피고인 1 외 5인

피고인들

황정현(기소), 서수정(공판)

변호사 김성욱, 이인환(피고인 모두를 위하여)

서울중앙지방법원 2020. 2. 11. 선고 2019고단1777 판결

원심판결을 파기한다.

피고인들은 모두 무죄.

무죄판결의 요지를 공시한다.

1. 항소이유의 요지

가. 사실오인 및 법리오해

1) 정보통신망이용촉진및정보보호등에관한법률(이하 ‘정보통신망법’이라고 한다.)위반(정보통신망침해등)의 점

이 사건 API 서버에 대하여는 접근권한이 객관적으로 제한되었다거나 허용된 접근 외의 다른 접근을 차단하는 기술적 조치가 취해진 바 없다. 피해자 회사의 이용약관은 피해자 회사 서비스 회원에게만 적용되는 것이 문언상 명백하고 약관에 의하여도 피고인들이 이용한 패킷캡처와 크롤링은 금지된 것이 아니다. 이 사건 API 서버는 모바일 앱으로만 접근할 수 있었던 것이 아니라 PC 웹 브라우저로도 접근할 수 있었고, 영업상 중요한 정보를 저장하는 서버도 아니므로 접근권한이 제한될 이유도 없었다. 그러므로 피고인들은 접근이 제한된 정보통신망에 침입하지 않았다. 또한 피고인들은 피해자 회사의 이용약관 내용을 알지 못했고, 피고인 3 외에는 구체적인 크롤링 방법을 알지 못했으므로 피고인들에게는 정보통신망법위반에 대한 고의도 없었다. 그럼에도 원심은 사실을 오인하거나 법리를 오해하여 정보통신망법위반의 점을 유죄로 인정한 잘못이 있다.

2) 저작권법위반의 점

피고인들은 피해자 회사 데이터베이스의 일부 소재를 확인한 뒤 이를 엑셀 파일로 정리했을 뿐이고 데이터베이스 전부 또는 상당한 부분을 복제한 사실이 없다. 피고인들이 공소사실 기재 데이터베이스 항목을 수집한 것을 두고 피해자 회사가 데이터베이스를 통상적으로 이용하는 것과 충돌한다거나 피해자 회사의 이익을 부당하게 해침으로써 상당한 부분의 복제로 간주된다고 볼 수도 없다. 그러므로 피고인들은 피해자 회사의 저작권을 침해하지 않았다. 피고인 3은 이 사건 크롤링을 통해 수집한 데이터베이스의 전체 항목이나 그 용도를 알지 못했고, 다른 피고인들은 크롤링의 구체적 방법 자체를 알지 못했으므로, 피고인들에게 저작권법위반죄의 고의도 없었다.

3) 컴퓨터등장애업무방해의 점

이 사건 크롤링으로 인해 이 사건 API 서버의 정보처리에 장애가 발생한 사실이 없고, 피해자 회사의 숙박 예약 업무가 방해되지도 않았다. 피고인들은 이 사건 크롤링을 통해 이 사건 API 서버 내 데이터 자체를 변경하지 않았다. 그러므로 피고인들은 피해자 회사의 업무를 방해하지 않았다. 피고인들은 이 사건 API 서버로부터 피해자 회사의 숙박업소 정보를 수집함이 목적이었으므로 업무방해의 고의도 없었다.

나. 양형부당

원심의 형(피고인 1 징역 1년 2월, 집행유예 2년, 사회봉사 160시간, 피고인 2, 피고인 3 각 징역 10월, 집행유예 2년, 사회봉사 120시간, 피고인 4, 피고인 5 각 벌금 500만 원, 피고인 주식회사 여기어때컴퍼니 벌금 1,000만 원)은 무거워서 부당하다.

2. 피고인들의 사실오인 및 법리오해 주장에 관한 판단

가. 정보통신망법위반(정보통신망침해등)의 점

1) 공소사실

피고인 1은 피고인 6 회사의 대표이사, 피고인 2는 위 회사의 영업전략팀장, 피고인 3은 위 회사의 프로그램 개발 담당 직원, 피고인 4는 위 회사의 서버관리 담당 직원, 피고인 5는 위 회사의 영업전략 담당 직원이고, 피고인 6 회사는 숙박업체 정보 제공 및 예약 서비스를 제공하는 “여기어때”라는 어플리케이션을 운영하는 업체이다. 피고인들은 2015년경부터 경쟁회사인 피해자 주식회사 야놀자(이하 ‘피해자 회사’라 한다)에서 운영하는 모바일 어플리케이션이나 PC용 홈페이지에 접속하여 제휴 숙박업소 목록, 주소 정보, 가격정보 등을 확인하고 영업을 위하여 이를 내부적으로 공유하고 있었다.

