크롤링, 기획자가 보안부터 챙겨야 하는 이유

💡이 글을 통해 알게 되는 것

• 크롤링이 무죄가 된 이유와 전망
• 크롤링 기술의 합법적 활용 사례

---

크롤링 사건

경쟁사의 서버에서 데이터를 대량으로 수집한 일명 '여기어때 크롤링 사건'. 많은 분이 기억하시겠지만, 대법원의 최종 결론은 '전부 무죄'였습니다. (대법원 2022. 5. 12. 선고 2021도1533 판결) 일반적인 상식으로는 "남의 정보를 몰래 가져갔으니 범죄 아닌가?"라고 생각하기 쉽습니다.

 

하지만 대법원은 형사법의 대원칙인 '죄형법정주의(엄격해석의 원칙)'를 들어 범죄가 성립하지 않는다고 판단했습니다. 오늘은 대법원이 검찰의 기소 내용을 하나하나 깨트린 3가지 핵심 법리를 정리해 드립니다.

---

사건의 발단

후발 주자의 욕심

2015년 당시, 숙박 앱 시장의 압도적 1위는 10년 업력의 ‘야놀자’였습니다. 후발 주자인 ‘여기어때’는 공격적인 마케팅으로 추격에 나셨지만, 야놀자가 오랜 시간 축적해 온 방대한 숙박업소 데이터베이스를 단기간에 따라잡기는 힘들었습니다.

 

마음이 급했던 여기어때는 경쟁사 데이터를 기술적으로 복제하기로 합니다. 크롤링이죠. 야놀자 측이 이상 접속을 감지하고 IP를 차단했으나, 여기어때는 IP를 세탁해가며 집요하게 접속했고, 그 횟수가 무려 1,600만 건에 달했습니다. 이는 검찰 수사와 법적 공방으로 이어져 대법원까지 가게됩니다.

---

대법원의 판결

침입이 아니다

검찰은 여기어때가 야놀자 서버에 무단으로 접속한 것을 ‘침입’으로 보고 기소했습니다. 이에 대해 대법원의 판단은 다음과 같았습니다.

 

1. 잠금 장치가 없으면 침입이 아니다

 정보통신망법 

대법원은 ‘여기어때’가 ‘야놀자’ 서버에 접속한 행위를 '침입'으로 보지 않았습니다.

쟁점은 관리자가 접속을 거부(IP 차단)했는데도, 우회해서 들어간 것이 '침입'인지에 대한 것이었습니다. 대법원은 침입이 아니라고 판단하며 다음과 같은 접근권한의 해석을 들었습니다.

👩‍⚖️ '침입'이 성립하려면 타인의 정보통신망에 대한 '보호 조치(비밀번호, 인증 등)'가 있는데 이를 뚫고 들어가야 한다. 하지만 야놀자의 API 서버는 별도의 회원가입이나 인증 없이, 누구나(익명 사용자) 데이터를 요청하면 정보를 보내주도록 설계되어 있었다.

 

대법원은 애초에 대문(접근 권한)을 활짝 열어둔 상태라면, 주인이 싫어하는 사람(경쟁사)이 들어왔다고 해서 법적으로 '주거침입'처럼 처벌할 수는 없다고 본 것입니다. 즉, IP 차단은 "오지 마"라는 의사 표시일 뿐, 기술적인 '접근 통제 장치'를 훼손한 해킹 행위와는 다르다고 판단했습니다.

 

2. 단순 정보는 보호 대상이 아니다

 저작권법 

검찰은 야놀자가 구축한 숙박 정보 데이터베이스를 복제했으므로 저작권법 위반이라고 주장했습니다. 쟁점은 숙박업소의 주소, 가격, 사진 등을 모아놓은 것이 저작권 보호 대상인지에 대한 것이었습니다. 대법원은 형사상 처벌할 정도로 입증되지 않기에 죄가 되지 않는다고 판결했으며 이유는 다음과 같습니다.

👩‍⚖️ 저작권법에서 보호하는 DB는 정보의 선택과 배열에 ‘창작성’이 있거나, 제작에 ‘상당한 투자’가 들어가야 한다. 따라서 단순한 팩트(상호, 주소, 가격)의 나열은 창작성이 있다고 보기 어렵다. 또한, 형사 처벌을 하려면 피고인이 복제한 내용이 전체 DB의 가치를 훼손할 만큼 질적·양적으로 상당한 부분이어야하는데, 검찰이 제출한 증거만으로는 이를 명확히 입증하기 어렵다.

