대법, 악성 프로그램 판단 기준 첫 제시

1. 사안의 개요

피고인들은 온라인 마케팅 업을 하는 자영업자 내지 프리랜서로, 네이버, 다음, 티스토리 블로그 등에 자동으로 회원가입을 하고 글과 이미지를 대량 등록해 주는 기능 및 IP 차단 시 우회 기능을 탑재한 프로그램(이하 ‘본 건 매크로 프로그램’)을 광고용 자동 프로그램 매매 중개 사이트에서 판매해 2010년경부터 2013년경까지 약 1억6000만 원의 대금을 수령했다.

피고인들은 정보통신망법 제48조 제2항에서 금지하는 악성 프로그램 유포 혐의로 기소됐다(참고로 형법 제314조 제2항의 컴퓨터 등 장애업무방해죄로 기소되지는 않았다). 1심 판결은 피고인들에게 벌금형을 선고했다.1 한편, 항소심 판결은 본 건 매크로 프로그램이 악성 프로그램에 해당하지 않는다고 보아 1심을 파기하고 피고인들에게 무죄를 선고했고,2이는 대법원에서 확정됐다.3

형법

제314조(업무방해) ①제313조의 방법 또는 위력으로써 사람의 업무를 방해한 자는 5년 이하의 징역 또는 1천500만원 이하의 벌금에 처한다.

②컴퓨터등 정보처리장치 또는 전자기록등 특수매체기록을 손괴하거나 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 기타 방법으로 정보처리에 장애를 발생하게 하여 사람의 업무를 방해한 자도 제1항의 형과 같다.

정보통신망법

제48조(정보통신망 침해행위 등의 금지) ② 누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손ㆍ멸실ㆍ변경ㆍ위조하거나 그 운용을 방해할 수 있는 프로그램(이하 “악성프로그램”이라 한다)을 전달 또는 유포하여서는 아니 된다.

제70조의2(벌칙) 제48조제2항을 위반하여 악성프로그램을 전달 또는 유포하는 자는 7년 이하의 징역 또는 7천만원 이하의 벌금에 처한다.4

2. 악성 프로그램에 해당하지 않는다고 판단된 이유

정보통신망법 제48조 제2항은 악성 프로그램을 “정보통신시스템, 데이터 또는 프로그램 등을 훼손ㆍ멸실ㆍ변경ㆍ위조하거나 그 운용을 방해할 수 있는 프로그램”이라고 정의하고 있다. 이에 대한 세부적인 판단 기준이 이번 대법원 판결에서 최초로 제시됐다. 대법원은 “정보통신망법 위반죄는 악성 프로그램이 정보통신시스템 등에 미치는 영향을 고려하여 악성 프로그램을 전달 또는 유포하는 행위만으로 범죄 성립을 인정하고, 그로 인하여 정보통신시스템 등의 훼손·멸실·변경·위조 또는 그 운용을 방해하는 결과가 발생할 것을 요하지 않는다. 이러한 ‘악성 프로그램’에 해당하는지는 프로그램 자체를 기준으로 하되, 그 사용 용도 및 기술적 구성, 작동 방식, 정보통신시스템 등에 미치는 영향, 프로그램 설치에 대한 운용자의 동의 여부 등을 종합적으로 고려해 판단해야 한다.”라는 일반론을 설시했다.

대법원은 정보통신망법 제48조 제2항에서 금지하는 행위 태양이 악성 프로그램의 ‘사용 또는 투입’이 아니라 그전 단계인 ‘전달 또는 유포’라는 점에 주목한 듯하다. 악성 프로그램을 실제 사용(정보통신시스템 등에 투입)해 정보통신서비스 제공자의 업무를 방해하는 행위는 형법 제314조 제2항 컴퓨터 등 장애업무방해죄에 의해 처벌될 수 있으며, 그 대상이 전자금융서비스5 , 정보통신기반시설6 , 지능형전력망7 인 경우 특별법에 따라 처벌된다. 즉, 다른 법률은 서비스의 운영을 실제 방해하는 경우를 비로소 처벌하는 체계인 반면, 정보통신망법 제48조 제2항은 서비스를 방해할 수 있는 프로그램을 실제 사용하기 전 한발 앞선 시점의 ‘전달 또는 유포’ 단계에서 처벌할 수 있다는 점에서 적용 범위가 더 넓다.

