자동화와 범죄 – 자동 댓글 프로그램의 허용범위

1. 자동 댓글 프로그램과 법적 쟁점 개요

온라인 마케팅 환경에서 자동 댓글 프로그램의 활용은 이제 일상이 되었습니다. 광고 게시, 콘텐츠 배포, 고객 상호작용 등 다양한 영역에서 자동화 기술은 업무 효율성을 크게 향상시켰습니다. 그러나 이러한 자동 댓글 프로그램이 포털사이트나 소셜 미디어 플랫폼의 서비스에 과도한 부하를 주거나 정상적인 운영을 방해할 경우, 법적 책임이 발생할 수 있는지에 대한 문제가 지속적으로 제기되고 있습니다.

특히 자동 댓글 프로그램이 정보통신망법상 ‘악성프로그램’으로 분류될 수 있는지 여부는 프로그램 개발자와 사용자 모두에게 중요한 법적 쟁점입니다. 이 글에서는 의정부지방법원 2017노309 판결 및 대법원 2017도16520 판결을 중심으로, 자동화 마케팅 프로그램이 언제 ‘악성프로그램’으로 간주되어 법적 제재의 대상이 되는지 그 판단 기준을 분석합니다.

2. 의정부지방법원 2017노309 및 대법원 2017도16520 판결 분석

사건의 배경

피고인들은 광고용 자동 프로그램 판매 사이트를 통해 자신들이 개발한 다수의 자동화 프로그램을 판매했습니다. 이 프로그램들의 주요 기능은 다음과 같았습니다:

• 네이버·다음 등 포털사이트의 카페, 블로그 등에 게시글과 이미지를 자동으로 등록
• 네이버 카페 회원의 아이디(ID)를 자동으로 추출
• 네이버 사용자를 검색하여 자동으로 메시지나 댓글을 작성하고 쪽지를 발송

검찰은 이러한 프로그램들이 정보통신시스템 등의 운용을 방해할 수 있는 ‘악성프로그램’에 해당하며, 피고인들이 이를 판매(전달 또는 유포)함으로써 구 정보통신망법 제48조 제2항을 위반했다고 기소했습니다.

검찰의 주장

검찰은 이 프로그램 구매자들이 짧은 시간에 특정 작업을 반복적으로 요청함으로써 포털사이트 서버에 과도한 부하(트래픽)를 유발하며, 이는 사람이 정상적으로 작업하는 경우보다 적게는 5배에서 많게는 500배 이상의 부하를 발생시켜 DDoS 공격과 유사한 효과로 서버 운용을 방해한다고 주장했습니다.

법원의 판단

1심에서는 유죄가 선고되었으나, 항소심인 의정부지방법원과 최종심인 대법원은 모두 피고인들에게 무죄를 선고했습니다. 항소심 재판부의 주요 판단 이유는 다음과 같습니다:

1. ‘운용 방해’의 정도: 구 정보통신망법 제48조 제2항에서 말하는 악성프로그램에 의한 ‘운용 방해’는 정보통신시스템의 ‘훼손·멸실·변경·위조’에 준하는 정도의 심각한 위협을 의미한다고 보았습니다. 단순히 통상적인 경우보다 큰 부하를 유발한다는 사정만으로는 해당 정보통신시스템의 운용을 실질적으로 방해할 수 있는 프로그램이라고 단정하기 어렵다고 판단했습니다.
2. 증거 불충분: 이 사건 프로그램들을 구매자들이 동시다발적으로 사용하더라도 네이버 등 포털사이트의 서버가 다운되는 등의 심각한 장애가 실제로 발생했다는 증거가 없었습니다. 포털사이트의 방대한 처리 용량에 비추어 볼 때, 개별 프로그램이 유발하는 부하 증가만으로는 유의미한 영향을 미치기 어렵다고 보았습니다.
3. 죄형법정주의 원칙: 극단적인 가정(예: 엄청나게 많은 사람이 동시에 사용) 하에서 장애 발생 가능성을 배제할 수 없다는 사정만으로 ‘악성프로그램’에 해당한다고 보는 것은 형벌 규정의 구성요건을 지나치게 확대 해석하는 것으로 죄형법정주의 원칙에 반한다고 지적했습니다.

3. ‘악성프로그램’의 법적 정의와 판단 기준

대법원은 2017도16520 판결에서 ‘악성프로그램’에 대한 법리를 다음과 같이 설시했습니다:

악성프로그램 유포죄의 성격 (위험범)

구 정보통신망법 제48조 제2항 위반죄는 정보통신시스템 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 ‘수 있는’ 프로그램을 전달 또는 유포하는 행위 자체로 성립하며, 실제로 그러한 결과가 발생할 것을 요하지 않는 ‘위험범’임을 명확히 했습니다.

