회사 전산망에서 고객이나 지인의 정보를 권한 없이 들여다보거나, 업무로 알게 된 개인정보를 외부에 흘렸다가 형사 고소를 당하는 사례가 적지 않습니다. 흔히 "잠깐 본 것뿐인데", "이미 아는 사이라서 괜찮을 줄 알았다"고 생각하지만, 무단 조회·유출은 정보통신망법과 개인정보보호법이 정한 엄연한 범죄가 될 수 있습니다. 같은 "무단으로 봤다"는 행위라도 단순 접속인지, 비밀을 빼냈는지, 알게 된 정보를 누설했는지에 따라 적용되는 죄와 형량이 크게 달라집니다. 이 글에서는 개인정보 무단 조회·유출이 어떤 행위 유형으로 나뉘고 각각 어떤 죄가 성립하는지, 법원이 무엇을 기준으로 판단하는지, 그리고 혐의를 받았을 때 어떻게 대응해야 하는지를 일반적인 관점에서 정리합니다.
법무법인 도모 강대현 변호사
개인정보 무단 조회·유출이 범죄가 되는 이유
개인정보는 정보주체 본인의 동의와, 그 처리에 정당한 권한이 부여된 범위 안에서만 다룰 수 있는 것이 원칙입니다. 이 동의와 권한의 테두리를 벗어나 타인의 정보를 들여다보거나 밖으로 내보내는 순간, 그 행위는 단순한 직장 내 규정 위반을 넘어 형사처벌의 대상이 될 수 있습니다. 우리 법은 이를 크게 두 갈래의 법률로 규율합니다.
정보통신망법은 정보통신망 자체의 안정성과 그 안에 담긴 정보의 신뢰성을 보호하기 위해 무단 접속과 비밀 침해·누설을 처벌하고, 개인정보보호법은 정보주체의 개인정보 자기결정권을 보호하기 위해 업무상 알게 된 개인정보의 누설·유출을 처벌합니다. 두 법은 보호하려는 대상이 다르기 때문에, 하나의 행위에 두 법이 함께 적용되는 경우도 드물지 않습니다.
실무에서 가장 흔한 오해는 "아는 사이라서", "호기심에 잠깐 봤을 뿐이라서" 괜찮다는 생각입니다. 그러나 친분이나 단순한 호기심은 위법성을 없애 주는 사유가 아닙니다. 예를 들어 통신사 직원이 헤어진 연인의 통화 내역을 업무 시스템에서 조회했다면, 동기가 무엇이든 권한 범위를 벗어난 처리로 평가될 수 있습니다.
무단 조회·유출은 같은 "봤다"는 행위라도 단순 접속, 비밀 침해, 정보 누설 중 어디에 해당하는지에 따라 적용 죄명과 형량이 달라집니다.
권한 없는 접속·조회 — 정보통신망 침입죄(제48조)
가장 먼저 문제 되는 것은 "권한 없이 시스템에 들어갔는가"입니다. 정보통신망법 제48조 제1항은 누구든지 정당한 접근권한 없이, 또는 허용된 접근권한을 넘어 정보통신망에 침입하지 못하도록 정하고 있습니다. 이를 위반하면 제72조 제1항 제1호에 따라 3년 이하의 징역 또는 3천만원 이하의 벌금에 처해질 수 있습니다.
여기서 접근권한이 있는지, 또 그 범위가 어디까지인지를 정하는 주체는 이용자가 아니라 서비스제공자(시스템 관리자)입니다. 대법원은 권한을 부여받지 않은 제3자가 타인의 아이디·비밀번호를 부정하게 이용해 접속하면, 보호조치를 깨뜨리지 않았더라도 침입에 해당한다고 봅니다. 최근 대법원 2024. 11. 14. 선고 판결에서도 이미 로그인되어 있던 타인의 계정 화면을 이용해 사진첩에 접근한 행위의 침입 여부가 다투어졌습니다.
반대로, 정당하게 아이디를 발급받은 직원이 부여된 권한 범위 안에서 시스템에 접속한 것 자체는 원칙적으로 침입죄가 되지 않습니다. 이 경우는 침입의 문제가 아니라, 들여다본 정보를 어떻게 다루었는지(비밀 침해·누설인지)가 다음 단계의 쟁점이 됩니다. 다만 부여받은 권한의 목적이나 범위를 벗어난 조회였는지는 사안에 따라 치열하게 다투어지는 지점입니다.
