전산 직원의 무단 비밀번호 변경 업무방해죄?

대학이나 기관에서 전산 시스템을 다루는 직원이라면 관리자 권한과 관련된 이슈에 민감할 수밖에 없습니다. 그런데 부서 이동 후에도 기존 서버의 관리자 권한을 이용해 아이디와 비밀번호를 변경했다면, 단순한 관리 소홀 문제가 아니라 형사처벌로 이어질 수 있다는 사실, 알고 계셨나요? 이번 글에서는 대법원 2006. 3. 10. 선고 2005도382 판결을 중심으로, 컴퓨터 등 장애를 일으킨 업무방해죄의 성립 여부에 대해 자세히 설명해드리겠습니다.

대학 전산 직원의 무단 비밀번호 변경 사례

대학교 정보지원센터에서 수년간 웹서버를 관리해온 A씨는 2004년 2월경 전보발령을 받아 교학처로 자리를 옮기게 되었습니다. 문제는 그 직후 발생했습니다. 그는 이미 관리 권한이 없는 상태였음에도 불구하고, 정보지원센터에 남아 있던 컴퓨터를 이용해 해당 대학교 웹서버의 관리자 계정에 접속했습니다. 그리고 별도의 허가 없이 아이디와 비밀번호를 임의로 바꿔버렸습니다.

이로 인해 학교 측은 관리자 계정에 접속할 수 없게 되었고, 그에 따라 홈페이지의 정상적인 운영, 특히 입시 정보와 학사 행정 안내 등 중요한 서비스 제공에 차질이 생길 우려가 커졌습니다. 그동안 이 사건은 단순한 내부 갈등으로 치부될 수도 있었지만, 형법 제314조 제2항에 따른 컴퓨터등장애업무방해죄로 형사 기소되면서 전혀 다른 차원의 문제로 전개되었습니다.

대법원 2005도382 판결 결과

판결 결과

이 사건에 대해 대법원은 컴퓨터 등 장애 업무방해죄 유죄라는 판단을 내렸습니다. 원심인 대전지방법원 2004. 12. 23. 선고 2004노1723 판결에서는 무죄가 선고되었지만, 대법원은 해당 판단이 법리를 오해한 위법이 있다고 보아 파기환송하였습니다.

즉, 피고인의 행위가 정보처리장치에 부정한 명령을 입력하여 현실적 장애를 발생시킨 것으로 판단하고, 업무방해의 위험을 초래했다는 점에서 유죄로 본 것입니다. 이로써 피고인은 형법 제314조 제2항에 따라 처벌의 대상이 되었으며, 사건은 원심으로 돌려보내져 다시 심리하게 되었습니다.

판결 이유

이 사건의 핵심은 ‘관리 권한이 없는 상태에서 부정한 명령을 입력했는가’라는 점이었습니다. 대법원은 아이디·비밀번호 변경 자체가 단순한 무단 관리 행위가 아닌, 정보처리장치의 정상적 기능을 방해할 정도로 심각한 장애를 발생시킨 행위로 보았습니다.

여기서 말하는 ‘부정한 명령’이란 정보처리 장치에 입력되는 통상적인 사용 행위가 아니라, 정당한 권한 없이 시스템의 본질적 기능을 훼손하거나 막는 방식으로 명령을 입력한 경우를 뜻합니다. 이 사건에서 피고인은 이미 해당 웹서버를 관리할 법적 권한이 없음에도, 관리자 비밀번호를 변경함으로써 정상적인 관리 계정 접근을 불가능하게 만들었습니다.

또한 대학 측이 그 비밀번호를 알 수 없어 관리자 페이지에 접근조차 못 하게 된 이상, 홈페이지 운영, 정보 공지, 입시 안내, 학사행정 안내 등 일상적인 업무의 수행이 사실상 중단되었을 가능성도 충분하다고 판단했습니다. 대법원은 이처럼 정보처리 기능에 장애를 일으킨 행위는 실제 업무에 지장을 초래하지 않았더라도 업무방해죄 성립 요건을 충족한다고 판단했습니다.

