온라인수색은 기본적으로 정보기술시스템에 대한 접근을 전제로 한다. 다양한 접근방법이 있지만 보안취약점을 이용한 방법이 가장 선호되고 있다. 위험방지경찰이 보안취약점을 알고 있지만 이를 제작자에게 신고하지 않고 유지하는 경우 제삼자가 이 보안취약점을 이용할 수 있다. 경찰의 보안취약점 유지는 온라인수색을 수행하기 위한 것이다. 이에 대해 제삼자가 보안취약점을 이용하여 개인의 시스템에 접근하는 것은 개인의 기본권을 침해하는 것으로써 국가는 이러한 침해에 대해 보호조치를 해야 한다. 따라서 경찰이 온라인수색을 위해서 보안취약점을 유지하는 공익과 제삼자의 침해로부터 보호해야 하는 국가의 기본권 보호의무 사이에 목적 충돌이 발생한다. 이러한 목적 충돌은 정보기술시스템에 접근하기 위해서 보안취약점을 이용하게 될 온라인수색이나 암호통신감청을 도입하기 위해서 반드시 검토되어야 할 헌법과 형사소송법의 중요한 내용이다. 최근 독일 연방헌법재판소는 위험방지를 위한 온라인수색과 암호통신감청을 규정한 일부 주(州) 경찰법에 대한 헌법소원에서 이러한 목적 충돌 문제를 다루었다. 연방헌법재판소는 이러한 목적 충돌 사이에 이익형량을 인정하였다. 연방헌법재판소는 이러한 이익형량 이전에 국가기관이 보안취약점을 제작자에게 신고하는 등 보안취약점을 보호할 입법적 조치를 요구하고 있다. 만일 이러한 입법적 조치가 충분하지 않는 경우 국가는 기본권 보호의무를 위반하게 된다. 연방헌법재판소는 위험방지를 위한 바덴-뷔르텐베르크 주 경찰법의 암호통신감청과 관련하여 국가는 자신의 기본권 보호의무를 충족하고 있다고 판단하였다. 이러한 헌법재판소의 판단은 범죄수사를 위한 독일 형사소송법의 온라인수색과 관련된 규정에 적용할 수 있다. 하지만 한국의 법적 상황은 보안취약점의 이용과 관련하여 발생하는 목적 충돌의 문제를 해결하기에는 충분하지 않은 것으로 보인다. 우리 헌법재판소는 국가의 기본권 보호의무를 헌법 제10조 제2문에서 도출하고 있지만, 기본권 보호의무의 적용범위를 사인인 제삼자에 의한 개인의 생명이나 신체의 훼손으로 제한하고 있다. 따라서 극히 예외적인 상황에서만 기본권 보호의무가 적용될 수 있다. 그러한 예외상황을 인정하더라도 국가기관의 보안취약점의 신고의무 등이 결여되어 있어서 국가의 기본권 보호의무가 충분하지 않다. 따라서 독일 연방헌법재판소의 판례와 보안취약점과 관련한 입법적 조치들은 우리 입법자가 온라인수색을 도입할 때 참고할 수 있는 시사점을 제공하고 있다. 예를 들면 국가의 기본권 보호의무의 적용 범위를 확대할 필요가 있고, 기본권 보호의무의 이행과 관련하여 온라인수색 규정 자체에 보호조치가 규정되어야 할 것이다. 또한 온라인수색과 같이 새로운 수사기법의 도입 시 개인정보보호를 위한 영향평가제도가 도입되어야 하고 나아가서 보안취약점의 발견 시 국가기관의 신고의무도 도입되어야 할 것이다.

Online search (Online-Durchsuchung) basically presupposes access to information technology system. There are various ways to access information technology systems, but the most preferred is the approach using security vulnerabilities (especially Zero Day Exploit). If the police maintains a security vulnerability that they know of without reporting it to the manufacturer, a conflict of purpose arises between the duty to protect the system from intrusion by a third party and the duty to perform Online serach. Recently, the German Federal Constitutional Court (BVerfG) dealt with this conflict of purposes in a constitutional complaint against the State Police Act, which stipulates encrypted communication interception (telecommunication surveillance at the source or Quellen TKÜ) and online search for risk prevention. BVerfG has balanced the interests between these conflicts of purpose. BVerfG is demanding legislative measures to protect security vulnerabilities, such as reporting security vulnerabilities to manufacturers by state agencies before such balancing conflicting interests. If these legislative measures are insufficient, the state will violate its duty to protect fundamental rights. BVerfG judged that the state fulfills his duty to protect the basic rights in relation to the encrypted communication interception of the Baden-Würtenberg State Police Act (PolG BW). The judgment of BVerfG can be applied to the provisions of the German Criminal Procedure Act (StPO) related to online searches. However, it is judged that the legal situation in Korea is not sufficient to resolve the problem of conflicts of purpose that occur in relation to the use of security vulnerabilities. Although the Constitutional Court of Korea derives the state's duty to protect fundamental rights from the second sentence of Article 10 of the Constitution, it limits the scope of application of the duty to protect fundamental rights to personal life or bodily harm by a private third party. Therefore, the duty to protect basic rights can only be applied in extremely exceptional circumstances. Even if such an exception is acknowledged, the duty to protect the basic rights of the state is not sufficient because the duty to report security vulnerabilities of state institutions is lacking. Therefore, the judgement of BVerfG and german legislative measures related to security vulnerabilities provide implications that Korean legislators can consider when introducing online search. For example, for the duty to protect basic rights of the state, the scope of the duty to protect fundamental rights needs to be expanded, and protective measures should be stipulated in the online search regulations themselves in relation to the fulfillment of the duty to protect fundamental rights. When a new investigative technique is introduced, such as online search, an impact assessment system for personal information protection should be introduced, and furthermore, when a security vulnerability is discovered, the duty of reporting by the state agency should be introduced.

Online Search, Security Vulnerability (Zero Day Vulnerability), Duty to Protect Citizens' fundamental Rights, encrypted communication interception (telecommunication surveillance at the source, Quelle