직원의 고객 개인정보 무단 조회·열람 — 권한 있어도 처벌되는 기준과 대응
직원의 고객 개인정보 무단 조회·열람 — 권한 있어도 처벌되는 기준과 대응
법률가이드
IT/개인정보형사일반/기타범죄

직원의 고객 개인정보 무단 조회·열람 — 권한 있어도 처벌되는 기준과 대응 

강대현 변호사

은행·병원·통신사·관공서처럼 고객이나 회원의 정보를 다루는 곳에서 일하다 보면, 업무 시스템으로 누군가의 인적사항을 조회할 일이 자주 생깁니다. 그런데 "내 계정으로 권한이 있으니 한번쯤 조회해도 괜찮겠지" 하는 생각, 또는 "단순히 화면으로 봤을 뿐 어디에도 넘기지 않았으니 문제없다"는 판단이 형사처벌로 이어지는 경우가 적지 않습니다. 실제로 호기심이나 사적인 이유로 지인·연인·민원인의 정보를 들여다본 것만으로 고소·입건되는 사례가 꾸준히 나옵니다. 그렇다면 업무 권한이 있는 직원의 무단 조회는 어떤 법으로, 어디서부터 처벌되는 것일까요. 이 글에서는 적용되는 법조문과 형량, 단순 열람과 누설의 경계, 그리고 입건됐을 때의 대응 순서까지 일반론으로 정리합니다.

법무법인 도모 강대현 변호사


무단 조회, 어떤 법으로 처벌되나 — 두 갈래로 나뉩니다

많은 분들이 "정보통신망법 개인정보 침해죄"라는 하나의 죄명을 떠올리지만, 현재의 법체계는 그렇게 단순하지 않습니다. 2020년 8월 5일 시행된 이른바 데이터 3법 개정으로, 과거 정보통신망법에 흩어져 있던 개인정보 보호 규정의 대부분이 개인정보 보호법으로 이관·일원화되었기 때문입니다. 그 결과 직원의 무단 조회 사안은 보통 두 갈래의 법으로 검토됩니다.

하나는 정보통신망(전산 시스템)에 보관·전송되는 타인의 정보·비밀에 권한 없이 접근하는 것 자체를 문제 삼는 정보통신망법 제49조이고, 다른 하나는 업무상 알게 된 개인정보를 함부로 누설하거나 목적 외로 제공하는 것을 막는 개인정보 보호법 제59조입니다. 하나의 행위가 두 법에 동시에 걸리는 경우도 드물지 않으므로, 자신의 상황에 어떤 조문이 적용되는지를 먼저 가려보는 것이 출발점입니다.

  • 정보통신망법 제49조 — 시스템에 보관·전송되는 타인의 정보·비밀을 권한 없이 또는 권한을 넘어 침해·훼손·누설하는 행위(접근·열람 단계의 문제)

  • 개인정보 보호법 제59조 — 업무상 개인정보를 다루는 사람이 그 정보를 누설하거나 목적 외로 제공하는 행위(취급자의 의무 위반)

정보통신망법 제49조 — 권한을 넘어 들여다본 것만으로도

정보통신망법 제49조는 "누구든지 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설하여서는 아니 된다"고 정하고 있습니다. 이를 위반하면 제71조 제1항 제11호에 따라 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해질 수 있습니다.

여기서 중요한 점은, 처음부터 아무 권한이 없는 해킹만 문제되는 것이 아니라는 것입니다. 업무용 계정처럼 정당한 접근 권한이 있더라도, 그 권한을 허용된 목적의 범위를 넘어 사용해 타인의 정보를 들여다보면 '비밀 침해'에 해당할 수 있습니다. 즉 "내 계정으로 열어봤으니 괜찮다"는 논리는 통하지 않을 수 있습니다.

대법원도 직장 내 무단 열람을 엄격하게 보고 있습니다. 대법원 2018. 12. 27. 선고 2017도15226 판결은, 회사 컴퓨터에 저장된 직장 동료의 사내 메신저 대화 내용을 몰래 열람·복사한 행위를, 정보통신망에 의해 처리·보관·전송되는 타인 비밀의 침해·누설에 해당한다고 판단했습니다. 예컨대 콜센터·창구·전산 담당 직원이 업무와 무관한 유명인이나 헤어진 연인의 가입 정보를 호기심에 조회하는 행위가 전형적으로 문제될 수 있는 유형입니다.

