대법원은 지난 달 숙박업소 정보제공 서비스 업체의 데이터베이스 크롤링에 관한 형사 사건에서 피고인들에 대해 무죄를 선고한 원심의 판단을 인용하는 판결을 선고하였습니다(대법원 2022. 5. 12. 선고 2021도1533 판결, 이하 “대상판결”). 대상판결은 온라인 플랫폼 기반의 O2O(Online to Offline) 서비스 분야의 경쟁 과정에서 널리 행해지고 있는 크롤링 관행에 관한 사업자들의 법적 리스크 판단에 중요한 시사점을 제공합니다. 저희 법무법인 세종 IP그룹은 본 뉴스레터를 통해 대상판결의 의의 및 크롤링 분쟁에 대비하여 사업자들이 유의할 사항을 정리하였습니다.

 

[크롤링의 의의 및 법적 쟁점]

크롤링(crawling) 또는 웹크롤링(web crawling)이란 로봇 프로그램을 이용하여 웹사이트에서 기계적인 방법으로 정보를 수집하는 행위를 의미하며, 일반적으로 특정 URL에 접근하여 HTML 코드상의 태그를 따라가며 웹페이지를 수집, 인덱싱하는 방법으로 수행됩니다. 오늘날 웹 또는 앱을 통해 온라인으로 정보나 콘텐츠를 제공하는 사업방식은 보편화되었습니다. 따라서 온라인상에 공개된 정보를 크롤링을 활용해 수집하고 참조하는 것은 온라인 경쟁환경에서 불가피한 것으로 볼 여지가 있습니다. 그러나 다른 한편으로, 온라인 서비스에서 제공되는 정보를 수집하고 관리하기 위해서는 인적·물적 투자가 요구되므로, 그러한 투자의 결과물을 경쟁업체가 대량으로 복제하여 활용하는 ‘무단편승’ 행위를 제재해야 한다는 시각도 존재합니다.

시장에 존재하는 이러한 상반된 시각으로 인해 크롤링에 관한 법적 분쟁의 가능성은 상존한다고 할 수 있는데, 대상판결 선고 이전의 대표적인 크롤링 사건인 엔하위키미러 사건1과 사람인 사건2에서 확인되듯이 크롤링 분쟁에서는 통상 저작권법 제93조의 데이터베이스제작자의 권리를 침해한다는 주장과 「부정경쟁방지 및 영업비밀보호에 관한 법률」(이하 “부정경쟁방지법”) 제2조 제1호 (파)목3의 타인의 상당한 노력이나 투자로 만들어진 성과 등을 무단으로 사용하는 행위라는 주장이 함께 제기됩니다. 이에 더해, 최근에는 크롤링 행위가 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 “정보통신망법”) 제48조 제1항의 정보통신망 침입행위에 해당한다는 주장이 제기되는 경우도 늘고 있습니다. 저작권법 위반 및 정보통신망법 위반의 경우 형사처벌 대상이 되므로 형사사건이 진행되는 경우도 빈번하지만, 부정경쟁방지법 제2조 제1호 (파)목 위반의 경우 형사처벌 대상에서 제외되어 있으므로 민사소송의 청구원인으로만 활용되고 있는 실정입니다.

 

[대상판결의 검토]

1. 사실관계 및 사건의 경과

피고인 회사와 피해자 회사는 숙박업소 정보제공 서비스를 운영하는 경쟁 사업자들로서, 피해자 회사는 모바일 앱에서 API 서버에 정보를 호출하여 숙박업소에 관한 정보를 내려받아 이용자에게 제공하는 방식으로 서비스를 제공했습니다. 피고인 회사는 ‘패킷캡쳐’ 분석을 통해 만든 크롤링 프로그램으로 피해자 회사의 API 서버에 주기적으로 접근해 피해자 회사에서 제공하는 숙박업소 정보를 복제했습니다. 피고인 회사의 크롤링 프로그램은, 피해자 회사의 앱이 이용자 위치로부터 7~30km 범위에서 숙박업소를 검색하도록 설정된 것과는 달리 특정 위도/경도를 중심으로 반경 1,000km 내의 숙박업소 정보를 불러오는 방식으로 위 API 서버로부터 정보를 수집하였습니다.

