공무상 조회 가능한 개인정보 팔아넘긴 미국 경찰관, 무죄 판결

경찰관이 자신의 직위를 이용해 민간인의 개인정보를 불순한 의도로 조회하고 이를 남에게 팔아넘긴다면? 적어도 컴퓨터 사기 및 남용 방지법(Computer Fraud and Abuse Act, CFAA) 위반은 아니라는 연방대법원(U.S. Supreme Court)의 판례 Van Buren v. United States, 141 S. Ct. 1648(U.S. 2021)가 지난 6월 3일에 나왔다. CFAA는 천문학적인 양의 정보가 컴퓨터에 저장·보관되는 정보사회에서 컴퓨터 및 인터넷 범죄뿐만 아니라 영업비밀의 도용·탈취에 맞서는 중요한 민·형사상 구제수단이다. 이번 달 뉴욕 IP-DESK 해외시장뉴스에서는 CFAA가 금지하는 “허용된 접근권한을 넘어선(exceeds authorized access)” 행위를 연방대법원이 어떻게 해석했는지 알아보고, 이 판례가 앞으로의 영업비밀 침해 분쟁에 미칠 영향에 대해 살펴본다.

원격으로 이루어진 Van Buren 구두 변론 생방송 중 대법관들의 질의 장면

자료: https://www.c-span.org/video/?477429-1/van-buren-v-united-states-oral-argument

원격으로 이루어진 Van Buren 구두 변론 생방송 중 피고 반 뷰렌 측 변호사 발언 장면

자료: https://www.c-span.org/video/?477429-1/van-buren-v-united-states-oral-argument

원격으로 이루어진 Van Buren 구두 변론 생방송 중 원고 법무부 측 변호사 발언 장면

자료: https://www.c-span.org/video/?477429-1/van-buren-v-united-states-oral-argument



영업비밀에 적용되는 대표적인 미국 연방법으로는 1986년에 제정된 컴퓨터 사기 및 남용 방지법(CFAA)과 2016년에 제정된 영업비밀보호법(Defend Trade Secrets Act, DTSA)이 있다. DTSA는 어떤 정보가 (1) 외부에 알려져 있지 않거나 확인할 수 없고, (2) 경제적 가치나 경영 우위를 제공하며, (3) 기밀인 상태를 유지하기 위해 권리자가 적절한 노력을 기울일 경우에 한하여 영업비밀로 보호받을 수 있다고 정의한다. 즉, 이 세 가지 요건 중 하나라도 갖추지 못할 경우 DTSA에 의거한 영업비밀 침해 주장은 성립할 수 없다. 반면, CFAA는 피고가 (1) “고의로 권한 없이 또는 허용된 접근권한을 넘어서 컴퓨터에 접근(intentionally accesses a computer without authorization or exceeds authorized access)”했고, (2) “보호된 컴퓨터(protected computer)”에서 정보를 취득했으며, (3) 1년간 입은 손해가 5,000달러 이상이라는 요건만 갖추면 된다.

이 같은 차이로 인해 영업비밀을 도용·탈취 당한 피해자들은 근거 법령으로 CFAA를 소장에 함께 제시하는 경우가 많았다. DTSA 및 주별 영업비밀보호법에서 규정하는 영업비밀의 요소 각각을 입증하지 않더라도 상대방이 정보에 대한 접근권한이 없거나 부여된 접근권한 범위를 넘어 컴퓨터에서 정보를 탈취할 경우, 입은 피해액이 5000달러를 초과하기만 하면 CFAA에 의거하여 제재할 수 있기 때문이다.

컴퓨터 사기와 관련 활동을 구체적으로 명시한 CFAA의 18 U.S.C. § 1030(e)(6) 조항은 “허용된 접근권한을 넘어선(exceeds authorized access)” 행위를 “접근권한이 있는 컴퓨터에 접속하여 해당 접근을 접근자가 취득 또는 변경할 권한이 없는 컴퓨터의 정보를 취득하거나 변경하는 데에 사용하는 것(to access a computer with authorization and to use such access to obtain or alter information in the computer that the accesser is not entitled so to obtain or alter)”으로 정의하며, 이 같은 위반 행위는 형사 처벌 대상이라고 § 1030(a)(2)조항에서 밝히고 있다. 그런데 항소법원마다 이 § 1030(e)(6) 조항의 의미를 다르게 해석해왔다는 점에 주목할 필요가 있다.

