세계일보
메뉴 보기 검색

크롤링은 정보통신망 ‘침입‘인가 [알아야 보이는 법(法)]

여기어때컴퍼니(이하 여기어때)는 2016년 경쟁사 야놀자가 얼마큼 많은 숙박업체와 제휴를 맺고 있는지 현황을 파악하기 위해 야놀자의 애플리케이션 서비스를 크롤링했다. 이 행위가 1심에서는 유죄로 판단되었는데, 항소심에서는 무죄로 뒤집혔다. 사건은 현재 대법원에서 심리 중이다. 

 

크롤링은 서비스 제공자의 관점에서는 달갑지 않은 일종의 어뷰징(abusing)이겠지만, 아이디나 패스워드와 같은 인증을 뚫고 접근 권한을 탈취하는 유형의 해킹과는 분명 다르다. 그래서 1심과 항소심의 결론이 갈린 듯하다.

 

크롤링 경위는 다음과 같다. 여기어때는 야놀자의 제휴점 수를 종전에는 수기로 취합하고 있었는데, 이것을 편리하게 할 수 있도록 프로그램화하기로 했다. 

 

야놀자의 ‘바로예약’ 서비스는 이용자의 스마트폰 앱에서 프런트엔드(front-end) 응용프로그램인터페이스(API)를 호출함으로써 이를 통해 데이터베이스에 조회를 하도록 되어 있었다. 이에 여기어때는 야놀자의 스마트폰 앱이 주고 받는 네트워크 패킷을 캡처하여 프런트엔드 API 호출 URL(Uniform Resource Locator)을 알아냈고, 그 API에 접속하기 위해서 별도의 아이디나 패스워드는 필요하지 않았으므로 API를 직접 호출하여 야놀자의 제휴점 정보를 크롤링할 수 있었다. 참고로 야놀자는 대량 호출신호를 감지하고 여기어때의 크롤링 프로그램이 작동하는 아마존 클라우드 서버의 인터넷 프로토콜(IP) 주소를 차단했는데, 여기어때는 IP 주소를 바꾸어 크롤링을 계속했다고 한다.

 

1심은 다음과 같은 이유로 유죄를 선고했다. 

 

야놀자 앱은 이용자의 현재 위치로부터 최대 30㎞ 범위 내 숙박업소만 검색할 수 있도록 기능이 제한되어 있었는데, 외부에 공개되지 않은 프런트엔드 API의 URL 구문을 여기어때가 알아냄으로써 검색범위 제한을 회피하여 전국의 야놀자 제휴점 정보를 대량으로 조회 및 복제했다. 그러한 크롤링은 야놀자 이용약관을 통해 금지된 행위이므로, 여기어때는 권한 없이 야놀자의 정보통신망에 ‘침입’한 것이다(정보통신망법 제48조 제1항 위반). 그렇게 여기어때는 모든 숙박업소 정보를 요청하는 부정한 명령을 입력하는 방법으로 대량의 정보 호출을 발생시킴으로써 야놀자의 숙박 예약에 관한 업무를 방해하였다(형법 제314조 제2항 위반)고 판시했다. 참고로 데이터베이스 저작권 침해 여부도 문제되었으나 본고에서는 검토를 생략한다.

 

이와 달리 항소심 판결은 다음과 같은 이유로 무죄를 선고했다. 여기어때가 크롤링한 정보는 번거롭기는 하지만 수기로 조회하더라도 얻을 수 있고, 위 API의 URL은 외부인이라도 간단한 분석을 통해서 쉽게 알아낼 수 있는 것으로서 야놀자는 여기에 적극적인 접근통제 조치를 취하지 않았으므로 여기어때가 침입한 것으로는 볼 수 없다는 판단에서다. 검색 범위가 모바일 앱에서 제한되어 있었다 하더라도 이는 이용자의 편의를 위해서 설정되어 있었을 뿐이므로 여기어때가 그 검색 범위를 넓혔다는 사정만으로 접근 권한을 넘었다고 볼 수 없고, IP 주소 차단만으로는 접근을 일률적으로 제한했다고 보기도 어려우며, 약관 위반은 민사상 손해배상에 관한 문제일 뿐 형사 책임을 묻는 근거는 아니다(정보통신망법 제48조 제1항 무죄)라고 보았다. 또한 위 API의 사용 목적은 주어진 명령 구문에 대응하는 숙박업소 정보를 리턴하는 것으로서 여기어때의 크롤링이 위 서버의 본래 목적에서 벗어났다고 볼 수 없으므로 ‘허위의 정보 또는 부정한 명령’을 입력한 것도 아니며, 이로 인해 야놀자의 숙박예약 서비스에 장애가 발생했다고 볼 근거도 없다(형법 제314조 제2항 무죄)고 판결했다. 

 

이번 판결의 시사점은 무엇일까. 

 

주거침입죄는 거주자의 의사에 반하여 주거 공간에 들어온 것만으로 성립할 수 있다. 반면 인터넷망에서 접속할 수 있는 웹페이지나 API URL 등은 불특정 다수의 접근 가능성이 본질적으로 열려 있는 공간이므로, 관리자가 이용약관이나 로봇 배제 표준(robots.txt) 등을 통해서 접근금지 의사를 표시하더라도 이 정도 만으로는 부족하다. 미인가자의 접근을 막기 위한 기술적 조치를 했어야만 비로소 정보통신망 침입의 대상이 될 수 있다는 의미로 이번 항소심 판결을 이해할 수 있다.

 

만약 대법원에서 여기어때의 무죄가 확정된다면 야놀자는 어떻게 대응할 수 있을까. 민사상 손해 배상을 청구해볼 여지가 있기는 하다. 그런데 여기어때가 크롤링으로써 얼마의 금전적 이득을 얻었는지, 혹은 야놀자가 얼마의 손해를 입었는지를 입증하는 것은 실무상 난해할 것이다. 결국 야놀자의 입장에서는 크롤링 당하길 원하지 않는 API 등에 대해서 별도의 인증 등 기술적 접근통제 조치를 하는 것이 최선이며, 경쟁사가 그러한 인증을 무력화해가면서까지 크롤링을 강행한다면 정보통신망 침입에 해당하므로 형사적 대응을 할 수 있다.

 

전승재 법무법인 바른 변호사 (‘해커 출신 변호사가 해부한 해킹 판결’ 저자) seungjae.jeon@barunlaw.com