웹크롤링을 하면 형사처벌을 받나요? 대법원 2021도1533 판결 분석

1. 경쟁사 데이터를 크롤링하면 형사처벌 대상인가요?

현대 디지털 경제에서 빅데이터와 머신러닝 기술이 급속도로 발전하면서, 인터넷상의 대용량 정보를 자동 수집하는 ‘웹크롤링(Web Crawling)’ 기법의 활용도가 폭발적으로 증가하고 있습니다. 포털 검색부터 전자상거래 가격 모니터링, 금융 투자 정보 분석까지 크롤링 기술 없이는 상상할 수 없는 서비스들이 우리 일상을 둘러싸고 있습니다.

웹크롤링과 해킹의 차이

크롤링은 기본적으로 인터넷에 ‘공개된’ 서버에 접속하여 정보를 수집하는 것이므로, 시스템에 불법적으로 침투하거나 데이터를 변조·파괴하는 해킹행위와는 본질적으로 다릅니다. 이번 대법원 판결은 크롤링이 정보통신망 침입이라는 ‘해킹’ 범주에 해당하지 않음을 법적으로 확정한 첫 사례라는 점에서 의미가 있습니다.

본 사건의 개요

본 사건은 숙박정보 제공 및 예약중개 서비스를 영위하는 A사(피고인측)의 직원들이 동종업계 경쟁사인 B사(피해업체)가 운영하는 모바일 애플리케이션(‘바로예약’) 및 웹사이트에서 데이터를 자동화 방식으로 취득했다는 혐의로 기소된 형사재판입니다.

• 정보 획득 과정: 피고인측은 패킷분석 도구 등을 활용하여 피해업체 앱의 API 서버 접속정보를 해독
• 크롤링 시스템 구축: 피고인 회사 중심 반경 1000km 범위 내 전체 숙박시설 정보를 일괄 조회 (일반 앱은 7~30km 내 정보만 제공)
• 대량 데이터 수집: 약 4개월간(2016. 6. 1. ~ 10. 3.) 일일 1~2차례씩 API 서버에 접속하여 숙박업체 정보를 수집

2. 1심과 2심은 왜 정반대 판결을 내렸나요?

적용된 법적 혐의

• 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 (정보통신망 무단침입)
• 저작권법 위반 (데이터베이스 제작자 권리 침해)
• 형법상 컴퓨터 등 사용 업무방해

1심 법원 (유죄 인정)

• 정보통신망 침입: 이용약관으로 자동접속 프로그램 사용을 명시적으로 금지했고, IP 차단 조치에도 불구하고 IP를 변경하여 계속 접속한 점을 종합하여 침입행위로 판단
• 저작권법 위반: 6개월여 기간 264차례에 걸쳐 지속적, 조직적으로 데이터베이스를 무단 복제하였다고 인정
• 업무방해: 앱의 정상적인 검색범위를 초과하여 전국단위 정보를 요청함으로써 대량 호출을 야기하여 업무를 방해

2심 법원 (무죄 선고)

• 정보통신망 침입: API 접근에 회원가입이나 패스워드가 불필요했고, API 서버 URL을 은닉하거나 접근을 차단하는 기술적 조치가 부재했으며, 이용약관은 회원에게만 적용
• 저작권법 위반: 수집 정보 항목(3~8개)이 전체 항목(50여 개) 대비 ‘상당한 부분’에 해당하지 않고, 내용도 대부분 공개정보
• 업무방해: API 서버는 명령에 따라 정보를 반환하는 것이 설계목적이므로, 허용된 명령구문 범위 내에서 정보를 요청한 것은 ‘부정한 명령’이 아님

3. 웹크롤링이 정보통신망 침입죄가 되는 기준은 무엇인가요?

대법원은 정보통신망 침입죄에 대해 무죄를 확정하면서 중요한 법리를 제시했습니다.

대법원의 판단기준

정보통신망 침입죄에서의 ‘접근권한’ 유무는 서비스 제공자의 주관적 의사가 아니라, ① 접근을 막기 위한 기술적 보호조치가 있었는지, ② 이용약관 등에 접근방법이나 허용범위가 명시되어 있는지 등 ‘객관적으로 드러난 사정’을 종합하여 신중하게 판단해야 합니다.

본 사건에의 적용

• 피해업체의 API 서버 URL 등은 패킷분석 등으로 용이하게 파악할 수 있었고, 별도의 인증절차나 접근을 차단하는 기술적 보호조치가 부재했습니다.
• 이용약관에 자동접속 프로그램 금지조항이 있었으나, 이는 회원에게 적용되는 것으로 해석되며, 비회원인 피고인들에게 적용된다고 보기 어렵습니다.
• 피해업체가 IP를 차단한 것은 대량호출에 따른 기술적 조치일 뿐, 해당 IP 외에 다른 IP를 통한 모든 접근까지 금지하는 의사를 객관적으로 표시했다고 보기 어렵습니다.