‘악성프로그램’ 판단 기준

어떤 프로그램이 ‘악성프로그램’에 해당하는지는 프로그램 자체를 기준으로 하되, 다음 요소들을 종합적으로 고려하여 판단해야 한다고 밝혔습니다:

• 프로그램의 사용 용도 및 기술적 구성
• 작동 방식
• 정보통신시스템 등에 미치는 영향
• 프로그램 설치에 대한 운용자(시스템 운영자)의 동의 여부

무죄 판단의 구체적 이유

대법원은 본 사건의 프로그램들에 대해 다음과 같은 이유로 ‘악성프로그램’이 아니라고 판단했습니다:

1. 이 사건 프로그램들은 기본적으로 일반 사용자가 직접 수행할 수 있는 작업(게시글/댓글 등록, 쪽지 발송 등)을 자동화하여 빠른 속도로 반복 수행하는 것에 불과하며, 동일한 경로와 방법을 사용한다고 보았습니다.
2. 일부 프로그램이 IP 차단을 회피하기 위해 프록시 서버를 이용하는 기능이 있더라도, 이는 시스템을 훼손하거나 물리적으로 기능을 방해하는 방식이 아니라, 시스템이 예정한 대로 작동하는 범위 내에서 IP 차단 사유에 해당하지 않고 통과하도록 돕는 것에 불과하다고 판단했습니다.
3. 결정적으로, 이 프로그램들의 사용으로 인해 포털사이트의 정보통신시스템 기능 수행이 실제로 방해되었다거나 서버 다운과 같은 장애가 발생했다고 볼 만한 증거가 없다고 재확인했습니다.

4. 포털 서비스에 부하를 주는 자동화 행위의 처벌 가능성

법원의 판단에 따르면, 단순히 서비스에 부하를 주는 자동화 프로그램은 그 자체로 ‘악성프로그램’으로 간주되기 어렵습니다. 그러나 다음과 같은 경우에는 여전히 법적 제재의 가능성이 있습니다:

1. 서버 다운과 같은 심각한 운영 장애 유발: 프로그램의 사용이 실제로 서비스의 정상적인 운영을 심각하게 방해하여 서버 다운 등의 장애를 유발한 경우
2. 다른 법적 규제 적용: 정보통신망법상 ‘악성프로그램’에 해당하지 않더라도, 스팸 규제 조항 위반, 이용약관 위반에 따른 민사상 책임, 또는 형법상 업무방해죄 등 다른 법적 책임이 발생할 가능성
3. 시스템 훼손・멸실・변경・위조: 자동화 프로그램이 단순히 부하를 유발하는 수준을 넘어 시스템의 데이터를 훼손하거나 변경하는 기능을 가진 경우

5. 부정 클릭 사건(대법원 2010도14607) 판결과의 비교

이번 판결은 이전의 ‘부정 클릭 사건’ 판결(대법원 2010도14607)과 비교할 때 자동화 프로그램의 위법성 판단에 대한 다른 측면을 보여줍니다.

적용 법조 및 ‘장애’의 초점

• 부정 클릭 사건: 자동화된 ‘허위 정보 입력’으로 인해 시스템이 본래 목적과 다르게 작동하여 ‘정보처리의 장애’가 발생했고, 이로 인해 업무가 방해되었다는 점(형법)이 유죄의 핵심이었습니다. 정보통신망법상 ‘정보통신망 장애'(망 자체의 안정적 운영 저해)는 인정되지 않았습니다.
• 자동 마케팅 프로그램 사건: 프로그램 자체가 정보통신망법상 ‘악성프로그램’에 해당하는지가 쟁점이었습니다. 법원은 프로그램이 시스템의 ‘운용을 방해할 수 있는’ 정도가 ‘훼손·멸실·변경·위조’에 준할 만큼 심각해야 한다고 보아, 단순히 서버 부하를 증가시키는 정도로는 악성프로그램으로 인정하기 어렵다고 판단했습니다.

‘악의성’ 판단의 맥락

• 부정 클릭 사건: 자동화된 행위가 만들어내는 ‘정보의 허위성’과 그로 인한 ‘업무 결과의 왜곡’에 악의성의 초점이 맞춰졌습니다.
• 자동 마케팅 프로그램 사건: 프로그램 자체의 파괴적인 능력, 즉 시스템의 근본적인 운영을 직접적으로 위협할 수 있는 ‘잠재적 위험성’에 초점이 맞춰졌으나, 법원은 그 기준을 매우 높게 설정했습니다.

