티빙 개인정보 유출… '전체 매출 3%' 과징금 폭탄 맞나

2026. 06. 04 14:42 작성

조연지 기자

yj.jo@lawtalknews.co.kr

'꼼수 감경' 안 통하는 개정법

회사 전체 매출 조준

티빙 개인정보 유출… '전체 매출 3%' 과징금 폭탄 맞나 기사 관련이미지

티빙 로고 /연합뉴스

온라인동영상서비스(OTT) 티빙에서 발생한 개인정보 유출 사고와 관련하여 향후 티빙이 부담하게 될 법적 책임과 이용자들의 보상 청구 가능성에 대한 법리적 관심이 높아지고 있다.

이번 사고로 회원 아이디(ID), 성명, 생년월일, 성별, 전화번호, 이메일 등이 유출되었으며, 주민등록번호와 결제 관련 정보는 유출 대상에서 제외된 것으로 확인되었다.

정확한 유출 규모와 상세 경위는 현재 정부와 민간 전문가로 구성된 민관합동조사단의 조사가 진행 중이다.

입증책임 전환되는 '개인정보 보호법'... 기술적 조치 미흡 여부가 핵심

티빙은 개인정보 보호법에 따른 민사상 손해배상 책임을 질 가능성이 있다.

개인정보 보호법 제39조 제1항에 따르면 개인정보처리자가 법을 위반하여 정보주체에게 손해를 입힌 경우, 고의 또는 과실이 없음을 스스로 입증하지 못하면 책임을 면할 수 없다.

일반적인 민사소송과 달리 입증책임이 기업 측에 전환되는 구조다.

계약법 관점에서도 책임 성립 여부가 논의된다.

유사한 사건을 맡은 대구지방법원은 정보통신서비스 제공자가 이용약관을 통해 개인정보를 수집한 경우 개인정보가 유출되지 않도록 적절한 보안시스템을 구축하고 합리적인 수준의 기술적·관리적 대책을 수립·운영할 계약상 의무를 부담한다고 판시한 바 있다.

향후 법적 공방에서는 외부 비인가 접근 등에 대항한 티빙의 기술적·관리적 보호조치 의무 위반 여부가 핵심 쟁점이 될 것으로 풀이된다.

법원은 보호조치 의무 위반을 판단할 때 사고 당시 보편적인 정보보안 기술 수준, 티빙의 영업 규모, 전체적인 보안조치 내용, 해킹 기술 수준과 피해 회피 가능성 등을 종합적으로 고려한다.

만약 조사 결과 티빙의 고의 또는 중대한 과실로 인하여 개인정보가 유출된 것으로 인정되면 법원은 손해액의 5배를 넘지 않는 범위에서 징벌적 손해배상액을 정할 수 있다.

피해 이용자의 현실적 보상 대안은?

이용자들이 선택할 수 있는 실질적인 구제 수단으로는 개인정보 보호법 제39조의2에 따른 '법정손해배상' 청구가 있다.

이 제도는 정보주체가 구제 절차에서 구체적인 손해 액수를 입증하지 않더라도 300만 원 이하의 범위에서 상당한 금액을 손해액으로 청구할 수 있도록 규정하고 있다.

과거 관련 사건을 맡은 대법원은 정보주체가 법정손해배상을 청구하기 위해 개인정보가 유출되었다는 사실만 주장·증명하면 되고 손해의 발생 사실을 구체적으로 증명할 필요는 없다고 판시했다.

이는 구체적인 피해 증명이 어려운 이용자들의 소송 부담을 완화하는 법리다.

다만 해당 판결에서 법원은 손해가 발생하지 않은 것이 분명한 경우까지 배상의무를 인정하는 취지는 아니므로, 개인정보처리자가 정신적 손해가 발생하지 않았음을 주장·증명하면 면책될 수 있다고 명시했다.

이때 정신적 손해 유무는 유출된 개인정보의 종류와 성격, 제3자의 열람 가능성, 유출된 정보의 확산 범위, 사후 조치 등을 종합적으로 고려하여 개별적으로 판단된다.

이번 사고의 경우 아이디와 성명, 전화번호 등 직접 식별이 가능한 복합 정보가 유출되어 2차 피해 우려가 제기되는 상황이다. 과거 판례에서 대규모 유출 사고 시 인정된 위자료 수준은 사안에 따라 인당 7만 원에서 50만 원 선에서 결정되었다.

개정법 적용되는 행정 제재… '입증책임 전환'된 전체 매출 3% 과징금

행정적 제재 측면에서는 강화된 개정 개인정보 보호법(2023년 9월 시행)이 전면 적용된다.

개정법에 따라 안전조치의무 위반이 인정될 경우 부과되는 과징금 기준은 기존 '위반행위 관련 매출액'에서 '전체 매출액의 3% 이하'로 대폭 강화됐다.

단서 조항에 '위반행위와 관련 없는 매출액은 제외한다'고 명시돼 있어 기존 법과 유사해 보이지만, 실질적인 법리적 무게는 완전히 다르다.

과거에는 정부가 관련 매출을 직접 증명해야 했으나, 이제는 기업이 '유출 사고와 무관한 매출'임을 스스로 입증해야 하기 때문이다.

이에 따라 티빙이 매출 분리를 완벽하게 소명해내지 못할 경우, 회사 전체 매출을 기준으로 한 천문학적인 과징금 리스크를 고스란히 떠안게 된다.

반면 형사 처벌의 경우 리스크의 성격이 바뀌었다. 과거 서울동부지방법원은 숙박 예약 플랫폼의 관리 소홀 유출 사고에 대해 해당 법인에 벌금 2,000만 원, 보안 총괄 임원에게 징역형의 집행유예를 선고한 선례가 있다.

그러나 현행 개정법에서는 안전조치 미흡으로 인한 유출 발생 시 임직원과 법인에 대한 형사처벌 조항이 폐지됐다. 과도한 형벌을 내리는 대신 '전체 매출액의 3%'라는 막대한 경제적 제재로 처벌의 패러다임이 이동한 결과다.

결론적으로 티빙은 민관합동조사단의 최종 조사 결과에 따라 형사적 책임은 면할 가능성이 높으나, 개정법 기준의 매출액 기반 과징금 폭탄과 대규모 민사 손해배상 청구라는 복합적인 경제적 위험에 직면해 있다.

티빙 최주희 대표가 사과문을 통해 "책임은 전적으로 티빙에 있다"며 고개를 숙였음에도 불구하고, 사고 발생 이후 구체적인 유출 규모나 피해 범위를 신속하게 공개하지 않고 있다는 점은 향후 사후 조치의 적정성 평가 및 과징금 산정 과정에서 불리한 요소로 작용할 전망이다.