인공지능 에이전트 제품 스타트업의 운명은 미국 내 아마존에 전적으로 달려 있습니다.

인공지능이 사용자의 계정과 비밀번호에 접근하는 것은 사용자의 권리를 행사하는 것일까요, 아니면 무단 침입에 해당할까요?

저자: 류훙린, 변호사, 맨큐 블록체인 법률 서비스

2025년 12월, 바이트댄스는 인공지능(AI)이 직접 스마트폰을 조작할 수 있는 더우바오 모바일 어시스턴트의 프리뷰 버전을 출시했습니다. 사용자가 문장을 말하면 JD.com, 타오바오, 메이투안 등의 플랫폼이 자동으로 열려 가격을 비교하고 주문 과정을 도와줍니다. 2026년 1월에는 알리바바의 첸원 앱에 "한 문장으로 테이크아웃 주문하기" 기능이 추가되었습니다. 사용자가 "커피 한 잔 주문해 줘"라고 말하면 AI가 자동으로 매장 선택, 가격 비교, 주문, 결제까지 완료해 주어 다른 앱으로 전환할 필요가 없습니다.

두 제품 모두 인공지능을 단순히 "질문에 답하는 것"에서 "사용자를 위해 일을 처리하는 것"으로 변화시키는 것을 목표로 합니다. 많은 기업가들이 이를 밝은 미래로 보고 있지만, 최근 미국 법원의 판결로 인해 업계는 근본적인 문제를 재검토해야 하는 상황에 놓였습니다.

인공지능이 사용자의 계정과 비밀번호에 접근하는 것은 사용자의 권리를 행사하는 것일까요, 아니면 무단 침입에 해당할까요?

이야기는 아마존에서 시작됩니다.

2026년 3월 9일, 캘리포니아 북부 지방법원은 인공지능(AI) 회사 퍼플렉시티(Perplexity)가 아마존의 승인 없이 사용자 허가를 받아 자사 브라우저 코멧(Comet)을 통해 비밀번호로 보호된 사용자 계정에 접근한 행위에 대해 컴퓨터 사기 및 남용 방지법(CFAA)과 캘리포니아 형법 502조에 따라 책임이 있다고 판결했습니다.

법원은 퍼플렉시티가 자사의 AI 에이전트를 이용해 아마존 시스템에 접근하는 것을 금지하는 임시 금지 명령을 내렸고, 획득한 모든 데이터를 파기하도록 명령했습니다.

이 사건의 핵심은 사용자 인증이 플랫폼 인증을 대체할 수 없으며, 사용자 자격 증명을 얻는다고 해서 플랫폼 접근 권한을 얻는 것과 동일하지 않다는 점을 확립하는 것입니다.

이 원칙은 향후 모든 AI 에이전트 제품의 운명을 결정짓게 될 것이 거의 확실합니다.

정확히 무슨 일이 있었던 건가요?

2025년, AI 검색 회사인 퍼플렉시티(Perplexity)는 "코멧(Comet)"이라는 브라우저를 출시했는데, 그 주요 기능은 "AI 에이전트"입니다. 사용자가 코멧을 이용해 아마존에서 쇼핑하고 싶을 때, 계정 정보만 제공하면 코멧이 로그인하여 상품을 검색하고, 가격을 비교하고, 심지어 사용자를 대신해 주문까지 해줍니다.

언뜻 보기에는 사용자를 위한 단순한 "AI 비서"처럼 들릴 수 있지만, 아마존은 그렇게 생각하지 않습니다.

아마존은 퍼플렉시티(Perplexity)를 상대로 소송을 제기하며, 퍼플렉시티의 행위가 무단 컴퓨터 침입에 해당한다고 주장했습니다. 아마존은 퍼플렉시티가 개별 사용자의 동의는 얻었지만, 플랫폼으로서의 아마존으로부터는 어떠한 승인도 받지 않았으며, 따라서 퍼플렉시티의 행위는 아마존의 컴퓨터 시스템에 대한 "무단 접근"에 해당한다고 주장합니다.

컴퓨터 사기 및 남용 방지법(CFAA)은 미국에서 컴퓨터 침입을 규제하는 주요 연방법입니다. 이 법에 따라 범죄가 성립하려면 다음 다섯 가지 요건이 충족되어야 합니다.

컴퓨터에 대한 고의적인 접근, 무단 또는 과도한 접근, 이를 통한 정보 획득, 주간 또는 해외 통신 관련 행위, 또는 1년 이내에 최소 5,000달러의 손해를 야기하는 행위.

법원은 아마존이 제출한 증거가 앞서 언급한 요건들을 예비적으로 충족한다고 판단했습니다.

"무단 접근" 여부 판단과 관련하여 법원은 페이스북 대 파워 벤처스 사건(2016)에서 제9순회항소법원이 세운 판례를 인용했습니다. 해당 사건은 "플랫폼이 명시적으로 동의를 철회한 후에는 사용자가 제공한 동의만으로는 유효한 접근 권한이 인정되지 않는다"는 핵심 원칙을 확립했습니다.

즉, 사용자 동의와 플랫폼 승인은 별개의 문제이며 서로 대체될 수 없습니다.

