최근 기업이나 온라인 플랫폼을 대상으로 한 해킹 공격으로 대규모 개인정보 유출 사고가 빈번하게 발생하고 있다. 이에 따라 정보주체인 이용자들이 기업을 상대로 제기하는 손해배상 소송도 늘어나고 있는데, 특히 피해자가 실제 발생한 손해액을 구체적으로 입증하지 않아도 배상을 청구할 수 있는 '법정손해배상제도'(개인정보 보호법 제39조의2)가 주로 활용된다.
이러한 상황에서 최근 대법원은 개인정보 유출 사고가 발생했더라도, 기업이 '정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하지 않았음'을 입증한다면 배상 책임을 면할 수 있다는 중요한 판결을 내놓았다(대법원 2025. 12. 4. 선고 2023다311184 판결).
이 사건의 피고는 온라인 지식거래 공유 사이트를 운영하는 회사이며, 원고는 2001년 해당 사이트에 가입한 회원이다. 2021년 9월, 해커의 공격으로 인해 원고를 포함한 약 40만명의 회원 정보가 유출되는 사고가 발생했다. 유출된 원고의 정보는 '암호화된 비밀번호'와 '이메일 주소'였다 .
이에 원고는 법정손해배상을 청구했고, 쟁점은 과연 정보주체가 '실제 손해'를 입증하지 않아도 배상을 받을 수 있는지, 반대로 기업은 '손해가 없음'을 증명해 책임을 피할 수 있는지 여부였다.
대법원은 우선 법정손해배상제도의 취지를 명확히 했다. 이 제도는 개인정보 유출 피해자가 손해액을 구체적으로 입증하기 어려운 현실을 고려해, 유출 사실만 주장·증명하면 손해 발생을 구체적으로 입증하지 않아도 배상 청구가 가능하도록 피해자를 돕는 데 목적이 있다. 즉, 원고는 유출 사실만 입증하면 일단 청구의 요건을 갖춘 것으로 보아야 한다.
그러나 대법원은 이것이 곧 '손해가 발생하지 않은 것이 분명한 경우'까지 무조건 배상해야 한다는 의미는 아니라고 선을 그었다. 만약 개인정보처리자(기업)가 “정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하지 않았다”는 사실을 입증한다면, 법정손해배상 책임에서 벗어날 수 있다는 것이다.
이 사건에서 대법원은 피고(기업)의 손을 들어주었다. 그 이유는 다음과 같다. 첫째, 유출된 비밀번호는 암호화돼 있어 제3자가 악용할 가능성이 매우 낮았다. 둘째, 이메일 주소는 성명 등 다른 정보와 결합되지 않은 상태로 유출돼 그 자체만으로는 개인을 식별하기 어려웠다. 셋째, 사고 발생 후 2년이 지나도록 스팸메일 증가나 2차 피해가 확인되지 않았다. 넷째, 피고는 사고 직후 관계 기관에 신고하고 피해자들에게 통지하는 등 확산 방지 조치를 충실히 이행했다. 종합하면, 유출 사고는 있었으나 이로 인해 원고가 감내하기 어려운 정신적 고통을 입었다고 보기는 어렵다는 판단이다 .
이번 판결은 법정손해배상제도가 피해자의 입증 부담을 덜어주는 강력한 도구임은 재확인하면서도, 이를 '자동 배상' 또는 '징벌적 배상'으로 오인해서는 안 된다는 점을 분명히 했다는 데 의의가 있다. 특히 대법원은 '손해의 부존재'를 판단하기 위한 구체적인 기준을 제시했다. 단순히 유출 사실만 볼 것이 아니라, △유출된 정보의 종류와 성격 △개인 식별 가능성 △제3자의 열람 및 확산 여부 △추가 법익침해 가능성 △기업의 관리 상황 및 사후 조치 등을 종합적으로 고려해야 한다는 것이다.
결론적으로 이번 판결은 개인정보의 중요성을 강조하면서도, 실질적인 피해가 없는 경우에까지 과도한 배상 책임을 지우는 것을 경계해 법적 안정성을 도모했다. 특히 기업 입장에서는 암호화 조치와 신속한 대응이 면책의 핵심 요소가 될 수 있음을 시사하고 있다.
김경환 법무법인 민후 변호사