웹크롤링을 하면 형사처벌을 받나요? 대법원 2021도1533 판결 분석

1. 경쟁사 데이터를 크롤링하면 형사처벌 대상인가요?

현대 디지털 경제에서 빅데이터와 머신러닝 기술이 급속도로 발전하면서, 인터넷상의 대용량 정보를 자동 수집하는 ‘웹크롤링(Web Crawling)’ 기법의 활용도가 폭발적으로 증가하고 있습니다. 포털 검색부터 전자상거래 가격 모니터링, 금융 투자 정보 분석까지 크롤링 기술 없이는 상상할 수 없는 서비스들이 우리 일상을 둘러싸고 있습니다.

웹크롤링과 해킹의 차이

크롤링은 기본적으로 인터넷에 ‘공개된’ 서버에 접속하여 정보를 수집하는 것이므로, 시스템에 불법적으로 침투하거나 데이터를 변조·파괴하는 해킹행위와는 본질적으로 다릅니다. 대법원 2021도1533 판결은 크롤링이 정보통신망 침입이라는 ‘해킹’ 범주에 해당하지 않음을 법적으로 확정한 선도적 사례라는 점에서 의미가 있으며, 이 법리는 이후 판결들에서도 일관되게 유지되고 있습니다.

본 사건의 개요 (대법원 2022. 5. 12. 선고 2021도1533 판결)

본 사건은 숙박정보 제공 및 예약중개 서비스를 영위하는 Y1사(피고인측)의 직원들이 동종업계 경쟁사인 Y2사(피해업체)가 운영하는 모바일 애플리케이션 및 웹사이트에서 데이터를 자동화 방식으로 취득했다는 혐의로 기소된 형사재판입니다.

• 정보 획득 과정: 피고인측은 패킷분석 도구 등을 활용하여 피해업체 앱의 API 서버 접속정보를 해독
• 크롤링 시스템 구축: 피고인 회사 중심 반경 1000km 범위 내 전체 숙박시설 정보를 일괄 조회 (일반 앱은 7~30km 내 정보만 제공)
• 대량 데이터 수집: 약 4개월간(2016. 6. 1. ~ 10. 3.) 일일 1~2차례씩 API 서버에 접속하여 숙박업체 정보를 수집

2. 1심과 2심은 왜 정반대 판결을 내렸나요?

적용된 법적 혐의

• 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 (정보통신망 무단침입)
• 저작권법 위반 (데이터베이스 제작자 권리 침해)
• 형법상 컴퓨터 등 사용 업무방해

1심 법원 (유죄 인정)

• 정보통신망 침입: 이용약관으로 자동접속 프로그램 사용을 명시적으로 금지했고, IP 차단 조치에도 불구하고 IP를 변경하여 계속 접속한 점을 종합하여 침입행위로 판단
• 저작권법 위반: 6개월여 기간 264차례에 걸쳐 지속적, 조직적으로 데이터베이스를 무단 복제하였다고 인정
• 업무방해: 앱의 정상적인 검색범위를 초과하여 전국단위 정보를 요청함으로써 대량 호출을 야기하여 업무를 방해

2심 법원 (무죄 선고)

• 정보통신망 침입: API 접근에 회원가입이나 패스워드가 불필요했고, API 서버 URL을 은닉하거나 접근을 차단하는 기술적 조치가 부재했으며, 이용약관은 회원에게만 적용
• 저작권법 위반: 수집 정보 항목(3~8개)이 전체 항목(50여 개) 대비 ‘상당한 부분’에 해당하지 않고, 내용도 대부분 공개정보
• 업무방해: API 서버는 명령에 따라 정보를 반환하는 것이 설계목적이므로, 허용된 명령구문 범위 내에서 정보를 요청한 것은 ‘부정한 명령’이 아님

3. 웹크롤링이 정보통신망 침입죄가 되는 기준은 무엇인가요?

대법원은 2021도1533 판결에서 정보통신망 침입죄에 대해 무죄를 확정하면서 중요한 법리를 제시하였고, 이 법리는 대법원 2023도1086 판결에서 다시 한번 확인되었습니다.

대법원의 판단기준 (대법원 2022. 5. 12. 선고 2021도1533 판결)

정보통신망 침입죄에서의 ‘접근권한’ 유무는 서비스 제공자의 주관적 의사가 아니라, ① 접근을 막기 위한 기술적 보호조치가 있었는지, ② 이용약관 등에 접근방법이나 허용범위가 명시되어 있는지 등 ‘객관적으로 드러난 사정’을 종합하여 신중하게 판단해야 합니다.