예를 들어, 직원 A가 당시 접근권한을 보유했던 회사 컴퓨터 내 기밀 전자문서를 새로 이직할 직장에서 이용할 목적으로 열람 후 퇴사했다고 가정하자. 제1순회항소법원, 제5순회항소법원, 제7순회항소법원, 제11순회항소법원은 “허용된 접근권한을 넘어선” 행위를 정보를 접근한 목적에까지 적용하여 광범위하게 해석한다. 즉, 주어진 목적에 합치하지 않는 모든 접근 행위는 불법이라는 것이다. 따라서 외부로 빼돌리고자 하는 불순한 의도로 회사 파일에 접근한 A의 행위는 이들 법원의 관할이 미치는 주/지역에서 CFAA 위반으로 간주된다. 하지만 제2순회항소법원, 제4순회항소법원, 제9순회항소법원은 “허용된 접근권한을 넘어선” 행위를 정보에 접속할 당시 보유하고 있었던 접근권한에 국한해 좁게 해석하기 때문에 위 사례에서 A는 CFAA를 위반하지 않았다는 결론이 도출된다. 이처럼 해당 지역의 항소법원이 § 1030(e)(6) 조항을 어떻게 해석하는 지에 따라 고용주가 전 직원을 CFAA 위반으로 고소할 수 있는지 여부가 결정되며, 나아가 소송 비용 및 승소 가능성에도 영향을 미칠 수 있다.


네이선 반 뷰렌(Nathan Van Buren)은 조지아주 커밍시(Cumming)의 경찰관으로 근무하던 중, 앤드류 앨보(Andrew Albo)라는 인물과 가까워졌다. 2015년 당시 재정난을 겪고 있던 반 뷰렌은 아들의 의료비 명목으로 앨보에게 약 15,000달러를 빌려달라고 부탁했다. 앨보는 둘 사이의 대화 내역을 몰래 여러 차례 녹음한 후, 공권 남용 및 금품 갈취로 반 뷰렌을 해당 카운티에 제보했다. 이 사건은 커밍시 경찰국과 조지아주 수사국을 거쳐 연방수사국(Federal Bureau of Investigation (FBI))에까지 보고되었고 결국 FBI는 반 뷰렌에 대한 함정수사에 착수하였다.

앨보는 함정수사의 일환으로, 자신이 지역 스트립 클럽에서 알게 된 한 여성의 자동차 번호판 정보를 반 뷰렌이 찾아봐주는 대가로 5,000 달러를 주겠다고 제안했다. 이를 수락한 반 뷰렌은 2015년 9월 경찰차에 달린 컴퓨터에 본인의 공무 계정으로 로그인해 조지아주 범죄정보센터(Georgia Crime Information Center) 데이터베이스에서 해당 인물에 대한 검색을 실시했고 요청한 자동차 등록 정보를 앨보에게 핸드폰 문자 메시지로 전송했다. 2016년 6월 조지아 연방검찰은 반 뷰렌을 전신 사기죄(18 U.S.C. §§ 1343, 1346, 1349 위반) 및 컴퓨터 사기죄(18 U.S.C. §§ 1030(a)(2)(C) & (c)(2)(B)(i) 위반) 혐의로 기소했다.


반 뷰렌은 조지아 북부 연방지방법원(U.S. District Court for the Northern District of Georgia)에서 2017년 10월에 진행된 배심원 재판 결과, 전신 사기와 컴퓨터 사기 유죄 판결과 18개월 징역형을 선고받았다. 이에 불복한 반 뷰렌은 제11순회항소법원(Court of Appeals for the Eleventh Circuit)에 항소하였다. 해당 CFAA 조항은 접근권한 없이 컴퓨터 정보에 접근한 이들에게만 적용되며, 자신은 당시 자동차 번호판 정보에 대한 적법한 접근권한을 갖고 있었기 때문에 CFAA를 어기지 않았다는 것이다.

제11순회항소법원은 2019년 10월에 발표한 판결문 United States v. Van Buren, 940 F.3d 1192 (11th Cir. 2019)에서 반 뷰렌의 전신 사기 유죄 판결을 파기 환송하는 반면, CFAA의 18 U.S.C. § 1030(e)(6) 조항에 명시된 “허용된 접근권한을 넘어선” 행위를 제1, 5, 7순회항소법원과 같이 폭넓게 해석하여 유죄 판결을 확정했다. 반 뷰렌은 이 같은 해석에 반발하며 연방대법원에 상고하였다.