6. 드루킹 사건(대법원 2020도16062) 판결과의 비교

2017노309 판결에서 자동 마케팅 프로그램이 ‘악성프로그램’으로 인정되지 않은 것과 달리, 이른바 ‘드루킹 사건'(대법원 2020도16062)에서는 자동화 프로그램 사용이 컴퓨터등장애업무방해죄로 인정되었습니다. 두 판결의 차이점을 이해하는 것은 자동화 프로그램의 법적 위험성을 평가하는 데 중요한 통찰을 제공합니다.

드루킹 사건의 개요

드루킹 사건에서 피고인은 ‘킹크랩’ 시스템이라는 자동화 프로그램을 운영했습니다. 이 시스템은:

• 킹크랩 관리서버와 연결된 다수의 휴대전화를 통해 포털 사이트에 자동·반복적으로 로그인
• IP 변경, 쿠키 삭제, User Agent 값 변조 등의 방법으로 동일인 접속 제한을 우회
• 포털 사이트 뉴스 기사 댓글에 공감/비공감 또는 추천/반대를 기계적·반복적으로 클릭

이 시스템을 통해 피고인은 2016년 12월부터 2018년 2월까지 특정 포털 사이트 뉴스기사의 댓글 118만 개 이상에 대해 총 8,800만 회 이상의 공감/비공감 클릭 신호를 보내 댓글 순위를 조작했습니다.

유죄 판결의 근거

법원은 다음과 같은 이유로 드루킹 사건에서 컴퓨터등장애업무방해죄를 인정했습니다:

1. 허위의 정보 또는 부정한 명령의 입력 해당:
   • 킹크랩 시스템을 통해 마치 실제 이용자가 클릭한 것처럼 위장하여 시스템에 클릭 신호를 보낸 것은 ‘허위의 정보’ 입력에 해당
   • 회원들의 진정한 의사에 기초한 순위 산정이라는 시스템의 본래 목적과 달리 온라인 여론을 조작할 목적으로 신호를 보낸 것은 ‘부정한 명령’ 입력에 해당
   • 타인의 ID와 비밀번호를 제공받아 사용한 것도 이용약관 위반이자 부정한 명령으로 판단
2. 정보처리에 장애 발생 인정:
   • 킹크랩 시스템을 통해 보낸 클릭 신호는 시스템이 실제 이용자의 클릭으로 오인하게 하여 정상적인 정보처리를 방해
   • 이는 정보처리장치가 본래 사용 목적에 부합하지 않는 기능을 하게 한 것으로, 정보처리에 ‘장애’를 발생시킨 것으로 인정
   • 비록 포털들이 어뷰징 방지 노력을 했고 모든 조작이 성공하지 않았더라도, 업무방해의 ‘추상적인 위험’이 발생한 이상 범죄는 성립

자동 마케팅 프로그램 사건과의 핵심 차이점

1. 목적과 의도의 차이:
   • 드루킹 사건: 온라인 여론 조작을 목적으로 한 의도적인 시스템 우회 및 허위 정보 입력
   • 마케팅 프로그램 사건: 상업적 목적의 자동화로, 악의적 시스템 공격 의도 부재
2. 입력 정보의 성격:
   • 드루킹 사건: 실제 이용자의 클릭인 것처럼 위장한 ‘허위 정보’의 명백한 입력
   • 마케팅 프로그램 사건: 일반 사용자가 수행할 수 있는 작업을 자동화한 것에 불과
3. 시스템 영향의 정도:
   • 드루킹 사건: 댓글 순위 시스템의 근본적인 작동 원리를 왜곡하여 시스템의 목적 자체를 훼손
   • 마케팅 프로그램 사건: 단순한 서버 부하 증가로, 시스템의 기본 기능 훼손 증거 부재
4. 법적 적용의 차이:
   • 드루킹 사건: 형법상 컴퓨터등장애업무방해죄 적용 (허위 정보 입력으로 인한 정보처리 장애)
   • 마케팅 프로그램 사건: 정보통신망법상 악성프로그램 유포죄 적용 여부 검토 (시스템 운용 방해 가능성)
5. 사회적 영향력과 법익 침해의 심각성:
   • 드루킹 사건: 온라인 여론 형성 기능을 심각하게 훼손하고 선거 과정까지 저해하는 중대 범죄
   • 마케팅 프로그램 사건: 상업적 광고 목적의 행위로, 사회적 법익 침해의 심각성이 상대적으로 낮음

이러한 비교를 통해 자동화 프로그램이 처벌받을 가능성은 △목적의 불법성 △입력 정보의 허위성 △시스템 작동 원리에 대한 왜곡의 정도 △사회적 법익 침해의 심각성에 따라 크게 달라짐을 알 수 있습니다. 특히 드루킹 사건은 단순한 시스템 부하 증가가 아닌, 시스템의 핵심 목적인 ‘이용자들의 진정한 의사에 기초한 여론 형성’을 의도적으로 왜곡했다는 점에서 법적 제재의 대상이 되었습니다.

