정보통신망/개인정보범죄
정보통신망/개인정보범죄는 서버·계정·시스템에 대한 무단 접근과 악성프로그램 이용, 정보 훼손·비밀 침해뿐 아니라 개인정보의 수집·이용·제공·유출 과정에서 정보주체의 자기결정권을 침해하는 범죄군입니다. 기업의 고객DB, 텔레마케팅 명단, CCTV 영상, 임직원 정보, 온라인 계정정보, 해킹으로 취득된 자료 등은 행위자의 권한, 이용 목적, 제3자 제공 여부,
- 정보통신망/개인정보범죄 | 정의
- - 성립 구조
- - 접근권한과 개인정보 처리의 경계
- 정보통신망/개인정보범죄 | 유형
- - 정보통신망 침입·악성프로그램·정보 침해
- - 개인정보 무단 제공·누설·유출
- - 거짓·부정한 수단의 개인정보 취득
- - CCTV·목적 외 이용·제공
- 정보통신망/개인정보범죄 | 처벌 기준
- - 유형별 법정형
- - 수사·양형 판단 요소
- - 실제 판례
- 정보통신망/개인정보범죄 | 피의자라면?
- - 권한·목적·가담 범위 쟁점
- - 서버로그·포렌식·유출 대응
- 정보통신망/개인정보범죄 | 피해자·사업자라면?
- - 침해·유출 증거 확보
- - 신고·통지·재발방지 대응
- 정보통신망/개인정보범죄 | 홀로 대응하기 어렵다면?
정보통신망 관련 범죄는 시스템의 안정성과 저장·전송되는 정보의 신뢰성을 보호합니다. 정당한 접근권한 없이 타인의 계정이나 관리자 페이지, 회사 서버, 온라인 서비스 시스템 등에 접속하거나, 허용된 권한 범위를 넘어 접근하면 정보통신망법상 침입이 문제될 수 있습니다. 악성프로그램을 전달·유포하거나 타인의 정보와 비밀을 침해·도용·누설하는 행위 역시 형사책임의 대상이 됩니다.
개인정보 범죄는 이름·연락처·주민등록번호와 같은 정형화된 정보뿐 아니라 CCTV 영상, 접속정보, 구매이력, 근무태도처럼 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 자료까지 대상으로 할 수 있습니다. 개인정보처리자가 정보를 수집하거나 제3자에게 제공한 경위, 동의 또는 법적 근거의 존재, 목적 범위 내 이용인지, 업무상 알게 된 정보를 권한 없이 넘겼는지, 정보가 외부로 유출되었는지를 살펴야 합니다.
정보통신망 침입에서 접근권한의 범위는 원칙적으로 서비스제공자나 시스템 관리자가 부여한 권한을 기준으로 판단됩니다. 비밀번호를 알고 있었거나 이전에 업무상 접속한 경험이 있다는 이유만으로 퇴사 후 또는 목적 외 접속이 허용되는 것은 아닙니다. 반대로 승인된 업무 범위 안의 정상적 접속인지, 타인의 인증정보를 이용했는지, 권한 설정이 어떻게 되어 있었는지는 구체적으로 확인해야 합니다.
개인정보는 적법하게 보유하고 있었더라도 이후의 이용·제공 방식이 문제될 수 있습니다. 수집 목적 범위를 넘어 징계, 마케팅, 영업판매, 외부 전달 등에 활용하였다면 목적 외 이용 또는 제3자 제공이 다투어질 수 있고, 수사기관이나 법원에 제출한 경우에는 목적과 필요성, 최소한의 제출인지, 비실명화 조치 가능성 등을 고려하여 정당행위 여부가 검토될 수 있습니다.
정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 접속하면 정보통신망법 제48조 제1항 위반이 문제됩니다. 악성프로그램을 이용하여 사용자가 알지 못하는 사이 특정 명령을 실행하게 하거나 시스템 운영에 장애를 발생시키는 행위, 타인의 정보를 훼손하거나 비밀을 침해·도용·누설하는 행위도 처벌될 수 있습니다.
개인정보처리자가 정보주체의 동의나 법률상 근거 없이 개인정보를 제3자에게 제공하면 개인정보 보호법 위반이 문제될 수 있습니다. 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 행위, 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 이용·훼손·멸실·변경·위조·유출한 행위도 중하게 규율됩니다.
