- ITㆍ정보ㆍ방송통신
- 인터넷ㆍ방송ㆍ통신
- 20. [사례분석] 내부 직원 정보 유출 형사 고소: 권한 초과 시스템 접근과 비밀 침해 성립 요건
이 주제의 전문가를
소개합니다.
20.[사례분석] 내부 직원 정보 유출 형사 고소: 권한 초과 시스템 접근과 비밀 침해 성립 요건
[사례분석] 내부 직원 정보 유출 형사 고소: 권한 초과 시스템 접근과 비밀 침해 성립 요건
![[사례분석] 내부 직원 정보 유출 형사 고소: 권한 초과 시스템 접근과 비밀 침해 성립 요건](https://api.nepla.ai/api/v1/image/1778491266260-xdlaJ1sGEO0OeWgT.png)
<핵심 요약>
국가 연구기관 내부 직원이 부여된 계정의 권한을 넘어 민감 문서를 무단으로 열람하고 외부로 유출한 사건이다. 시스템 권한 초과 접근 행위는 정상적인 기능을 우회한 명백한 정보통신망 침입에 해당함이 확인되었다. 취득한 내부 자료를 사적 이메일로 무단 전송한 행위 등 비밀 누설에 대한 사실관계가 명확히 정리되며, 구체적인 법적 책임 여부를 판단하는 계기가 마련되었다.
자세한 기본 법리는 아래 위키를 참고하십시오.
- 정보통신망 접근권한 판단기준에 대한 대법원 판례 동향
- 직원의 내부시스템 무단접근 및 내부 정보 유출 형사처벌 사례 - 불송치 결정 뒤집고 정보통신망법 위반으로 벌금형 선고 도출
- [사례분석] 정보통신망법 위반 및 접근권한 침해 판단 기준: 계정 접속의 '침입' 성립 여부와 부정한 방법의 고의성
1. 내부 직원의 경영정보시스템 무단 접근과 분쟁의 전개
국가 연구기관인 고소인은 연구윤리 조사 및 전반적인 기관 운영을 효율적으로 관리하기 위하여 자체적인 통합 경영정보시스템을 구축하여 운영하고 있었다. 해당 시스템 내부에는 연구윤리위원 명단을 비롯하여 구체적인 조사 관련 문서와 지급 내역 등 민감한 정보와 다수의 개인정보가 보관되어 있었다. 피고소인인 내부 직원은 자신의 직무 수행을 위해 시스템 접근 권한을 일부 부여받은 상태에서 이를 악용하여 권한 밖의 문서에 지속적으로 접근하였다.
피고소인은 자신에게 허용된 직무 범위를 명백히 벗어나 수백에서 수천 건에 달하는 타 부서의 문서를 무단으로 열람하였고, 이를 개인 노트북에 별도로 저장하는 등 일탈 행위를 반복하였다. 나아가 민감한 개인정보와 비밀 자료를 외부 이메일로 전송하거나 관련자들에게 전달하는 방식으로 내부 정보를 무단 유출하였다. 이에 고소인은 사안의 중대성을 인지하고 피고소인을 정보통신망법 위반 및 타인의 비밀 누설 등의 혐의로 수사기관에 형사 고소하며 법적 분쟁이 시작되었다.
2. 내부 직원의 권한 초과 접근과 비밀 유출 쟁점
- 가. 직무 범위를 일탈한 내부 시스템 접근의 정보통신망 침입 성립 여부
피고소인이 제한적인 접근 권한을 가지고 직무와 무관한 자료를 탐색한 행위가 침입에 해당하는지가 첫 번째 쟁점이다. 피고소인은 경영정보시스템에 정상적으로 부여된 계정을 보유하고 있었으므로 단순 접속만으로는 위법성이 부정될 여지가 있었다. 그러나 검색 조건을 임의로 변경하여 타 부서의 자료까지 반복적으로 접근한 행위가 허용된 권한을 초과한 침입행위로 평가될 수 있는지가 핵심적으로 다투어졌다.
- 나. 취득한 내부 정보의 법적 보호성 및 직무상 비밀 해당 여부
피고소인이 열람한 대상이 단순한 내부 참고용 자료인지 법적으로 보호되는 직무상 비밀인지 여부가 두 번째 쟁점이다. 시스템 내에 보관된 연구윤리위원 명단과 조사 관련 문서 등이 외부 공개가 엄격히 제한되는 개인정보 및 비밀에 해당하는지 검토가 필요했다. 해당 정보의 법적 보호성이 인정되어야만 이를 무단으로 열람하거나 유출한 행위에 대하여 형사적 책임을 물을 수 있기 때문이다.