2016. 1. 초순경 서울 금천구 (주소생략)에 있는 피고인 6회사 사무실에서, 피고인 2는 피고인 3에게 “피고인 5가 경쟁업체 제휴점 수 등의 정보를 수기로 취합하고 있는데, 이를 편리하게 할 수 있는 프로그램을 개발해 달라.”라는 취지로 요청하였고, 그에 따라 피고인 3은 ‘바로예약’ 어플리케이션의 프로그램 소스를 ‘패킷캡처’ 어플리케이션을 이용하여 분석하고 이를 통해 피해자 회사가 모바일 어플리케이션 이용자들만을 상대로 접속을 허용하고 있는 모바일앱용 프런트엔드(FRONT-END) API 서버의 모듈, 해당 서버의 URL 주소(booking.api.yanolja.com) 및 위도를 호출하는 'latitude=', 경도를 호출하는 'longitude=', 반경을 호출하는 'distance=', 입실 날짜를 호출하는 'checkinDate=', 퇴실 날짜를 호출하는 'checkoutDate=' 등 API 서버로 정보를 호출하는 명령구문들을 알아내었다.

피해자 회사는 위 API 서버의 모듈 및 URL 주소, 위 API 서버로 정보를 호출하는 명령구문들을 외부에 공개하지 않았고, 서비스에 대한 일체의 변형행위를 금지하고 있었으며, PC 접속 신호를 처리하기 위한 별도의 서버를 운영하고 있었으므로, 위 API 서버는 모바일앱 이용자들에게만 접근 권한을 부여한 서버였다.

그럼에도 피고인 3은 PC를 통하여 모바일앱용 위 API 서버의 URL 주소에 마치 정상적인 모바일앱 이용자가 위 모바일앱을 이용하는 것처럼 위 API 서버로 정보를 호출하는 명령구문을 입력하는 방식으로 접근하면서, 그 호출 내용도 어플리케이션 이용자들의 경우에는 이용자의 위치로부터 7㎞ 또는 30㎞의 범위 내의 숙박업소 검색만 가능하도록 고정되어 있음에도, 이와 달리 매번 동일한 위도(북위 37.481311) 및 경도(동경 126.881891)의 반경 1,000km 내에 있는 숙박업소 정보를 모두 불러오는 기능을 특정 URL에 탑재한 프로그램(이하 ‘야놀자 크롤링 프로그램’이라 한다)을 개발하여 피고인 2에게 건네주었다. 피고인 5는 피고인 2로부터 건네받은 위 프로그램을 이용하여 일 1~2회가량 위 API 서버에 접근하여 제휴 숙박업소 업체명, 주소, 방이름 등의 정보를 무단으로 복제하였고, 피고인 1은 위와 같은 정보를 피고인 5 등으로부터 이메일로 보고받았다.

이후 피고인 1은 피고인 5가 위와 같이 무단으로 복제한 데이터베이스의 정리 자료를 보고받던 중, 피해자 회사가 제공 중인 ‘마이룸’ 객실 서비스와 유사한 서비스의 개시 여부에 대한 자료로 사용하기 위하여 해당 데이터까지 크롤링을 하기로 마음먹고, 2016. 8. 17.경 피고인 3에게 “야놀자 크롤링 프로그램에 ‘마이룸’의 판매 개수가 몇 개인지 확인할 수 있는 기능을 추가하라. 그리고 우리 회사 서버를 사용하지 말고 다른 서버를 사용하라.”라는 취지로 지시하였다.

그에 따라 피고인 3은 2016. 8. 18.경 야놀자 크롤링 프로그램에 ‘마이룸’ 객실에 대한 ‘솔드아웃(Sold Out, 판매)’ 여부를 확인하고 1시간마다 자동으로 크롤링하는 기능을 추가하여, 피고인 2에게 건네주었다. 피고인 5가 2016. 8. 19.경부터 위와 같이 기능이 개선된 야놀자 크롤링 프로그램을 이용하여 위 API 서버에 접근하던 중 피해자 회사가 야놀자 크롤링 프로그램 이용 등으로 인한 대량 호출 신호를 감지하여 피고인들이 이용하는 아마존 웹 서비스 클라우드 서버의 IP 주소를 차단하자, 피고인 4는 서버의 전원을 차단하였다가 다시 켜는 방식으로 IP 주소를 변경할 수 있도록 서버의 설정을 변경해 주었다. 그에 따라 피고인 5는 위 API 서버에 접근하여 제휴 숙박업소 업체명, 주소, 방이름 등의 정보를 무단으로 복제하였다.

