업무상 얻은 개인정보 활용하면 위법일까? 미국과 한국 사례 비교해보니

미국 연방대법원, 합법적으로 얻은 개인정보의 활용은 위법 아냐...접근할 수 있는 권한 강화해야
한국은 대부분 처벌하는 쪽으로 판결...코로나19 이후 개인정보 수집 늘어 악용될 가능성 높아

[보안뉴스 원병철 기자] 지난 6월 미국 연방대법원에서 개인정보와 관련된 주목할 만한 판결이 나와 이슈가 됐다. 자신의 지위를 이용해 얻은 개인정보를 판매한 경찰관에게 미국 연방대법원이 ‘컴퓨터 사기 및 남용 방지법(Computer Fraud and Abuse Act, CFAA)’을 위반한 것이 아니라는 판결을 내린 것이다. 언뜻 보면, 이해가 가지 않는 판결이지만, 속내를 좀 더 살펴보면 이는 검찰의 과도한 고소를 방지하기 위한, 국민들을 위한 결정이었다는 평가다.

▲원격으로 이루어진 Van Buren 구두 변론 생방송[자료=C-SPAN, 제공=KOTRA]

KOTRA 미국 뉴욕무역관에 따르면 이번 사건의 전말은 이렇다. 미국 조지아주 커밍시의 경찰관 네이선 반 뷰렌(Nathan Van Buren, 이하 뷰렌)은 앤드류 앨보(Andrew Albo, 이하 앨보)라는 사람에게 돈을 빌려달라고 요구했고, 앨보는 이를 상급기관에 신고했다. FBI는 뷰렌을 체포하기 위해 함정수사로 앨보를 시켜 한 여성의 자동차 번호판 정보를 찾아달라고 요청했고, 뷰렌은 5,000달러를 받고 경찰차에 달린 컴퓨터로 로그인한 뒤 해당 정보를 경찰 DB에서 찾아 앨보에게 넘겨줬다. 조지아주 연방검찰은 뷰렌을 전신 사기죄(18 U.S.C. 1343, 1346, 1349 위반) 및 컴퓨터 사기죄(CFAA, 18 U.S.C. 1030(a)(2)(C) & (c)(2)(B)(i) 위반) 혐의로 기소했다

뷰렌은 첫 재판에서 두 혐의 모두 인정돼 18개월의 징역형을 선고받았다. 하지만 그는 “CFAA는 해당 정보에 접근권한이 없는 이가 불법으로 접근해 정보를 빼갈 경우에만 해당되며, 자신은 접근권한이 있기 때문에 CFAA 위반은 아니다”라며 항소했지만, 전신 사기 혐의만 파기 환송됐고, 컴퓨터 사기죄는 인정됐다. 뷰렌은 다시 연방대법원에 항소했고, 연방대법원은 ‘적법한 접근권한을 가진 상태에서 부정한 목적으로 정보 취득시 CFAA 위반으로 볼 수 없다’고 판결했다.

미국 연방대법원, CFAA의 명확한 해석 위해 해당 사건 빠르게 처리
이번 판결의 쟁점인 ‘컴퓨터 사기 및 남용 금지법(CFAA)’은 ①고의로 권한 없이 혹은 권한을 넘어서 컴퓨터에 접근하고 ②보호된 컴퓨터에서 정보를 취득했으며 ③1년간 입은 손해가 5,000만 달러 이상이라는 요건을 갖출 경우 기소가 가능하다. 주로 영업비밀 침해와 관련해 피해를 입은 사람들과 검찰이 근거 법령으로 사용하는데, 미국 영업비밀보호법(DTSA)보다 조건이 까다롭지 않아 많이 활용하는 법이다.

특히, 이번 사건에서는 뷰렌이 ‘권한 없이 혹은 권한을 넘어서 정보에 접근했는가’가 쟁점이 됐다. 뷰렌은 “자신은 경찰관으로서 적법한 접속권한으로 DB에 접근했기 때문에 CFAA 위반이 성립되지 않는다”고 주장했고, 검찰은 “뷰렌이 정보에 접근한 목적과 사용 의도를 고려했을 때, 경찰관에게 부여된 접속권한을 초과해 CFAA 위반”이라고 주장했다.