피해자 회사의 고소에 따라, 피고인 회사와 그 임직원인 피고인들에 대해 정보통신망법 위반죄(정보통신망침해등), 저작권법 위반죄(데이터베이스제작자 권리 침해), 형법상의 컴퓨터등장애업무방해죄에 관한 공소가 제기되었고, 제1심 법원은 위 각 범죄사실에 대해 모두 유죄를 선고하였습니다.4 그러나 항소심에서 서울고등법원은 위 범죄사실 모두에 대해 무죄를 선고하였고,5 상고심인 대상판결에서 대법원은 원심판결에 수긍하면서 피고인들의 무죄를 확정하였습니다.6

2. 대상판결의 요지

대상판결은 위 3가지 범죄사실에 관해 각각 다음과 같이 판시하였습니다.

정보통신망법 위반죄(정보통신망침해등)에 관해서는, 정보통신방법 제48조 제1항에 따른 접근권한의 유무 또는 범위는 서비스제공자가 부여한 접근권한을 기준으로 판단해야 한다는 기존 판례를 인용하면서, 서비스제공자가 접근권한을 제한하고 있는지 여부는 보호조치나 이용약관 등 객관적으로 드러난 여러 사정을 종합적으로 고려하여야 한다는 기준을 설시한 뒤, 다음과 같은 사정을 들어 피해자 회사가 접근권한을 제한하지 않았으므로 정보통신망 ‘침입’을 인정할 수 없다고 판단하였습니다. 즉, (i) 피해자 회사의 API 서버 URL이나 명령구문은 누구라도 통상적인 ‘패킷캡쳐’ 프로그램 등을 통해 쉽게 알아낼 수 있는 정보이며, 피해자 회사 API 서버로의 접근을 막는 별도의 보호조치가 없었고, (ii) 피해자 회사의 이용약관상 제한은 피고인들과 같은 비회원에게 적용된다고 보기 어렵고 규정 내용도 접근권한 자체를 제한하는 것으로 볼 수 없다는 것이었습니다.7

저작권법 위반죄(데이터베이스제작자 권리 침해)에 관해서는, 데이터베이스의 상당한 부분의 복제등(저작권법 제93조 제1항)에 관한 판단은 양적인 측면뿐 아니라 질적인 측면도 함께 고려되어야 하며 이때 질적으로 상당한 부분인지 여부는 복제된 부분의 개별 소재 자체의 가치나 그 생산에 대한 투자가 아니라 그 제작, 갱신·검증 또는 보충에 대한 상당한 투자 여부를 기준으로 제반사정에 비추어 판단해야 한다는 기준을 제시하고, 상당한 부분의 복제등으로 간주되는 반복적이거나 체계적인 복제등(저작권법 제93조 제2항 단서)에 관해서는 “결국 상당한 부분의 복제등을 한 것과 같은 결과를 발생하게 한 경우에 한하여 인정함이 타당하다”고 판시하면서, 다음과 같은 사정을 들어 피고인들의 행위가 저작권법 제93조 제1항 및 제2항 단서 위반에 해당하지 않는다고 보았습니다. (i) 피고인들이 수집한 정보들은 피해자 회사의 숙박업소 데이터베이스의 일부에 해당한다는 점, (ii) 위 정보들은 이미 상당히 알려진 정보로서 그 수집에 상당한 비용이나 노력이 들었을 것으로 보이지 않거나 이미 공개되어 있고, 데이터베이스의 갱신 등에 관한 자료가 없다는 점, (iii) 피고인들의 행위가 피해자 회사의 데이터베이스의 통상적인 이용과 충돌하거나 피해자 회사의 이익을 부당하게 해치는 경우에 해당한다고 보기 어렵다는 점이 그것입니다.8