경품행사나 회원가입을 가장하여 실제 목적을 숨기고 개인정보를 수집하거나 동의를 받는 행위, 해킹·기망 등 사회통념상 부정한 방법으로 개인정보를 취득한 뒤 영리 또는 부정한 목적으로 제3자에게 제공하는 행위는 별도 범죄가 될 수 있습니다. 다만 이미 동의 없이 유통되는 개인정보를 매입했다는 사실만으로 곧바로 특정한 부정취득죄의 구성요건이 자동 인정되는 것은 아니며, 취득 수단과 인식·목적이 구체적으로 증명되어야 합니다.
사람을 알아볼 수 있는 CCTV 영상은 개인정보에 해당할 수 있습니다. 영상을 열람한 뒤 영상에서 추출한 근무태도나 행동정보를 징계, 평가, 외부 보고 등 수집 목적과 다른 목적으로 사용한 경우에는 개인정보의 목적 외 이용 여부가 문제될 수 있습니다. 수집 당시 고지한 목적, 법률상 허용 근거, 제공 상대방, 필요한 최소 범위인지가 중요합니다.
정보통신망/개인정보범죄는 디지털 자료가 핵심 증거가 되며, 접근기록·다운로드 이력·외부전송 내역·계좌 흐름·동의서 양식·위탁계약·CCTV 열람기록이 수사 과정에서 집중적으로 분석됩니다. 대량 개인정보 또는 민감정보·고유식별정보가 포함되거나, 영리 목적으로 판매·활용한 경우에는 형사처벌 외에도 과징금, 행정제재, 민사상 손해배상 위험이 함께 커질 수 있습니다.
정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하거나, 정보통신망에 장애를 발생하게 하거나, 법이 금지하는 프로그램·기술적 장치 등을 설치·전달·유포하거나, 타인의 정보를 훼손하거나 비밀을 침해·도용·누설한 경우에는 주요 위반행위에 대하여 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처할 수 있습니다. 정보통신망 침입의 미수범도 처벌됩니다.
정보주체의 동의 없이 개인정보를 제3자에게 제공하거나, 목적 외 이용·제공을 하거나, 업무상 알게 된 개인정보를 누설하거나 권한 없이 이용하도록 제공하거나, 허용된 권한을 초과하여 개인정보를 이용·훼손·멸실·변경·위조·유출한 경우에는 조항별 요건에 따라 5년 이하의 징역 또는 5천만 원 이하의 벌금 대상이 될 수 있습니다.
개인정보를 처리하거나 처리하였던 자가 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리 동의를 받은 경우, 또는 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 경우에는 제72조 제2호에 따라 3년 이하의 징역 또는 3천만 원 이하의 벌금이 문제될 수 있습니다. 다른 사람이 처리하는 개인정보를 부정한 수단으로 취득한 후 영리 또는 부정한 목적으로 제3자에게 제공한 경우에는 제70조 제2호가 별도로 검토됩니다.
- 시스템·계정·관리자페이지 등에 대한 정당한 접근권한과 허용 범위가 있었는지 여부
- 악성프로그램, 스크립트, 크롤링·자동화 도구, 인증정보 이용 등 구체적 접근 방법
- 개인정보의 항목, 규모, 민감정보·고유식별정보·영상정보 포함 여부
- 개인정보의 수집·이용·제공에 대한 동의 또는 법률상 근거 존재 여부
- 처리위탁인지 제3자 제공인지, 제공받은 자의 독자적 이익과 이용 목적
- 거짓 경품행사, 기망, 해킹, 개인정보 매입 등 취득 과정의 부정성 및 인식
- 판매대금, 광고·텔레마케팅 이용, 유출 이후 확산과 피해 정도
- 접근로그·전송기록·포렌식·삭제복구·동의서·계약서·CCTV 열람기록 확보 여부
- 유출 통지·신고, 시스템 차단, 피해확산 방지, 피해회복, 내부통제 개선 노력
정보통신망/개인정보범죄 혐의로 조사를 받게 되었다면 단순히 자료를 열람하거나 전달했다는 사실만으로 대응해서는 안 됩니다. 접속 권한이 있었는지, 권한 범위를 넘었는지, 개인정보처리자 지위에 있었는지, 전달이 처리위탁인지 제3자 제공인지, 실제 영리 또는 부정한 목적이 있었는지에 따라 적용 조문과 방어 방향이 달라집니다.
