40만 명 개인정보유출사례, 기업 과실은 인정됐는데 배상금은 '0원'… 대법원이 그은 한계

글자 크기 설정

미리보기

더 이상 어렵지 않은 법을 위한 인터넷 신문 로톡뉴스를 만나보세요. 법 전문가들의 다양한 생각과 가치를 생생히 전달합니다.

40만 명 개인정보유출사례, 기업 과실은 인정됐는데 배상금은 '0원'… 대법원이 그은 한계

2026. 03. 05 14:59 작성2026. 03. 06 14:38 수정
조연지 기자의 썸네일 이미지
조연지 기자
yj.jo@lawtalknews.co.kr

글자 크기 설정

미리보기

더 이상 어렵지 않은 법을 위한 인터넷 신문 로톡뉴스를 만나보세요. 법 전문가들의 다양한 생각과 가치를 생생히 전달합니다.

웹방화벽까지 꺼둔 운영사

과징금은 맞았지만 피해자 손해배상은 1심부터 대법원까지 전부 기각

본문의 이해를 돕기 위해 생성형 AI로 만든 이미지

기업이 보안 의무를 명백히 위반해 40만 명의 개인정보가 유출됐다.


행정 제재까지 받았다. 그런데 정작 피해자가 청구한 30만 원의 손해배상은 대법원에서도 기각됐다. 과실은 인정하면서 배상은 없다니, 대체 무슨 논리일까.


보안장치 꺼둔 사이에 40만 명의 정보가 빠져나갔다

온라인 지식거래 서비스를 제공하는 B회사가 운영하는 C웹사이트에서 2021년 9월 10일부터 13일 사이 대규모 해킹 사고가 발생했다. 이 사이버 공격으로 총 40만 3298명의 회원 정보가 외부로 유출됐다. 2001년부터 해당 사이트에 가입해 활동하던 회원 A씨 역시 피해자였으며, 유출된 정보는 이메일 주소와 암호화된 비밀번호였다.


개인정보보호위원회 조사 결과, B회사는 해킹 방어의 기본 장치인 웹방화벽을 비활성화한 상태였고, 웹서버 입력값에 대한 검증도 소홀히 한 것으로 드러났다. 안전조치의무를 다하지 않은 명백한 관리 부실이 확인되면서 B회사는 과징금 1210만 원과 과태료 1020만 원 처분을 받았다.


다만 B회사는 사고 직후 관계 기관에 유출 사실을 신고하고, 가입자들에게 유출 사실을 개별 통지하며 비밀번호 변경을 요청하는 등 사후 조치를 이행한 것으로 확인됐다.


30만 원도 받을 수 없었던 피해자, 무엇이 부족했나

운영사의 과실이 확인되자 피해자 A씨는 스팸메일 수신 증가와 2차 피해 우려 등 정신적 고통을 호소하며 소송을 제기했다. A씨는 개인정보보호법에 따른 법정손해배상금 30만 원을 지급하라며 법적 대응에 나섰다.


유출된 A씨의 비밀번호는 대표적인 암호 알고리즘인 AES-128과 SHA-512 방식으로 암호화된 상태였으며, 복호화에 필요한 대칭키는 유출되지 않았다. 이메일 주소는 성명이나 주민등록번호 등 다른 식별 정보와 결합되지 않은 채 단독으로 유출된 것이었다.


A씨는 사고 이후 스팸메일이 증가했다고 주장했으나, 사고 이전부터 유사한 스팸메일을 수신해 온 정황이 있었다. 또한 B회사가 유출 사실을 통보하고 비밀번호 변경을 요청했음에도 A씨는 비밀번호를 변경하지 않은 것으로 확인됐다.


과실은 맞다, 그러나 배상할 손해는 없다

명백한 보안 과실이 있었기에 피해자의 배상 요구는 당연한 수순으로 보였지만, 법정에서의 결과는 전혀 달랐다. 1심(서울남부지방법원 2021가소568939)과 2심(서울남부지방법원 2023나55205)에 이어 대법원(2025. 12. 4. 선고 2023다311184)까지, 모든 법원이 A씨의 청구를 기각했다.


재판부는 유출된 정보의 성격부터 꼼꼼히 따졌다. 비밀번호는 AES-128과 SHA-512로 강력하게 암호화되어 있었고, 복호화에 필요한 대칭키가 함께 유출되지 않았기 때문에 제3자가 그 내용을 파악하거나 실제 범죄에 악용할 가능성은 매우 낮다고 판단했다.


이메일 주소 역시 단독으로 유출된 것이어서, 성명이나 주민등록번호 등 다른 식별 정보와 결합되지 않은 이상 특정 개인이 누구인지 식별하기 어렵다고 보았다.


A씨가 주장한 스팸메일 증가에 대해서도 재판부는 이번 해킹 사고와의 직접적인 인과관계를 입증할 증거가 부족하다고 판단했다.