4. 크롤링으로 수집한 데이터가 저작권 침해가 되나요?

대법원은 데이터베이스 제작자 권리 침해(저작권법 위반)에 대해서도 무죄를 확정했습니다.

대법원의 판단기준

‘상당한 부분’인지 여부는 데이터베이스 전체 규모와 비교한 ‘양적’ 측면과, 해당 부분이 데이터베이스 구축을 위한 투자나 노력에서 차지하는 중요도라는 ‘질적’ 측면을 종합적으로 고려해야 합니다.

본 사건에의 적용

• 피고인들이 수집한 정보는 전체 약 50개 항목 중 3~8개에 불과하여 ‘양적’으로 상당하다고 보기 어렵습니다.
• 수집된 정보(업체명, 주소, 가격 등)는 대부분 피해업체가 영업을 위해 이용자에게 공개한 정보이거나 통상적인 앱 이용으로도 쉽게 알 수 있는 것이어서, ‘질적’ 중요성도 낮다고 판단했습니다.

5. API 대량 호출이 업무방해죄가 되나요?

대법원은 컴퓨터 등 장애 업무방해죄에 대해서도 무죄를 확정했습니다.

대법원의 판단기준

‘부정한 명령’이란 시스템이 예정하고 있는 정상적인 사용목적과 방식에 반하는 명령을 의미합니다. 이 역시 관리자의 주관적 의도가 아니라 객관적으로 드러난 시스템의 허용범위 등을 기준으로 판단해야 합니다.

본 사건에의 적용

• 피해업체의 API 서버는 기본적으로 주어진 명령구문에 따라 정보를 반환하도록 설계되었으며, 검색반경 등에 명시적인 제한을 두지 않았습니다.
• 따라서 피고인들이 API 서버가 허용하는 명령구문 형식 내에서 검색범위를 넓게 설정하여 정보를 요청한 것 자체를 시스템의 목적에 반하는 ‘부정한 명령’으로 볼 수 없다고 판단했습니다.

6. 합법적으로 크롤링하려면 어떻게 해야 하나요?

이번 대법원 판결은 웹크롤링의 형사책임에 대한 중요한 법적 기준을 제시했습니다.

주요 법적 의의

1. ‘객관적 사정’ 중시: 서비스 제공자의 주관적 의사보다는 기술적 보호조치, 명시적 이용약관 등 객관적으로 외부로 드러난 사정을 기준으로 판단
2. 기술적 보호조치의 중요성 강조: 데이터 접근을 제한하고 싶다면 단순히 약관에 기재하는 것을 넘어 실질적인 기술적 접근통제 수단을 마련하는 것이 중요
3. 모든 크롤링 면죄부 아님: 강력한 기술적 보호조치를 우회하거나, 비공개 정보 또는 데이터베이스의 핵심적이고 상당한 부분을 무단으로 가져가는 경우에는 형사책임이 인정될 가능성이 여전히 존재

데이터 제공자를 위한 가이드라인

• robots.txt 파일 설정, IP 기반 접근제한, 캡차(CAPTCHA) 시스템, API 키 인증 등 다층적인 기술적 보호조치 구현
• 이용약관에 크롤링 금지 조항을 명시하되, 비회원에게도 적용됨을 명확히 하고 위반시 제재조치 명시
• 중요한 데이터는 회원가입 및 로그인 후에만 접근 가능하도록 접근권한 체계를 명확히 구축

크롤링 수행자를 위한 가이드라인

• 대상 사이트의 robots.txt 파일을 확인하고 준수하며, 과도한 요청으로 서버에 부하를 주지 않도록 요청 간격 조절
• 이용약관을 면밀히 검토하고, 크롤링 금지조항이 있다면 법적 리스크를 신중히 평가
• 개인정보나 핵심 영업비밀에 해당하는 정보는 수집을 피하고, 공개된 정보 위주로 수집
• 데이터베이스의 전부 또는 상당한 부분을 복제하는 것은 저작권법 위반 리스크가 있으므로 필요한 최소한의 정보만 수집

7. FAQ

이번 판결은 데이터 경제시대에 필수적인 기술이 된 웹크롤링의 법적 허용범위, 특히 형사책임 문제에 대한 중요한 이정표를 제시했습니다. 서비스 제공자에게는 데이터 보호를 위해 보다 명확하고 객관적인 조치를 취할 것을 요구하는 한편, 크롤링 기술을 활용하는 기업에게는 타인의 정보통신망 안정성이나 데이터베이스 권리를 부당하게 침해하지 않도록 주의해야 할 경계를 설정해주었다고 평가할 수 있습니다.

※ 본 글은 대법원 2022. 5. 12. 선고 2021도1533 판결을 분석한 것으로, 개별 사안에 대한 법적 조언은 전문가와 상담하시기 바랍니다.