컴퓨터 관리자 권한 문제와 대처 방안

비법률적 대처방법

피해자 입장

만약 이런 상황이 발생했다면 가장 먼저 해야 할 일은 정확한 로그 확인 및 증거 확보입니다. 언제, 어떤 계정에서, 어떤 변경이 있었는지 명확히 파악해야 이후 법적 대응의 기초 자료가 됩니다. 그리고 내부적으로 문제 해결이 어려운 경우에는 신속히 외부 보안 전문가나 IT 지원팀에 복구를 요청해야 합니다.

또한 문제의 확산을 막기 위해 피해 사실을 관련 부서와 공유하고, 가능한 한 빠른 시일 내에 관리자 권한을 복구하는 조치가 중요합니다. 더 나아가, 향후 같은 문제가 재발하지 않도록 정기적인 권한 회수 절차와 책임자의 이관 프로세스 강화도 함께 검토되어야 합니다.

피고인 입장

부서 이동이나 퇴직 후에도 시스템에 접근 가능한 계정 정보를 알고 있었다고 해도, 자신이 더 이상 그 권한을 갖고 있지 않다는 사실을 명확히 인지하고 있었다면 절대 접속하지 말아야 합니다. 그리고 만약 정당한 목적(예: 오류 수정 등)으로 접근하려 했다면, 사전 승인이나 통보 절차를 반드시 거쳐야 합니다.

이미 행위가 발생했다면, 최대한 빠르게 자신의 행위에 대해 회사나 기관에 설명하고 사과하는 자세가 필요합니다. 사후에도 협조적인 태도를 보이는 것이 형량 경감에 중요한 역할을 할 수 있기 때문입니다.

법률적 대처방법

피해자 입장

피해자는 시스템 접속기록, 이메일, 내부 공문 등을 통해 접근 권한이 없는 상태에서 정보가 변경되었음을 입증할 수 있다면, 형사 고소를 고려할 수 있습니다. 이때 적용 가능한 죄명은 **형법 제314조 제2항(컴퓨터 등 장애 업무방해죄)**입니다.

그리고 민사적으로도 손해가 발생했다면, 업무 중단에 따른 금전적 손실에 대한 손해배상 청구가 가능합니다. 다만 입증 책임은 피해자에게 있으므로, 구체적인 업무 지연 상황과 그로 인한 손실을 명확하게 정리해 두는 것이 필요합니다.

피고인 입장

피고인이 고의로 비밀번호를 변경한 것이 아니라 단순히 보안을 위한 조치였다고 주장하는 경우, 행위의 동기와 목적, 실제 결과에 대한 증빙 자료를 제출하는 것이 중요합니다. 예를 들어 “시스템을 악의적으로 훼손하려는 의도는 없었다”, “관리 계정을 외부 침입으로부터 보호하려는 목적이었다”는 주장을 하기 위해서는 기술적 정황 설명, 내부 문서, 과거 관리 관행 등의 자료가 필요합니다.

또한 피해 복구를 위해 적극적으로 협조한 점, 본인의 행위가 시스템에 미친 영향이 미미하다는 점 등을 주장해볼 수 있으며, 변호인의 조력을 받아 가능한 형사적 책임을 경감받는 전략을 세우는 것이 바람직합니다.

결론

대법원 2006. 3. 10. 선고 2005도382 판결은 전산 시스템 관리자였던 피고인이 전보발령 이후 더 이상 관리 권한이 없음에도 불구하고 웹서버 관리자 아이디와 비밀번호를 무단으로 변경한 행위가 컴퓨터등장애업무방해죄에 해당한다고 판단한 중요한 사례입니다.

단순히 후임자에게 계정 정보를 넘기지 않은 것이 아니라, 명백히 시스템에 부정한 명령을 입력하여 정보처리에 장애를 초래했기 때문에 유죄가 인정된 것입니다. 이 사건을 통해 알 수 있는 핵심은, 관리 권한이 없는 자가 전산 시스템에 개입해 기능을 마비시키는 행위는 형사처벌 대상이 될 수 있다는 점입니다.

기관이나 기업 내에서 IT 관리자 교체 시 보안 이슈와 업무 인수인계가 제대로 이뤄지지 않으면 심각한 법적 분쟁으로 번질 수 있습니다. 특히 시스템 운영의 핵심인 관리자 권한을 누가 갖고 있고, 어떤 절차를 통해 권한 변경이 이뤄졌는지가 명확하지 않다면, 의도와 관계없이 업무방해죄로 처벌받을 수 있음을 경각심 있게 받아들여야 합니다.

