프로그램의 IP주소 수집은 적법한가? (1)

1월 12일 업데이트됨


많은 소프트웨어가 저작권 관리를 위해 이용자의 IP를 수집하고 있다. 하지만 IP 수집이 항상 적법한 것이 아니기에 이에 대한 충분한 고려가 필요하다. 프로그램의 IP 주소 수집이 적법한지 여부는 IP 주소가 개인정보인지의 문제와 관련이 있다.


전 세계적으로 개인정보보호의 역사는 30년이 넘어가고 있지만, 아직 정리되지 않는 핵심적인 주제가 있다면 ‘어떤 정보를 개인정보로 포함시켜 보호해야 하는가’다.

이는 ‘개인정보의 개념이나 범위’라고 정의할 수 있다. 그 중에서도 특히 IP 주소(internet protocol address)가 개인식별정보(personal indentifiable information, PII)인가에 대해 찬반 논쟁이 뜨겁다.

물론 세계 각국에서 IP 주소를 식별정보로 보는지 여부를 논하기에 앞서 각국의 법령에서 정의하는 ‘개인정보’의 개념을 설명해야 하겠지만, 이는 너무 방대한 분량이므로 지면 관계상 생략하기로 한다.

IP 주소란 인터넷에 연결된 컴퓨터 등에 부여되는 고유의 식별 주소를 의미한다. 이 주소는 내부에서 32비트(4바이트)로 기억되지만 표기할 때에는 4개의 10진수를 점(.)으로 구분해 표시한다.

IP 주소의 유형에는 접속 시마다 할당된 주소가 달라지는 유동 IP(dynamic IP)와 고정된 주소를 갖는 고정 IP(static IP)가 있다.

이용자가 특정 사이트에 방문하면 특정 사이트는 자동으로 이용자 접속 PC의 IP 주소를 수집해 로그파일을 만듦으로써 해킹 공격이나 부적절한 접속, 보안 사고 등에 대비하기도 하고, 광고에 이용되는 포털 사이트는 이용자의 부정 클릭이나 부정 접속을 방지하기 위해 접속 PC의 IP 주소를 수집한다.

요즘은 방문자 분석 및 마케팅, 온라인 행태광고(Online Behavioral Advertising)에 활용하고자 접속 PC나 모바일의 IP 주소를 수집하기도 한다.

이러한 IP 정보 수집은 앞서 설명한 바와 같이 저작권 침해행위와 관련해 자주 이슈화됐다.

불법 프로그램 사용을 방지하고 소프트웨어 저작권 단속을 목적으로 프로그램 소유자는 불법 프로그램 사용자 컴퓨터의 IP 주소를 포털 등에게 요청해 수집하거나 스스로 이를 수집한 다음, 이를 근거로 위반자를 단속하는 경우가 있다.

이러한 IP 주소 수집이 정보주체의 동의 아래 행해진다면 법적인 문제가 발생하지 않는다. 그러나 동의 없이 이뤄지고, IP 주소가 식별정보일 때에는 법위반 행위가 될 수 있다. 반대로 식별정보가 아닐 때에는 법위반 행위가 되지 않는다.

먼저 개인정보보호 입법으로서 IP 주소를 식별정보로 직접 정의하는 경우가 있는지 살펴보는 게 필요한 데, 아직까지는 이러한 입법은 없어 보인다.

우리나라를 포함한 일부 입법례에서 IP 주소가 통신비밀보호법상 ‘통신사실확인자료’로 분류돼 해당 법의 통제를 받은 경우는 별론으로 하고, 개인정보보호 관련 법령에서 IP 주소의 식별정보 여부를 명확하게 규정하는 경우는 없다.

다만 미국의 ‘Health Insurance Portability and Accountability Act(HIPAA)’는 명시적으로 IP 주소를 식별정보로 분류하고 있다.

한편 유럽 각국 대표로 구성된 ‘Article 29 Working Party’는 2008년에 유동 IP 주소라도 적절한 조치(reasonable means)를 취하면 개인을 알아낼 수 있으므로 IP 주소는 식별정보라고 결론을 내렸다.

이 결론에 구속력은 없지만 유럽의 행정기관 및 유럽 법원은 Article 29 Working Party의 결론에 따라 IP 주소의 식별정보성을 인정하는 편이다.

그렇다고 유럽 각국 법원의 판례가 이를 따르지는 않는다. IP 주소의 식별정보성을 인정하는 판례와 그렇지 않은 판례가 분산돼 있으며, 수적으로는 IP 주소의 식별성을 긍정하는 판례가 많다.

<2부에서 계속>

* 법무법인 민후 김경환 대표변호사 작성, 마이크로소프트웨어, 디지털데일리(2014. 4. 4.) 기고.

HOT 게시물