[Tech & Law] 데이터 크롤링과 데이터의 접근, 공유

이성엽 고려대 기술경영전문대학원 교수

숙박업체에 대한 온라인 예약 서비스를 제공하는 디지털 플랫폼 A사 직원들이 소위 크롤링(Crawling) 프로그램을 이용해 정보를 호출하는 명령 구문을 서버에 입력하는 방식으로 같은 서비스를 제공하는 경쟁회사인 B사가 운영하는 정보를 복제하고, 대량 정보 호출을 발생시킨 경우라면 A사는 어떤 법적 책임을 지게 될까.

크롤링이란 웹사이트에서 공개된 데이터를 수집하는 행위를 말한다. 크롤러(Crawler)라는 소프트웨어를 이용해 웹사이트에서 자동으로 대량의 데이터를 복제･수집한다. 온라인상에 공개된 데이터를 크롤링을 활용해 수집하는 것은 데이터 공유 확대라는 차원에서 긍정적으로 볼 수 있다. 나아가 데이터 격차가 신규 진입자에게 장벽이 되고 있는 상황에서 크롤링은 시장경쟁을 촉진하는 역할도 한다. 다만 온라인 데이터의 수집, 관리를 위해서는 인적·물적 투자가 요구되는데 그 결과물을 경쟁업체가 복제해 활용하는 것은 무임승차에 해당하므로 일정한 규제가 필요하다는 의견도 있다.

A사 행위의 법적 책임에 관해 최근 법원의 판결이 있었다. A사의 행위에 대해 정보통신망법상 정보통신망침해등죄, 저작권법위반죄, 컴퓨터등장애업무방해죄를 구성한다고 기소된 사안에서, 대법원은 지난 5월 검사의 상고를 기각해 공소사실 전부에 대하여 무죄를 선고한 원심판결을 확정했다. (대법원 2022. 5. 12. 선고 2021도1533 판결)

이번 판결로 인해 크롤링이 형사적으로 합법이라는 점이 선언되었다는 점에서 데이터 공유 내지 접근권 확대에 긍정적인 영향이 예상된다. 보다 구체적으로 쟁점과 법원의 판단을 보자.

첫째 피고인들이 크롤링 프로그램을 이용해 이 사건 서버에 접근한 행위가 정보통신망법이 금지하는 정보통신망 침입에 해당하는지다. 침입이 성립하기 위해서는 접근 권한이 없거나 접근 권한을 넘어서야 한다. 그런데 본건의 경우 일반 이용자들은 피해자 회사의 모바일 앱을 통해 회원 가입 없이도 자유롭게 이 사건 서버에 접근할 수 있었다. 이 사건 서버에는 접근을 막는 별도의 보호 조치가 없었던 점 등에서 이 사건 서버에 대한 접근 권한이 객관적으로 제한된 것으로 보기 어려우므로 접근은 정보통신망 침입으로 인정되지 않는다고 판단했다.

둘째 피고인들이 크롤링 프로그램을 이용해 피해자 회사의 데이터를 수집한 행위가 저작권법이 처벌하는 데이터베이스 제작자의 권리를 침해한 행위에 해당하는지다. 데이터베이스 제작자의 권리가 침해됐다고 하기 위해서는 데이터베이스 제작자의 허락 없이 데이터베이스의 전부 또는 상당한 부분의 복제 등이 되어야 한다. 그러나 A사가 수집한 정보들은 피해자 회사의 숙박업소 관련 데이터베이스의 일부에 해당한다. 또 이미 상당히 알려진 정보로서 그 수집에 상당한 비용이나 노력이 들 것으로 보이지 않거나 이미 공개되어 있었다는 점에서 데이터베이스의 전부 또는 상당한 부분이 복제된 것으로 어렵다고 판단했다. 추가로 데이터베이스의 통상적인 이용과 충돌하거나 피해자 회사의 이익을 부당하게 해치는 경우에 해당하지 않는다고 봤다.

셋째 피고인들이 크롤링 프로그램을 이용해 통상적인 이용 범위를 초과하여 정보를 호출한 행위가 컴퓨터등장애업무방해죄에 해당하는지다. 죄가 성립하려면 허위의 정보 또는 부정한 명령을 입력하거나 기타 방법으로 정보처리에 장애를 발생하게 해 사람의 업무를 방해해야 한다. 그런데 A사 직원들이 입력한 숙박업소 관련 정보의 검색 명령 구문들은 이 사건 서버의 본래 목적과 상이한 부정한 명령이라고 보기 어렵다. 그리고 A사의 크롤링 프로그램 사용으로 인해 이 사건 서버에 장애가 발생했다고 단정하기도 어렵다.

이번 판결은 데이터베이스 제작자의 권리 침해 여부 판단 기준과 관련해 데이터베이스의 개별 소재 또는 상당한 부분에 이르지 못하는 부분의 반복적이거나 특정한 목적을 위한 체계적 복제 등에 의한 데이터베이스 제작자의 권리 침해는 이러한 행위로 인해 결국 상당한 부분의 복제 등을 한 것과 같은 결과를 발생하게 한 경우에 한해 인정함이 타당하다는 점을 밝히고 있다는 점에서 향후 크롤링에서 해당 요건을 엄격하게 해석돼야 한다는 입장을 밝혔다.

