교원그룹 해킹 사흘째 ‘유출 범위 미궁’... 72시간 통지 의무 위반 및 배상 책임은?

구몬학습과 빨간펜 등 교육 사업을 주력으로 하는 교원그룹이 랜섬웨어 공격을 받아 데이터가 외부로 유출되는 사고가 발생했다. 교원그룹은 지난 2026년 1월 10일 오전 8시경 사내 일부 시스템에서 비정상 징후를 확인했으며, 같은 날 오후 9시경 한국인터넷진흥원(KISA)에 침해 정황을 신고했다. 이어 12일 오후, 데이터가 실제로 유출된 정황을 확인하고 추가 신고를 마쳤다.

현재 교원그룹은 유출된 데이터의 정확한 규모와 고객 정보 포함 여부를 확인하기 위해 관계 기관 및 외부 전문 보안 기관과 조사를 진행 중이다. 그러나 사고 인지 후 사흘이 경과한 현재까지도 구체적인 유출 항목을 특정하지 못하고 있다. 교원그룹의 사업 영역이 학습지뿐만 아니라 여행, 상조 등으로 광범위하고, 학습지 특성상 미성년자의 성명과 주소는 물론 보호자의 카드 및 계좌번호 등 금융 정보까지 보관하고 있어 대규모 정보 유출에 대한 우려가 확산되는 양상이다.

법조계 "72시간 내 통지 의무 위반 소지... 보안 조치 실태가 과실 여부 가를 것"

유출 규모가 안갯속에 머물면서 법조계에서는 이번 사안을 둘러싼 법적 책임 공방이 치열해질 것으로 보고 있다. 우선 거론되는 쟁점은 개인정보 보호법 제34조에 따른 '유출 통지 의무' 위반 여부다. 개인정보 보호법 시행령 제39조에 따르면 개인정보처리자는 유출 사실을 알게 된 후 72시간 이내에 정보주체에게 해당 사실을 통지해야 한다.

교원그룹이 최초 침해 정황을 인지한 10일 오전 8시를 기준으로 할 때, 현재(13일)는 법정 통지 시한인 72시간에 임박한 상태다. 만약 유출 사실을 확정하고도 정당한 사유 없이 통지를 지연했다면 개인정보 보호법 제75조에 따라 5,000만 원 이하의 과태료가 부과될 수 있다. 다만 유출 범위가 확정되지 않은 경우 우선 신고 후 내용을 보완할 수 있다는 예외 규정이 적용될 여지는 남아 있다.

두 번째 쟁점은 개인정보 안전성 확보 조치 의무를 다했는지다. 대법원 판례(대법원 2015. 2. 12. 선고 2013다43994, 44003 판결)는 정보통신서비스 제공자가 보안 취약점을 방치하지 않고 사회통념 상 합리적으로 기대 가능한 수준의 보호 조치를 취했는지를 과실 판단의 기준으로 삼고 있다. 특히 랜섬웨어 공격에 대비한 보안 프로그램의 주기적 갱신 및 접근 통제 조치 이행 여부가 핵심이다. 만약 보안 관리 소홀이 입증된다면 개인정보 보호법 제73조에 따라 형사처벌 대상이 될 가능성도 배제할 수 없다.

‘징벌적 손해배상’ 가능성 제기... 미성년자·금융 정보 포함 시 책임 가중

실제 고객 정보 유출이 확인될 경우 교원그룹은 막대한 민사상 손해배상 책임을 지게 될 전망이다. 법원은 개인정보 유출로 인한 정신적 손해 배상 시 유출된 정보의 종류와 성격, 제3자의 열람 가능성 등을 종합적으로 고려한다(대법원 2019. 9. 26. 선고 2018다222303, 222310, 222327 판결). 과거 카드사 개인정보 유출 사건(서울중앙지방법원 2022. 3. 2. 선고 2020가단5241331 판결)에서는 1인당 7만 원의 위자료가 인정된 바 있다.

특히 개인정보 보호법 제39조의2에 명시된 '징벌적 손해배상제도'가 적용될지가 초미의 관심사다. 고의 또는 중대한 과실로 정보가 유출된 경우 법원은 손해액의 최대 5배까지 배상액을 산정할 수 있다. 교원그룹이 취급하는 정보에 아동·청소년의 민감 정보와 민감한 금융 데이터가 포함되어 있다는 점은 배상 규모를 키우는 주요 요인이 될 수 있다.

교원그룹 관계자는 "사고 원인이 규명될 때까지 보안 체계를 전면 재정비하고 고객 보호를 위해 최선을 다하겠다"고 밝혔다. 그러나 조사 결과에 따라 과태료 등 행정 처분은 물론, 피해 고객들의 집단 소송으로 이어질 가능성이 높아 향후 관계 기관의 조사 발표에 귀추가 주목된다.