비밀을 빼내거나 퍼뜨리면 — 정보통신망법 제49조
정보통신망법 제49조는 정보통신망으로 처리·보관·전송되는 타인의 정보를 훼손하거나, 타인의 비밀을 침해·도용·누설하는 행위를 금지합니다. 위반 시 제71조 제1항 제11호에 따라 5년 이하의 징역 또는 5천만원 이하의 벌금으로, 단순 침입죄보다 법정형이 무겁습니다.
여기서 핵심 개념은 대법원이 비교적 명확히 정리해 두었습니다. 대법원 2018. 12. 27. 선고 2017도15226 판결은 "타인의 비밀"을 일반적으로 알려져 있지 않은 사실로서 본인이 비밀로 유지하려는 이익이 있는 것으로 보고, "침해"는 정당한 권한 없이 해킹 등 부정한 수단으로 비밀을 취득하는 것, "누설"은 그렇게 부정하게 취득했거나 그 사정을 아는 사람이 이를 모르는 제3자에게 알려주는 것으로 해석했습니다.
이 사건은 직장 동료의 사내 메신저 대화 내용을 몰래 열람·복사한 행위가 문제 된 사안이었습니다. 즉 회사 내부망이라 하더라도, 권한 없이 타인의 통신 내용이나 비밀 자료를 열어 보고 빼냈다면 제49조 위반이 성립할 수 있다는 것입니다. 단순히 한 번 본 데 그치지 않고 캡처·복사해 두었거나 이를 다른 사람에게 전달했다면 침해와 누설이 함께 문제 될 수 있습니다.
제49조의 "침해"는 부정한 수단으로 비밀을 취득하는 것, "누설"은 그 비밀을 모르는 제3자에게 알려주는 것을 말합니다.
업무로 알게 된 정보를 흘리면 — 개인정보보호법 제59조
업무 과정에서 적법하게 접근할 수 있었던 정보라도, 그것을 외부로 흘리면 별도의 처벌 대상이 됩니다. 개인정보보호법 제59조 제2호는 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위를 금지하고, 이를 위반하면 제71조 제5호에 따라 5년 이하의 징역 또는 5천만원 이하의 벌금에 처합니다.
이 조항의 의무주체는 정식 개인정보처리자에 한정되지 않습니다. "개인정보를 처리하거나 처리하였던 자", 즉 업무상 개인정보를 다루었던 직원은 물론 이미 퇴직한 사람까지 포함됩니다. 다만 무한정 넓어지는 것은 아니어서, 대법원 2025. 7. 3. 선고 2023도5226 판결은 업무와 정보 취득 사이에 "직접적이고 밀접한 인과관계"가 있어야 하고, 그 사실은 범죄구성요건이므로 검사가 증명해야 한다고 보았습니다.
같은 판결은 개인정보 처리가 주된 업무가 아니더라도, 일반 업무와 밀접하게 관련된 부수적 업무로 정보를 처리했다면 의무주체에 포함된다고 보았습니다. 반면 휴대폰 판매 과정에서 손님이 맡긴 구형 기기에 남아 있던 개인정보를 취득한 사안은, 그 취득이 판매 업무와 무관한 사적 영역에서 이루어졌다고 보아 처벌 대상으로 인정하지 않았습니다. 한편 "누설"의 의미에 관해 대법원 2022. 11. 10. 선고 판결은 아직 그 정보를 알지 못하는 타인에게 알려 주는 것을 가리킨다고 보았는데, 이는 정보통신망법상 누설 개념과도 맥을 같이합니다.
법원은 무엇을 기준으로 판단하나
같은 "무단 조회·유출"이라도 적용 죄와 형량이 갈리는 이유는, 법원이 행위의 여러 요소를 나누어 따지기 때문입니다. 혐의를 다툴 때도 결국 아래 요소들이 쟁점이 됩니다.
접근권한의 유무와 범위 — 서비스제공자가 부여한 권한을 기준으로, 애초에 권한이 없었는지 아니면 권한 범위를 벗어났는지.
행위자가 업무상 처리자인지 — 개인정보보호법 적용에는 업무와 정보 취득 사이의 직접적·밀접한 관련성이 필요.
정보가 보호 대상인지 — "타인의 비밀"에 해당하는지, 보호받는 개인정보인지.
누설의 상대방 — 그 정보를 이미 알고 있던 사람인지, 새로 알게 된 제3자인지.
고의와 목적 — 단순 호기심인지, 영리나 보복 등 부정한 목적이 있었는지(양형에 큰 영향).