7. 자동화 프로그램 개발 및 사용 시 법적 유의사항

자동화 프로그램 개발자와 사용자는 다음과 같은 법적 유의사항을 고려해야 합니다:

1. 프로그램의 기술적 특성: 시스템을 훼손하거나 정상 운영을 심각하게 방해할 수 있는 기능은 가급적 배제해야 합니다.
2. 이용약관 준수: 해당 서비스의 이용약관에서 자동화 도구 사용을 금지하는 경우, 이를 위반하면 계정 정지 등의 제재를 받을 수 있으며 민사상 책임이 발생할 수 있습니다.
3. 합리적인 사용 제한: 서비스에 과도한 부하를 주지 않도록 요청 빈도나 양을 합리적인 수준으로 제한하는 것이 바람직합니다.
4. 스팸 규제 법규 준수: 자동화된 메시지 발송이 정보통신망법상 스팸 규제 조항을 위반하지 않도록 주의해야 합니다.
5. 정보 보안 관련 법규 준수: 개인정보를 수집하거나 처리하는 경우 개인정보보호법 등 관련 법규를 준수해야 합니다.
6. 허위 정보 입력 금지: 드루킹 사건에서 알 수 있듯이, 시스템을 속이기 위한 허위 정보 입력이나 시스템 우회 기법은 컴퓨터등장애업무방해죄로 처벌될 수 있습니다.

8. 관련 법규 및 최근 동향

자동화 프로그램과 관련된 주요 법규 및 최근 동향은 다음과 같습니다:

1. 정보통신망법 제48조(정보통신망 침해행위 등의 금지): 악성프로그램 전달・유포 행위를 금지하고 있으며, 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해질 수 있습니다.
2. 형법 제314조(업무방해): 컴퓨터 등 정보처리장치에 허위 정보 또는 부정한 명령을 입력하는 등의 방법으로 정보처리를 방해하여 타인의 업무를 방해하는 경우 5년 이하의 징역 또는 1천500만원 이하의 벌금에 처해질 수 있습니다.
3. 최근 동향: 자동화 기술의 발전과 함께 법원의 판단 기준도 지속적으로 발전하고 있습니다. 특히 AI와 머신러닝 기술이 적용된 자동화 시스템에 대한 법적 평가는 앞으로 더욱 중요한 이슈가 될 것으로 예상됩니다.

9. 기업들을 위한 법적 리스크 관리 방안

자동화 프로그램을 개발하거나 사용하는 기업들은 법적 리스크를 관리하기 위해 다음과 같은 방안을 고려할 수 있습니다:

1. 법적 검토 및 자문: 프로그램 개발 및 출시 전에 법률 전문가의 검토를 받아 잠재적인 법적 리스크를 파악하고 대응 방안을 마련합니다.
2. 가이드라인 수립: 자동화 프로그램의 개발 및 사용에 관한 내부 가이드라인을 수립하여 법적 위험을 최소화합니다.
3. 모니터링 시스템 구축: 자동화 프로그램의 사용이 서비스에 미치는 영향을 지속적으로 모니터링하고, 문제가 발생할 경우 신속하게 대응할 수 있는 시스템을 구축합니다.
4. 업계 동향 파악: 자동화 프로그램 관련 법적 판단 사례와 업계 동향을 지속적으로 파악하여 변화하는 법적 환경에 적응합니다.
5. 서비스 제공자와의 소통: 가능한 경우, 자동화 프로그램을 사용하려는 서비스 제공자와 사전에 소통하여 허용 범위와 제한사항을 명확히 파악합니다.

법무법인 케이앤피는 최근 자동화 프로그램 관련 법적 분쟁에서 기업 고객을 성공적으로 변호한 경험이 있으며, 특히 정보통신망법과 형법의 경계에 있는 복잡한 법적 쟁점을 다루는 데 전문성을 갖추고 있습니다. 자동화 기술의 발전과 함께 변화하는 법적 환경에 대응하여 기업들이 혁신을 추구하면서도 법적 리스크를 효과적으로 관리할 수 있도록 지원합니다.

법무법인 케이앤피 실무 사례