접근 권한이 있는 직원이라도, 허용된 업무 목적을 벗어나 타인의 정보를 들여다보면 정보통신망법상 비밀 침해로 처벌될 수 있습니다.

개인정보 보호법 제59조 제2호 — 업무상 알게 된 정보를 흘리면

개인정보 보호법 제59조 제2호는, 개인정보를 처리하거나 처리하였던 자가 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위를 금지합니다. 이를 위반하면 제71조에 따라 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해질 수 있습니다.

다만 이 조문이 모든 사람에게 적용되는 것은 아닙니다. 대법원은 그 의무주체인 '개인정보를 처리하거나 처리하였던 자'를 단순히 개인정보를 처리한 모든 사람이 아니라 '업무상' 개인정보를 처리하거나 처리하였던 자로 한정하고 있습니다. 대법원 2025. 7. 3. 선고 2023도5226 판결은 업무 수행과 개인정보 처리 사이에 직접적이고 밀접한 인과관계가 있어야 한다는 취지로 판단했습니다.

주의할 것은 "처리하였던 자"라는 문구입니다. 이미 퇴사했더라도 재직 중 업무상 알게 된 고객 정보를 그만둔 뒤에 흘리면, 여전히 이 조문의 적용을 받을 수 있습니다. 따라서 이직·퇴직 과정에서 고객 명단이나 연락처를 챙겨 나오는 행위는 특히 위험합니다.

  • 적용 대상 — '업무상' 개인정보를 처리하거나 처리하였던 사람(재직자뿐 아니라 퇴직자도 포함될 수 있음)

  • 금지 행위 — 업무상 알게 된 개인정보의 누설, 권한 없는 목적 외 제공

  • 법정형 — 5년 이하의 징역 또는 5천만원 이하의 벌금

단순히 조회만 했는데도 처벌될까 — '누설'의 경계

가장 많이 묻는 질문이 "누구에게도 넘기지 않고 화면으로 보기만 했는데 그것도 죄가 되느냐"입니다. 여기서 개인정보 보호법상 '누설'의 의미가 갈림길이 됩니다. 대법원은 '누설'을 "아직 개인정보를 알지 못하는 타인에게 알려주는 일체의 행위"로 해석해 왔습니다(대법원 2018도1966 판결 등). 이 정의에 따르면, 제3자에게 전혀 알리지 않고 본인이 한 번 열람한 것에 그쳤다면, 개인정보 보호법 제59조 제2호의 '누설'만으로 처벌하기는 어려울 수 있습니다.

그러나 "단순 열람이니 안전하다"고 결론짓는 것은 위험합니다. 이유는 다음과 같습니다. 첫째, 앞서 본 정보통신망법 제49조의 '비밀 침해'는 권한을 넘어 타인의 정보를 들여다본 것 자체로 성립할 여지가 있어, 누설이 없어도 별도로 문제될 수 있습니다. 둘째, 조회한 화면을 캡처·출력·메모해 보관하거나 단 한 사람에게라도 그 내용을 전하면 그 순간 '누설'로 평가될 수 있습니다. 셋째, 공무원이라면 형법상 공무상비밀누설이나 별도의 징계 문제가 함께 따라올 수 있습니다.

"보기만 했다"는 사실이 누설을 부정하는 근거는 될 수 있어도, 권한을 넘은 접근(침해) 자체나 캡처·전달 행위까지 면책해 주지는 않습니다.

예를 들어 같은 무단 조회라도, 단순히 화면을 확인하고 닫은 경우와 그 내용을 메신저로 지인에게 보낸 경우는 적용 법조문과 형량이 크게 달라질 수 있습니다. 그래서 수사 단계에서 "어디까지 했는가"를 정확히 정리하는 것이 매우 중요합니다.