특히 단순히 열람·조회에 그쳤는지, 아니면 캡처·반출·전달까지 나아가 외부로 유출했는지는 죄의 성립과 양형 모두에서 결정적인 차이를 만듭니다. 영리 목적이나 다수 피해자가 관련된 경우에는 가중 요소로 평가되어 실형 가능성이 높아질 수 있습니다.
실무에서 자주 문제되는 무단 조회·유출 유형
아래는 상담 과정에서 반복적으로 등장하는 전형적인 상황들입니다. 어느 유형에 해당하는지에 따라 적용 법조와 대응 전략이 달라집니다.
업무망 지인 조회 — 은행·병원·통신사·공공기관 직원이 지인, 유명인, 전 배우자의 정보를 업무 시스템에서 들여다본 경우.
타인 계정·공용 PC 접속 — 권한 없는 동료의 계정이나 로그인된 화면을 이용해 시스템에 접속·열람한 경우(제48조 침입 문제).
퇴사 시 고객 DB 반출 — 재직 중 알게 된 고객 명단·연락처를 빼내 새 직장이나 경쟁사에 제공한 경우.
연인·지인 통신 열람 — 헤어진 연인의 메신저·이메일을 몰래 열어 보고 캡처해 유포한 경우(제49조 비밀 침해·누설).
SNS·단톡방 신상 게시 — 타인의 연락처·주소 등 신상을 동의 없이 단체 대화방이나 SNS에 올린 경우.
예컨대 공공기관 직원이 호기심에 유명인의 주소를 조회한 뒤 지인에게 알려 주었다면, 권한 범위를 벗어난 조회와 업무상 알게 된 개인정보의 누설이 함께 문제 될 수 있습니다. 같은 행위라도 외부 전달 여부에 따라 책임의 무게가 달라집니다.
무단 조회·유출 혐의를 받았다면 — 대응의 핵심
이런 사건은 접속·조회 기록이 로그로 고스란히 남아 있는 경우가 많아, 행위 자체를 부인하기보다 법적 평가를 정확히 다투는 것이 현실적인 대응입니다. 수사 초기 단계의 진술은 그대로 증거가 되므로, 사실관계와 적용 법조를 충분히 검토하기 전에 섣불리 진술하지 않는 것이 중요합니다.
구체적으로는 ① 애초에 접근권한이 있었는지, 권한 범위를 벗어난 것인지(제48조 침입의 성립 여부), ② 문제 된 정보가 "타인의 비밀"이나 보호되는 개인정보에 해당하는지, ③ 단순 열람에 그쳤는지 아니면 실제로 제3자에게 누설·제공했는지, ④ 개인정보보호법 적용의 전제인 업무 관련성과 인과관계가 인정되는지를 차례로 점검해야 합니다. 2023도5226 판결처럼 업무 관련성의 증명책임이 검사에게 있다는 점은 방어의 출발점이 될 수 있습니다.
한편 피해자와의 진지한 합의, 유출 정보의 회수·삭제, 재발 방지 조치는 비록 이들 죄가 합의만으로 종결되는 사건은 아니더라도, 기소유예나 양형 단계에서 유리하게 작용하는 중요한 사정입니다. 혐의 단계에서부터 사실관계를 정리하고 유리한 자료를 확보해 두는 것이 결과를 좌우합니다.
자주 묻는 질문
Q. 직원이 호기심에 고객 정보를 잠깐 조회만 하고 유출은 안 했는데도 처벌되나요?
A. 유출·누설이 없더라도 권한 없이 시스템에 접속·조회한 것 자체가 정보통신망법 제48조 침입죄(3년 이하 징역 또는 3천만원 이하 벌금)가 될 수 있습니다. 다만 정당하게 권한을 부여받은 직원이 권한 범위 안에서 본 것이라면 침입죄는 성립하기 어렵고, 사내 규정 위반이나 징계 문제로 남는 경우가 많습니다. 결국 부여받은 권한의 범위를 벗어난 목적 외 조회였는지가 핵심 쟁점이 됩니다.
Q. 이미 아는 사람의 정보를 다른 사람에게 말한 것도 누설인가요?
A. 대법원은 "누설"을 그 정보를 아직 알지 못하는 제3자에게 알려 주는 행위로 해석합니다(대법원 2022. 11. 10. 선고 판결). 따라서 상대방이 이미 알고 있던 정보를 확인해 준 정도라면 누설로 보기 어려운 경우가 있습니다. 그러나 그 정보를 새로 알게 되는 사람에게 전달했다면, 단 한 명에게만 말했더라도 누설이 성립할 수 있습니다.