이로써 피고인 1, 피고인 2, 피고인 3, 피고인 4, 피고인 5는 공모하여, 2016. 6. 1.경부터 10. 3.경까지 원심 판시 별지 범죄일람표 (1) 기재와 같이 15,945,090회에 걸쳐 정당한 접근권한 없이 정보통신망인 피해자 회사의 모바일앱용 API 서버에 침입하였고, 피고인 6 회사는 같은 일시·장소에서 피고인 회사의 대표자인 피고인 1, 종업원 피고인 2 등이 피고인 회사의 업무에 관하여 위와 같이 정당한 접근권한 없이 정보통신망인 피해자 회사의 모바일앱용 API 서버에 침입하였다.

2) 판단

가) 피고인들이 피해자의 정보통신망에 접근한 경위 및 방법

제출된 증거들에 의하면 다음과 같은 사실을 인정할 수 있다.

① 피고인 회사는 경쟁업체인 피해자 회사의 영업 및 판매현황 등을 파악하기 위하여 피해자 회사가 보유하고 있는 제휴업체의 숫자 등을 파악하고자 하였다. 피고인 회사의 대표이사이던 피고인 1은 2015년경부터 피고인 2 등 직원들에게 피해자 회사의 제휴업체 수를 보고하라고 지시하여 관련 정보를 보고받고 있었다. 피고인 2는 2016. 1.경에 이르러 피고인 1에게 크롤링을 통하여 피해자 회사에 대한 관련 정보를 취합하겠다고 보고하였다. 피고인 회사의 개발팀 직원인 공소외인 및 피고인 3은 크롤링 프로그램을 개발하였고, 영업팀 직원인 피고인 5는 이 크롤링 프로그램을 통하여 얻은 자료를 기초로 피고인 1이 요청한 피해자 회사 관련 정보를 보고하였다.

② 피해자 회사의 ‘바로예약’ 앱(이하 ‘이 사건 앱’이라 한다)은 스마트폰을 통하여 숙박 예약을 할 수 있는 앱이다. 앱을 통하여 이용자가 숙박 정보를 요청하면 이 요청은 스마트폰과 통신할 수 있는 프론트엔드 API 서버(이하 ‘이 사건 API 서버’라 한다)에 전달되고 API 서버는 다시 이를 데이터베이스 서버에 전달한 다음 데이터베이스 서버로부터 요청에 대응하는 데이터를 문자열 정보로 반환받은 후 다시 앱에 그 결과를 알려주는 구조다. 공소외인과 피고인 3은 이용자가 이 사건 앱을 이용할 때 앱이 API와 송·수신하는 통신 정보를 ‘패킷캡처’ 어플리케이션을 이용하여 분석하여 이 사건 API 서버의 URL 주소 booking.api.yanolja.com 및 정보를 호출하는 명령구문들을 알아내고, 피고인 회사의 서버에 설치된 야놀자 크롤링 프로그램(이하 ‘이 사건 크롤링 프로그램’이라 한다)을 이용하여 이 사건 API 서버의 URL 주소에 명령구문을 입력하면서, 검색 지역 범위가 좁은 모바일앱 이용자들과 달리 전국(피고인 회사 기준 반경 1,000km 내) 제휴 숙박업소에 대한 정보를 전송받았다.

③ 이 사건 앱이나 API에 접속하기 위해서 회원 가입이나 비밀번호가 따로 필요하지 않고 패킷캡처 프로그램은 통상 이용되는 프로그램이다.

나) 피고인들의 정보통신망 접근이 정보통신망법의 침입에 해당하는지 여부

피고인들이 모바일앱을 통하지 않고 URL 주소를 직접 입력함으로써 API 서버에 접속하였고 모바일앱에서 사용하는 지역 검색 범위를 확장하고 크롤링을 통하여 피해자 회사가 제공하는 숙박정보를 가져온 사실은 인정하고 있다.