형법상의 컴퓨터등장애업무방해죄에 관해서는, 동 범죄가 성립하려면 가해행위의 결과 정보처리에 장애가 현실적으로 발생하여야 한다는 기존 판례 입장을 재확인한 뒤, 검사가 제출한 증거들로부터 피고인들이 정보처리장치에 부정한 명령을 입력하여 장애가 발생하게 하였다고 보기 어렵다는 이유로 동 범죄의 성립을 부정하였습니다.9

3. 관련 민사 판결과의 관계 및 대상판결의 시사점

한편, 대상판결의 원심판결이 선고된 뒤에, 피해자 회사가 피고인 회사를 상대로 제기한 민사소송에서 제1심 판결이 선고되었습니다.10 위 민사 사건에서는 구 부정경쟁방지법 제2조 제1호 (카)목 위반과 데이터베이스제작자 권리 침해가 선택적 청구원인으로 주장되었는데, 제1심 법원은 부정경쟁행위 주장에 관해서만 판단하여 불법행위를 인정하고 원고의 청구를 (일부)인용하였습니다. 민사 판결에서 두 선택적 청구원인 중 부정경쟁행위 주장에 관해서만 판단한 것은, 민사 사건 제1심 계속 중에 다른 청구원인인 데이터베이스제작자의 권리 침해에 대해 형사 사건 항소심 판결에서 무죄가 선고되었기 때문인 것으로 생각됩니다. 전술한 바와 같이 구 부정경쟁방지법 제2조 제1호 (카)목 위반에 대해서는 형사처벌 규정이 없어 대상판결에서는 저작권법이나 정보통신망법 등 위반에 대해서만 판단하였는바, 구 부정경쟁방지법 제2조 제1호 (카)목 위반의 구성요건은 저작권법이나 정보통신망법 등 위반의 구성요건과 다르기 때문에 민사 사건에서 피고인 회사의 책임을 인정한 것이 형사 판결의 결론과 모순된다고 볼 수는 없습니다.

다만, 위와 같은 형사 판결과 민사 판결의 적용법조의 차이로부터 크롤링 분쟁에 관한 시사점을 얻을 수 있습니다. 앞서 언급했듯이 크롤링 관련 민사소송에서는 통상 저작권법상 데이터베이스제작자 권리 침해와, 부정경쟁방지법 제2조 제1호 (파)목의 부정경쟁행위가 선택적 청구원인으로 함께 주장되며, 법원은 원고 청구를 인용할 경우 대체로 데이터베이스제작자 권리 침해 주장을 중심으로 청구원인을 판단해 왔습니다.11 이러한 태도는 저작권법에 대한 부정경쟁방지법의 보충적 지위 및 위 일반조항의 보충성을 고려한 것으로 보입니다. 크롤링 사건에서 법원은 기계적 정보 수집이라는 크롤링의 속성을 고려하여 ‘데이터베이스의 상당한 부분의 복제등’(저작권법 제93조 제1항)을 직접 인정하기보다 상당한 부분의 복제로 간주되는 ‘반복적이거나 체계적인 복제등’(저작권법 제93조 제2항 단서)에 해당함을 인정한 경우가 많았습니다.12 그러나 대상판결에서는 이처럼 크롤링 사건에서 중심적 역할을 하는 ‘반복적이거나 체계적인 복제등’에 관해 “상당한 부분의 복제등을 한 것과 같은 결과를 발생하게 한 경우에 한하여 인정”하여야 한다고 하여 해당 요건이 보다 엄격하게 해석되어야 한다는 입장을 제시했고, 이러한 판시는 향후 민사 사건에서의 법원의 판단에도 영향을 미칠 것으로 예상됩니다.13 즉, 민사상 불법행위 인정에 관한 법원의 판단에 있어서, 데이터베이스제작자 권리 침해 여부가 중심이 되었던 기존 경향에 비해 부정경쟁방지법 제2조 제1호 (파)목의 역할이 더 부각될 것으로 예상됩니다. 이에 따라 크롤링 분쟁의 당사자가 되는 기업들로서는 어느 쪽이든 부정경쟁방지법상 성과 도용 행위에 관한 주장·증명에 소홀하지 않도록 유의할 필요가 있겠습니다.

