안녕하십니까,  강앤강 법률사무소의 강영준, 강소영 변호사입니다. 

최근 들어 국내외를 막론하고 고객정보가 해킹으로 유출되는 사고가 계속되고 있습니다. 병원부터 쇼핑몰, 스타트업 플랫폼까지 예외가 없습니다. 한번 노출된 개인정보는 되돌릴 수 없다는 점에서 사용자들의 불안감은 커질 수밖에 없고, 기업은 유출 사실이 알려지는 순간부터 위자료 소송이나 집단 손해배상 청구에 직면하게 됩니다.

그렇다면 정보가 유출된 경우, 기업은 무조건 배상해야 하는 걸까요?

피해자는 실제로 어떤 기준에 따라 위자료를 받을 수 있을까요?

최근 대법원이 개인정보 유출 관련 소송에서 "손해가 없으면 손해배상 책임도 없다"는 취지의 판결을 내리면서 이 문제에 대해 다시금 주목되고 있습니다. 암호화된 비밀번호와 이메일 주소만 유출되었을 경우, 개인 식별이 어렵고 2차 피해 가능성이 낮다면 정신적 손해가 인정되지 않을 수 있다는 판단이 내려졌습니다.

이번 칼럼에서는 실제 사건 사례를 중심으로, 개인정보가 유출된 경우 어떤 상황에서 기업이 손해배상 책임을 지게 되는지, 피해자는 어떻게 대응해야 하는지를 구체적으로 짚어보겠습니다.

사건 개요

개인정보가 유출되면 기업은 반드시 배상해야 할까?

최근 A기업의 회원정보가 해킹당했다는 보도가 나온 이후, 또 다른 플랫폼에서도 회원 이메일과 전화번호가 유출됐다는 사실이 확인되면서 온라인 이용자들의 불안감이 커지고 있습니다. 개인정보 유출 사고는 이제 기술 보안의 문제가 아니라 기업의 책임 문제로 비화되고 있으며, 유출 사실이 확인되면 곧바로 손해배상 소송으로 이어지는 경우도 많습니다. 특히 피해자가 입은 손해를 일일이 입증하지 않아도, 일정한 금액을 청구할 수 있도록 한 ‘법정손해배상제도’가 도입되면서, 기업 입장에서는 작은 유출 사고 하나가 수천 건의 소송 리스크로 이어질 수 있게 되었습니다.

그런데 최근 대법원이 개인정보 유출 사건에 대해 “실질적인 정신적 손해가 없다면 기업의 배상 책임이 없을 수도 있다"는 판단을 내리면서 법조계와 기업 실무 모두에 큰 영향을 주고 있습니다. 정보만 유출되었다는 이유만으로 자동으로 배상 책임이 생기는 것은 아니라는 의미입니다. 그렇다면 실제 사례에서는 어떤 기준으로 판단되었을까요?

이 사건은 한 지식공유 사이트에서 발생한 해킹 사고로 해당 사이트는 해커의 공격을 받아 회원들의 일부 개인정보가 외부로 유출되었습니다. 유출된 정보는 가입 당시 입력한 이메일 주소와, 내부적으로 저장되던 암호화된 비밀번호였습니다. 유출 사실이 확인되자, 피해자 중 한 명이 이 사이트 운영자를 상대로 정신적 피해를 이유로 위자료를 청구하는 소송을 제기했습니다.

원고는 자신이 피해사실을 알고 큰 불안감과 스트레스를 겪었다며, 개인정보보호법 제39조의2에 따라 손해를 구체적으로 증명하지 않아도 일정한 금액(최대 300만 원)의 위자료를 받을 수 있는 권리가 있다고 주장했습니다. 반면 피고 측은 해당 정보가 암호화된 상태였고, 이메일 주소만으로는 원고 개인을 특정하기 어렵기 때문에 실제 피해나 정신적 손해는 발생하지 않았다는 점을 강조했습니다.

