자동화와 범죄 – 웹크롤링의 한계와 처벌

최근 빅데이터와 인공지능(AI) 기술이 발전하면서 웹상의 방대한 데이터를 수집하고 분석하는 ‘웹 크롤링(Web Crawling)’ 기술의 중요성이 날로 커지고 있습니다. 검색 엔진부터 가격 비교 사이트, 시장 분석 리포트까지 다양한 서비스가 크롤링 기술에 기반하고 있습니다. 하지만 편리함 이면에는 법적 분쟁의 그림자도 존재합니다. 특히 경쟁사의 데이터를 크롤링하는 행위가 어디까지 허용되는지는 많은 기업의 초미의 관심사였습니다.

이러한 논란 속에서, 대법원은 숙박 예약 플랫폼 경쟁사 간의 데이터 크롤링 사건에 대한 최종 판결(대법원 2022. 5. 12. 선고 2021도1533 판결)을 내놓았습니다. 이 판결은 크롤링을 통한 데이터 수집의 형사책임에 대한 대법원의 첫 판단이라는 점에서 큰 의미를 가집니다.

1. 사건의 개요: 경쟁사의 데이터를 크롤링하다

이 사건은 숙박 정보 제공 및 예약 서비스를 운영하는 A 회사(피고인 회사)의 임직원들이 경쟁사인 B 회사(피해자 회사)의 모바일 앱(‘바로예약’) 또는 PC 웹사이트의 데이터를 무단으로 수집했다는 혐의로 기소된 형사 사건입니다.

공소사실의 핵심:

• 정보 탈취: 피고인들은 패킷캡처 프로그램 등을 이용해 피해자 회사의 앱 프로그램 소스, API 서버 정보(모듈, URL 주소, 명령 구문 등)를 알아냈습니다.
• 비정상적 접근: 알아낸 정보를 이용해 마치 정상적인 이용자인 것처럼 PC에서 피해자 회사의 API 서버에 직접 접속했습니다.
• 크롤링 프로그램 개발 및 사용: 특정 위치(피고인 회사 기준 반경 1000km) 내 모든 숙박업소 정보를 한 번에 불러오는 크롤링 프로그램을 개발하여 사용했습니다. (통상 피해자 앱은 이용자 위치 기준 7~30km 내 정보만 제공)
• 데이터 무단 복제: 약 4개월간(2016. 6. 1. ~ 10. 3.) 하루 1~2회씩 크롤링 프로그램을 이용해 API 서버에 접속하여 제휴 숙박업소의 업체명, 주소, 방 이름 등 정보를 무단으로 복제했습니다.

적용된 혐의:

• 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 (정보통신망 침해 등)
• 저작권법 위반 (데이터베이스 제작자의 권리 침해)
• 형법상 컴퓨터 등 장애 업무방해

하급심의 엇갈린 판단:

제1심 (유죄):

• (정보통신망 침입) 피해자 회사가 API 정보를 공개하지 않았고, 약관으로 자동 접속 프로그램 사용을 금지했으며, IP 차단에도 불구하고 피고인들이 IP를 변경하며 접속한 점 등을 근거로 침입을 인정했습니다.
• (저작권법 위반) 6개월여간 264회에 걸쳐 반복적, 조직적으로 데이터베이스를 무단 복제했다고 판단했습니다.
• (업무방해) 앱의 정상 검색 범위를 넘어 전국 정보를 요청하여 대량 호출을 발생시켜 업무를 방해했다고 보았습니다.

원심(항소심) (무죄):

• (정보통신망 침입) API 접근에 회원 가입이나 비밀번호가 불필요했고, 패킷캡처는 통상적이며, API 서버 URL을 숨기거나 접근을 막는 기술적 조치가 없었다는 점, 가져간 정보는 공개된 정보이며 검색 범위를 넓힌 것만으로 접근 권한을 넘었다고 보기 어렵다는 점, 이용약관은 회원에게 적용된다는 점 등을 들어 무죄로 판단했습니다.
• (저작권법 위반) 수집한 정보 항목(3~8개)이 전체(50여 개) 대비 ‘상당한 부분’에 해당하지 않고, 내용도 대부분 공개된 정보이며 앱을 통해서도 얻을 수 있는 정보라고 판단했습니다.
• (업무방해) API 서버는 명령에 따라 정보를 반환하는 것이 목적이므로, 허용된 명령 구문 내에서 정보를 요청한 것은 ‘허위 정보 또는 부정한 명령 입력’이 아니며, 서버 장애 발생일도 통상적 이용 증가 시점과 겹칠 수 있다고 보았습니다.

이처럼 1심과 원심의 판단이 극명하게 엇갈리면서, 최종적으로 대법원의 판단에 이목이 집중되었습니다.

2. 웹 크롤링이란 무엇이며, 어떤 법적 쟁점이 있는가?

대법원 판결을 이해하기 위해 웹 크롤링 기술과 관련된 법적 쟁점을 먼저 살펴보겠습니다.