이런 사안은 기술적인 문제를 넘어서 형사법적 쟁점으로 비화할 수 있으므로, 인사 이동 시 체계적인 권한 회수와 정리 절차가 반드시 수반되어야 합니다. 반대로, 이미 문제가 발생했다면 조속한 대응과 협조적 태도, 법률적 조력을 통해 피해 복구와 책임 완화에 집중하는 것이 필요합니다.

FAQ

컴퓨터등장애업무방해죄는 실질적으로 어떤 행위에 적용되나요?

정보처리장치(컴퓨터 등)에 허위의 정보나 부정한 명령을 입력하거나, 기타 방법으로 정보처리에 장애를 일으켜 사람의 업무를 방해하는 경우 적용됩니다. 시스템을 마비시키거나, 특정 기능을 작동하지 못하게 만드는 행위가 포함됩니다.

시스템 관리자 권한을 알고 있다고 해서 계속 사용해도 괜찮은가요?

아니요. 권한을 알고 있더라도 전보발령이나 직책 변경으로 공식 권한이 사라졌다면 사용해서는 안 됩니다. 정당한 권한 없이 접근할 경우, 형법 제314조 제2항 위반으로 업무방해죄가 성립될 수 있습니다.

단순히 비밀번호를 바꾸고 후임자에게 알려주지 않은 것도 처벌되나요?

그 행위 자체만으로는 처벌이 어렵지만, 시스템에 부정한 명령을 입력하여 정상적인 기능을 마비시키거나 관리자 접근을 불가능하게 만든 경우는 처벌 대상이 됩니다. 단순한 인수인계 문제와는 다릅니다.

피해자가 복구할 수 있는 방법이 있었어도 죄가 되나요?

그렇습니다. 피해자가 프로그램을 초기화하거나 우회 방법으로 복구할 수 있었다고 해도, 정보처리에 장애가 발생했다는 사실 자체만으로도 업무방해의 위험성이 인정되기 때문에 형사책임이 인정될 수 있습니다.

피해자가 실질적인 업무 피해를 입지 않았더라도 업무방해죄가 성립할 수 있나요?

네, 실제 피해 발생 여부와 무관하게 ‘업무방해의 위험’을 초래한 것만으로도 컴퓨터등장애업무방해죄는 성립합니다. 법원은 위험 발생 자체를 중시합니다.

관리자 계정 말고 일반 사용자 계정 변경도 업무방해죄인가요?

관리자 계정처럼 시스템 운영에 필수적인 권한이 아니라면 단순한 계정 변경만으로는 업무방해죄로 보기 어려울 수 있습니다. 다만, 변경 행위로 정보처리에 실질적인 장애가 발생하면 적용될 여지는 있습니다.

업무방해죄와 별도로 민사상 책임도 생길 수 있나요?

예, 피해 기관이나 기업이 실질적인 손해를 입었다면, 형사처벌과는 별도로 손해배상 청구 등 민사소송도 가능합니다. 형사와 민사는 별개로 병존할 수 있습니다.

이런 사건에서 감형이 가능하려면 어떤 점이 고려되나요?

자발적인 피해 복구 노력, 사건 직후의 자진신고, 유사한 전과가 없는 경우, 피해자와의 합의 여부 등이 감형 사유로 고려됩니다. 형량이 고민된다면 초기에 변호인의 도움을 받아 적극적인 대응 태도를 보여야 합니다.

피해 기관은 해당 직원을 해고할 수 있나요?

업무방해행위가 고의적이고 조직에 중대한 해를 끼쳤다면 정당한 해고 사유로 인정될 수 있습니다. 다만 내부 징계 규정에 따라 징계 절차가 정당하게 이뤄졌는지 여부도 중요합니다.

형법 제314조 제2항 말고 다른 법률이 적용될 수도 있나요?

상황에 따라 정보통신망법 위반, 개인정보보호법 위반, 업무상배임죄 등이 함께 적용될 가능성도 있습니다. 사건의 구체적인 양태에 따라 적용 법률은 달라집니다.