오히려 사고 이전부터 유사한 메일을 받아온 정황이 지적됐다. 여기에 B회사의 비밀번호 변경 요청에도 응하지 않은 A씨의 사정까지 더해지면서, 법원은 기업의 과실로 정보가 유출된 사실 자체는 인정되지만 그것만으로 A씨에게 금전으로 위자할 만한 정신적 손해가 발생했다고 보기는 어렵다는 결론을 내렸다.


대법원이 그은 선, 법정손해배상에도 '한계'는 있다

이번 대법원 판결이 주목받는 이유는 개인정보보호법상 법정손해배상 제도의 기준을 명확히 제시했다는 데 있다.


현행법은 개인정보 유출 피해자가 구체적인 손해액을 입증하기 어렵다는 점을 고려해 최대 300만 원 이하의 배상을 청구할 수 있도록 하고 있다. 그러나 대법원은 손해가 발생하지 않은 것이 분명한 경우까지 무조건 손해배상의무를 인정하려는 취지는 아니라고 선을 그었다.


결국 이 판결은 기업이 유출 사고 직후 관계 기관에 신속히 신고하고 가입자들에게 피해 방지 조치를 적극적으로 권고하는 등 사후 조치를 충실히 이행했다면, 그리고 피해자에게 실질적인 정신적 고통이 없었음을 입증해 낸다면 배상 책임을 면할 수 있다는 중요한 법적 기준을 확립한 것이다.


개인정보 유출 피해자 입장에서는 기업의 과실만으로 배상이 보장되지 않는다는 점에서, 기업 입장에서는 사후 대응 여하에 따라 법적 책임의 범위가 달라질 수 있다는 점에서 이번 판결의 의미를 되짚어볼 필요가 있다.



#IT/개인정보#개인정보유출#법정손해배상#손해배상#손해배상기각#해킹사고

나만 모르는 일상 법률 상식, 매일 아침 배달해드려요!

로톡 이야기로톡 이야기

로톡 브랜드 스토리를 들려드립니다.

실시간 AI 모니터링 시스템

허위·과장문구를 모니터링하고 있습니다.

(C) Law&Company Co., Ltd. ALL RIGHTS RESERVED.

공지사항

마이페이지

로톡상담

고객센터

회사소개
(주)로앤컴퍼니 | 사업자번호 : | 통신판매번호: | 대표자명: | 대표번호: | 이메일: | 주소: | 제호: 로톡뉴스 | 등록번호: 서울 아05068 | 등록연원일: 2018.04.03 | 발행인: 김본환 | 편집인: 엄보운 | 청소년보호책임자: 정재성 | 더 이상 어렵지 않은 법을 위한 인터넷 신문, 로톡뉴스의 모든 컨텐츠는 저작권법의 보호를 받습니다. 기사 내용에 대한 무단 복제 및 전재를 금합니다.
로톡 이야기로톡 이야기

로톡 브랜드 스토리를 들려드립니다.

실시간 AI 모니터링 시스템

허위·과장문구를 모니터링하고 있습니다.

(주)로앤컴퍼니 | 사업자번호 : | 통신판매번호: | 대표자명: | 대표번호: | 이메일: | 주소: | 제호: 로톡뉴스 | 등록번호: 서울 아05068 | 등록연원일: 2018.04.03 | 발행인: 김본환 | 편집인: 엄보운 | 청소년보호책임자: 정재성 | 더 이상 어렵지 않은 법을 위한 인터넷 신문, 로톡뉴스의 모든 컨텐츠는 저작권법의 보호를 받습니다. 기사 내용에 대한 무단 복제 및 전재를 금합니다.
(주)로앤컴퍼니는 대한민국 법률시장의 정보비대칭과 불법 법조브로커를 해소하여 투명하고 공정한 법률시장을 만들기 위해 로톡(LawTalk) 서비스를 제공하고 있습니다. 로톡은 의뢰인회원의 법률상담 내용 및 상담 여부, 법률사건 내용 및 수임 여부, 변호사회원의 선택 등에 대해 일절 관여하지 않아 변호사법 및 기타 관련규정을 준수하고 있으며, 변호사회원이 의뢰인회원에게 제공하는 서비스의 내용과 질에 대해 어떠한 법적책임도 부담하지 않습니다. 또한 회원간의 예약 및 결제정보의 중개서비스 또는 통신판매중개 시스템을 제공할 뿐, 통신판매의 당사자가 아닙니다. 모든 법률상담은 각 변호사회원이 직접 수행하며, 모든 변호사회원은 각 소속 법률사무소, 로펌에서 독립적으로 법률업무를 수행합니다. 그리고 로톡에 가입한 변호사들 상호간에는 어떠한 조직적인 관계가 없음을 밝힙니다. 로톡에 표시된 변호사회원의 정보는 해당 변호사가 직접 제공한 것이며 무단으로 복제, 편집, 전시, 전송, 배포, 판매, 방송, 공연 등에 이용할 수 없습니다.

(C) Law&Company Co., Ltd. ALL RIGHTS RESERVED.