이 점을 고려해 대법원은 ‘악성 프로그램’에 해당하기 위한 기준으로 상당히 엄격한 요건을 요구한다. 예컨대 바이러스나 랜섬웨어의 경우 어떻게 사용하든 서비스 방해의 결과가 초래될 것이 명백하므로 이를 전달 또는 유포하는 행위는 정보통신망법 제48조 제2항에 따른 처벌 대상이 될 것이다. 이와 비교해, 서비스의 UI(User Interface)에 이용자가 입력하는 작업을 단순 자동화하는 매크로 프로그램의 경우 사용하기에 따라서 적법할 수도 있고 서비스를 방해할 수도 있다. 이처럼 그 자체로서 가치중립적인 프로그램을 전달 또는 유포하는 행위는 처벌 대상이 아니라고 대법원은 판단했다.

이와 관련된 선례로, 게임 사이트에서 약관상 양도가 금지되는 포커머니를 약속된 상대방에게 변칙으로 이전해 주기 위해(계속 져 주기 위해) 마치 정상적인 포커게임을 하고 있는 것처럼 가장하면서 통상적인 업무처리 과정에서 적발해 내기 어려운 사설 프로그램(한도우미 프로그램)을 이용한 사안이‘악성 프로그램’에 해당하지는 않지만 형법상 위계에 의한 업무방해죄로 처벌될 수 있다는 판결이 내려진 바 있었다.8

대법원은 본 건 매크로 프로그램을 가리켜, (1)인터넷 커뮤니티 등에 업체나 상품 등을 광고하는 데 사용하기 위한 것으로, 네이버 카페나 블로그 등에 자동적으로 게시글과 댓글을 등록하고 쪽지와 초대장을 발송하는 작업을 반복 수행하도록 설계돼 있는 점, (2) 본 건 매크로 프로그램은 일반 사용자가 통상적으로 작업하는 것보다 빠른 속도로 작업하기 위해 자동적으로 댓글의 등록이나 쪽지의 발송 등의 작업을 반복 수행할 뿐이고, 기본적으로 일반 사용자가 직접 작업하는 것과 동일한 경로와 방법으로 위와 같은 작업을 수행하는 점, (3) 본 건 매크로 프로그램 중 일부는 프록시 서버를 이용해 네이버 등에 간접적으로 접속할 수 있도록 함으로써 네이버 등의 정보통신시스템 등이 IP를 차단하는 것을 회피할 수 있도록 설계돼 있기는 하나, 이는 네이버 등의 정보통신시스템 등을 훼손·멸실· 변경·위조하는 등 그 기능을 물리적으로 수행하지 못하게 하는 방법으로 IP 차단을 방해하는 것이 아닌, 위 정보통신시스템 등이 예정한 대로 작동하는 범위 내에서 IP 차단 사유에 해당하지 않고 통과할 수 있도록 도와주는 것에 불과한 점 등을 고려해, 본 건 매크로 프로그램 사용으로 인하여 정보통신시스템 등의 기능 수행이 방해된다거나 네이버 등의 서버가 다운되는 등의 장애가 발생한다고 볼만한 증거가 없다고 판단했다.

3. 검토 – 매크로 부정 사용(Abusing)은 항상 무죄인가

이번 대법원 판결은 자칫 매크로 부정 사용 행위(이른바 ‘어뷰징(abusing)’)를 처벌할 수 없다는 취지로 잘못 이해될 소지가 있다. 대법원 또한 이를 우려해, “이번 사건은 매크로 프로그램을 이용하여 네이버 등의 뉴스 기사에 대한 댓글 순위를 조작하는 등의 행위가 형법 제314조의 컴퓨터 등 장애업무방해죄에 해당하는지 여부와는 사안과 적용법조가 다르며, 매크로 프로그램 등의 유포가 컴퓨터 등 장애업무방해죄에 해당하는지는 이 사건과는 별도의 판단이 필요함”이라고 덧붙이고 있다.9