이와 관련 연방대법원은 법안의 ‘취득할 권한이 없는’의 의미는 ‘접근자가 접속권한을 부여받은 컴퓨터로 취득할 수 없는 정보’를 의미하며, ‘접근권한을 넘어선 행위’는 ‘컴퓨터 사용자가 접속 특권(Access Privilege)을 갖고 있지 않은 시스템의 다른 부분에 접속하는 행위’를 가리킨다고 봤다.

특히, 연방대법원은 ‘허용된 접근권한을 넘어선 행위’를 광범위하게 해석할 경우 통상적인 정보보안 서약서나 회사의 컴퓨터 이용 방침을 어기는 시민을 모두 범죄자로 만들어버릴 것이라고 우려했다. 예를 들면, 직원이 고용주의 허락 없이 사무용 컴퓨터로 사적인 이메일을 보내거나, 온라인 뉴스를 보는 것, 페이스북과 같은 SNS를 하는 것 모두 CFAA 위반이 될 수 있다는 얘기다.

이 때문에 이번 판결은 기업들이 주요 정보에 대한 접근권한을 좀 더 세밀하게 구분할 것을 요구한다고 볼 수 있다. 아무리 기업에 중요한 정보일지라도 접근권한만 있다면, 해당 정보에 접근해 빼돌린 후 이를 외부에 넘기는 행위로는 CFAA 위반이 아닌 것이 되기 때문이다. KOTRA 역시 우리 기업들의 고부가가치 기밀 정보자산을 보호하고자 KOTRA 뉴욕 IP-DESK에서 ‘기밀유지협약 작성 및 검토 지원사업’을 마련했다고 강조했다.

법안이 달라 직접 비교 어렵지만, 우리나라는 처벌하는 방향의 판결이 더 많아
그렇다면 우리나라는 어떨까? 사실 CFAA는 미국법이기 때문에 우리나라와 확연히 비교하기는 어렵지만, 개인정보의 보호와 활용을 위한 ‘개인정보보호법’과 비교할 수 있다. 특히, 최근 코로나19 때문에 손님이나 방문객의 개인정보를 수집하는 경우가 늘어났는데, 여기서 수집된 개인정보를 악용한 사례가 제법 많다.

가장 최근의 사건으로는 지난 6월 8일 사설 구급차 기사가 코로나 검사를 위해 이송한 장애인을 성추행하고, 이송 업무로 알게 된 개인 연락처로 다시 연락해 성추행하다 입건된 사건이다. 한 장애인 단체는 ‘공적 업무 수행을 위해 개인정보를 얻은 가해자가 이를 범죄에 이용한 것은 심각한 문제’라고 지적하며 처벌을 촉구했으며, 경찰은 가해자를 입건하고 곧 수사를 마무리하겠다고 밝혔다.

수능 시험때 감독관을 하다 알게 된 수능 응시생의 연락처로 마음에 든다며 연락한 교사가 정직 3개월의 처분을 받은 일도 있었다. 서울행정법원 행정1부는 2021년 6월 가해자인 교사가 서울시 교육감을 상대로 낸 징계처분 취소 행정소송에서 원고 패소 판결을 내렸다. 서울시 교육청은 해당 교사에게 공무원법상 비밀 엄수의 의무 등을 어겼다며 정직 3개월의 처분을 내린 바 있다.

지난 2020년 12월에는 코로나19 의심자 개인정보가 담긴 공문서를 유출한 소방 공무원에게 징역 6개월의 선고를 유예했다. 선고유예는 일정 기간 선고를 유예했다 기간이 지나면 처벌하지 않는 판결이다. 재판부는 피고인이 자백하고 수사에 협조했으며, 문서 유출로 인한 피해자의 인격권 침해 정도가 작아 보인다고 판결 이유를 설명했다.

이와 관련해 법무법인 바른의 전승재 변호사는 “이번 미국의 연방대법원 판결과 비교했을 때, 우리나라는 판결이 조금 나뉘기는 하지만 처벌 가능성이 높아 보인다”면서, “다만 미국 연방대법원의 판결은 CFAA 위반은 아니라고 한 것이며, 개인정보보호법 위반으로 기소했으면 결과가 달라졌을 수 있다”고 설명했다.
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)