[IP/TECH] 개인정보 유출로 인한 손해배상 책임에 관하여 - 김성준 변호사
등록일 2025.08.20
조회수 157
1. 들어가며
개인정보는 단순한 정보가 아니라, 법적으로 보호받는 개인의 권리 그 자체입니다.
「개인정보 보호법」은 개인정보를 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보”뿐만 아니라, “해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보”까지 포함한다고 정의하고 있습니다(제2조 제1호).
즉, 이름이나 주민등록번호처럼 그 자체로 개인을 식별할 수 있는 ‘직접 식별 정보’,
위치정보나 기기정보처럼 단독으로는 특정인을 알아보기 어렵지만 조합하면 식별이 가능한 ‘간접 식별 정보’,
그리고 별개의 정보를 결합함으로써 특정인을 알아볼 수 있게 되는 ‘결합 가능 정보’ 모두가 개인정보로 분류됩니다.
오늘날 개인정보는 단순한 개인의 정보에 그치지 않고, 사생활의 핵심이자 기업 신뢰를 좌우하는 핵심 자산으로 인식되고 있습니다.
고객의 이름, 연락처, 위치정보, 구매내역 등은 기업의 주요한 업무에 활용되는 필수 정보이지만, 동시에 엄격한 보호와 관리가
요구되는 민감정보이기도 합니다.
이처럼 개인정보의 중요성이 높아지면서, 전 세계적으로 개인정보 유출 사고 또한 빈번하게 발생하고 있습니다
국내에서도 ‘2014년 11월 인터파크의 대규모 개인정보 유출 사건(과징금 44억 원 부과)’,‘2012년부터 2016년까지 KT에서 반복적으로 발생한 유출 사고’, ‘2018년 6월 LG유플러스의 개인정보 유출 사고(과징금 68억 원 부과)’, 그리고 최근 ‘2025년 4월 SK텔레콤의 HSS(Home Subscriber Server) 서버가 해킹되어 발생한 대규모 가입자 정보 유출 사태’ 등 굵직한 사건들이 지속적으로 발생하고 있습니다.
이처럼 반복되는 유출 사태는 개인정보 보호의무를 소홀히 한 기업에게 행정적 제재뿐 아니라 민사상 손해배상 책임까지 부과되는 흐름을 강화시키고 있습니다. 이에 따라 아래에서는 개인정보 유출로 인한 민사책임의 법적 구조와 최근 판례 동향에 대해 살펴보겠습니다.
2.「개인정보 보호법」에 따른 민사상 손해배상 책임의 법적 근거
1. 손해배상 책임의 근거 및 입증책임의 전환
「개인정보 보호법」 제39조 제1항은 개인정보처리자의 손해배상 책임을 명확히 하는 동시에, 입증책임의 전환이라는 중요한 법리를 담고 있습니다. 일반적인 민사책임에서는 피해자가 가해자의 고의 또는 과실을 입증해야 하지만, 이 조항에서는
는 정보주체가 기업의 과실이나 내부 관리상의 문제를 외부에서 입증하는 것이 현실적으로 어렵다는 점을 반영하여,
입법적으로 기업에게 보다 강화된 책임과 입증 부담을 부과한 것으로 이해할 수 있습니다.
2. 손해배상액의 산정 원칙(민법 제750조 및 제751조).
우선 민사상 손해배상 청구에서 손해는 통상적으로 적극적 손해, 소극적 손해, 정신적 손해의 세 가지로 구분됩니다.
먼저 적극적 손해는 피해자가 직접 입은 금전적 손실로, 기존 재산이 감소한 손해를 의미하고,
소극적 손해는 불법 행위가 없었더라면 얻을 수 있었던 이익, 즉 기회 손실을 의미합니다.
정신적 손해는 재산 이외의 정신적 고통에 대한 손해를 의미하고, 보통 위자료가 여기에 해당합니다.
그리고 일반 민사책임의 경우 청구인(피해자)이 가해자의 고의 과실뿐만 아니라,
손해의 발생 및 불법 행위와 손해 사이의 인과관계까지 입증하는 것이 원칙입니다.
그러나, 「개인정보 보호법」은 개인정보처리자의 손해배상 책임에 대하여 다음과 같이 규정하고 있습니다.
