6. 18.
피고인을 징역 8개월에 처한다.
다만, 이 판결 확정일부터 2년간 위 형의 집행을 유예한다.
범죄사실
피고인은 2015. 12. 18.경부터 2018. 5. 25.경까지 주식회사 B(이하 '이 사건 회사'라 한다) 웹사이트 제작·유지·보수를 하며, 위 주식회사 전국 지점별 수강생 등록 현황 자료, 결제 자료 등을 접근·관리하던 사람이고, 피해자 C은 이 사건 회사의 대표이사이다.
1. 정보통신망이용촉진및정보보호등에관한법률위반(정보통신망침해등)
누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다.
피고인은 2018. 7. 19.경 울산 남구 D에 있는 피고인의 주거지와 같은 구 E에 있는 피고인의 사무실에서 자신의 휴대전화와 컴퓨터 등을 이용하여 이 사건 회사 관리 사이트에 아무런 권한 없이 접속하여 위 사이트의 새로운 관리자 F과 피해자 몰래 새로운 관리자 계정(id: G)을 생성한 후 그 때부터 2019. 5. 26.까지 사이에 수회에 걸쳐 피고인이 생성한 관리자 계정을 이용하여 피해자의 이 사건 회사 관리 사이트에 접속하여 전국 지점별 수강생 현황, 결제자료, 수강생 정보 등 DB를 열람하고, 2019. 5.경 위 사이트의 관리자인 F과 피해자가 의심스러운 사이트 접속 내역 등 정황을 발견하여 관리 사이트 접속 내역 및 계정내역을 확인하려 하자, 2019. 5. 26.경 관리자 F의 아이디와 비밀번호를 알아낼 수 있는 해킹 파일(test.jsp)을 이 사건 회사 관리 사이트 DB에 설치하고 위 해킹 파일을 실행함으로써 관리자 F의 아이디와 비밀번호를 알아내어 위 관리 사이트에 접속한 후 피고인이 권한 없이 접속하였던 아이피 및 접속 기록을 모두 삭제하고, 이 사건 회사 관리 사이트의 학원 수강생 자료 등 DB 자료 일체를 다운로드 받았다.
이로써 피고인은 정당한 접근권한 없이 이 사건 회사 관리 사이트에 무단으로 접속하여 정보통신망에 침입하였다.
2. 개인정보보호법위반
개인정보를 처리하거나 처리하였던 자는 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위를 하여서는 아니 된다.
피고인은 2019. 5. 26.경 울산 남구 D호에 있는 피고인의 주거지에서 제1항 기재와 같이 컴퓨터를 이용하여 피고인이 개인정보를 처리하였던 이 사건 회사 관리 사이트의 관리자 계정을 해킹하는 프로그램을 사용하여 위 관리 사이트의 관리자 F의 접속 비밀번호를 알아내어 접속한 후 별지 범죄일람표 1 기재와 같이 수강생들의 아이디, 이름, 전화번호, 비밀번호, 생년월일, 성별 등이 포함된 주식회사 B 전국 수강생 총 13,361명의 수강생정보(이하 통틀어 '이 사건 수강생정보'라 한다)와 별지 범죄일람표 2 기재와 같이 수강생들의 아이디, 결제방법, 결제금액, 카드사, 승인번호, 전표번호 등이 포함된 총 34,389건의 결제정보(이하 '이 사건 결제정보'라 한다)를 위 관리 사이트 DB에서 다운로드 받았다.
이로서 피고인은 개인정보를 처리 하였던 자로서 부정한 수단이나 방법으로 수강생인 피해자들의 개인정보를 취득하였다.
증거의 요지
(생략)
법령의 적용
1. 범죄사실에 대한 해당법조
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제71조 제1항 제9호, 제48조 제1항(정보통신망 무단 침입의 점, 포괄하여), 각 개인정보 보호법 제72조 제2호, 제59조 제1호(거짓이나 그 밖의 부정한 수단·방법을 통한 개인정보 취득의 점)
1. 상상적 경합
1. 형의 선택
각 징역형 선택
1. 경합범가중
형법 제37조 전단, 제38조 제1항 제2호, 제50조[형이 더 무거운 정보통신망이용촉진및정보보호등에관한법률위반(정보통신망침해등)죄에 정한 형에 경합범가중]
1. 집행유예
형법 제62조 제1항(아래 양형의 이유 중 유리한 정상 참작)
피고인 및 변호인의 주장에 대한 판단
1. 주장의 요지
가. 피고인이 취득한 이 사건 수강생정보 및 결제정보 중 일부만 개인정보 보호법상 '개인정보'에 해당한다.
나. 피고인이 판시 범죄사실 제2항 기재와 같이 권한 없이 이 사건 회사 관리 사이트에서 이 사건 수강생정보 및 결제정보를 다운로드 받은 것은 사실이다. 그러나 그 과정에서 피고인이 정보주체인 피해자들의 의사결정에 영향을 미치지는 아니하였으므로, 개인정보 보호법 제59조 제1호에서 금지하고 있는 행위를 한 것은 아니다.