💬 질문 1 : 1600만 건이 별거 아닌가요?

우리는 '1,600만 건'이라는 숫자 자체에 압도되지만, 법원은 이를 '분모(전체 데이터)' 대비 '분자(가져간 데이터)'의 비율로 봅니다.

• 법원의 논리 : 야놀자가 보유한 전체 데이터베이스는 숙박업소 정보뿐만 아니라 예약 기록, 회원 정보, 결제 데이터, 리뷰, 사진, 내부 알고리즘 값 등 방대한 데이터로 구성되어 있습니다.
• 판단 : 여기어때가 가져간 '상호, 주소, 가격, 방 이름' 등의 정보는 야놀자의 전체 DB 크기에서 차지하는 비중이 전체의 대다수를 차지할 만큼 압도적이지는 않다고 본 것입니다.
• 비유 : 도서관(야놀자 DB)에서 책 100권(1,600만 건)을 복사해 갔습니다. 100권은 많아 보이지만, 그 도서관에 책이 100만 권 있다면? 법원은 "도서관을 통째로 훔친 건 아니네"라고 보는 것입니다.

💬 질문 2 : 질적으로 문제가 없나요?

법원은 ‘가져간 정보가 정말 야놀자가 큰돈을 들여 만든 핵심 가치(Essence)인가’와 같이 질적인 가치를 따졌습니다.

• 단순 사실 정보 : 가져간 정보(상호, 주소, 전화번호, 가격)는 사실 인터넷 검색이나 전화 한 통이면 알 수 있는 공개된 팩트들에 가깝습니다.
• 법원의 논리 : 이 정보들은 개별적으로는 흩어져 있는 단순 사실에 불과하고, 누구나 수집할 수 있는 정보이다. 야놀자가 이 정보들을 모으는 데 투자는 했겠지만, 이것이 야놀자 DB만의 독창적인 체계나 고도의 부가가치를 담은 '핵심 정수'라고 보기는 어렵다.
• 결론 : 만약 야놀자만의 '독자적인 추천 알고리즘 점수'나 '유료 회원만 볼 수 있는 정보'를 가져갔다면 결과는 달랐을 겁니다. 하지만 누구나 볼 수 있는 '가격표'와 '주소'를 모아간 것은 질적으로 '상당한(핵심적인) 침해'가 아니라고 본 것입니다.

 

3. 정상적인 신호는 공격이 아니다

 업무방해죄 

검찰은 대량의 접속 요청(크롤링)을 보내 서버에 부하를 준 행위를 ‘컴퓨터 등 장애 업무방해’ 혐의로 기소했습니다. 쟁점은 1초에 수백 번씩 접속해 서버를 힘들게 한 것이 업무방해인가에 대한 것이었습니다. 대법원은 부정한 명령의 부재로 업무방해죄가 성립하지 않다고 판결했으며 상세한 이유는 다음과 같습니다.

👩‍⚖️ 형법상 컴퓨터 업무방해가 되려면 바이러스를 심거나, 디도스(DDoS) 공격처럼 시스템을 다운시킬 의도로 '부정한 명령'을 입력해야 합니다. 하지만 크롤링 프로그램이 보낸 신호는 일반 사용자가 앱을 터치할 때 보내는 신호(Request)와 기술적으로 동일한 '표준 명령'이었습니다.

단순히 접속량이 많았다는 이유만으로는 시스템을 훼손하거나 '허위의 정보'를 입력한 것으로 볼 수 없으며, 실제로 야놀자 서버가 다운되는 등의 물리적 장애도 발생하지 않았습니다.

---

핵심 메시지

인증 및 암호화로 문을 잠가라

👩‍⚖️ 기술적 보호 조치(비밀번호 등) 없이 공개된 정보에 접근한 행위는, 비록 그것이 대량의 자동화된 수집(크롤링)이라 할지라도 '해킹(침입)'이나 '업무방해'라는 형사 범죄로 처벌할 수 없다

 

이 판결은 우리에게 명확한 가이드 라인을 제시합니다.

“형사 처벌을 원한다면, '들어오지 마'라고 말만 하지 말고(IP 차단), 문을 잠가라(인증/암호화).”

법원은 도덕적으로 비난받을 소지가 있다는 이유만으로, 명확한 법 조항 없이 피고인을 형사 처벌하는 것은 허용될 수 없다는 죄형법정주의 원칙을 다시 한 번 확인해 주었습니다.