즉, 「개인정보 보호법」은 일반 민사책임과 달리, 정보주체가 개인정보의 유출 등 피해 사실만을 주장·입증하면,
일응 개인정보처리자의 고의 또는 과실, 손해의 발생 및 그 인과관계를 추정하여
개인정보처리자가 고의 또는 과실이 없음을 입증하지 못하는 한, 그 손해배상 책임을 인정하고 있습니다.
한편, 개인정보 유출 사건에서는 손해배상 청구가 주로 정신적 손해에 대한 위자료 청구 중심으로 이루어집니다.
이는 유출로 인해 실제 금전적 피해가 발생한 경우(예: 명의도용에 따른 금융사기 피해 등)를 제외하면,
구체적인 손해를 입증하기 어려운 경우가 대부분이기 때문입니다.
반면, 이름·연락처·위치정보 등 민감한 정보가 유출되었을 때 느끼는 불안감, 수치심, 사생활 침해에 대한
정신적 피해는 입증 없이도 일정한 위자료로 인정되는 경향이 있습니다.
이러한 점을 반영하여, 「개인정보 보호법」은 제39조의2에서 정보주체가 실제 재산상 피해를 입지 않았더라도,
300만 원 이하의 범위에서 상당한 손해액을 청구할 수 있도록 정하고 있으며,
법원도 정보의 민감성, 유출 규모, 기업의 대응 여부 등을 종합하여 상당한 위자료를 인정할 수 있도록 재량을 부여하고 있습니다.
3. 개인정보 유출로 인한 손해배상 책임 관련 판례의 동향
1. 개인정보처리자의 보호조치를 취할 법률상 의무 위반 판단 기준
대법원은 개인정보처리자가 개인정보의 안정성 확보에 필요한 보호조치를 취하여야 할 법률상 의무를 위반하였는지 여부에 관하여,
“정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 의무를 위반하였는지 여부를 판단할 때는
해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종·영업규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다(대법원 2018. 1. 25. 선고 2015다24904, 24911, 24928, 24935 판결 참조).
방송통신위원회 고시는 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 다하였는지 판단함에 있어 중요한 기준이 되지만, 위 고시는 정보통신서비스 제공자가 반드시 준수해야 할 최소한의 기준이므로, 위 고시에서 정하고 있는 기술적 · 관리적 보호조치를 다하였다고 하더라도 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는 위법행위로 평가될 수 있다(대법원 2018. 6. 28. 선고 2014다20905 판결 등 참조).”라고 판시하고 있습니다.
즉, 대법원은 개인정보처리자(정보통신서비스 제공자)의 보호조치의 적정성은
① 해킹 등 침해사고 당시 정보보안 기술의 일반적 수준
② 해당 사업자의 업종, 영업규모
③ 사건 당시 전체적인 보안체계의 내용
④ 보안 조치를 위한 비용 대비 효용
⑤ 해킹기술과 보안기술의 발전 수준 및 피해 회피 가능성
⑥ 수집된 개인정보의 종류와 민감성
⑦ 개인정보 유출로 인한 이용자 피해의 중대성
등을 종합적으로 평가하여, 사회통념상 합리적으로 기대할 수 있는 보호조치를 다하였는지를 기준으로 판단해야 한다고 명확히 밝히면서, 방송통신위원회 고시에서 정한 기술적‧관리적 보호조치는 법률상 또는 계약상 의무를 판단함에 있어 참고가 되는 기준이지만, 이는 어디까지나 최소한의 기준으로서, 고시에서 정한 조치를 모두 이행했다 하더라도, 사회적으로 합리적으로 기대되는 수준의 보호조치를 이행하지 않았다면 위법행위로 평가될 수 있음을 강조하였습니다.
따라서 개인정보처리자가 개인정보 보호조치를 취할 법률상 의무를 다하였는지 여부,
즉 개인정보처리자에게 개인정보 유출에 대한 고의·과실이 있는지 여부는 일률적으로 판단되기 보다는,
구체적인 제반사정을 종합하여 판단되고 있다고 볼 수 있습니다.