실례로, 여러 대의 장비를 갖추고 허위의 클릭정보를 주기적으로 보내어 네이버 검색 시스템으로 하여금 이용자 통계자료를 잘못 인식토록 함으로써 검색어 조작을 한 행위가 형법상 컴퓨터 등 장애업무방해죄로 처벌된 사례가 있다.10

이번 판결은 매크로 부정 사용 행위에 면죄부를 준 것은 결코 아니다. 매크로 프로그램이 사용하기에 따라서 적법할 수도 있고 위법할 수도 있다면 이것을‘전달 또는 유포’하는데 그친 행위를 적어도 악성 프로그램 유포죄로는 처벌할 수 없다고 판단했을 뿐이다.

매크로 프로그램을 제작 및 판매해 거액의 수입을 올린 피고인들은, 그 매크로 프로그램이 적법한 용도로만 쓰일 것으로 기대했을까, 아니면 통계 조작 등 어뷰징의 수단으로 쓰일 것임을 알고도 용인했을까. 사회통념상 후자로 봐야 할 것이다. 이 경우 만약 피고인들이 컴퓨터 등 장애업무방해죄로 기소됐더라면 유죄 판결이 내려졌을 가능성도 있다.

어뷰징을 통해 부정한 이득을 추구하는 사람들과 이를 막으려는 서비스 제공자 간 창과 방패의 싸움은 계속될 것이다. 이번 판결로 인해 이 분야의 법 집행 추이가 어떻게 달라질지 주목된다.

  1. 의정부지방법원 고양지원 2017. 1. 13. 선고 2014고단1876 판결. [본문으로]
  2. 의정부지방법원 2017. 9. 11. 선고 2017노309 판결. [본문으로]
  3. 대법원 2019. 12. 12. 선고 2017도16520 판결. [본문으로]
  4. 참고로 위 사건 당시 시행 중이었던 정보통신망법(2016. 3. 22. 법률 제14080호로 개정되기 전의 것)은 제48조 제2항 위반행위에 대해 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다고 규정하고 있었다. 즉, 현행법의 형량이 가중돼 있다. [본문으로]
  5. 전자금융거래법 제21조의4(전자적 침해행위 등의 금지) 누구든지 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.
    2. 전자금융기반시설에 대하여 데이터를 파괴하거나 전자금융기반시설의 운영을 방해할 목적으로 컴퓨터 바이러스, 논리폭탄 또는 메일폭탄 등의 프로그램을 투입하는 행위 [본문으로]
  6. 정보통신기반 보호법 제12(주요정보통신기반시설 침해행위 등의 금지) 누구든지 다음 각호의 1에 해당하는 행위를 하여서는 아니된다.
    2. 주요정보통신기반시설에 대하여 데이터를 파괴하거나 주요정보통신기반시설의 운영을 방해할 목적으로 컴퓨터바이러스ㆍ논리폭탄 등의 프로그램을 투입하는 행위 [본문으로]
  7. 지능형전력망의 구축 및 이용촉진에 관한 법률 제29(지능형전력망 침해행위 등의 금지) 누구든지 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.
    3. 지능형전력망의 운영을 방해할 목적으로 악성프로그램(컴퓨터 바이러스 등 전력망의 안정적인 운영을 방해할 수 있는 프로그램을 말한다)을 지능형전력망에 투입하는 행위 [본문으로]
  8. 대법원 2009. 10. 15. 선고 2007도9334 판결. [본문으로]
  9. 2019. 12. 12. 대법원 선고 2017도16520 정보통신망법위반 사건에 관한 보도자료, https://www.scourt.go.kr/portal/news/NewsViewAction.work?seqnum=1768&gubun=6 [본문으로]
  10. 서울중앙지방법원 2018. 8. 16. 선고 2018노821 판결(확정). [본문으로]
저자 : 전승재

법무법인(유한) 바른 변호사