보안이 허술한 인터넷 사이트에 접속해 동료들의 다면평가 결과를 확인하고 타인에게 전송한 회사원을 처벌할 수 없다는 대법원 판단이 나왔다. 접근권한도 제한되지 않았고, 부정한 방법도 사용하지 않았기 때문에 정보통신망 침입이 아니라고 본 것이다.

대법원 1부(주심 오경미 대법관)는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 기소된 A씨의 상고심에서 징역 8개월에 집행유예 2년을 선고한 원심을 깨고 사건을 수원지법으로 돌려보냈다고 15일 밝혔다.

인사 관리를 위해 직원간 다면평가를 시행한 회사는 직원들의 이름과 소속, 평가점수, 평가자의 서술평가가 기재된 다면평가 결과를 인터넷 웹사이트에 게재했다. 또 결과가 게재된 개별 인터넷 주소(URL)를 직원에게 전송해 확인하게 했다.

A씨는 2020년 1월 사내 다른 직원들의 다면평가 결과를 열람하고 이를 캡처해 보관하다 간부급 직원에게 전달한 혐의로 기소됐다.

다면평가 개발·조사 용역을 맡은 업체가 제작한 결과조회 페이지는 URL 끝자리숫자만 바꾸면 타인의 결과를 볼 수 있을 정도로 허술했는데 A씨는 이 점을 이용했다.

정보통신망법 위반 혐의로 재판에 넘겨진 A씨는 "개인정보취급 담당자로서 다면평가자료 보안에 문제가 있음을 발견하고 관련 증거를 수집하기 위해 캡처한 것일 뿐"이라며 "상사의 자료 요구에 따라 전송한 행위도 누설이라고 할 수 없다"고 주장했다. 쟁점은 다른 사람의 다면평가 결과를 열어본 뒤 해당 정보를 저장·전달한 행위가 정보통신망법 위반에 해당하는지였다.

1·2심 법원은 A씨의 혐의를 유죄로 인정해 징역 8개월에 집행유예 2년을 선고했다. A씨가 정보통신망법이 금지하는 '정당한 접근권한 없이 정보통신망에 침입한 행위'를 했다고 인정했다.

그러나 대법원은 이 판단이 잘못됐다며 무죄 취지로 사건을 파기하고 다시 재판하도록 돌려보냈다.

대법원은 "아무런 보호조치 없이 인터넷 페이지의 주소를 입력하는 방법만으로도 결과를 열람할 수 있도록 한 이상 페이지 접근권한을 평가대상자인 임직원 본인으로 제한했다고 보기 어렵다"고 판단했다. 이어 "피고인이 인터넷 페이지 주소의 일부 숫자를 바꿔 넣는 방법으로 타인의 다면평가 결과가 게시된 페이지에 접속했더라도 정보통신망에 침입하는 행위에 해당한다고 할 수 없다"고 설명했다.

대법원은 "피고인은 일부 인터넷 주소를 변경해 입력한 것 외에 별도의 행위를 하지 않았다"며 "타인의 비밀에 해당하는 다면평과 결과를 부정한 수단이나 방법으로 취득했거나 누설했다고 할 수 없다"고 밝혔다.

검찰은 보안 조치를 충실히 하지 않은 개발업체와 업체 대표도 A씨와 함께 기소했다. 이들은 1심에서 벌금 500만원을 선고받고 항소하지 않아 형이 확정됐다.

한편 앞서 회사는 1심 판결이 나온 뒤 A씨를 해고 처분했지만, A씨의 부당해고 구제 신청이 받아들여졌다. 회사는 해고가 정당하다며 소송을 냈지만 서울행정법원 1심은 "징계가 부당하다"며 A씨의 손을 들어줬다.