항소법원마다 CFAA 조항에 대한 해석이 다르다보니 이를 일원화해야 할 필요성을 인지한 대법원은 2020년 4월에 반 뷰렌의 상고를 받아들였고, 그 해 10월 구두 변론을 진행하였다.


연방대법원은 6-3 결정으로, 적법한 접근권한을 가진 상태에서 부정한 목적으로 정보 취득 시 CFAA 위반으로 볼 수 없다고 판시했다. 이로써 반 뷰렌은 비로소 컴퓨터 사기죄 처벌을 면하게 되었다. 에이미 코니 배럿(Amy Coney Barret) 대법관이 작성한 2021년 6월 3일 자 판결문 Van Buren v. United States, 141 S. Ct. 1648(U.S. 2021)에서 밝힌 판결 논거는 다음과 같다.

1. 법조문이 나타내는 평이한 의미 분석

이 사건에서 가장 핵심이 되는 쟁점은 18 U.S.C. § 1030(e)(6) 조항의 구체적인 문구에 비춰봤을 때 반 뷰렌이 해당 컴퓨터에 있는 정보를 “취득할 권한이 있었는가(entitled so to obtain)”이다. 반 뷰렌 측은 자신이 경찰차에 설치된 컴퓨터를 이용해 조지아주 범죄정보센터 데이터베이스에 접속해 업무와 무관한 인물의 정보를 검색하고 열람한 사실은 맞지만, 당시 해당 데이터베이스에 적법한 접속권한을 가진 상태였기 때문에 허용된 접근권한을 넘어서지 않았고 따라서 CFAA 위반이 성립되지 않는다고 주장했다.

반면, 검찰 측은 § 1030(e)(6) 조항을 해석함에 있어 피고가 정보를 접근한 목적과 사용 의도를 고려해야 한다고 맞섰다. 반 뷰렌에게 부여된 조지아주 범죄정보센터 데이터베이스의 접근권한은 공무 수행을 위해 주어진 것이었고 앨보의 사적인 부탁에 따라 해당 인물을 검색한 반 뷰렌은 경찰관에게 부여된 접속권한을 초과했으니 CFAA를 위반한 죄로 형사 처벌을 받아 마땅하다라는 것이다.

연방대법원은 이 판결이 미칠 정책적 함의를 판단하기에 앞서 관련 법조문을 평이한 의미(plain language)로 해석해야 한다는 입장을 취했다. 여러 사전 자료를 인용하며 “so”의 의미와 용법을 분석한 끝에, § 1030(e)(6) 조항에 적힌 “취득할 권한이 없는(is not entitled so to obtain)”이란 문구는 “접근자가 접속권한을 부여받은 컴퓨터로 취득할 수 없는 정보(information that a person is not entitled to obtain by using a computer that he is authorized to access)”를 뜻한다는 결론을 내렸다.

또한, 대법원은 “액세스(access)”란 용어가 전통적으로 컴퓨터 업계에 뿌리를 두고 있으며, 업계에서 컴퓨터 시스템 자체 또는 시스템의 일부분(파일, 폴더, 데이터베이스 등)에 대한 접속을 의미한다는 점에 주목하였다. 때문에 “접근권한을 넘어선” 행위는 컴퓨터 사용자가 접속 특권(access privilege)을 갖고 있지 않은 시스템의 다른 부분에 접속하는 행위(act of entering)를 가리킨다고 봤다.

2. 법 조항의 구조적 의미 분석

CFAA는 정보를 불법적으로 취득하는 방식으로 다음 두 가지 상황을 구분해 기술하고 있다. 먼저 § 1030(e)(6) 조항에서는 “접근권한 없이 컴퓨터에 접근하는(accesses a computer without authorization)” 상황을 제시하는 반면, § 1030(a)(2)와 (e)(6) 조항에서는 “접근권한을 가지고(with authorization)” 접속한 다음 자신에게 “접근권한이 없는(not entitled so to obtain)” 정보를 취득할 때 “허용된 접근권한을 넘어선다고(exceeds authorized access)” 규정하고 있다.

