[판례분석] 개인정보 유출, '정보 유출' 사실만으로 무조건 손해배상 받을 수 있을까?

[판례분석] 개인정보 유출, '정보 유출' 사실만으로 무조건 손해배상 받을 수 있을까?

최근 온라인 서비스 해킹으로 인한 대규모 개인정보 유출 사고가 빈번하게 발생하고 있습니다. 많은 정보주체가 자신의 소중한 정보가 유출되었다는 사실만으로 정신적 고통을 호소하며 법정손해배상을 청구하곤 합니다. 하지만 최근 대법원(2023다311184)은 개인정보가 유출되었다는 사실만으로 반드시 손해배상 책임이 성립하는 것은 아니라는 점을 명확히 한 판결을 내놓았습니다. 오늘은 해당 대법원 판결의 핵심 요지와 시사점을 살펴보겠습니다.

 

1. 사건의 발단: 지식거래 사이트 해킹 사고

피고는 온라인 지식거래 서비스인 '△△△' 사이트를 운영하는 개인정보처리자입니다. 지난 2021년 9월, 신원미상의 해커가 이 사이트를 해킹하여 약 40만 명의 가입자 정보가 유출되는 사고가 발생했습니다. 원고 역시 해당 사이트의 회원으로서 암호화된 비밀번호와 이메일 주소가 유출되었고, 이에 피고를 상대로 개인정보 보호법 제39조의2에 따른 법정손해배상을 청구했습니다.

 

2. 법정손해배상의 법리: 증명 책임의 소재

우리 개인정보 보호법은 정보주체가 구체적인 손해액을 증명하기 어려운 현실을 고려하여, 일정한 요건 하에 300만 원 이하의 금액을 배상받을 수 있는 '법정손해배상제도'를 두고 있습니다.

대법원은 이 제도에 대해 다음과 같은 해석을 내놓았습니다.

• 정보주체의 입장: 개인정보가 유출되었다는 사실만 증명하면 되고, 손해 발생을 구체적으로 입증할 필요는 없습니다.
• 개인정보처리자의 입장: 하지만 손해가 발생하지 않은 것이 명백한 경우까지 배상 의무를 지우는 것은 아닙니다. 따라서 처리자가 '정신적 손해가 발생하지 않았다'는 점을 역으로 증명한다면 책임을 면할 수 있습니다.

 

3. 법원의 구체적 판단 기준: 왜 이 사건은 배상 책임이 부정되었나?

대법원은 단순히 유출 여부만 보는 것이 아니라, 여러 정황을 종합적으로 고려해야 한다고 판시했습니다. 본 사건에서 원고의 청구가 기각된 주요 이유는 다음과 같습니다.

• 정보의 성격과 식별 가능성: 유출된 비밀번호는 암호화되어 있어 제3자가 이용하기 어려웠고, 이메일 주소 역시 성명 등 다른 정보와 결합되지 않아 그 자체만으로는 정보주체를 식별하기 힘들었습니다.
• 2차 피해의 부재: 사고 발생 후 2년이 지날 때까지 해당 사고와 연관된 스팸 메일 증가나 추가적인 법익 침해 자료가 확인되지 않았습니다.
• 사후 조치의 적절성: 피고는 사고 인지 즉시 관계 당국에 신고하고, 가입자들에게 통보하여 비밀번호 변경을 요청하는 등 피해 확산 방지를 위해 노력했습니다.

 

4. 결론 및 시사점

대법원은 위와 같은 사정들을 종합할 때, 원고에게 위자료로 배상할 만한 정신적 손해가 발생하였다고 보기 어렵다고 판단하여 상고를 기각했습니다.

이 판결은 개인정보 유출 사고 발생 시, 유출된 정보의 종류와 보안 수준, 그리고 사고 후 처리자의 대응 방식이 손해배상 책임 성립 여부를 결정짓는 핵심 요소임을 보여줍니다. 정보주체는 자신의 권리 침해 정도를 면밀히 따져보아야 하며, 기업 측면에서는 사고 예방뿐만 아니라 사고 발생 직후의 신속하고 적절한 대응 체계를 갖추는 것이 법적 리스크 관리에 필수적이라 할 수 있습니다.

 

변호사 이두철 법률사무소

https://blog.naver.com/doorul

변호사 이두철 법률사무소 : 네이버 블로그