팔거나 돈 받고 넘기면 형이 무거워집니다

같은 개인정보 침해라도 영리·부정한 목적이 끼면 법정형이 크게 올라갑니다. 거짓이나 그 밖의 부정한 수단·방법으로 개인정보를 취득하면 개인정보 보호법 제72조 제2호에 따라 3년 이하의 징역 또는 3천만원 이하의 벌금에 처해질 수 있습니다.

나아가 그렇게 부정한 방법으로 다른 사람이 처리하는 개인정보를 취득한 뒤 이를 영리 또는 부정한 목적으로 제3자에게 제공하거나, 이를 교사·알선한 경우에는 제70조 제2호가 적용되어 10년 이하의 징역 또는 1억원 이하의 벌금이라는, 개인정보 보호법상 가장 무거운 형으로 처벌될 수 있습니다. 예컨대 흥신소 의뢰로 타인의 정보를 빼내거나, 확보한 고객 명단을 돈을 받고 넘기는 행위가 이 영역에 들어갈 수 있습니다.

  • 업무상 알게 된 정보 누설·목적 외 제공 — 제71조, 5년 이하 징역 또는 5천만원 이하 벌금

  • 부정한 수단으로 개인정보 취득 — 제72조 제2호, 3년 이하 징역 또는 3천만원 이하 벌금

  • 부정 취득 후 영리·부정 목적 제3자 제공·교사·알선 — 제70조 제2호, 10년 이하 징역 또는 1억원 이하 벌금

직원 개인뿐 아니라 회사도 책임질 수 있습니다

무단 조회·유출은 행위를 한 직원 개인의 형사책임으로만 끝나지 않는 경우가 많습니다. 개인정보 보호법에는 양벌규정이 있어, 직원의 위반 행위에 대해 법인이나 사용자도 함께 처벌될 수 있습니다. 다만 법인이 위반을 막기 위해 상당한 주의와 감독을 다했다는 점이 인정되면 면책될 수 있으므로, 평소의 접근통제·교육·로그 관리가 중요하게 작용합니다.

형사책임과 별개로 민사상 손해배상 문제도 따릅니다. 정보주체는 자신의 개인정보가 침해된 데 대해 손해배상을 청구할 수 있고, 회사는 사용자책임을 질 수 있습니다. 여기에 더해 내부 징계나 해고로 이어지는 경우도 흔하므로, 한 번의 무단 조회가 형사·민사·인사상 여러 갈래의 불이익으로 번질 수 있다는 점을 유념해야 합니다.

무단 조회로 입건됐다면 — 대응의 순서

이미 고소를 당했거나 조사를 받게 되었다면, 막연히 부인하거나 반대로 모든 것을 인정하기보다 사실관계와 법리를 차분히 정리하는 것이 우선입니다. 특히 어떤 조문이 적용되는지, 자신의 행위가 단순 열람에 그쳤는지 누설·제공까지 나아갔는지에 따라 방어의 방향이 완전히 달라집니다.

  • 적용 법조문 특정 — 정보통신망법 제49조인지, 개인정보 보호법 제59조인지, 둘 다인지부터 가린다

  • 권한 범위 확인 — 해당 조회가 업무상 정당한 접근의 범위였는지, 목적을 벗어났는지를 정리한다

  • 누설·제공 여부 — 제3자에게 실제로 전달·제공한 사실이 있는지(단순 열람과 구분)를 확인한다

  • 고의·목적 — 호기심에 의한 단순 열람인지, 영리·부정한 목적이 있었는지에 따라 형량이 크게 갈린다

  • 양형 자료 — 초범 여부, 반성, 피해 회복·합의, 재발방지 조치 등을 준비한다

같은 무단 조회 사건이라도 위 요소를 어떻게 정리하고 소명하느냐에 따라 결과가 달라질 수 있으므로, 수사 초기 단계에서 행위의 범위와 목적을 정확히 짚어 대응 방향을 잡는 것이 바람직합니다.