전자의 경우 외부 해커로부터 컴퓨터 자체를 보호하고자 한 문구이고 후자는 내부 해커로부터 컴퓨터 내 특정 정보를 보호하고자 마련된 문구라는 반 뷰렌 측의 주장에 대법원도 수긍하였다. 이처럼 해석했을 때 관련 법 조항을 구조적으로 일관되게 이해할 수 있으며, 컴퓨터 업계의 언어 용법상 “액세스”가 “접속(entry)”을 나타내는 것과도 일맥상통한다는 이유에서였다.

3. 판결 결과가 사회에 미칠 영향 분석

대법원은 § 1030(e)(6) 조항이 규정하는 “허용된 접근권한을 넘어선” 행위를 광범위하게 해석할 경우 통상적인 정보보안 서약서나 회사의 컴퓨터 이용 방침을 어기는 시민들을 모두 범죄자로 만들어버릴 것이라는 점을 우려했다. 검찰 측의 주장대로 정보를 접근하는 목적까지 함께 고려한다면, 직원이 고용주의 허락없이 사무용 컴퓨터로 사적인 이메일을 보내거나 뉴스 또는 스포츠 경기 점수를 확인하는 행위, 온라인 데이팅 웹사이트의 프로필 정보를 과장하는 행위, 페이스북(Facebook)에서 가명을 사용하는 행위, 회사 컴퓨터로 고지서를 납부하는 행위 등 일상 속에서 일어나는 수많은 행위들이 CFAA 위반으로 간주될 것이기 때문이다.

이외에도 대법원은 § 1030(e)(6) 조항을 광범위하게 해석할 경우 아무리 사소한 CFAA 위반 행위에 대해서도 검찰이 막대한 재량을 갖고 있는 기소권을 행사할 수 있고 형사 책임을 임의로 판단할 수 있는 여지가 지나치게 크다는 점을 지적했다. 특히 조직마다 정보보안 및 컴퓨터 이용 방침을 구체적으로 어떻게 작성하느냐에 따라(예를 들어 업무와 무관한 목적으로 기밀 데이터베이스에 접속하는 행위를 금지하는지, 또는 취득한 정보를 업무와 무관한 목적으로 활용하지 못하도록 금지하는지에 따라) CFAA에 따른 형사 처벌 여부가 달라질 수 있으므로 이는 바람직하지 않다고 봤다.


지금까지 살펴봤듯이 개인이 컴퓨터에 접근권한을 가진 상태로 접속한 다음, 자신에게 접근권한이 없는 부분(이를테면 파일, 폴더, 데이터베이스 등)에 접속해 정보를 취득할 때, 연방대법원은 CFAA 맥락에서 허용된 접근권한을 넘어선 것으로 판단한다. 반 뷰렌의 경우, 당시 경찰관으로써 자동차 등록 정보 열람을 위해 범죄정보센터 시스템에 접속할 권한을 보유하고 있었기 때문에 비록 그가 취득한 정보를 이후 부적절한 목적으로 사용했음에도 CFAA를 위반하지 않았다.

이번 판결로 인해, 그간 CFAA를 폭넓게 해석해왔던 제1, 5, 7, 11 순회항소법원의 관할 지역에서는 CFAA 위반 혐의 기소건이 감소할 것으로 전망된다. 지난 6월 6일 Law360에 기고한 논설에서 법무법인 Patterson Belknap Webb & Tyler LLP의 해리 샌딕(Harry Sandick) 변호사와 제이콥 체핏츠(Jacob Chefitz) 변호사는 "검찰청 검사들의 왜곡된 연방형사법 해석과 공격적인 기소권 행사로 사회 전반에 과잉범죄화가 야기되었으며, Van Buren 판결은 이 같은 현상에 제동을 걸기 위한 사법부의 노력이다"라고 설명했다.

