Home > 전체기사
[정보보호법바로알기 22] 회사 직원의 PC, 디지털포렌식은 적법한가?
  |  입력 : 2013-01-14 16:26
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이메일 감청, 패킷 감청, 스니핑 등을 통해 직원들 감시하는 추세

통신비밀보호법, 정보통신망법, 개인정보보호법, 형법 준수해야


[보안뉴스= 법률사무소 민후 김경환 대표변호사] 부정행위를 저질렀던 직원들이 가장 많이 쓰는 문장을 연구한 결과가 미국에서 나왔는데, 그들은 ‘잘 숨겨라(Cover up)’, ‘지워야 해(write off)’, ‘불법적인(illegal)’, ‘아무도 찾아 내지 못할 거야(nobody will find out)’ 등의 문장을 가장 많이 사용했다고 한다.


또한, 범죄행위의 불안한 심정을 나타내는 말도 많이 사용됐는데, 예컨대 ‘기분이 좋지 않아(not comfortable)’, ‘흔적이 남으면 안되는데(don’t leave a trail)‘ 등이다.


이러한 점에 착안해 직원들이 이메일 상에서 사용하는 단어나 문장을 조사하는 이메일 감시프로그램이 개발되어 사용되고 있는 것으로 알려졌다. 이는 단적인 예이긴 하지만 그만큼 기업의 정보보호 및 내부자 단속에 대한 노력과 관심이 커져가고 있다는 증거이다.


회사의 직원들에 대한 감시는 이메일 감청, 패킷 감청, 스니핑, 감시프로그램 설치, 디지털포렌식, 네트워크 포렌식 등의 여러 가지 모습으로 나타나고 있다. 하지만 통신비밀보호법, 정보통신망법, 개인정보보호법, 형법 등은 회사의 직원들에 대한 감시를 원칙적으로 금지하고 있어 기업 입장에서 형사처벌을 면하기 위해서는 이러한 법을 준수하면서 그 목적을 달성하는 것이 반드시 필요하다.


실제로 2002년 9월경, 하급심 법원은 회사 직원들의 이메일을 감청하도록 지시했던 한국디지털위성방송(KDB) 기획조정실 부장 이 모씨에 대해 통신비밀보호법 위반 교사죄를 적용해 징역 1년에 집행유예 2년을 선고한 적이 있다.


그리고 2003년 8월경, 대법원은 피고인이 회사를 비방하는 각종 음해성 보도로 인한 회사의 도산을 막기 위해 피해자의 이메일을 열람하도록 지시했다고 하더라도 그러한 사정만으로는 개인의 사생활 보호의 중요성에 비추어 이를 정당방위 또는 사회상규에 포함하는 정당행위에 해당한다고 볼 수 없다고 판단했다(대법원 2003. 8. 22. 선고 2003도3344 판결).


이에 여기에서는 지면관계상, 회사 직원의 PC 디지털포렌식에 관한 대표적인 대법원 판결(대법원 2009. 12. 24. 선고 2007도6243 판결) 사례에 한정하여 소개해 보고자 한다.


위 판례의 사실관계는 컴퓨터 관련 솔루션 개발업체인 A 회사의 대표이사인 피고인이 2006년 4월경 영업차장으로 근무하던 B가 회사의 이익을 빼돌린다는 소문을 확인할 목적으로 직원 C, D를 시켜 비밀번호가 설정된 B의 개인용 컴퓨터의 하드디스크를 떼어낸 뒤, 이를 다른 컴퓨터에 연결하여 ‘어헤드원’이라는 단어로 파일검색을 하여 B의 메신저 대화 내용과 이메일 등을 출력, 비밀 장치한 전자기록 등 특수매체 기록을 기술적 수단을 이용해 그 내용을 알아냈다는 것이다.