2. 판단
가. 이 법원이 적법하게 채택하여 조사한 판시 증거들에 의하면, 피고인이 취득한 이 사건 수강생정보에는 해당 수강생의 아이디, 이름, 전화번호, 비밀번호, 등록일, 소속센터, 생년월일, 성별 중 전부 또는 일부가 포함되어 있고, 이 사건 결제정보에는 해당 수강생의 소속 센터, 이름, 아이디, 등록일, 결제방법, 결제금액, 시작일, 종료일, 카드회사, 승인번호, 전표번호 중 전부 또는 일부가 포함되어 있음을 알 수 있는데, 이와 같은 이 사건 수강생정보 및 결제정보를 결합하여 볼 경우 해당 수강생이 누구인지 충분히 특정할 수 있다고 할 것이므로, 이 사건 수강생정보 및 결제정보는 그 전체가 개인정보에 해당한다고 판단된다.
나. 개인정보 보호법 제72조 제2호에서는 "개인정보 보호법 제59조 제1호를 위반하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자"를 처벌한다고 규정하고, 개인정보 보호법 제59조 제1호에서는 "개인정보를 처리하거나 처리하였던 자가 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위를 하여서는 아니 된다"고 규정하고 있다.
이와 관련하여 피고인 및 변호인은, 개인정보를 처리하거나 처리하였던 자가 개인정보를 취득하기 위해 정보주체로부터 개인정보 취득에 관한 동의를 받는 과정에서 정보주체를 상대로 거짓이나 그 밖의 부정한 수단이나 방법을 사용함으로써 정보주체가 그로 인해 잘못된 의사결정을 하여 개인정보 취득에 관한 동의를 하게 된 경우에만 개인정보 보호법 제72조 제2호, 제59조 제1호를 적용하여 처벌할 수 있고, 피고인처럼 개인정보를 처리하였던 자가 해킹 프로그램을 통해 권한 없이 정보통신망에 침입하여 개인정보를 다운로드 받아 취득한 경우에는 정보주체가 개인정보 취득에 관하여 별도의 동의를 한 적이 없기 때문에 개인정보 보호법 제72조 제2호, 제59조 제1호를 적용하여 처벌할 수 없다는 취지로 주장하는 듯하다.
그러나 앞서 본 바와 같이 개인정보 보호법 제72조 제2호, 제59조 제1호에서는 '거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보 취득에 관한 동의나 처리에 관한 동의를 받은 행위' 내지는 '거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보 취득 또는 처리에 관한 동의를 받는 행위'라는 문구를 사용하고 있는 것이 아니라, '거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위'라는 문구를 사용하고 있는데, 그 문언적 의미는 정보주체의 형식적인 동의의 유무와 관계없이 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하는 일체의 행위를 처벌하고, 아울러 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보 처리에 관한 정보주체의 형식적인 동의를 받아내는 행위도 처벌한다는 것이라고 보인다.
뿐만 아니라 정보주체로서는 피고인처럼 개인정보를 처리하였던 자가 해킹 프로그램을 통해 권한 없이 정보통신망에 침입하여 자신의 개인정보를 취득하는 것을 용인할 리가 없으므로, 그와 같은 방식에 의한 개인정보 취득은 개인정보 취득에 관한 정보주체의 추정적 의사에 정면으로 반하는 행위에 해당하고, 개인정보를 처리하거나 처리하였던 자가 개인정보를 취득하기 위해 정보주체로부터 개인정보 취득에 관한 동의를 받는 과정에서 정보주체를 상대로 거짓이나 그 밖의 부정한 수단이나 방법을 사용함으로써 정보주체가 그로 인해 잘못된 의사결정을 하여 개인정보 취득에 관한 동의를 하게 된 경우와 비교하였을 때 그 처벌의 필요성 또한 훨씬 더 크다고 할 것이다. 그러므로 피고인처럼 개인정보를 처리 하였던 자가 해킹 프로그램을 통해 권한 없이 정보통신망에 침입하여 개인정보를 다운로드 받아 취득한 경우에도 개인정보 보호법 제72조 제2호, 제59조 제1호를 적용하여 처벌하는 것이 개인의 자유와 권리를 보호하고 나아가 개인의 존엄과 가치를 구현하기 위해 개인정보 보호법을 제정한 입법자의 의사에 부합하는 해석이고, 이러한 해석이 죄형법정주의 원칙상 허용되지 않는 유추해석에 해당하지도 않는다고 할 것이다.
이러한 여러 사정들을 종합하여 보면, 판시 범죄사실 제2항 기재와 같은 피고인의 행위는 '개인정보를 처리하였던 자가 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득한 행위'로서 개인정보 보호법 제72조 제2호, 제59조 제1호에서 정하고 있는 처벌대상에 포함된다고 판단된다.
다. 따라서 피고인 및 변호인의 위 각 주장은 받아들이지 아니한다.
양형의 이유
아래와 같은 사정들과 피고인의 나이, 환경, 성행, 범행의 동기, 수단과 결과, 범행 후의 정황 등 이 사건 변론에 나타난 모든 양형요소를 참작하여 주문과 같이 형을 정하되, 그 형의 집행을 유예하기로 한다.
○ 불리한 정상: 피고인이 이 사건 각 범행을 실행 또는 은폐하기 위해 해킹 프로그램을 설치하거나 자신의 접속 기록을 삭제하는 등 그 죄질이 가볍지 아니한 점, 피고인이 불법적으로 다운로드 받아 취득한 개인정보의 양이 상당한 점 등 참작
○ 유리한 정상: 피고인이 초범인 점, 피고인이 이 사건 각 범행을 통해 취득한 개인정보를 제3자에게 제공하거나 유출하지 아니하였고, 이 사건 각 범행을 통해 얻은 경제적 이익이 크지는 아니하였던 것으로 보이는 점 등 참작
판사 양백성