2021도1533 판결에서의 적용

• 피해업체의 API 서버 URL 등은 패킷분석 등으로 용이하게 파악할 수 있었고, 별도의 인증절차나 접근을 차단하는 기술적 보호조치가 부재했습니다.
• 이용약관에 자동접속 프로그램 금지조항이 있었으나, 이는 회원에게 적용되는 것으로 해석되며, 비회원인 피고인들에게 적용된다고 보기 어렵습니다.
• 피해업체가 IP를 차단한 것은 대량호출에 따른 기술적 조치일 뿐, 해당 IP 외에 다른 IP를 통한 모든 접근까지 금지하는 의사를 객관적으로 표시했다고 보기 어렵습니다.

같은 법리의 재확인 — 다면평가 열람 사건 (대법원 2023. 10. 26. 선고 2023도1086 판결)

이 사건에서 X는 자신에게 전송된 다면평가 결과 열람 페이지의 URL 마지막 숫자를 바꿔 입력하는 방법으로 다른 임·직원 51명의 다면평가 결과를 열람하고, 이를 카카오톡으로 본부장에게 전송하였습니다. 원심(수원지방법원)은 서비스 제공자가 개별 직원에게 각자의 페이지에 대한 접근권한만 부여하였다는 이유로 유죄를 선고하였습니다.

그러나 대법원은 다음과 같은 사정을 들어 파기환송(무죄 취지)하였습니다.

• 열람 페이지에 별도의 로그인 절차나 개인인증절차가 없었고, URL도 암호화되지 않았습니다.
• 마지막 숫자 2자리만 달리 입력하면 다른 직원의 페이지에 접속할 수 있는 구조였으며, X는 그 외에 어떠한 다른 명령도 입력하지 않았습니다.
• 개별 URL을 전송한 이메일이나 문자메시지에도 다른 직원의 결과 열람을 제한하는 내용이 없었습니다.
• 대법원은 “아무런 보호조치 없이 URL 주소를 입력하는 방법만으로 열람할 수 있도록 한 이상, 접근권한을 해당 임·직원 본인으로 제한하였다고 보기 어렵다”고 판시하였습니다(대법원 2023. 10. 26. 선고 2023도1086 판결).

이 판결은 형사책임을 물으려면 서비스 제공자 스스로가 기술적으로 명확한 접근 제한 조치를 갖추어야 한다는 점을 다시 한번 강조한 것으로, 2021도1533 판결의 법리를 일관되게 계승하고 있습니다.

4. 크롤링으로 수집한 데이터가 저작권 침해가 되나요?

데이터베이스 저작권 침해 여부는 ‘상당한 부분’의 복제 여부가 핵심 쟁점입니다. 대법원은 무죄 사례(2021도1533)와 유죄 사례(2023도17354) 양쪽 판결을 통해 구체적 판단기준을 제시하고 있습니다.

대법원의 판단기준

‘상당한 부분’인지 여부는 데이터베이스 전체 규모와 비교한 ‘양적’ 측면과, 해당 부분이 데이터베이스 구축을 위한 투자나 노력에서 차지하는 중요도라는 ‘질적’ 측면을 종합적으로 고려해야 합니다(대법원 2022. 5. 12. 선고 2021도1533 판결, 대법원 2024. 4. 16. 선고 2023도17354 판결).

무죄 사례 — 숙박 API 크롤링 (대법원 2022. 5. 12. 선고 2021도1533 판결)

• 피고인들이 수집한 정보는 전체 약 50개 항목 중 3~8개에 불과하여 ‘양적’으로 상당하다고 보기 어렵습니다.
• 수집된 정보(업체명, 주소, 가격 등)는 대부분 피해업체가 영업을 위해 이용자에게 공개한 정보이거나 통상적인 앱 이용으로도 쉽게 알 수 있는 것이어서, ‘질적’ 중요성도 낮다고 판단했습니다.

유죄 사례 — 건설 데이터베이스 복제 (대법원 2024. 4. 16. 선고 2023도17354 판결)

반면 대법원은 X가 건설 소프트웨어 개발기간을 단축하기 위해 Y1사의 데이터베이스를 그대로 복제하여 사용한 사안에서 유죄를 확정하였습니다. 이 사건에서 Y1사는 자재 및 공사비 관련 데이터베이스를 구축하기 위해 전문 직원을 고용하여 조달청 등에서 자료를 수집하고 유료 자료를 구독하는 등 상당한 인적·물적 투자를 기울였습니다.

감정 결과 X의 데이터베이스는 Y1사의 데이터베이스와 테이블 이름 유사도 90%, 스키마 유사도 98.2%, 데이터 유사도 90.4%에 달하는 것으로 확인되었고, 대법원은 이를 양적·질적으로 상당한 부분의 복제에 해당한다고 판단하였습니다(대법원 2024. 4. 16. 선고 2023도17354 판결).