한편, 대상판결에서 당해 사건의 피고인들에 대해 무죄로 판단한 것을 크롤링 행위 전반에 대해 법원이 관대한 태도로 전환하였다거나, 형사 판결과 민사 판결 간의 본질적 차이로 일반화하는 과도한 확대해석 또한 경계할 필요가 있습니다. 대상판결에서 정보통신망법 위반죄와 저작권법 위반죄에 관한 무죄 판결의 기초가 되었던 사실관계에는 나름의 특수성이 있기 때문입니다. 이 사건에서는 (i) 웹사이트에의 접근이 아닌 백엔드(back-end)의 API 서버에의 접근이 문제가 되었는데 API 서버 접근에 대한 특별한 보호조치가 없었던 점, (ii) 크롤링을 통해 수집된 정보가 데이터베이스를 구성하는 50여개 항목 중 3 내지 8개로 양적 상당성을 인정하기 어려운 수준이었고, (iii) 그 정보들이 대부분 이용자들에게 공개된 것이거나 쉽게 수집할 수 있는 것이어서 질적 상당성 역시 인정하기 어려웠으며, (iv) 약관상 크롤링 제한의 내용이 모호했고 피고인들이 약관의 적용을 받는 회원이 아니었다는 점 등의 사정이 무죄 판단을 뒷받침했습니다. 이러한 대상판결의 사실관계 면의 특수성은, 웹사이트에서 검색 등을 통해 제공되는 체계화된 정보들이 데이터베이스로 평가될 수 있고 크롤링된 정보의 분량이나 비율 혹은 크롤링의 빈도가 상당한 경우, 웹사이트에 크롤링 금지 문구가 있거나 약관에 명시적 제한이 존재하는 경우, 유료로 제공되는 정보를 회원 ID를 이용해 기계적으로 수집하여 영리적으로 활용하였으나 그것이 약관에 위반되는 경우 등에는 대상판결과 다른 결론이 내려질 수 있음을 시사합니다.14

 

[크롤링 분쟁에 대비하여 유의할 사항]

대상판결은 크롤링 사안의 데이터베이스제작자 권리 침해 판단에 있어 중심적 위치를 차지하는 저작권법 제93조 제2항 단서 요건에 관한 엄격한 판단 기준을 제시했다는 점에서 크롤링 분쟁에 관한 법원의 입장에 영향을 미칠 것으로 기대됩니다. 이는 정보통신망법 제48조 제1항의 서비스제공자의 접근권한 제한에 관한 판단의 기준으로 “보호조치나 이용약관 등”의 객관적인 사정을 고려해야 한다는 판시와 더불어, 향후 크롤링 관련 민사 분쟁에서 부정경쟁방지법 제2조 제1호 (파)목과 정보통신망법 위반에 따른 불법행위 주장의 위상을 부각시킬 것으로 예상됩니다. 아울러, 대상판결의 특수한 사실관계에도 주목할 필요가 있음을 앞서 살펴보았습니다.

이러한 대상판결의 판시와 사실관계를 고려할 때, 온라인 서비스 제공사업자들이 크롤링 분쟁에 대비하여 유의할 사항들을 정리해 보면 다음과 같습니다.