피해자 회사는 API 서버를 이용자와 피해자 회사의 데이터베이스 서버 사이에 둠으로써 이용자가 데이터베이스 서버에 직접 접속할 때의 위험을 방지하고 공개해도 되는 정보만을 이용자에게 제공하도록 하여 데이터베이스를 효율적으로 관리할 수 있었던 것으로 보인다. 피해자 회사는 API 서버의 URL을 적극적으로 공개하지는 않았지만, 모바일앱의 특성상 모바일 화면에 URL이 나타나지 않을 뿐 피해자 회사가 의도적으로 이를 숨기려 한 것으로 보이지 않는다. 제출된 증거에 의하면 피해자 회사는 이 사건 앱이나 API 서버 접속을 금지하는 조치를 취하지 않았다. URL은 일응 인터넷 주소로서 통상 숨길 이유가 없다. 피해자가 기술적 조치를 취하지 않는 한 간단한 기술적 조작으로 쉽게 URL을 파악할 수 있다. 피고인들이 크롤링을 통하여 가져간 정보들은 피해자 회사가 자신의 숙박 예약 영업을 위하여 이용자들에게 공개한 정보들이다. 크롤링이나 지역 범위 검색 명령어를 확장하지 않고 피해자 회사가 제공한 이 사건 앱을 통하더라도 다소 번거롭긴 하지만 크롤링 한 것과 같은 종류와 양의 정보들을 가져올 수 있는 것으로 보인다.

피고인들이 사용한 API 서버의 명령구문은 API 서버가 허용한 것이다. 검색 지역 범위 등 그 기능이 모바일앱에서 다소 제한되어 있다고 하더라도 이는 이용자의 편의를 위해서 설정되어 있을 뿐으로 보이고 이용자의 필요에 의해 그 검색 범위를 넓혔다는 사정만으로 접근권한을 넘었다고 볼 수 없다.

검사는 피고인들이 피해자 회사의 약관을 위반하였다는 취지로 주장한다. 검사가 주장하는 약관은 문언상 피해자 회사의 회원들에게 적용되는 것으로 되어 있다. 나아가 피고인들의 패킷캡처나 크롤링이 약관에서 금지하고 있는 리버스엔지니어링 등에 해당한다고 보이지 않는다. 설사 약관을 위반하였다고 하더라도 약관상의 규제 조치를 취하거나 손해배상 책임을 묻는 것은 별론으로 하고 다른 특별한 사정없이 약관 위반을 이유로 바로 형사상 책임을 물을 수는 없다.

이 사건 크롤링 프로그램에 해당하는 ‘ya_now()’와 ‘ya_now_new()’ 함수는 이 사건 API로부터 업체번호, 업체명, 주소, 방이름, 대실가격, 숙박가격, 타입(모텔, 호텔, 게스트하우스, 펜션), ‘마이룸’ 여부, 대실 할인가격, 숙박 할인가격의 정보를 받게 되는데, 이는 이 사건 앱뿐만 아니라 피해자 회사의 다른 웹페이지나 야놀자 앱에서 누구나 확인할 수 있는 공개된 정보이다. 피해자 회사는 업체의 노출순위, 상권내역, 제휴점의 ‘zone’ 광고 형태 등의 정보가 일반 이용자들에게 공개되지 않은 것이라고 하나, 이 사건 크롤링 프로그램의 소스코드에 의하면 노출순위는 이 사건 API를 통해 반환받은 것으로 보이지 않고 각 숙박업소가 이용자들의 화면에 노출되는 순서이므로 공개되지 않은 것으로 볼 수 없으며, 상권내역은 피고인 회사 측에 이미 알려져 있던 것으로 보이는데 피고인들은 피해자 회사의 웹사이트 URL 등을 통해 이를 알아낸 것으로 보인다. 업체들의 ‘zone’ 광고 형태(프리미엄, 스페셜, 베스트 존)에 관한 데이터 또한 일반 이용자들이 피해자 회사의 다른 웹사이트나 앱에서 볼 수 있는 정보인데다가 피고인들은 이 데이터를 이 사건 앱이 아닌 피해자 회사의 다른 웹사이트를 크롤링하여 취득한 것으로 보인다. 달리 피고인들이 이 사건 API 서버에 접근하여 비공개 정보를 취득한 사정은 발견되지 않는다.

피해자 회사는 피고인 회사 측의 반복적인 접근에 따른 대량 호출 신호를 감지하고 피고인 회사가 이용하는 아마존웹서비스 클라우드 서버의 IP 주소를 수차례 차단하였고, 이에 피고인 회사는 서버의 전원을 차단하였다가 다시 켜는 방식으로 IP 주소를 변경하여 위 차단을 회피한 사실은 있으나, 이러한 사정만으로는 피해자 회사가 피고인들의 접근을 일률적으로 제한한 것으로 보기 어렵다.