법원의 판단

이번 판결의 핵심은 개인정보보호법 제39조의2 제1항에 대한 해석에 있습니다. 이 조항은 "개인정보처리자의 고의 또는 과실로 개인정보가 유출된 경우, 정보주체는 손해를 입증하지 않아도 300만 원 이하의 배상을 청구할 수 있다"는 내용을 담고 있습니다. 이는 기존 손해배상 제도와 달리, 피해자 입장에서 손해 입증의 부담을 덜어주기 위해 마련된 규정입니다.

하지만 대법원은 여기서 한 걸음 더 나아가, 개인정보처리자가 ‘정신적 손해가 실제로 발생하지 않았다’는 점을 주장하고 입증할 경우에는 법정손해배상 책임을 지지 않아도 된다고 보았습니다. 즉, 피해자는 손해를 입증하지 않아도 되지만, 기업은 반대로 ‘실질적인 피해가 없었다’는 점을 입증함으로써 책임을 벗어날 수 있다는 것입니다.

이러한 판단은 유출된 정보의 성격과 위험도를 중심으로 이뤄졌습니다. 정보가 유출되었다고 해서 무조건 정신적 피해가 인정되지는 않는다는 점을 볼 수 있습니다.

판결

대법원은 원심의 판단을 그대로 유지하며 상고를 기각했습니다.

유출된 비밀번호는 암호화되어 있었기 때문에 제3자가 실제 내용을 알아내거나 사용하는 것은 사실상 불가능에 가깝다는 점, 이메일 주소만 유출된 것으로는 해당 개인을 특정하기 어렵고, 이름이나 연락처 등 다른 정보와 결합되지 않아 식별 가능성이 낮다는 점, 유출된 이메일 주소로는 개인의 성향이나 소비 행태 등을 파악하기 어렵고, 악용 가능성 또한 크지 않다는 점을 들어 이정도 수준의 유출로는 피해자에게 위자료로 보상할 만한 정신적 손해가 발생하기 어렵다는 판단으로 기업의 책임은 인정되지 않았습니다.

이번 사례의 경우 “정보가 유출되었다는 사실 자체”와 “정신적 손해가 발생했다는 사실”은 동일하지 않다는 점을 볼 수 있습니다.

기업 입장에서는 개인정보 유출 사고가 발생하더라도, 유출된 정보의 암호화 여부, 유출 범위, 제3자 열람 가능성, 2차 피해 가능성, 사후 조치 등을 적극적으로 소명하여 책임을 줄이거나 면할 수 있는 여지가 있습니다. 또한, 유출 사실을 인지한 직후에는 내부 로그 기록, 탐지 대응 이력, 회원 통지 여부 등 기록 중심의 방어 전략을 미리 준비해두는 것이 매우 중요합니다.

한편, 피해자 입장에서는 단순한 정보 유출만으로는 손해배상 책임이 쉽게 인정되지 않을 수 있기 때문에, 정신적 충격이나 실제 피해 사실에 대한 구체적 기록을 남겨두는 것이 중요합니다. 실제로 피해자가 유출 사실을 알고 받은 상담기록, 불안으로 인한 약물치료, 추가 스팸이나 사기 피해 등의 정황이 있으면 손해 발생 입증에 도움이 될 수 있습니다.

​

강앤강 법률사무소는 대한민국 1위 기업 삼성과 대한민국 1위 로펌 김앤장 출신 변호사들이 처음부터 직접 사건 상담을 진행하며 철저한 사건 분석 및 검토를 통해 의뢰인의 사건이 신속하게 해결될 수 있도록 도와드리고 있습니다.

의뢰인과의 상담 내용은 철저히 비밀이 보장됨을 약속드리며 법률상담이 필요하신 경우 대표번호(052-258-9384)로 편하게 연락 주시면 성심성의껏 상담 도와드리겠습니다.

#울산변호사 #울산법무법인 #강영준변호사 #강소영변호사 #이형록변호사 #개인정보유출 #법정손해배상 #해킹사고 #기업책임 #개인정보보호법 #개인정보보호 #정신적피해 #위자료청구 #손해배상소송 #유출사고 #이메일유출 #암호화비밀번호 #대법원판결 #피해자대응방법 #법률칼럼 #개인정보사고 #정보보안 #사이버범죄 #g마켓 #쿠팡해킹 #업비트해킹