  • 온라인 서비스 제공사업자는 웹사이트나 데이터베이스가 보관된 서버에의 접근을 제한하기 위한 보안조치를 마련함으로써(예: 접속 허가 계정 관리, 암호화 등) 제3자의 크롤링 행위가 정보통신망 침입이나 데이터베이스제작자 권리 침해로 판단될 가능성을 높일 수 있습니다.
  • 웹페이지에 크롤링 금지 경고문구를 기재하고, 이용약관에 크롤링 행위를 금지하는 취지를 명확하게 기재한다면 크롤링 행위의 위법성이 인정될 가능성을 높일 수 있습니다.15
  • 일부 크롤링 분쟁 사건에서는 크롤링된 웹사이트와 크롤링한 사업자의 웹사이트에서 공통의 오류나 특이한 표현방식이 광범위하게 발견된다는 점이 데이터베이스의 상당한 부분의 복제 혹은 반복적·체계적 복제 사실을 인정하는 근거가 되었습니다.16 이와 같은 이른바 ‘워터마크(watermark)’ 정보(자연적인/인위적인 오류 혹은 비일반적인 표현방식)를 데이터베이스 소재에 삽입해 두면 크롤링 분쟁에서 크롤링 행위의 증거로 사용될 수 있습니다.
  • 다수의 하급심 판결에서 데이터베이스제작자가 ‘수작업’으로 정보를 수집 또는 분류하고 갱신·검증을 위해 지속적으로 현장을 방문하여 확인하는 등의 인적 투자를 한 것이 데이터베이스제작자의 권리 침해를 인정하는 중요한 사정이 되었습니다.17 데이터베이스 구축 과정에서 이와 같은 인적 투입요소에 관한 구체적인 기록 혹은 증빙자료를 많이 확보해 둔다면 크롤링 분쟁에서 권리 침해 인정 가능성을 높일 수 있습니다.18
  • 웹사이트에 회원 ID를 이용해 접근하는 경우 해당 웹사이트의 이용약관에서 크롤링을 금지하는지 여부, 크롤링할 정보가 누구에게나 공개된 것으로서 쉽게 수집할 수 있는 것인지 혹은 유료회원 등 제한적인 범위에서만 제공되는 것인지 여부는 크롤링 행위에 따른 법적 판단에 중요한 고려요소가 되므로 위와 같은 사항을 사전에 점검하는 것이 바람직할 것입니다.

 