- 다. Q: 외부 이메일 발송과 반복적 열람 행위는 비밀 침해와 고의성 판단에 어떠한 영향을 미칠까?
단순한 문서 열람을 넘어 이를 외부로 전송한 행위가 명백한 고의에 기반한 비밀 도용에 해당하는지가 세 번째 쟁점이다. 단순 실수나 일회성 접근이라는 주장에 맞서 수백 회에 걸친 반복적인 열람과 파일 저장 행위가 범죄의 고의성을 뒷받침하는지가 다투어졌다. 나아가 취득한 민감 정보를 외부 이메일로 발송하여 관련자들에게 전달한 행위가 실질적인 비밀의 이용 및 유출로 인정될 수 있는지가 집중적으로 분석되었다.
3. 객관적 증거에 기반한 권한 초과 및 비밀 누설의 법리 적용
- 가. 시스템 로그 분석을 통한 권한 초과 및 침입 행위의 입증
정상적인 계정 보유자일지라도 직무 범위를 벗어난 시스템 접근이라면 명백한 정보통신망 침입에 해당한다(대법원 2005. 11. 25. 선고 2005도870 판결 등 참조). 수사기관은 시스템 접근 기록을 정밀하게 분석하여 피고소인이 직무와 무관한 검색 조건을 설정하고 타 부서 자료에 접근한 사실을 객관적으로 확인하였다. 이는 허용된 직무 권한 내에서만 시스템 접근이 정당화됨을 의미하며 권한 범위를 명백히 일탈한 행위는 위법한 침입으로 인정되는 핵심 근거가 되었다.
- 나. 연구윤리 자료의 비밀성 인정과 조직적 피해 위험성 판단
유출된 자료는 외부 공개가 엄격히 금지된 직무상 비밀이자 법적으로 보호되는 개인정보로 명확히 인정되었다. 문제된 연구윤리위원 명단과 이메일 주소 등은 그 성질상 외부로 유출될 경우 심각한 조직적 피해를 초래할 수 있는 보호 대상 정보로 분석되었다. 이러한 정보의 비밀성이 적극적으로 입증됨에 따라 피고소인의 무단 열람 행위는 단순한 내부 규정 위반을 넘어 형사 처벌의 대상이 되는 비밀 침해 행위로 포섭되었다.
- 다. Q: 단순 열람을 넘어 취득한 정보를 외부로 발송한 행위는 법적으로 어떻게 평가되었을까?
단순한 열람을 넘어 취득한 정보를 외부 이메일로 발송한 행위는 확정적인 고의에 의한 비밀 도용으로 판단되었다. 객관적인 로그 데이터 분석을 통해 확인된 수백 회의 반복적인 열람과 별도 파일 저장 행위는 단순한 실수라는 주장을 배척하고 행위의 고의성을 입증하였다. 나아가 획득한 민감 정보를 실제 외부 이메일 발송 등에 활용한 사실이 확인됨으로써 비밀 침해 및 도용 요건이 충족되어 사실관계와 쟁점이 명확히 정리되었고, 구체적인 법적 책임 여부를 판단하는 계기가 마련되었다.
※ 관련 법률 인사이트
관련 사례에 대한 변호사의 실제 사건 수행 전략은 아래 법률 인사이트에서 더 깊이 있게 확인할 수 있습니다.
4. 관련 법규 및 판례
| 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 (정보통신망 침해행위 등의 금지) 제1항 ① 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제49조 (비밀 등의 보호) 누구든지 정보통신망에 의하여 처리ㆍ보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해ㆍ도용 또는 누설하여서는 아니 된다. [전문개정 2008. 6. 13.] |
| 대법원 2005. 11. 25. 선고 2005도870 판결 판결요지 [1] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항은 구 전산망 보급확장과 이용촉진 등에 관한 법률 제22조 제2항 및 구 정보통신망 이용촉진 등에 관한 법률 제19조 제3항과 달리 정보통신망에 대한 보호조치를 침해하거나 훼손할 것을 구성요건으로 하지 않고 ‘정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신망에 침입’하는 행위를 금지하고 있으므로, 정보통신망 이용촉진 및 정보보호 등에 관한 법률은 그 보호조치에 대한 침해나 훼손이 수반되지 않더라도 부정한 방법으로 타인의 식별부호(아이디와 비밀번호)를 이용하거나 보호조치에 따른 제한을 면할 수 있게 하는 부정한 명령을 입력하는 등의 방법으로 침입하는 행위도 금지하고 있다고 보아야 한다. |
