허술한 보안 이용, 직원 다면평가 무단 열람…대법 "무죄"

[파이낸셜뉴스] 다른 직원들의 다면평가 결과를 무단으로 조회했더라도 보안 허점이 있었다면 정보통신망침입죄로 처벌할 수 없다는 대법원 판단이 나왔다.

대법원 1부(주심 오경미 대법관)는 정보통신망 이용촉진 및 정보보호법 위반 혐의로 기소된 A씨 상고심에서 징역 8개월에 집행유예 2년을 선고한 원심을 깨고 사건을 수원지법으로 돌려보냈다고 15일 밝혔다.

B아트센터 안전신설팀 직원이었던 A씨는 2020년 1월 아트센터 직원들의 다면평가 결과를 몰래 열람하고 이를 타인에게 전송한 혐의로 기소됐다.

당시 아트센터는 직원 인사관리에 활용하기 위해 용역업체에 다면평가 조사 용역 계약을 맺고 매년 직원 다면평가를 실시해왔다. 그런데 2019년도 다면평가 결과는 아트센터 직원 78명에게 직원들의 이메일과 휴대전화 문자메시지로 인터넷 주소를 전송하는 방법으로 열람할 수 있도록 했다. 다면평가 결과에는 평가대상자의 이름, 소속, 평가점수, 평가자의 서술평가가 기재됐다.

A씨는 이 인터넷 주소 끝자리 숫자만 변경하면 타인의 다면평가 결과를 볼 수 있다는 사실을 눈치챈 뒤, 무단 열람했다. 또 직원 51명의 결과가 표시된 휴대전화 화면을 캡처해 저장하고, 개인적 친분이 있던 센터 본부장 요청에 따라 SNS를 통해 그 결과를 전송했다.

이 사건은 타인의 다면평가 결과를 열어본 뒤 저장해 전달한 행위가 정보통신망법 위반인지 여부가 쟁점이었다.

이에 대해 1심과 2심은 A씨 혐의를 유죄로 보고 징역 8개월에 집행유예 2년을 선고했다. 개인정보보호법위반 혐의가 적용된 다면평가 용역업체 대표와 업체에는 각각 벌금 500만원을 선고했다. 1심은 "A씨는 중요하고 민감한 직원들의 다면평가 결과를 정당한 권한없이 열람하는 것에 그치지 않고 화면을 캡처하고 전송해 그 죄책이 가볍지 않다"고 봤다.

2심도 "서비스제공자는 B센터의 직원들에게 각각 자신의 다면평가결과 열람 페이지에 대해서만 접근할 수 있는 권한을 부여한 만큼, A씨가 인터넷 주소의 마지막 숫자를 변경해 입력하는 방식으로 다른 직원의 다면평가결과 열람 페이지에 접속한 것은 부정한 방법으로 타인의 식별부호를 이용하는 방법으로 정당한 접근권한 없이 정보통신망에 침입한 행위에 해당한다"고 판시했다.

그러나 대법원 판단은 달랐다. 정보통신망법은 정보통신망의 안정성 및 정보 신뢰성 확보를 위해 정당한 접근권한 없이 또는 허용된 접근권한을 초과해 정보통신망에 침입하는 행위를 금지하고 있다. 이 규정에서 접근권한을 부여하거나 허용되는 범위를 설정하는 주체는 서비스제공자다.

이 사건에서 문제가 된 부분은 아무런 보호 조치 없이 다면평가 결과가 게시된 인터넷 페이지 주소를 입력하는 방법으로 열람하도록 한 것이다. 이 때문에 해당 페이지 접근권한을 평가대상자인 임직원 본인으로 제한했다고 보기 어렵다는 것이 대법원 판단이다.

해당 인터넷 페이지는 별도의 로그인 절차나 개인인증절차 없이 접속이 가능했고 그 인터넷 주소도 암호화되어 있지 않았다.

특히 인터넷 주소 마지막이 숫자 2자리로 구성돼 단순하게 해당 주소에서 숫자를 다른게 입력하는 것만으로 다른 직원들의 결과를 열람할 수 있는 인터넷 페이지에 접속할 수 있었다는 점이 근거가 됐다.

대법원은 "A씨는 자신의 추측에 따라 일부 숫자를 변경 입력한 것 외에 어떠한 다른 명령을 입력하지 않았다"며 "임직원들에게 평가 결과가 게시된 인터넷 페이지 주소를 전송한 이메일이나 문자 메시지에서 다른 직원들의 결과 열람을 제한하는 내용도 포함되지 않았다"고 지적했다.

대법원은 "A씨가 인터넷 페이지 주소의 일부 숫자를 바꾸어 넣는 방법으로 다른 사람의 다면평가 결과가 게시되어 있는 인터넷 페이지에 접속했더라도 이를 정보통신망법에서 금지한 정보통신망에 침입하는 행위에 해당한다고 할 수 없다"며 파기환송했다.

yjjoe@fnnews.com 조윤주 기자