캘리포니아 형법 제502조(c)(7)항은 주법을 보완하여 "고의로 허가 없이 컴퓨터, 컴퓨터 시스템 또는 컴퓨터 네트워크에 접근하거나 접근을 용이하게 하는 행위"를 금지합니다. 법원은 CFAA에서 분석한 것과 동일한 이유로 아마존이 이 혐의에서도 성공 가능성이 높다는 것을 입증했다고 판결했습니다.

법원은 이 사건에서 한 가지 사실을 확립했습니다.

사용자 인증과 플랫폼 인증은 다릅니다.

즉, 사용자가 계정 비밀번호를 알려주고 대신 사용해 달라고 요청하더라도 플랫폼에서 "동의하지 않음"이라고 표시되면 접근이 불법이라는 뜻입니다.

이는 많은 사람들이 가졌던 논리와는 완전히 다릅니다. 많은 사람들은 사용자가 동의하기만 하면 AI가 사용자를 위해 무언가를 하는 것이 뭐가 문제냐고 생각했습니다. 하지만 법원은 이제 분명히 아니라고 말하고 있습니다.

이 사례를 논의한 후, 기업가들이 가장 중요하게 생각하는 질문이 떠오릅니다. 바로 "내 AI 제품을 어떻게 안전하게 만들 수 있을까?"라는 질문입니다.

홍린 변호사는 먼저 모든 사람에게 다음 세 가지 금지 사항을 준수할 것을 권고합니다.

첫 번째 위험 요소: 사용자 계정 비밀번호를 이용해 전자상거래 플랫폼을 운영하는 것. 이는 Perplexity가 겪었던 함정입니다. 사용자의 계정 비밀번호를 이용해 아마존, JD.com, 타오바오 같은 플랫폼에 로그인한 후, 사용자가 쇼핑을 완료하거나 주문을 하거나 리뷰를 작성하도록 도와주는 행위는 해당 플랫폼에서 명시적으로 금지하고 있는 행위이므로 불법에 해당될 수 있습니다.

두 번째 핵심 사항: 플랫폼에서 "비밀번호로 보호됨"으로 명시적으로 표시된 영역에 접근한 행위. 법원은 이 사건에서 특히 이 점을 강조했습니다. 코멧은 아마존의 "비밀번호로 보호되는 영역"에 접근했습니다. 이는 무엇을 의미할까요? 단순히 공개적으로 접근 가능한 웹페이지에서 정보를 수집하는 경우 리스크 그리 높지 않을 수 있지만, 회원 영역, 주문 관리, 개인 정보 센터와 같이 비밀번호가 필요한 영역에 접근하게 되면 법적 리스크 급격히 상승 것을 의미합니다 .

레드라인 3: 플랫폼 경고를 받은 후에도 계속 운영하는 행위. 이 사례에서 아마존의 중지 명령서는 "무단" 접근 여부를 판단하는 데 핵심적인 증거가 되었습니다. 이는 AI 기업들에게 플랫폼 경고를 받은 후에도 계속 운영하는 것은 고의적인 법률 위반으로 간주되어 소송에서 패소할 리스크 크게 높아진다는 점을 상기시켜 줍니다.

둘째, 사용자 권한 부여가 플랫폼 권한 부여와 동일하지 않다는 논리에 따라, 규정을 준수하는 AI 에이전트 제품은 이중 권한 검토 메커니즘을 구축하는 것이 좋습니다.

첫 번째 단계는 사용자 수준의 권한 부여 및 확인입니다. 제품에는 명시적인 사용자 동의가 반드시 필요합니다. 이것이 핵심입니다. 하지만 동의만으로는 충분하지 않습니다.

두 번째 단계는 플랫폼 수준의 권한 검토입니다. 제품 구상 초기 단계에서 개발팀은 "사용자가 필요로 하는 것"뿐만 아니라 "플랫폼에서 이를 허용하는지"도 고려해야 합니다. 플랫폼으로부터 명시적인 권한을 얻지 못했다면, 사용자가 아무리 간곡히 요청하더라도 절대로 진행해서는 안 됩니다 .

마지막으로, "공식 API 인터페이스"를 이용해 보세요. 앞으로 기존 질서를 뒤흔들고자 하는 일부 플랫폼들은 공식 API 인터페이스를 통해 제한적인 프록시 접근 기능을 제공하는 "통제된 개방성" 모델을 모색할 것입니다. 이는 사용자 요구를 충족시키면서 플랫폼의 통제권도 유지할 수 있는 방식입니다.

예를 들어, 중국 시장에서 첸원(Qianwen)은 타오바오(Taobao) 및 알리페이(Alipay)와 통합했는데, 이는 "생태계 내 통합" 방식을 따른 것으로, 공식 인터페이스와 도구를 활용하여 알리바바 시스템으로부터 "접근 권한"을 이미 획득한 상태입니다.

공식 API 인터페이스를 사용하면 사용자 로그인을 직접 시뮬레이션하는 것보다 법적 리스크 크게 줄일 수 있습니다.

결국 살아남은 기업만이 혁신에 대해 이야기할 자격을 갖게 된다.

면책 조항: 본 사이트는 블록체인 정보 플랫폼으로서, 사이트에 게시된 글은 필자 및 초청 연사의 개인적인 관점 일 뿐이며 Web3Caff의 공식적인 입장을 반영하는 것은 아닙니다. 본 글에 포함된 정보는 참고용일 뿐이며 투자 자문 또는 투자 제안으로 간주될 수 없습니다. 각 국가 또는 지역의 관련 법률 및 규정을 준수하시기 바랍니다.