웹 크롤링의 개념:

웹 크롤링은 ‘크롤러’라는 로봇(소프트웨어)을 이용해 인터넷상의 웹 페이지 데이터를 자동으로 탐색하고 수집하는 기술입니다. 특정 웹 주소(URL)에서 시작하여 페이지 내의 링크를 따라가며 연쇄적으로 데이터를 다운로드하고 저장합니다.

• 웹 스크래핑과의 차이: 스크래핑은 웹 페이지 화면에서 특정 정보만을 추출, 가공하는 데 중점을 두는 반면, 크롤링은 웹 페이지 자체를 수집하고 링크를 따라 이동하며 광범위한 데이터를 모으는 과정에 더 가깝습니다. 하지만 실제로는 데이터 수집 목적으로 혼용되어 쓰이는 경우가 많습니다.
• 해킹과의 구별: 크롤링은 일반적으로 인터넷에 ‘공개된’ 서버에 접속하여 정보를 가져오는 것이므로, 시스템에 불법적으로 침입하거나 데이터를 변조하는 해킹과는 구별됩니다. (이번 대법원 판결은 크롤링이 정보통신망 침입이라는 ‘해킹’ 행위에 해당하지 않음을 법적으로 확인한 첫 사례라는 점에서 의미가 있습니다.)

웹 크롤링의 활용:

• 검색 엔진: 구글, 네이버 등은 크롤러를 이용해 전 세계 웹 정보를 수집하고 색인화하여 검색 서비스를 제공합니다.
• 가격 비교: 여러 쇼핑몰의 상품 정보를 크롤링하여 가격을 비교해줍니다.
• 데이터 분석: 뉴스 기사, SNS 게시물 등을 크롤링하여 사회적 트렌드나 여론을 분석합니다.
• 시장 조사 및 경쟁 분석: 경쟁사의 공개된 가격, 서비스 정보 등을 수집하여 비즈니스 전략 수립에 활용합니다.

웹 크롤링 관련 법적 규제와 분쟁:

대부분의 웹사이트는 검색 엔진 노출을 위해 기본적인 크롤링을 허용합니다. 하지만 경쟁사가 상업적 목적으로 대량의 데이터를 무단으로 크롤링하는 경우 분쟁이 발생합니다.

• 기술적 방지 수단 (robots.txt): 웹사이트 운영자는 `robots.txt` 파일을 통해 특정 크롤러의 접근을 제한하거나 허용할 수 있습니다. 하지만 이는 강제성 없는 권고 수준이며, 모든 크롤러가 이를 준수하는 것은 아닙니다.
• 법적 쟁점의 변화: 초기에는 개인정보 침해 문제가 주였다면, 데이터가 핵심 자산이 되면서 경쟁법적 관점(데이터 접근 거부가 시장 경쟁을 제한하는지, 혹은 크롤링 행위 자체가 불공정 경쟁 수단인지)에서의 논의가 활발해졌습니다.
• 형사법적 관심: 상대적으로 형사 처벌 가능성에 대한 논의는 적었습니다. 이번 대법원 판결은 바로 이 크롤링 행위의 형사 책임 문제를 정면으로 다루었다는 점에서 주목받습니다.

3. 대법원의 판단: 크롤링 데이터 수집, 형사 처벌 대상인가?

대상판결(대법원 2021도1533)은 앞서 언급된 세 가지 혐의 모두에 대해 무죄를 선고한 원심의 판단이 옳다고 보았습니다. 각 혐의에 대한 대법원의 구체적인 판단 근거는 다음과 같습니다.

정보통신망 침입죄 (정보통신망법 위반): “접근 권한은 객관적으로 판단해야”

핵심 쟁점: 피고인들이 피해자 회사의 API 서버에 접근할 ‘정당한 권한’이 있었는가?

대법원의 판단 기준: 정보통신망 침입죄에서의 ‘접근 권한’ 유무는 서비스 제공자의 주관적 의사가 아니라, ① 접근을 막기 위한 기술적 보호조치가 있었는지, ② 이용약관 등에 접근 방법이나 허용 범위가 명시되어 있는지 등 ‘객관적으로 드러난 사정’을 종합하여 신중하게 판단해야 한다고 새로운 법리를 제시했습니다.

사건에의 적용:

• 피해자 회사의 API 서버 URL 등은 패킷캡처 등으로 쉽게 알 수 있었고, 별도의 인증 절차나 접근을 막는 기술적 보호조치가 없었습니다.
• 이용약관에 자동 접속 프로그램 금지 조항이 있었으나, 이는 회원에게 적용되는 것으로 보이며, 비회원인 피고인들에게 적용된다고 보기 어렵고, 내용 자체도 API 서버 접근 자체를 금지하는 것으로 해석하기 어렵다고 판단했습니다.
• 피해자 회사가 IP를 차단한 것은 대량 호출에 따른 기술적 조치일 뿐, 해당 IP 외에 다른 IP를 통한 모든 접근까지 금지하는 의사를 객관적으로 표시했다고 보기 어렵다고 보았습니다.

데이터베이스 제작자 권리 침해 (저작권법 위반): “데이터베이스의 ‘상당한 부분’ 복제가 아니다”

핵심 쟁점: 피고인들이 복제한 정보가 피해자 회사 데이터베이스의 ‘전부 또는 상당한 부분’에 해당하는가?