5. API 대량 호출이 업무방해죄가 되나요?

대법원은 컴퓨터 등 장애 업무방해죄에 대해서도 무죄를 확정했습니다(대법원 2022. 5. 12. 선고 2021도1533 판결).

대법원의 판단기준

‘부정한 명령’이란 시스템이 예정하고 있는 정상적인 사용목적과 방식에 반하는 명령을 의미합니다. 이 역시 관리자의 주관적 의도가 아니라 객관적으로 드러난 시스템의 허용범위 등을 기준으로 판단해야 합니다.

본 사건에의 적용

• 피해업체의 API 서버는 기본적으로 주어진 명령구문에 따라 정보를 반환하도록 설계되었으며, 검색반경 등에 명시적인 제한을 두지 않았습니다.
• 따라서 피고인들이 API 서버가 허용하는 명령구문 형식 내에서 검색범위를 넓게 설정하여 정보를 요청한 것 자체를 시스템의 목적에 반하는 ‘부정한 명령’으로 볼 수 없다고 판단했습니다.

6. 합법적으로 크롤링하려면 어떻게 해야 하나요?

일련의 대법원 판결들은 웹크롤링의 형사책임에 대한 중요한 법적 기준을 제시했습니다.

주요 법적 의의

1. ‘객관적 사정’ 중시: 서비스 제공자의 주관적 의사보다는 기술적 보호조치, 명시적 이용약관 등 객관적으로 외부로 드러난 사정을 기준으로 판단(2021도1533, 2023도1086 공통)
2. 기술적 보호조치의 중요성 강조: 데이터 접근을 제한하고 싶다면 단순히 약관에 기재하는 것을 넘어 실질적인 기술적 접근통제 수단을 마련하는 것이 중요
3. 데이터베이스 복제의 위험성: 2023도17354 판결은 데이터베이스를 실질적으로 그대로 복제하는 경우 저작권법 위반이 성립한다는 점을 명확히 하였음. 모든 크롤링이 면죄부를 받는 것이 아님

데이터 제공자를 위한 가이드라인

• robots.txt 파일 설정, IP 기반 접근제한, 캡차(CAPTCHA) 시스템, API 키 인증 등 다층적인 기술적 보호조치 구현
• 이용약관에 크롤링 금지 조항을 명시하되, 비회원에게도 적용됨을 명확히 하고 위반시 제재조치 명시
• 중요한 데이터는 회원가입 및 로그인 후에만 접근 가능하도록 접근권한 체계를 명확히 구축

크롤링 수행자를 위한 가이드라인

• 대상 사이트의 robots.txt 파일을 확인하고 준수하며, 과도한 요청으로 서버에 부하를 주지 않도록 요청 간격 조절
• 이용약관을 면밀히 검토하고, 크롤링 금지조항이 있다면 법적 리스크를 신중히 평가
• 개인정보나 핵심 영업비밀에 해당하는 정보는 수집을 피하고, 공개된 정보 위주로 수집
• 데이터베이스의 전부 또는 상당한 부분을 복제하는 것은 저작권법 위반 리스크가 있으므로 필요한 최소한의 정보만 수집 — 2023도17354 판결에서 유사도 90% 이상의 복제가 유죄로 확정된 점을 유의
• URL 구조상 다른 사용자의 정보에 접근 가능하더라도, 자신에게 부여된 권한 범위를 벗어난 열람은 삼가야 합니다 — 2023도1086 판결에서 무죄 취지로 파기환송되었으나, 정보를 제3자에게 전송한 행위에 대한 별도 법적 리스크는 남아 있습니다.

7. FAQ

일련의 대법원 판결들은 데이터 경제시대에 필수적인 기술이 된 웹크롤링의 법적 허용범위, 특히 형사책임 문제에 대한 중요한 기준을 축적해왔습니다. 서비스 제공자에게는 데이터 보호를 위해 보다 명확하고 객관적인 조치를 취할 것을 요구하는 한편, 크롤링 기술을 활용하는 기업에게는 타인의 정보통신망 안정성이나 데이터베이스 권리를 부당하게 침해하지 않도록 주의해야 할 경계를 설정해주었다고 평가할 수 있습니다. 특히 2023도17354 판결은 데이터베이스를 실질적으로 통째로 복제하는 행위에 대해서는 형사책임이 엄연히 존재함을 분명히 한 판결로, 크롤링의 법적 한계를 가늠하는 데 중요한 참고사항이 됩니다.

※ 본 글은 대법원 2022. 5. 12. 선고 2021도1533 판결, 대법원 2023. 10. 26. 선고 2023도1086 판결, 대법원 2024. 4. 16. 선고 2023도17354 판결을 분석한 것으로, 개별 사안에 대한 법적 조언은 전문가와 상담하시기 바랍니다.