본문 바로가기

뉴스

최근 검색어 내역이 없습니다

대법 “개인정보 유출됐어도 피해 없으면 배상 책임 없어”

일요시사
입력
2026-01-14 17:54
댓글0
일요시사

서울 서초구에 위치한 대법원 전경 ⓒ고성준 기자

[일요시사 취재2팀] 김준혁 기자 = 해킹으로 개인정보가 유출됐더라도, 기업이 이용자에게 손해가 발생하지 않았음을 입증하면 법정손해배상 책임을 면할 수 있다는 대법원의 첫 판단이 나왔다.

법정손해배상은 피해자가 손해를 구체적으로 입증하지 않더라도 법에서 정한 일정 금액을 청구할 수 있는 제도다.

14일 법조계에 따르면 대법원 2부(주심 오경미 대법관)는 지식거래 사이트 해피캠퍼스를 상대로 이용자 A씨가 제기한 손해배상청구소송에서 원고 패소로 판단한 원심 판결을 지난달 확정했다.

앞서 해피캠퍼스는 지난 2021년 9월 해킹 사고로 40만3000여명의 개인정보가 유출된 바 있다. 원고는 당시 암호화된 비밀번호와 이메일 주소가 유출되는 피해를 봤다.

이에 원고는 회사 측이 외부 접근 통제를 소홀히 해 사고가 발생했고, 이후 스팸메일을 받거나 보이스피싱을 비롯한 2차 피해가 우려된다는 등 정신적 손해를 주장하며 30만원을 청구했다.

개인정보보호법 제39조의2 제1항은 개인정보 유출 등 사고가 발생한 경우, 피해자가 손해를 입증하지 않더라도 최대 300만원 범위에서 법정손해배상을 청구할 수 있도록 규정하고 있다. 해당 조항은 피해자가 기업을 상대로 구체적 손해를 입증하기 어렵다는 지적을 반영해 지난 2016년 개정됐다.

그러나 1·2심에 이어 대법원도 해피캠퍼스 측의 손을 들어줬다. 대법원은 “정보 주체는 개인정보 처리자를 상대로 법정손해배상을 청구하기 위해 유출 사실만 주장·증명하면 되며, 손해 발생 사실을 구체적으로 주장·증명할 필요는 없다”고 전제했다.

다만 대법원은 해당 조항이 손해가 발생하지 않은 경우까지 배상 의무를 인정하려는 취지는 아니라고 봤다. 그러면서 개인정보 처리자가 정보 주체에게 정신적 손해가 발생하지 않았음을 주장·증명하면 법정손해배상 책임을 면할 수 있다고 설명했다.

대법원은 “이 사건에선 이메일 주소가 유출됐다고 해서 정보 주체에게 사생활·명예의 침해나 재산적 피해 등이 발생할 위험성은 낮고, 유출된 개인정보가 영리 목적으로 이용되거나 확산할 위험성도 높지 않아 보인다”며 원고 청구를 기각한 원심 판단을 유지했다.

정신적 손해 발생 여부에 대해선 ▲유출된 정보의 종류와 성격 ▲개인정보 유출로 정보 주체를 식별할 가능성이 발생했는지 ▲제3자 열람 여부 ▲정보의 확산 범위 등을 고려해 사건에 따라 개별적으로 살펴야 한다고 설명했다.

법조계에선 이번 판단이 향후 해킹 피해 소송의 문턱을 높인 것이라는 평가도 나온다. 기업이 정신적 손해가 발생하지 않았다고 맞설 경우, 이용자 입장에선 유출 이후 2차 피해 가능성 등 불안감을 구체적으로 소명해야 하는 부담이 커질 수 있기 때문이다.

최근 쿠팡의 개인정보 유출 사태에서도 고객 3370만명의 이름·이메일·주소 등이 유출됐으나, 회사 측은 결제정보나 비밀번호 등 로그인 정보는 포함되지 않았고 추가 피해도 확인되지 않았다는 입장을 유지하고 있다. 다만 손해배상 인정 여부는 정보의 성격과 위험도에 따라 달라질 수 있다는 관측도 나온다.

개인정보 유출 사고에서 소비자 보상이 넉넉했던 것도 아니다. 법원이 집단 손해배상을 인정한 대표 사례로는 지난 2016년 인터파크 개인정보 유출 사건이 꼽히지만, 당시에도 위자료는 1인당 10만원 수준에 그쳤다. 당시 이름과 연락처는 물론 아이디, 비밀번호까지 광범위하게 빠져나간 점을 감안하면 낮은 액수라는 지적이 제기됐다.

다만 일각에선 이번 판결로 무분별한 집단소송이 줄어들 수 있을 것이라는 전망도 제기된다. 대형 유출 사고가 터질 때마다 원고 모집이 과열되는 등 ‘줄소송’ 논란이 반복돼 왔다.

실제로 지난 2011년 네이트·싸이월드 해킹 사건 당시엔 손해배상소송이 잇따라 제기됐다. 일부 소송에선 원고들이 정신적 손해로 1인당 100만원에 달하는 위자료를 요구하면서, 청구액이 과도하다는 회의적 시각이 언론 등을 통해 제기되기도 했다.

한편 이번 판단으로 해킹 피해 구제가 약화되지 않도록 하는 정부 차원의 제도 보완 논의도 진행되고 있다.

국무총리 산하 개인정보보호위원회는 지난달 12일 “반복·중대한 위반 행위에 대해 ‘징벌적 과징금 특례’를 신설하겠다”고 밝혔다.

현행법에 따르면 개인정보보호법 위반 시 전체 매출액의 최대 3% 범위에서 과징금을 부과할 수 있다. 개인정보위는 상한을 10%까지 늘려 억지력을 확보하고, 단체소송 제도에 ‘손해배상’ 요건을 추가해 유출 사고에 따른 피해 구제를 강화하겠다는 방침이다.

다만 ‘징벌적 과징금 특례’는 추진 중인 입법 과제인 만큼, 실제 도입 여부는 국회 논의 과정에서 쟁점이 될 전망이다.

< kj4579@ilyosisa.co.kr>

저작권자 ©일요시사 무단전재 및 재배포 금지

이 기사의 카테고리는 언론사의 분류를 따릅니다.

기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.

일요시사 주요뉴스

해당 언론사로 연결

이 기사를 본 사람들이 선택한 뉴스

  • 파이낸셜뉴스한국해양대·쿤텍·KISA, ‘선박 사이버 침해사고 대응 기술 연구' 맞손
  • 노컷뉴스'폐렴구균 신규백신' 10월부터 어린이 무료 접종
  • 헤럴드경제“김치·된장찌개 못 먹겠다던 미국인 아내, 말없이 애들 데리고 출국했네요”
  • 뉴스핌김해 나전농공단지에 주차전용건축물 조성…주차 편의 도모
  • 머니투데이"투자 배경에 김 여사 있나"… 묵묵부답, HS효성 부회장 특검 출석

쇼핑 핫아이템

AD