자주 묻는 질문

Q. 제 업무 권한으로 조회한 것도 처벌될 수 있나요?

A. 권한이 있다는 사실만으로 면책되지는 않습니다. 허용된 업무 목적의 범위를 벗어나 타인의 정보를 조회하면, 정보통신망법 제49조의 비밀 침해 등으로 처벌될 여지가 있습니다. 핵심은 권한의 유무가 아니라 그 권한을 정당한 목적 안에서 사용했는지입니다.

Q. 보기만 하고 아무에게도 알리지 않았는데도 죄가 되나요?

A. 개인정보 보호법상 '누설'은 제3자에게 알려주는 행위를 의미하므로, 순수하게 본인 열람에 그쳤다면 '누설'로 처벌하기는 어려울 수 있습니다. 다만 권한을 넘은 접근 자체가 정보통신망법 위반이 될 수 있고, 캡처·출력·전달이 더해지면 누설로 평가될 수 있어 안심하기는 이릅니다.

Q. 회사를 그만뒀는데 재직 중의 일이 문제됩니다. 적용되나요?

A. 개인정보 보호법 제59조는 개인정보를 '처리하였던 자'도 적용 대상으로 정하고 있습니다. 따라서 퇴사했더라도 재직 중 업무상 알게 된 정보를 그만둔 뒤 누설·제공하면 처벌 대상이 될 수 있습니다.

Q. 정보를 돈 받고 넘기면 형이 얼마나 무거워지나요?

A. 영리 또는 부정한 목적이 더해지면 형이 크게 올라갑니다. 부정한 수단으로 취득한 개인정보를 영리·부정 목적으로 제3자에게 제공하면 제70조에 따라 10년 이하의 징역 또는 1억원 이하의 벌금까지 가능합니다.

Q. 형사처벌과 별개로 회사 징계나 손해배상도 받게 되나요?

A. 네, 별개로 진행될 수 있습니다. 형사책임과 무관하게 정보주체에 대한 민사 손해배상 책임이 인정될 수 있고, 사내 징계나 해고로 이어지는 경우도 많습니다. 양벌규정에 따라 회사가 함께 형사처벌 대상이 되기도 합니다.

Q. 초범이고 단순한 호기심이었는데 선처가 가능할까요?

A. 초범 여부, 영리 목적이 없었던 점, 누설로 나아가지 않은 점, 피해 회복과 진지한 반성 등은 모두 양형에서 유리하게 고려될 수 있는 사정입니다. 다만 이를 막연히 주장하기보다 사실관계에 맞게 정리하고 소명하는 것이 중요합니다.

맺음말

정리하면, 직원의 개인정보 무단 조회는 권한이 있는지 여부만으로 가볍게 볼 사안이 아닙니다. 허용된 목적을 벗어난 접근은 정보통신망법 제49조의 비밀 침해로, 업무상 알게 된 정보를 흘리면 개인정보 보호법 제59조의 누설·제공으로 각각 처벌될 수 있으며, 단순 열람과 누설은 적용 법조문과 형량을 가르는 결정적인 기준이 됩니다. 영리·부정한 목적이 더해지면 형은 한층 무거워집니다.

반대로 말하면, 자신의 행위가 어느 단계에 머물렀는지를 정확히 짚는 것만으로도 대응의 방향이 크게 달라질 수 있습니다. 권한 범위, 누설 여부, 고의와 목적, 양형 자료를 초기에 정리해 두는 것이 무엇보다 중요합니다.

개인정보 무단 조회·유출 문제로 고소를 당했거나 조사를 앞두고 있어 막막하시다면, 수원·경기남부 지역에서 형사사건을 다루는 변호사의 조력을 받아 사실관계와 법리를 차분히 점검해 보시기를 권해 드립니다.

조력이 필요하시면 010-3432-1451 강대현 변호사에게 연락주십시오. 신속히 도와드리겠습니다.

의뢰인을 위한 최선의 전략을 끊임없이 고민합니다.

로톡의 모든 콘텐츠는 저작권법의 보호를 받습니다.

콘텐츠 내용에 대한 무단 복제 및 전재를 금지하며, 위반 시 민형사상 책임을 질 수 있습니다.

강대현 변호사 작성한 다른 포스트
조회수 105
관련 사례를 확인해보세요