---

전망과 리스크

악용 사례가 무작정 늘어날까?

오히려 '창과 방패'의 싸움이 더 치열해질 것입니다. 왜냐면 단순히 "무죄니까 괜찮아"라고 하기엔 3가지 강력한 제동 장치가 여전히 작동하고 있기 때문입니다.

 

1. 민사로 폐업 가능

형사 재판(2021도1533)에서 무죄가 났다고 해서, "돈을 안 물어줘도 된다"는 뜻은 결코 아닙니다.

• 부정경쟁방지법의 존재 : 기업 입장에서 가장 무서운 건 대표이사가 감옥에 가는 것(형사)도 있지만, 수십억 원의 손해배상을 해서 회사가 문을 닫는 것(민사)입니다.
• 현실 : 법원은 여전히 "남의 성과를 무임승차해서(크롤링), 경쟁 제품을 만드는 행위"를 부정경쟁행위로 엄격하게 보고 있습니다. 실제로 이 사건의 민사 2심 재판부는 '부정경쟁행위'를 인정해 10억 원의 손해배상 판결을 내린 바 있습니다. (현재 대법원 파기환송으로 재심의 중).

비록 형사 재판 결과의 영향으로 다시 심리 중이긴 하지만, 법원은 유사한 사건(채용정보 크롤링 등)에서 꾸준히 '무단 크롤링은 민사상 불법행위'라고 판결하고 있습니다. 즉, 감옥은 피할 수 있어도 회사의 존립을 위협하는 거액의 배상 책임에서는 결코 자유로울 수 없다는 뜻입니다.

 

2. 확실한 기술적 보호 조치

이 판결은 데이터 보유 기업들에게 보안장치가 없으면 법이 지켜주지 못한다는 아주 명확한 교훈을 주었습니다. 그래서 이제 기업들은 API나 중요 데이터 페이지에 다음와 같이 확실한 기술적 보호 조치를 도입하고 있습니다.

• 로그인 필수화 (회원만 접근 가능하게 변경)
• 캡차(CAPTCHA) 도입 (’로봇이 아닙니다’ 체크)
• 데이터 암호화 및 동적 로딩 기술 적용

이렇게 보호 조치가 강화된 상태에서 뚫고 들어간다면, 그때는 이번 판결(무죄)과 달리 '해킹(정보통신망 침입)'으로 인정되어 형사 처벌을 받게 됩니다. 즉, 무단 크롤링의 난이도와 리스크가 훨씬 높아진 것입니다.

 

3. 플랫폼의 권한 강화

네이버, 카카오, 인스타그램 같은 거대 플랫폼들은 이용 약관을 더 정교하게 다듬고 있습니다. "허가받지 않은 자동화된 수집 행위 적발 시, 계정 영구 정지 및 법적 조치"를 약관에 명시하는 것입니다. 보안이 강화된 상태에서 크롤링을 하려면 보통 로그인을 해야 하는데, 약관을 어기면 계정이 잘리고 서비스 이용이 막힙니다. 사업자에게는 플랫폼 퇴출이 사형 선고나 다름없으므로 함부로 악용하기 어렵습니다.

 

4. 정부의 과태료 부과

법원(판사)에 가기 전에, 정부 부처가 직접 나서서 금융 치료(벌금/과태료)를 내리는 경우입니다. 재판 결과와 상관없이 부과될 수 있습니다.

• 개인정보보호위원회 (가장 위험)
  만약 크롤링하다가 고객의 '아이디', '리뷰 작성자 이름', '전화번호' 같은 개인정보가 한 개라도 섞여 들어갔다? 그럼 개인정보보호법 위반으로 매출액의 3% 이하라는 천문학적인 과징금을 맞을 수 있습니다. (형사 무죄와 별개로 행정 처분은 나옵니다.)
• 공정거래위원회
  남의 데이터를 긁어서 사업하는 행위를 '불공정 거래 행위'로 보고 시정 명령이나 과징금을 때릴 수 있습니다.
  
  

5. 서비스 이용 영구 정지

법률 용어로는 '채무불이행(약관 위반)'의 영역입니다. 사실 스타트업이나 개인 개발자에게는 이게 가장 무서운 즉결 처형입니다.