1 서울중앙지방법원 2015. 11. 27. 선고 2014가합44470 판결(제1심); 서울고등법원 2016. 12. 15. 선고 2015나2074198 판결(항소심); 대법원 2017. 4. 13. 선고 2017다204315 판결(상고심).
2 서울중앙지방법원 2016. 2. 17. 선고 2015가합517982 판결(제1심); 서울고등법원 2017. 4. 6. 선고 2016나2019365 판결(항소심); 대법원 2017. 8. 24. 선고 2017다224395 판결(상고심).
3 2021. 12. 7. 법률 제18548호로 개정되어 2022. 4. 20. 시행된 개정 부정경쟁방지법상의 조항을 따른 것으로, 위 개정법 전의 구법상 조항은 동조 동호 (카)목입니다.
4 서울중앙지방법원 2020. 2. 11. 선고 2019고단1777 판결.
5 서울고등법원 2021. 1. 13. 선고 2020노611 판결.
6 대법원 2022. 5. 12. 선고 2021도1533 판결.
7 원심판결에서는 위와 같은 사정 외에, 피고인들이 크롤링해간 정보들이 피해자 회사가 숙박 영업 예약을 위해 이용자들에게 공개한 정보이고, 달리 피고인들이 피해자 회사의 API 서버에 접근하여 비공개 정보를 취득한 사정은 발견되지 않는다는 점도 추가로 설시하였습니다.
8 원심이 인용한 사실관계에 따르면, 피해자 회사의 데이터베이스에 포함된 50여개 숙박업소 정보 항목 중 피고인들이 크롤링한 항목은 적게는 3개, 많게는 8개였고, 이들 정보는 ‘업체명’, ‘주소’, ‘지역’ 등 피해자 회사가 이용자들에게 공개한 정보였습니다.
9 이와 관련된 원심의 구체적인 판단을 살펴보면, 피고인들의 크롤링 프로그램이 API 서버의 명령구문에 1,000km의 거리 정보를 입력한 것은 ‘주어진 명령구문에 대응하는 숙박업소 정보를 반환하는’ API 서버의 본래 목적에 따른 정보 호출이므로 ‘허위의 정보 또는 부정한 명령의 입력’으로 볼 수 없다는 점, 크롤링 행위 기간 중 피해자 회사의 API 서버에서 일부 접속 장애가 발생한 사실은 인정되나 이는 공휴일 등 특정 일자의 자연 이용자 증가에 따른 것이었을 가능성을 배제할 수 없다는 점 등을 들어 가해행위의 결과 현실적인 정보처리 장애의 발생을 부정하였습니다.
10 서울중앙지방법원 2021. 8. 19. 선고 2018가합508729 판결.
11 크롤링에 관한 대표적 사건인 ‘엔하위키미러 사건’과 ‘사람인 사건’의 항소심 판결을 비롯하여, 데이터베이스제작자 권리 침해와 부정경쟁방지법상 성과 도용 행위가 청구원인으로 함께 주장된 사건에서 선고된 최근 다수의 하급심 판결이 이러한 구조를 취하고 있습니다. 서울고등법원 2021. 8. 19. 선고 2020나2036862 판결; 서울중앙지방법원 2020. 7. 9. 선고 2018가합528464 판결; 서울고등법원 2021. 12. 9. 선고 2020나2042706 판결 등 참조.
12 김현숙, “크롤링을 이용한 공개데이터의 수집·활용의 법적 쟁점에 대한 비판적 검토”, 「강원법학」 제61권(2020), 237면 참조.
13 대상판결의 관련 민사 제1심 판결에서 데이터베이스제작자 권리 침해가 아닌 구 부정경쟁방지법 제2조 제1호 (카)목에 관한 청구원인만을 판단한 것이 대표적인 예입니다.
14 참고로, 하급심 판결이긴 하나 최근의 형사 판결인 서울남부지방법원 2021. 9. 8. 선고 2021고단588 판결에서는, 회원 계정을 이용해 두 피해자 회사의 구인정보 웹사이트에 각각 3만여 회 접속해 해당 웹사이트에 게재된 이력서 정보들을 상당한 양 수집했고, 이용약관에서 회원이 검색한 이력서 정보의 사용목적의 제한 및 무단 복제·재배포 금지의 내용이 명시되어 있던 사안에서, 정보통신망법 위반죄(정보통신망침입) 및 저작권법 위반죄(데이터베이스제작자 권리 침해)의 공소사실 모두에 대해 유죄로 판단한 점을 참고할 수 있습니다.
15 서울중앙지방법원 2020. 7. 9. 선고 2018가합528464 판결은 원고 웹사이트에 자신의 동의 없이 재배포, 무단전재 및 크롤링을 할 수 없다고 안내한 점을 데이터베이스제작자 권리 침해의 인정 근거 중 하나로 적시하였으며, 서울남부지방법원 2021. 9. 8. 선고 2021고단588 판결에서는 피해자 회사의 회원 약관에서 검색 서비스를 직용채용 및 채용중개 또는 구인 구직 이외의 목적으로 사용해서는 안 되고, 서비스를 이용하여 얻은 정보를 피해자 회사의 사전 동의 없이 복제·재배포할 수 없다는 점 등을 명시하고 있는 점을 정보통신망법 위반죄의 유죄 인정의 근거로 언급하였습니다.
16 서울중앙지방법원 2020. 9. 18. 선고 2018가합524486 판결 참조. 또한, 크롤링의 증거가 발견되지 않았음에도 데이터베이스제작자 권리 침해가 인정된 서울고등법원 2021. 12. 9. 선고 2020나2042706 판결에서도, 특이한 주소 정보 표시나 오기, 오류, 정보 누락, 정확한 정보를 확인할 수 없어 임의로 기재한 내용 등의 공통점이 양 데이터베이스에서 광범위하게 발견된다는 사실 인정을 바탕으로 데이터베이스의 상당한 부분의 복제 사실을 인정하였습니다.
17 서울중앙지방법원 2020. 9. 18. 선고 2018가합524486 판결 참조. 또한, 크롤링 사안은 아니지만 서울고등법원 2021. 12. 9. 선고 2020나2042706 판결 참조.
18 서울중앙지방법원 2021. 8. 19. 선고 2018가합508729 판결 참조.