대법원의 판단 기준: ‘상당한 부분’인지 여부는 데이터베이스 전체 규모와 비교한 ‘양적’ 측면과, 해당 부분이 데이터베이스 구축을 위한 투자나 노력에서 차지하는 중요도라는 ‘질적’ 측면을 종합적으로 고려해야 합니다.

사건에의 적용:

• 피고인들이 수집한 정보는 전체 약 50개 항목 중 3~8개에 불과하여 ‘양적’으로 상당하다고 보기 어렵습니다.
• 수집된 정보(업체명, 주소, 가격 등)는 대부분 피해자 회사가 영업을 위해 이용자에게 공개한 정보이거나 통상적인 앱 이용으로도 쉽게 알 수 있는 것이어서, ‘질적’ 중요성도 낮다고 판단했습니다.

컴퓨터 등 장애 업무방해죄 (형법 위반): “‘부정한 명령’ 입력이 아니다”

핵심 쟁점: 피고인들이 앱의 정상 범위를 넘어선 광범위한 검색 명령을 API 서버에 입력한 것이 ‘부정한 명령’ 입력에 해당하고, 이로 인해 서버 장애가 발생하여 업무를 방해했는가?

대법원의 판단 기준: ‘부정한 명령’이란 시스템이 예정하고 있는 정상적인 사용 목적과 방식에 반하는 명령을 의미합니다. 이 역시 관리자의 주관적 의도가 아니라 객관적으로 드러난 시스템의 허용 범위 등을 기준으로 판단해야 합니다.

사건에의 적용:

• 피해자 회사의 API 서버는 기본적으로 주어진 명령 구문에 따라 정보를 반환하도록 설계되었으며, 검색 반경 등에 명시적인 제한을 두지 않았습니다.
• 따라서 피고인들이 API 서버가 허용하는 명령 구문 형식 내에서 검색 범위를 넓게 설정하여 정보를 요청한 것 자체를 시스템의 목적에 반하는 ‘부정한 명령’으로 볼 수 없다고 판단했습니다.

4. 판결의 의미와 시사점

이번 대법원 판결은 웹 크롤링의 형사책임에 대한 중요한 법적 기준을 제시했습니다.

1. ‘객관적 사정’ 중시: 정보통신망 침입이나 업무방해죄 성립 여부를 판단할 때, 서비스 제공자의 주관적 의사보다는 기술적 보호조치, 명시적 이용 약관 등 객관적으로 외부로 드러난 사정을 기준으로 접근 권한 유무나 명령의 부정성을 판단해야 함을 명확히 했습니다.
2. 기술적 보호조치의 중요성 강조: 웹사이트나 API 서버 운영자가 데이터 접근을 제한하고 싶다면, 단순히 약관에 기재하는 것을 넘어 실질적인 기술적 접근 통제 수단을 마련하는 것이 중요해졌습니다.
3. 데이터베이스 ‘상당성’ 판단 기준 구체화: 저작권법상 데이터베이스권 침해 판단 시 ‘상당한 부분’의 의미를 양적·질적 측면에서 종합적으로 고려해야 함을 재확인했습니다.
4. 모든 크롤링 면죄부 아님: 이 판결이 모든 종류의 웹 크롤링에 면죄부를 준 것은 결코 아닙니다. 만약 강력한 기술적 보호조치를 우회하거나, 비공개 정보 또는 데이터베이스의 핵심적이고 상당한 부분을 무단으로 가져가는 경우 등 사안이 다르다면 형사 책임이 인정될 가능성은 여전히 열려 있습니다.

5. 결론

대법원 2021도1533 판결은 데이터 경제 시대에 필수적인 기술이 된 웹 크롤링의 법적 허용 범위, 특히 형사 책임 문제에 대한 중요한 이정표를 제시했습니다. 서비스 제공자에게는 데이터 보호를 위해 보다 명확하고 객관적인 조치를 취할 것을 요구하는 한편, 크롤링 기술을 활용하는 기업에게는 타인의 정보통신망 안정성이나 데이터베이스 권리를 부당하게 침해하지 않도록 주의해야 할 경계를 설정해주었다고 평가할 수 있습니다.

앞으로도 기술 발전과 함께 웹 크롤링을 둘러싼 법적 논의는 계속될 것입니다. 이번 판결을 계기로 데이터의 자유로운 이용과 혁신 촉진, 그리고 정보 주체의 권리와 서비스 안정성 보호 사이의 균형점을 찾아나가기 위한 노력이 더욱 중요해질 것으로 보입니다.

법무법인 케이앤피는 최근 기업 간 자동화 프로그램 분쟁 사건에서 의뢰인을 성공적으로 변호한 경험이 있으며, 특히 IT 기업들의 데이터 수집과 이용에 관한 법적 리스크 분석 및 대응 전략 수립에 전문성을 보유하고 있습니다. 웹 크롤링과 관련된 법적 문제로 고민하고 계신다면 언제든지 상담해 드리겠습니다.