형사 소송뿐만 아니라 영업비밀 탈취 상황에서 CFAA를 인용해 민사 소송을 제기하는 원고들에게도 이 판결은 상당한 제약으로 작용할 듯 하다. 대법원의 판시 사항에 따르면 위에서 예시로 언급한, 재직 당시 접근권한을 가졌던 회사 정보를 탈취해 퇴사한 전 직원 A의 경우 표면적으로 CFAA을 위반했다고 보기 어렵기 때문이다. 따라서 기밀 정보를 탈취당한 회사는 A가 훔친 정보가 영업비밀임을 입증하고, DTSA나 해당 주의 영업비밀보호법을 바탕으로 법적 대응을 해야 한다. 뉴욕주 소송 변호사 P씨는 “DTSA 위반을 근거로 민사 소송을 진행하는 경우, 영업비밀 도용 행위가 발견되었거나 합리적인 주의 노력을 기울였다면 발견할 수 있었을 시점으로부터 3년 이내에 청구되어야 한다”며, “피고의 불법 행위가 일어난 시점 또는 피고의 불법적인 컴퓨터 액세스나 손상 발생에 대해 원고가 알아차린 시점으로부터 2년인 CFAA 위반 공소시효보다는 길다”고 덧붙였다.

다만, 영업비밀 피침해 상황에서 CFAA로 제재할 수 있는 옵션이 아예 사라지는 것은 아니다. 이를테면 특정 직원이 고용계약서, 기밀유지협약(non-disclosure agreement), 정보보안 서약서, 컴퓨터 이용 방침 등을 위반할 경우 회사와의 대리인(agency) 관계가 즉시 말소되며 이와 동시에 컴퓨터 및 파일에 대한 접근권한도 함께 소멸된다는 내용이 해당 계약서나 회사 내규에 명시되어 있는 경우이다. 회사가 보유한 기밀 서류의 다운로드를 전면 금지하는 계약서 또는 내규 조항에도 불구하고 만일 어떤 직원이 영업비밀 탈취를 위해 기밀 서류를 다운로드 받았다면, 다운로드 행위가 이루어지는 즉시 계약서 및 내규를 위반하게 되고 파일에 대한 접근권한도 사라지기 때문에 CFAA를 사용한 법적 대응의 가능성이 열려있다고 볼 수 있다.

따라서 자사의 영업비밀을 보다 효과적으로 관리하려는 기업들은 직원 또는 외부 기관들과 맺을 계약서에 이 같은 내용을 주도면밀하게 반영하여 잠재적인 영업비밀 분쟁 상황에서 유리한 입지를 차지하도록 대비해야 하겠다. 이러한 우리 기업들의 고부가가치 기밀 정보자산을 보호하고자, KOTRA 뉴욕 IP-DESK는 올해 기밀유지협약 작성 및 검토 지원사업(https://mailchi.mp/cc7f3f8f4041/nda-program)을 마련하였다. 우리 기업이 개발·제조한 상품·서비스를 미국에 판매·유통하는 과정에서 서비스업체들로부터 입찰을 받을 때 미국 내 다른 파트너와 전략적 제휴나 공동 마케팅 사업을 추진할 때 잠재적인 파트너 기업과 인수·합병, 투자 유치 또는 기타 협업 가능성을 타진해보기 위해 심층 논의가 필요할 때 현지 변호사의 법률 자문을 통해 자사의 이익이 최선으로 보호받을 수 있도록 기업들의 많은 참여를 바란다.


자료: Computer Fraud and Abuse Act of 1986, 18 U.S.C. § 1030; Defend Trade Secrets Act of 2016, 18 U.S.C. § 1839; Van Buren v. United States, 141 S.Ct. 1648 (U.S. 2021); United States v. Van Buren, 940 F.3d 1192 (11th Cir. 2019); International Airport Centers v. Citrin, 440 F.3d 418 (7th Cir. 2006); United States v. Vanburen, No. 1:16-CR-243-ODE, 2018 WL 11081616 (N.D. Ga. Apr. 26, 2018); Uniform Law Commission, Uniform Trade Secrets Act (1985), https://www.uniformlaws.org/HigherLogic/System/DownloadDocumentFile.ashx?DocumentFileKey=e19b2528-e0b1-0054-23c4-8069701a4b62; Van Buren v. United States Oral Argument, C-SPAN (Nov. 30, 2020), https://www.c-span.org/video/?477429-1/van-buren-v-united-states-oral-argument; Harry Sandick & Jacob Chefitz, CFAA And The High Court's Fight Against Overcriminalization, Law 360 (Jun. 6, 2021), https://www.law360.com/articles/1391382/cfaa-and-the-high-court-s-fight-against-overcriminalizatio 등 KOTRA 뉴욕 무역관 자료 종합