Q. 업무로 알게 된 개인정보를 유출하면 무조건 개인정보보호법으로 처벌되나요?
A. 개인정보보호법 제59조는 "업무상" 개인정보를 처리하거나 처리하였던 자에게 적용됩니다. 대법원 2025. 7. 3. 선고 2023도5226 판결은 업무와 정보 취득 사이에 직접적이고 밀접한 인과관계가 있어야 하며, 그 사실은 검사가 증명해야 한다고 보았습니다. 따라서 업무와 무관하게 사적으로 알게 된 정보라면 이 조항으로 처벌하기 어려울 수 있습니다.
Q. 정보통신망법 제49조와 개인정보보호법 중 어느 쪽이 더 무겁나요?
A. 정보통신망법 제49조(비밀 침해·누설)와 개인정보보호법 제59조 위반(누설·제공)은 모두 5년 이하 징역 또는 5천만원 이하 벌금으로 법정형이 같습니다. 반면 단순 무단 접속에 적용되는 정보통신망법 제48조 침입죄는 3년 이하 징역 또는 3천만원 이하 벌금으로 상대적으로 가볍습니다. 하나의 행위에 여러 죄가 함께 적용되어 더 무겁게 평가되는 경우도 있습니다.
Q. 퇴사하면서 고객 명단을 가지고 나오면 어떤 문제가 되나요?
A. 재직 중 업무로 알게 된 고객 개인정보를 퇴사 후 유출·제공하면 "처리하였던 자"로서 개인정보보호법 제59조 위반이 될 수 있습니다. 그 명단이 영업비밀에 해당하면 부정경쟁방지법 위반, 회사 자료를 무단으로 반출했다면 업무상배임 문제도 함께 검토됩니다. 단순 반출에 그쳤는지, 실제 제3자에게 제공·이용하게 했는지에 따라 책임의 범위가 달라집니다.
Q. 무단 조회 사실이 로그로 남았는데 합의하면 처벌을 피할 수 있나요?
A. 이들 죄는 피해자가 처벌을 원하지 않아도 공소를 제기할 수 있는 경우가 일반적이라, 합의만으로 사건이 자동으로 종결되지는 않습니다. 다만 피해 회복과 진지한 반성, 재발 방지 조치는 기소유예나 양형에서 매우 중요한 유리한 사정이 됩니다. 초기에 사실관계와 적용 법조를 정확히 따져 대응 방향을 정하는 것이 바람직합니다.
맺음말
개인정보 무단 조회·유출은 막연히 하나의 죄로 묶이지 않습니다. 권한 없이 시스템에 들어갔다면 정보통신망법 제48조 침입죄(3년 이하), 부정한 수단으로 비밀을 빼내거나 퍼뜨렸다면 같은 법 제49조(5년 이하), 업무상 알게 된 개인정보를 흘렸다면 개인정보보호법 제59조(5년 이하)가 적용될 수 있고, 하나의 행위에 여러 죄가 함께 문제 되기도 합니다. "아는 사이라서", "잠깐 봤을 뿐"이라는 사정만으로 면책되지 않는다는 점을 분명히 기억할 필요가 있습니다.
반대로 말하면, 접근권한의 범위, 업무와의 관련성, 누설의 상대방, 고의와 목적 같은 요소를 정확히 짚어 다투면 결과가 달라질 여지도 그만큼 많습니다. 특히 업무 관련성의 증명책임이 검사에게 있다는 최근 판례의 태도는 방어의 중요한 출발점이 됩니다. 사건 초기에 어떤 행위 유형에 해당하는지, 어떤 점을 다툴 수 있는지를 정리해 두는 것이 무엇보다 중요합니다.
무단 조회·유출 혐의로 수사를 받게 되었거나 고소를 고민하고 있다면, 수원·경기 지역을 비롯해 사안의 사실관계와 적용 법조를 함께 따져 줄 수 있는 변호사의 조력을 초기에 받아 보시길 권합니다.
조력이 필요하시면 010-3432-1451 강대현 변호사에게 연락주십시오. 신속히 도와드리겠습니다.
의뢰인을 위한 최선의 전략을 끊임없이 고민합니다.
로톡의 모든 콘텐츠는 저작권법의 보호를 받습니다.
콘텐츠 내용에 대한 무단 복제 및 전재를 금지하며, 위반 시 민형사상 책임을 질 수 있습니다.
