[프라임경제] 빅데이터 분석, 인공지능이 4차 산업혁명의 핵심기술로 꼽히는 만큼, 수많은 스타트업들이 해당 분야에 뛰어들고 있는 상황이다. 빅데이터 기업의 경우 축적된 데이터를 분석함으로써 고도화된 방식으로 정보를 처리·활용한다. AI개발 기업의 경우 다량의 데이터를 기반으로 한 기계학습(machine learning)을 통해 데이터 처리 알고리즘의 정확성을 향상시킨다. 따라서 이들에게 데이터의 확보는 중요한 과제가 될 수밖에 없다.

대부분의 스타트업의 경우, 자체적으로 보유한 데이터가 부족해 웹상의 데이터들을 이용하는 경우가 많다. 이때 크롤링(crawling; 소프트웨어 등을 통해 웹상의 데이터들을 탐색 및 수집하는 작업을 의미함) 프로그램을 통해 자동화된 방식으로 타 플랫폼이 보유한 데이터를 수집하여 이용하고자 한다면 좀더 신중할 필요가 있다. 모든 크롤링 행위가 일률적으로 불법이 된다고 보기는 어렵지만, 크롤링을 통해 수집하는 정보의 내용 및 수집 방식, 수집한 데이터를 활용하는 방식 등에 따라서는 위법성이 문제될 수 있기 때문이다.

지난 2022년 여기어때와 야놀자 간 숙박정보 크롤링에 있어서 형사책임에 관한 대법원 판결이 선고된 이후로 디지털 플랫폼 회사들의 크롤링에 대한 법적 관심이 더욱 높아진 것으로 보인다. 당시 대법원은 크롤링 행위자의 정보통신망법 및 저작권법 위반, 컴퓨터등장애업무방해죄 혐의에 대해 전부 무죄를 선고했다(대법원 2022. 5. 12. 선고 2021도1533 판결).

이 중 정보통신망법 제48조 제1항에서 금지되고 있는 '정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하는 행위'와 관련해 대법원은 제3자에게 정당한 접근권한이 있는지의 여부는 서비스제공자가 접근권한을 제한하고 있는지 여부를 기준으로 판단해야 한다고 봤다. 

또한 서비스제공자가 접근권한을 제한하고 있는지 여부는 보호조치 및 이용약관 등의 객관적 사정을 종합적으로 고려하여 판단해야 한다고 보면서,해당 사안에서는 앱이나 API 서버로의 접근을 막는 별도의 보호조치가 없었으므로 접근권한이 객관적으로 제한된 것으로 볼 수 없어 정보통신망법 위반이 성립하지 않는다고 판단했다.

위와 같이 크롤링 행위자에 대한 무죄 판결이 있었다는 이유만으로 모든 크롤링 행위가 위법하지 않다고 보는 것은 위험하다. 위 형사판결 이후 많은 디지털 플랫폼 기업들이 검색 로봇 등에 의한 데이터베이스의 수집을 금지한다는 내용을 포함하는 방향으로 이용약관 및 운영정책을 수정하여 공개했고, 안티크롤링(anti-crawling)과 같은 기술적 보호조치 역시 도입했다. 즉 위 판결 사안에서와 달리 서비스 제공자에 의해 접근권한이 제한되고 있는 것으로 판단돼 크롤링 행위에 대하여 정보통신망법 침해가 인정될 수 있다.

위 사안에서는 무죄로 판단됐으나 판례는 데이터베이스제작자의 허락 없이 데이터베이스의 전부의 복제가 이루어진 경우, 양적∙질적인 측면에서 상당한 부분의 복제가 이루어진 경우, 또는 일부의 복제라 하더라도 반복적이고 체계적인 복제 등으로 결국 상당한 부분의 복제 등을 한 것과 같은 결과를 발생하게 한 경우에는 저작권법 위반이 인정될 수 있다고 보고 있다. 따라서 데이터베이스 복제가 이루어지는 범위에 따라서는 저작권법 위반으로 판단될 가능성이 있어 유의할 필요가 있다.

더욱이 민사책임에 있어서는 서울고등법원이 여기어때가 야놀자의 숙박업소 정보를 수집해 이용한 행위가 부정경쟁방지법상의 성과 도용행위에 해당한다고 판단함에 따라 여기어때에 10억원의 손해배상책임이 인정되었다(서울고등법원 2022. 8. 25. 선고 2021나2034740 판결, 미상고로 확정). 데이터베이스 권리자가 데이터 구축에 투입한 투자 및 노력의 내용과 정도, 성과 등의 경제적 가치, 그 외 권리자와 침해자가 경쟁관계에 있거나 가까운 장래에 경쟁관계에 놓일 가능성이 있는지 여부 및 성과 등이 시장에서 대체될 수 있는지 여부 등에 따라 크롤링한 데이터를 무단으로 사용하는 행위가 성과 도용의 부정경쟁행위로 판단될 수 있다.

추가적으로 위 숙박정보 크롤링 사안에서는 문제되지 않았으나 특정 플랫폼상공개돼 있는 데이터라 하더라도 개인의 이름, 주소, 전화번호 등 개인정보가 포함된 데이터를 크롤링해 이용하는 경우에는 정보 주체로부터 동의를 받지 않고 개인정보를 수집한 것이 되어 개인정보보호법 위반 역시 문제될 여지가 있다.

데이터를 보유한 기업들로서는 자신들이 많은 시간과 노력을 투입해 만든 데이터가 제3자에 의해 무단으로 수집∙이용되는 것을 달가워할 수는 없을 것이다. 반면, 신규 스타트업들은 제3자의 공개된 데이터를 자신의 서비스에 조금이라도 이용하길 원할 것이며 장기적인 데이터산업 발전의 측면에서도 데이터 수집 및 이용에 관한 지나친 규제는 오히려 독이 될 수 있다. 

이처럼 사업 수행에 있어 기업 간 이해관계가 충돌할 수 있는 상황에서 스타트업으로서는 구체적인 서비스를 개발하기에 앞서 데이터 크롤링에 따른 법적 리스크를 충분히 검토해볼 필요가 있다.

장현지 법무법인 디라이트 변호사

와세다대학교 국제교양학부 졸업 / 옥스퍼드 대학교 미술사학과 석사 졸업 / 연세대학교 법학전문대학원 졸업