다) 결론

피고인들이 이 사건 앱을 통하지 않고 API 서버에 접속하였다거나 크롤링, 명령어의 확장 등을 통하여 정보를 수집하였다는 사정만으로 피고인들이 접근권한이 없거나 접근권한을 넘어 피해자의 정보통신망에 침입하였다고 할 수 없다.

결국 검사가 제출한 증거만으로는 피고인들이 접근권한 없이 또는 접근권한을 넘어 피해자의 정보통신망에 침입하였다고 인정하기에 부족하고 달리 이를 인정할 증거가 없다.

나. 저작권법위반의 점

1) 공소사실

누구든지 데이터베이스제작자의 권리의 목적이 되는 데이터베이스의 전부 또는 그 상당한 부분을 복제, 배포, 방송, 전송의 방법으로 침해하여서는 아니 된다.

그럼에도 피고인 2는 2016. 1. 초순경 정보통신망법위반의 점에 대한 공소사실과 같이 피고인 3에게 야놀자 크롤링 프로그램 개발을 지시하였고, 피고인 3은 이를 개발하여 피고인 2에게 건네주었고, 피고인 5는 2016. 2. 29.경 일 1~2회 위 프로그램을 이용하여 피해자 회사의 데이터베이스 중 제휴 숙박업소 업체명, 주소, 방이름, 원래금액, 할인금액, 업체주소, 입실시간, 퇴실시간, 날짜와 같은 상당한 부분을 복제하였고, 피고인 1은 위와 같은 정보를 피고인 5 등으로부터 이메일로 보고받았으며, 피고인 4는 위 프로그램이 구동될 수 있도록 서버를 제공하였다.

이로써 피고인 1, 피고인 2, 피고인 3, 피고인 4, 피고인 5는 공모하여, 2016. 1. 11.경부터 6. 27.경까지 원심 판시 별지 범죄일람표 (2) 기재와 같이 264회에 걸쳐 피해자 회사의 데이터베이스를 무단으로 복제하여 데이터베이스제작자의 권리를 침해하고, 피고인 6 회사는 같은 일시·장소에서 피고인 회사의 대표자인 피고인 1, 종업원 피고인 2 등이 피고인 회사의 업무에 관하여 위와 같이 피해자 회사의 데이터베이스를 무단으로 복제하여 데이터베이스제작자의 권리를 침해하였다.

2) 판단

저작권법은 제4장에서 데이터베이스제작자의 보호 규정을 두어 창작성이 없더라도 데이터베이스제작자의 권리를 보호하고 있다. 데이터베이스제작자는 데이터베이스의 제작 또는 그 소재의 갱신등에 인적 또는 물적으로 상당한 투자를 한 자( 저작권법 제2조 제20호 )로서 데이터베이스의 전부 또는 상당한 부분에 대한 복제등을 할 권리를 가진다( 저작권법 제93조 제1항 ). 이는 창작성 유무를 떠나 데이터베이스를 만드는데 든 상당한 인적, 물적 투자를 보호하는데 취지가 있다고 보이고 그 성과에 다른 사람이 무임승차하는 것을 방지하는 의미가 있다. 다만, 데이터베이스에 대한 권리를 너무 강조하면 경쟁의 자유가 침해될 가능성이 있으므로 저작권법은 데이트베이스의 전부 또는 상당한 부분의 복제에 대한 권리를 데이터베이스제작자에 부여하고 있는 반면, 개별 소재나 상당한 부분에 이르지 못한 데이터에 대해서는 데이터베이스제작자의 권리를 인정하지 않고 있다. 따라서 데이터베이스제작자의 권리가 침해되었다고 하기 위해서는 데이터베이스의 전부 또는 상당한 부분이 복제되어야 한다. 데이터베이스의 상당한 부분의 복제는 양적으로 뿐만 아니라 질적으로도 상당한 부분이라고 평가될 수 있어야 한다. 데이터의 질적 상당 부분 평가에는 복제된 데이터의 성질 및 통상적인 이용, 복제자의 데이터 사용 용도, 목적, 데이터 수집의 난이도, 기간의 경과, 데이터베이스제작자의 이익, 공개 유무 등 제반 사정을 종합하여 평가하여야 할 것이다. 한편, 데이터베이스제작자의 권리는 데이터베이스의 제작을 완료한 다음 해부터 5년이고, 갱신등을 위해 인적 또는 물적으로 상당한 투자가 이루어진 경우에 당해 부분에 대한 데이터베이스제작자의 권리는 갱신등을 한 그 다음 해부터 5년간 보호된다( 저작권법 제95조 ).