- 계정 발급내역, 권한설정표, 업무분장, 위탁계약서, 퇴사·권한회수 시점을 확보하기
- 개인정보 수집 동의서, 고지문, 수집 목적, 제3자 제공 동의 및 이용목적을 확인하기
- 자료 전달이 위탁업무 수행인지, 상대방의 영업·독자적 이익을 위한 제공인지 구분하기
- 개인정보를 제공받은 경우 위법 제공 사실과 영리·부정 목적을 인식했는지 정리하기
- 해킹·악성프로그램·무단로그인 주장이 있다면 설치·접속·전송행위별 관여 범위를 확인하기
정보통신망 사건은 서버 접속로그, 관리자권한 변경, IP기록, 프로그램 실행 흔적, 이메일 전송, 외장저장장치 사용기록이 핵심 자료가 됩니다. 개인정보 사건은 DB 추출내역, 파일명과 건수, 매각·광고활용 정산, CCTV 열람 로그, 정보주체 동의 절차가 중요합니다. 조사 이전에 자료를 임의 삭제하거나 시스템을 변경하면 증거인멸 또는 불리한 정황으로 평가될 수 있습니다.
- 접속·다운로드·전송·삭제 로그와 관련 기기를 원본 상태로 보존하기
- 개인정보 항목과 건수, 민감정보·고유식별정보 포함 여부를 정확히 확인하기
- 유출이 확인된 경우 확산 차단, 통지·신고, 보안조치 내역을 기록하기
- 수사기관·법원 제출 사안은 제출 목적과 필요 최소범위, 비실명화 가능성을 정리하기
- 피해회복, 내부권한 재정비, 재발방지 교육, 보안점검 자료를 양형자료로 준비하기
계정 침해나 개인정보 유출 피해를 발견했다면 먼저 추가 접근과 확산을 차단하고, 로그와 원본 데이터를 훼손하지 않는 상태에서 침해 경위를 확인해야 합니다. 사업자는 정보주체 보호와 함께 법령상 통지·신고, 시스템 보완, 위탁업체 관리, 내부자 접근통제를 함께 검토할 필요가 있습니다.
- 비정상 로그인, 관리자권한 변경, 파일 다운로드·반출, 이메일·메신저 전송 로그를 보존하기
- 악성코드 감염, 외부접속, 계정 탈취가 의심되면 포렌식 전 원본 이미징과 로그 백업을 진행하기
- 유출된 개인정보의 항목·건수·민감도·유출시점·외부 공개 또는 판매 정황을 파악하기
- 개인정보 판매게시물, 텔레마케팅 연락, 피해 신고, CCTV 무단 이용 정황을 캡처·보존하기
- 위탁사·퇴직자·내부 직원이 관련된 경우 권한부여와 자료 접근·반출 내역을 확보하기
개인정보처리자는 침해사고가 확인된 경우 유출 규모와 정보의 성격, 위험성을 파악하여 관련 법령상 정보주체 통지와 신고 의무, 안전조치 및 재발방지책을 검토해야 합니다. 형사고소에서는 접근권한의 부재, 개인정보 처리 근거의 부재, 제공·유출 경로, 영리목적과 피해확산 정황을 구체적으로 정리하는 것이 중요합니다.
정보주체는 계정 비밀번호 변경, 추가 인증 설정, 명의도용·금융피해 모니터링과 함께 개인정보 침해 신고, 형사고소, 손해배상 또는 분쟁조정 절차를 검토할 수 있습니다. 사업자는 사고 대응 과정 자체가 이후 책임 판단의 자료가 되므로, 초기 조치와 조사 결과를 일관되게 기록해야 합니다.
정보통신망/개인정보범죄는 파일이나 개인정보가 오갔다는 사실만으로 결론이 정해지지 않습니다. 시스템 접근권한의 범위, 악성프로그램이나 해킹 여부, 개인정보 수집·이용·제공의 법적 근거, 영리·부정 목적, 제3자 제공과 처리위탁의 구별, 유출 이후의 피해확산과 대응조치를 함께 살펴야 합니다.
피의자 입장에서는 권한 있는 업무처리인지 목적 외 이용·제공인지, 개인정보 제공을 받은 목적과 인식이 무엇인지 자료로 설명해야 하고, 피해자·사업자 입장에서는 로그·포렌식·동의서·전송기록·통지 및 보안조치 자료를 신속히 확보하여 피해 회복과 책임 추궁을 준비하는 것이 중요합니다.
법무법인 오현은 정보통신망 침입, 악성프로그램·정보 훼손·비밀 침해, 개인정보 무단 수집·제공·누설·유출, CCTV 목적 외 이용 및 개인정보 부정취득 사건에서 수사 초기 진술 정리부터 디지털 증거 분석, 피해확산 방지, 고소 대리, 행정·민사 대응 및 재판 대응까지 단계별 조력을 제공합니다.