네이버, 카카오, 인스타그램, 배달의민족 같은 플랫폼은 약관(Terms of Service)에 크롤링 적발 시 계정 영구 정지 및 재가입 불가 조항을 넣어둡니다. 소송(형사/민사)은 몇 년 걸리지만, 계정 정지는 버튼 하나면 1초 만에 끝납니다. 예를 들어, 크롤링하려던 맛집 서비스가 네이버 지도의 데이터를 못 긁어오게 접속이 차단된다면? 소송에서 이겨도, 서비스는 이미 멈춰 망한 상태가 됩니다.

 

💬 무법지대가 아닌 고도화된 싸움터

1. 초보들의 오해 : "어? 무죄래! 나도 긁어야지"하고 덤비는 사람들은 늘어날 수 있습니다. 하지만 민사 소송이나 계정 정지로 참교육당할 확률이 높습니다.
2. 전문가들의 영역: 진짜 데이터를 다루는 기업들은 정식 제휴(API 구매)를 맺거나, 법적 테두리 안에서 데이터를 활용하는 합법적 크롤링(검색엔진 최적화 등) 기술을 발전시키는 방향으로 갈 것입니다.

---

기술의 합법적 활용

크롤링 없이 돌아가지 않는 경우

위 사건을 보다보면 ‘크롤링을 괜히 써서 일을 복잡하게 만들지말까?’ 라는 생각이 들 수 있습니다. 그러나 실제로는 크롤링이 없으면 돌아가지 않는 합법적인 비즈니스 모델도 굉장히 많습니다.

기획 단계에서 크롤링 스펙이 들어가는 대표적인 케이스 몇가지를 간단히 소개하겠습니다.

 

1. 흩어진 정보를 한 곳에 모아줄 때

 메타 서치 서비스 

사용자가 여러 사이트를 일일이 방문해야 하는 불편함을 해소해 주는 서비스입니다. 이곳의 핵심은 ‘정보만 보여주고, 결제나 실제 행동은 원청(원본 사이트)으로 보내준다’는 점입니다. 위 사건과 달리 원청에 트래픽을 선물해 준다는 점에서 다릅니다.

크롤러가 여러 사이트의 정보를 수집해 플랫폼에 모아주면, 사용자는 플랫폼을 통해 다시 각 사이트로 이동(아웃 링크)하여 구매를 확정하는 상생 모델 구조도입니다.

• 가격 비교 사이트 : 수천 개의 쇼핑몰 상품 가격을 크롤링해서 '최저가'를 보여줍니다. 클릭하면 해당 쇼핑몰로 이동합니다. (예 : 네이버 쇼핑)
• 항공권/호텔 예약 : 전 세계 여행사, 항공사 사이트를 긁어서 스케줄과 가격을 비교해 줍니다. (예 : 스카이스캐너)
• 채용 정보 모음 : 각 기업 홈페이지의 채용 공고를 크롤링해서 보여줍니다. (예 : 잡코리아)
  
  

2. 사람이 하기 힘든 변동 추적이 필요할 때

데이터가 고정되어 있지 않고 시시각각 변하는 경우, 사람이 24시간 보고 있을 수 없는 경우에 주로 사용합니다. 보통 내부 의사 결정용 데이터로 활용되는 경우가 많습니다.

• 이커머스 MD/마케터 : 시장 조사 자동화
• 주식/부동산 트레이딩 : 공시 정보, 뉴스 속보, 커뮤니티 여론 등을 실시간으로 긁어서 매매 타이밍를 잡음
• 품절 임박 알림 : 사고 싶은 물건 재고가 들어오면 긁어와서 알림을 보내주는 서비스

이 외에도 여론을 분석하거나 공공 데이터를 가공할 때 사용되곤 합니다.

---

요약정리

법은 열린 문을 지켜주지 못한다

대법원의 무죄 판결은 역설적으로 우리에게 ‘법이 지켜주길 기대하기 전에, 스스로 문을 잠가라’ 라는 교훈을 남겼습니다. 비밀번호가 없어서 침입이 아니라는 판결은, 반대로 말하면 비밀번호만 있었어도 강력하게 처벌을 받았을 것이라는 뜻이기도 합니다.

 

크롤링은 양날의 검입니다. 잘 사용하면 혁신적인 도구지만, 남용하면 기업을 위태롭게 만드는 흉기가 됩니다. 기획자라면 이제 ‘이거 법적으로 괜찮아?’를 묻기 전에, ‘우리 문은 잘 잠겨 있나?’ 그리고 ‘남의 문을 함부로 열고 있진 않나?’를 먼저 점검해봐야 합니다.