제출된 증거에 의하면 피고인들이 2016. 1. 11.경부터 같은 해 6. 27.경까지 원심 판시 별지 범죄일람표 (2) 기재와 같이 264회에 걸쳐 피해자 회사의 데이터베이스의 일부 내용을 수집한 사실을 인정할 수 있다. 피해자 회사는 제휴한 모든 숙박업소의 정보를 50여개의 항목으로 세분하여 구성하고 이를 관리하고 있다. 피고인들이 피해자 회사의 숙박업소 데이터베이스의 50여 항목 중 수집한 세부 항목은 ‘업체명, 주소, 지역, 방이름(마이룸 여부), 원래금액, 할인금액, 날짜, zone, 이용시간, 예외사항, 입실시간, 퇴실시간, 대실가격, 숙박가격, 타입, 카테고리’로서, 한 번에 적게는 ‘업체명, 주소, 지역’의 3개 항목에 관한 정보를 수집하고 많게는 ‘업체명, 방이름, 원래금액, 할인금액, 업체주소, 입실시간, 퇴실시간, 날짜’ 등과 같이 8개 항목에 관한 정보를 수집하였다.

피고인들이 피해자 회사가 제휴한 숙박업소 전부에 대하여 앞에서 본 최대 8개 항목의 정보를 취득하긴 하였다. 그 중 숙박업소의 업체명, 업체주소, 지역, 타입 등은 이미 상당히 알려진 정보로서 수집에 상당한 비용이나 노력이 들 것으로 보이지 않고, 할인금액, 대실가격, 숙박가격 등은 피해자 회사의 서비스 상품에 대한 가격으로 영업을 위해서는 공개할 수밖에 없는 정보이다. 피고인들은 이 데이터들을 자신들의 영업전략에 참조할 수 있을 뿐 그대로 쓸 수 있는 것은 아닌 것으로 보인다. 이용시간, 입실시간, 퇴실시간 등은 피해자 회사의 영업상황을 확인할 수 있는 정보로서 이 또한 피고인들이 그대로 쓸 수 있는 정보는 아닌 것으로 보인다. 이와 같은 정보들은 피해자 회사가 가진 숙박업소에 대한 50여개의 데이터 항목 중 이용자에게 공개한 정보로서 모바일앱을 통해서도 확보할 수 있었던 것이다. 피해자 회사는 이와 같은 데이터베이스를 상당한 기간 보유했던 것으로 보이고, 데이터베이스의 갱신등에 관한 구체적인 자료는 보이지 않는다. 이와 같은 모든 상황을 참작하면 검사가 제출한 증거만으로는 피고인들이 수집한 데이터가 피해자 회사 데이터베이스의 전부 또는 상당한 부분에 해당한다고 인정하기에 부족하고 달리 이를 인정할 증거가 없다. 또한 피고인들의 데이터베이스 복제가 데이터베이스의 통상적인 이용과 충돌하거나 피해자의 이익을 부당하게 해치는 경우에 해당한다고 볼 증거 또한 부족하다.

피고인들의 정보 수집 목적은 피해자 회사의 상품, 이에 대한 가격, 영업상황 등을 확인하고 이를 참조하여 자신들의 영업전략을 수립하려고 한 데 있는 것으로 생각된다. 피해자 회사는 숙박 예약 영업의 선두 주자로서 그 영업을 활성화시키는 데 상당한 투자와 노력과 시간을 들였다. 이에 후발 주자인 피고인들이 피해자들의 노력에 의한 결과에 편승하여 무형의 이익을 얻었으리라고는 충분히 짐작된다. 그러나 그렇다고 하여 후발주자의 경쟁 시장에 대한 정보 수집을 다른 특별한 사정없이 데이터베이스제작자의 권리를 침해한 것으로 구성하기에는 관련 증거가 부족하다.

다. 컴퓨터등장애업무방해의 점(피고인 1, 피고인 2, 피고인 3, 피고인 4, 피고인 5)

1) 공소사실

누구든지 컴퓨터등 정보처리장치 또는 전자기록등 특수매체기록을 손괴하거나 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 기타 방법으로 정보 처리에 장애를 발생하게 하여 타인의 업무를 방해하여서는 아니 된다.