검사는 피고인에 대하여 ‘전자기록 등 내용탐지죄(형법 제316조 제2항)’로 기소했고, 제1심에서는 유죄가 인정되어 100만원의 벌금이 선고됐지만(서울동부지법 2007. 3. 28. 선고 2007고정220 판결), 항소심 재판부는 “피고인이 회사의 손실을 긴급히 확인하고 대처할 필요가 있었고, 회사 자산을 빼돌리려 한 것으로 의심되는 회사 이름인 ‘어헤드원’으로만 검색해 조사범위를 한정했다(서울동부지법 2007. 7. 5. 선고 2007노318 판결)”며 무죄를 선고했다.


이에 검사가 상고했고, 대법원은 무죄를 인정하면서 “① 피고인이 B가 사용하던 컴퓨터의 하드디스크를 검사할 무렵 피해자의 업무상배임 혐의가 구체적이고 합리적으로 의심되는 상황이었고, 그럼에도 불구하고 B가 이를 부인하고 있어 대표이사인 피고인으로서는 긴급히 확인하고 이에 대처할 필요가 있었던 점(긴급성), ② 피고인은 B의 컴퓨터 하드디스크에 저장된 정보의 내용을 전부 열람한 것이 아니라 의심이 가는 ‘어헤드원’이라는 단어로 검색되는 정보만을 열람함으로써 조사의 범위를 업무와 관련된 것으로 한정한 점(상당성)을 기초로 하여 형법 제20조에 정하여진 정당행위에 해당하여 위법성이 조각된다”고 판단했다.


또한 대법원은 ③ B는 입사할 때에 회사 소유의 컴퓨터를 무단으로 사용하지 않고 업무와 관련된 결과물을 모두 회사에 귀속시키겠다고 약정한 점, ④ 검색해본 결과 고객들을 빼돌릴 목적으로 작성된 ‘어헤드원’ 명의의 계약서와 메신저 대화자료, 이메일 송신자료 등이 발견된 점, ⑤ 감독자에 대하여는 회사의 유지·존속 및 손해방지 등을 위해서 그러한 정보에 대한 접근이 허용될 필요가 있는 점도 동시에 고려했다고 밝혔다.  


정리하면, 대법원은 △ 범죄혐의가 구체적으로 의심되는 상황에서 △ 회사가 긴급히 대처할 필요가 있는 경우 △ 상당한 범위 내의 조사는 적법하다는 것이다.


주의할 점은 위 대법원 사안은 회사가 직원의 동의를 받지 않고 무단으로 직원 PC에 대하여 디지털포렌식을 한 사안이므로 만일 회사가 직원의 동의를 받았더라면 결론이 달라졌을 것이라는 점이다. 


최근 이혼 소송을 준비 중인 부부들 중 상당수가 배우자의 PC에 ‘감시 프로그램’을 깔아서 배우자의 부정행위나 불륜사실을 알아내고 있다.

 

‘감시 프로그램’이나 ‘이메일 해킹 툴’ 등을 제공·판매하는 업체들은 위 대법원 판결을 근거로, ‘감시 프로그램’이나 ‘이메일 해킹 툴’ 설치는 정당행위에 해당한다면서 그들을 유혹하고 있다고 한다. 나아가 ‘감시 프로그램’이나 ‘이메일 해킹 툴’ 등을 이용하여 수집한 전자증거들이 이혼법정에 그대로 제출되는 경우도 있다.


이러한 현상에 대하여 회사 직원의 PC 디지털포렌식에 관한 위 대법원 판결이 과연 이혼사건에도 그대로 통용될 수 있는지 의문이 들고(하급심 판례이기는 하지만 배우자의 불륜사실을 깨기 위하여 무단으로 이메일을 열람하여 불륜사실을 밝힌 사람을 정보통신망법 위반으로 처벌한 예가 있다), 다른 한편으로는 사회 전반에 퍼져있는 ‘프라이버시 불감증’이 걱정되기도 한다.


늦긴 했지만, 타인 PC에 대한 감시 및 디지털 포렌식에 관해 좀더 이해하기 쉽고, 명확한 기준설정이나 사회적 합의가 매우 시급하다고 본다.

[글_ 법률사무소 민후 김경환 대표변호사(hi@minwho.kr)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)