하지만 이번 판결이 크롤링을 전면적으로 합법화했다고 보기는 어렵다. 사실관계에 따른 다른 판단이 가능하다는 것이다. 데이터들이 대부분 이용자들에게 공개된 것이거나 쉽게 수집할 수 있는 것이었다. 또 약관상 크롤링 제한의 내용이 모호했고 피고인들이 약관의 적용을 받는 회원이 아니었다는 점 등의 사정이 고려됐다. 만약 크롤링된 데이터의 분량이나 비율 혹은 크롤링의 빈도가 상당한 경우 웹사이트에 크롤링 금지 문구가 있거나 약관에 명시적 제한이 존재하는 경우에는 다른 판단이 내려질 수 있었다.

한편 판결에서 쟁점이 된 사안은 아니지만 크롤링에 대해서는 부정경쟁방지법상 일반 부정경쟁행위를 주장하는 경우가 많다. 지난 4월 20일부터 부정경쟁행위에 새로 신설된 데이터 부정사용 행위가 불특정 다수에게 제공되는 데이터를 그 규제 대상에서 제외함에 따라 크롤링에 대해 일반 부정경쟁 행위(그 밖에 타인의 상당한 투자나 노력으로 만들어진 성과 등을 공정한 상거래 관행이나 경쟁질서에 반하는 방법으로 자신의 영업을 위하여 무단으로 사용함으로써 타인의 경제적 이익을 침해하는 행위) 주장을 하기가 어렵게 됐다.

데이터 산업진흥 및 이용촉진에 관한 기본법(데이터산업법)에 위임된 부정경쟁방지법상 데이터자산의 부정사용 등 행위에 관한 사항(동법 제12조 제3항)에서는 보호되는 데이터를 “데이터 산업법 제2조 제1호에 따른 데이터 중 업(業)으로서 특정인 또는 특정 다수에게 제공되는 것으로, 전자적 방법으로 상당량 축적·관리되고 있으며, 비밀로서 관리되고 있지 아니한 기술상 또는 영업상의 정보”로 한정하기 때문이다.

또 대상 행위도 접근 권한이 없는 자의 부정취득 등의 행위, 접근 권한 있는 자의 부정한 목적 사용 등의 행위, 데이터 보호를 위한 기술적 보호조치 무력화로 그 범위가 축소됐다. 이에 따라 불특정 다수에게 제공되는 데이터는 보호 객체가 아니며, 불특정 다수에게 공개된 정보를 수집하는 방법으로 데이터를 수집하는 크롤링에 대해서 데이터 부정사용 행위를 적용할 수 없게 됐다.

B사는 A사에 대해 손해배상 등을 구하는 민사소송을 제기했는데, 법원은 “B사가 상당한 비용과 시간을 들여서 수집·분류·갱신한 숙박업소 정보를 A사가 무단으로 복제한 것은, 공정한 상거래 관행이나 경쟁질서에 반하는 방법으로 B사의 경제적 이익을 침해한 것”이라 보고, 크롤링의 부정경쟁방지법 위반을 인정해 10억원의 배상 판결을 내렸다. (서울중앙지방법원 2018가합508729 판결)

이 판결은 형사판결이 정보통신망법, 저작권법, 형법을 적용한 것과 달리 부정경쟁방지법을 적용했다는 점을 유의할 필요가 있다. 또 불특정 다수에게 공개된 데이터를 보호 객체에서 제외하는 개정 부정경쟁방지법 시행 이전의 판결이라는 점을 참고할 필요가 있다.

비록 민사소송에서 부정경쟁행위를 인정했고 향후 상급심의 판단이 주목되지만, 현재까지 판결이나 입법은 데이터의 공유와 접근을 확대하는 방향으로 가고 있다고 할 수 있다. 데이터 공유의 확대를 통해 데이터의 가치를 높임으로써 데이터 경제를 활성화할 수 있다는 이상이 반영되고 것이다. 이미 공공데이터의 경우에는 공유와 개방이 적극적으로 이루어지고 있는데, 이는 공공데이터는 국민 모두의 자산이기 때문에 국민에게 돌려주어야 한다는 당위론에 근거하고 있다.

그럼에도 민간데이터의 경우 동의 기반의 공유를 제외하면 제도적인 접근이 부족하다. 반면 EU(유럽연합)나 미국의 경우 거대 플랫폼 기업을 대상으로 데이터 접근과 공유를 제도화하려는 움직임이 있다. 이러한 공유의 근거 중 하나로 경쟁법상의 접근을 통해 데이터를 시장 활동에서 필수적인 재화로 상정하고 이를 공유하도록 하는 논의도 있다.

이미 공개된 개인 정보의 경우에는 정보주체의 추정적 의사 범위 내에서 동의 없는 사용이 가능하다는 대법원 판례와 신용정보법 규정도 시행되는 만큼 공개된 데이터의 공유와 접근을 위한 수단인 데이터 크롤링의 경우 보다 개방적인 입장이 가능할 것이다.

향후 데이터 크롤링을 법적, 제도적 차원에서 어느 단계까지 허용할 것인지가 규제법과 경쟁법 차원에서 중요한 과제가 될 것이다. 민간과 정부가 협력해 신규 시장 진입자와 최종 이용자의 편익 증대라는 가치와 자본을 투자한 사업자의 정당한 이익의 보호라는 가치가 조화롭게 고려될 수 있는 심도 있는 논의를 통해 법제화 여부, 연성 규범 도입 여부 등을 검토해야 한다.

이성엽 고려대 기술경영전문대학원 교수・기술법정책센터 센터장

- Copyright ⓒ 조선비즈 & Chosun.com -