그럼에도 피고인 1은 2016. 8. 17.경 피고인 3에게 ‘야놀자 크롤링 프로그램'을 개선하여 크롤링을 하도록 지시하였고, 그에 따라 피고인 2, 피고인 3, 피고인 4, 피고인 5는 각자 역할을 분담하여 2016. 8. 19.경부터 1시간마다 피해자 회사의 전국 제휴 숙박업소의 업체명, 주소, 방 이름, 원래금액, 할인금액, 날짜, 입실시간, 퇴실시간, 마이룸 판매 여부를 확인하기 위하여 피해자 회사의 모바일앱용 API 서버에 접속하여 위도(북위 37.481311), 경도(동경 126.881891)의 반경 1,000km 내에 있는 모든 숙박업소 정보를 요청하는 부정한 명령을 입력하는 방법으로 통상적인 이용 범위를 초과한 대량 호출을 발생시켜 2016. 8. 27. 21:30경부터 22:40경까지, 2016. 9. 3. 15:17경부터 15:19경까지, 2016. 9. 4. 19:18경부터 19:28경까지, 2016. 9. 15. 15:20경부터 22:50경까지, 2016. 9. 17. 19:30경부터 19:47경까지 각 피해자 회사의 서버의 접속이 중단되어 이용자들이 서버에 접속하지 못하도록 하였다.

이로써 위 피고인들은 공모하여 5회에 걸쳐 정보처리장치에 부정한 명령을 입력하여 장애가 발생하게 함으로써 피해자 회사의 숙박 예약에 관한 업무를 방해하였다.

2) 원심의 판단

원심은, 검사가 제출한 증거들만으로는 위와 같이 피해자 회사의 모바일앱 API 서버의 접속이 중단되어 이용자들이 서버에 접속하지 못하였음이 합리적 의심의 여지없이 증명되었다고 볼 수 없고, 달리 이를 증명할 증거가 없다는 이유로 피해자 회사의 서버의 접속이 중단되게 하였다는 컴퓨터등장애업무방해 부분은 이유무죄로 판단하면서도, 위 공소사실에 포함된 대량의 정보 호출을 발생시켰다는 컴퓨터등장애업무방해 부분에 관하여는, 피해자 회사의 모바일앱 이용자들은 자신의 위치로부터 7㎞ 또는 30㎞의 범위 내의 숙박업소만 검색이 가능함에도, 피고인들은 피해자 회사의 서비스를 이용하기 위해서가 아니라 피해자 회사와의 경쟁에서 우위를 점하기 위해 피해자 회사의 모바일앱 API 서버에 접속하여 전국에 있는 모든 숙박업소 정보를 요청하여 대량의 정보 호출을 발생시킴으로써 위 서버에 ‘모바일앱을 통한 피해자 회사의 숙박 예약서비스 이용’이라는 사용목적과 다른 기능을 하게끔 하여 정보처리에 장애를 발생시켰고, 나아가 피해자 회사의 숙박 예약에 관한 업무 방해의 결과가 초래되었거나 적어도 그러한 결과가 초래될 위험이 발생하였다는 이유로 이를 유죄로 인정하였다.

3) 당심의 판단

원심이 적법하게 채택하여 조사한 증거들에 의하여 인정되는 아래와 같은 사실 및 사정들을 종합하여 살펴보면, 검사가 제출한 증거들만으로는 위 피고인들이 공모하여 정보처리장치에 부정한 명령을 입력하여 장애가 발생하게 함으로써 피해자 회사의 숙박 예약에 관한 업무를 방해하였다거나 피해자 회사의 업무를 방해할 고의가 있었다는 점이 합리적인 의심을 할 여지가 없을 정도로 증명되었다고 인정하기에 부족하고, 달리 이를 인정할 증거가 없다.