2. 정보주체의 정신적 손해 인정 기준
대법원은 개인정보 유출 등 개인정보처리자의 법령 위반 사실이 있었을 경우 정보주체의 정신적 손해의 발생 여부에 관하여 “개인정보를 처리하는 자가 수집한 개인정보가 정보주체의 의사에 반하여 유출된 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해 온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다(대법원 2012. 12. 26. 선고 2011다59834 판결 등 참조).”고 판시하고 있습니다.
즉, 대법원은 개인정보처리자가 수집한 개인정보가 정보주체의 의사에 반하여 유출된 경우, 정보주체에게 정신적 손해가 발생했는지 여부는 일률적으로 판단할 수 없고, 사안별로 개별적·구체적으로 판단해야 한다고 보면서, ① 유출된 개인정보의 종류와 성격, ② 정보주체 식별 가능성, ③ 제3자의 열람 여부 또는 가능성, ④ 정보 확산 범위, ⑤ 2차 피해 또는 법익 침해 가능성, ⑥ 개인정보처리자의 관리 실태 및 유출 경위, ⑦ 사후 조치의 적설정 등을 종합하여 판단해야 한다고 보고 있습니다.
다만, 최근 하급심은 개인정보 유출 등 침해의 경우 특별한 사정이 없는 한 정신적 고통이 수반된다고 추정하는 경향인 것으로 보입니다.
3. 구체적인 손해액의 산정 및 사례
대법원은 불법행위로 입은 정신적 손해(위자료)의 액수에 대하여 사실심 법원(1심 내지 2심)이
여러 사정을 참작하여 재량으로 정할 수 있음을 판시하고 있습니다. (대법원 1999. 4. 23. 선고 98다41377 판결 등 참조).
실제 판례들에서는 다음과 같이 개인정보의 성격에 따라 위자료 금액이 다양하게 인정되고 있습니다.
이를 유형별로 살펴보면, 일반 개인정보보다는 금융정보 또는 민감정보일수록,
단순 과실에 의한 유출보다는 고의적이거나 부정한 방법에 의한 유출일수록 위자료 금액이 더 높게 산정되는 경향이 있습니다.
한편 만약 개인정보 유출 등으로 인해 정보주체에게 실제 금전적 피해 등이 발생하였다면,
정신적 손해인 위자료 외에 손해 3분설에 따라 적극적 손해 및 소극적 손해의 발생을 주장·입증하여 이를 청구할 수 있습니다.
이상과 같이 「개인정보 보호법」은 개인정보처리자에게 강화된 보호 의무를 부여하고 있으며,
유출이 발생한 경우에는 입증책임을 개인정보처리자에게 전환하여 손해배상 책임을 보다 엄격하게 묻고 있습니다.
특히 대법원은 보호조치의무 위반 여부 및 정신적 손해 발생 여부를 사안별로 구체적 사정을 종합해 판단해야 한다는 입장을 명확히 하고 있으며, 단순히 법령상 형식 요건을 갖췄다고 해서 책임을 면할 수는 없다는 점을 강조하고 있습니다.
실제 판례들도 유출된 정보의 민감성, 유출 경위, 기업의 대응 수준 등에 따라 위자료 금액에 차등을 두고 있으며, 최근 하급심에서는 개인정보 유출 그 자체로 정신적 손해가 추정된다는 취지의 판단 경향도 나타나고 있습니다.
따라서 개인정보 유출 관련 책임을 다룰 때에는, 보호조치 이행의 실효성, 유출 경위 및 범위에 대한 객관적 검토, 사후 대응 조치의 충실성, 피해자 개별 상황에 따른 손해의 구체성 등을 종합적으로 분석하고, 나아가 행정소송 외에 민·형사상 조치까지 활용하는 전략적 접근이 요구됩니다.
이상 함께 검토한 법령 및 대법원 판례의 법리를 숙지하고 사실관계를 꼼꼼히 확인하시되,
필요한 경우 법무법인(유) 로고스의 변호사와 상담을 거치셔서 정당한 권리를 잘 행사하시기 바랍니다.✔️
법무법인 로고스 IP·TECH팀은
기술과 법, 그리고 사업적 감각을 겸비한 전문가들이 모여
특허, 상표, 디자인, 저작권, 부정경쟁, 개인정보보호까지
당신의 지식재산이 가치로 연결되는 그 순간까지 함께합니다.