① 형법 제314조 제2항 의 컴퓨터 등 장애 업무방해죄는 “컴퓨터 등 정보처리장치 또는 전자기록 등 특수매체기록을 손괴하거나 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 기타 방법으로 정보처리에 장애를 발생하게 하여 사람의 업무를 방해한 자도 제1항 의 형과 같다.”라고 규정하고 있고, 여기서 ‘허위의 정보 또는 부정한 명령의 입력’이란 객관적으로 진실에 반하는 내용의 정보를 입력하거나 정보처리장치를 운영하는 본래의 목적과 상이한 명령을 입력하는 것이고 ‘기타 방법’이란 컴퓨터의 정보처리에 장애를 초래하는 가해수단으로서 컴퓨터의 작동에 직접·간접으로 영향을 미치는 일체의 행위를 말하나, 위 죄가 성립하기 위해서는 위와 같은 가해행위의 결과 정보처리장치가 그 사용목적에 부합하는 기능을 하지 못하거나 사용목적과 다른 기능을 하는 등 정보처리의 장애가 현실적으로 발생하였을 것을 요한다( 대법원 2010. 9. 30. 선고 2009도12238 판결 , 대법원 2013. 3. 14. 선고 2010도410 판결 , 대법원 2020. 2. 13. 선고 2019도12194 판결 참조).

② 앞서 살펴보았듯이 피해자 회사의 이 사건 앱은 이용자의 요청을 처리하는 이 사건 API 서버를 두어 이용자의 데이터 요청 시마다 데이터베이스 서버로부터 이에 대응하는 데이터를 전달받은 후 일정한 형식으로 가공하여 반환하게끔 설계되어 있고, 피고인들은 이 사건 크롤링 프로그램을 이용하여 이 사건 API 서버의 URL 주소에 명령구문을 입력하면서, 검색 지역 범위가 좁은 모바일앱 이용자들과 달리 전국(피고인 회사 기준 반경 1,000km 내) 제휴 숙박업소의 각종 정보를 대량으로 전송받은 사실, 피고인 1이 2016. 8. 17. 피고인 3에게 피해자 회사의 마이룸 서비스 현황을 확인할 수 있도록 야놀자 크롤링 프로그램을 보완하라는 지시를 한 이후, 2016. 8. 19.에 이르러 이 사건 API 시스템에 접속 횟수가 급증한 사실은 각 인정된다.

③ 그러나 이 사건 API 서버의 사용목적은 주어진 명령구문에 대응하는 숙박업소 정보를 반환하는 것으로서 피고인들은 위 서버의 본래의 목적에 따라 숙박업소의 정보를 전송받고자 위 서버의 명령구문들에 거리 정보 1000km 등의 정보를 입력하여 전국 숙박업소의 정보를 전송받았으므로 이는 ‘허위의 정보 또는 부정한 명령의 입력’에 해당하지 않는다.

④ 한편 피해자 회사 모바일앱 서버로 접속하는 데 장애가 발생한 공소사실 기재 일자들은 순차로 토요일, 토요일, 일요일, 추석, 토요일로서 평일에 비해 접속이 훨씬 많은 때였다. 위 일자들 당시 접속 횟수가 증가한 것은 자연 이용자 증가에 따른 것이었을 가능성을 배제할 수 없다. 또한 위 서버 접속 횟수가 늘어나기 시작한 2016. 8. 19. 이후 첫 접속 장애 발생일인 2016. 8. 27. 이전까지 초당 평균 접속횟수가 더 많았던 일자들에서는 접속 장애가 발생하지 않았고, 그 이후에 초당 최다 접속횟수가 더 많았던 일자들에서도 접속 장애가 발생하지 않았다. 심지어 위 8. 27.을 제외하면 접속 장애가 일어난 일자들의 초당 최다 접속횟수(30명대)는 접속 장애가 일어나지 않은 날의 초당 최다 접속횟수보다 적다. 피해자 회사의 서버는 초당 50명의 동시접속자를 수용할 수 있게 설계된 것이기도 하다. 따라서 피고인들의 이 사건 크롤링 프로그램을 이용한 접속으로 인하여 이 사건 API 서버의 접속에 장애가 발생하였다고 단정할 수 없다.

⑤ 피고인들이 이 사건 크롤링 프로그램을 이용한 목적은 피해자 회사의 데이터베이스를 확보하여 경쟁사인 피해자 회사의 사업 현황을 파악하고 이를 업무에 참고하고자 함에 있었으므로, 그 접속으로 인한 장애의 발생 가능성을 미필적으로나마 인식하고 용인하였다고 보기 어렵다.

3. 결론

각 공소사실은 앞서 본 바와 같이 범죄의 증명이 없는 때에 해당하므로 이와 견해를 달리한 원심판결은 부당하여 파기한다.

형사소송법 제325조 후단에 의하여 피고인들에 모두 무죄를 선고하고, 형법 제58조 제2항 에 따라 이 판결의 요지를 공시하기로 하여 주문과 같이 판결한다.