직장 개인정보 무단 조회·유출 — 정보통신망법 처벌과 성립요건
직장 개인정보 무단 조회·유출 — 정보통신망법 처벌과 성립요건
법률가이드
IT/개인정보형사일반/기타범죄

직장 개인정보 무단 조회·유출 — 정보통신망법 처벌과 성립요건 

강대현 변호사

직장에서 업무 시스템에 접속하고 동료나 고객의 정보를 들여다보는 일은 일상처럼 느껴지지만, 그 경계를 한 발만 넘으면 형사처벌 대상이 될 수 있습니다. 특히 "내 계정으로 로그인했으니 괜찮다"거나 "퇴사했으니 예전에 알던 고객 정보는 내 것"이라는 생각은 위험합니다. 정보통신망법은 허용된 접근권한을 넘어선 조회 자체를 처벌하고, 개인정보보호법은 업무상 알게 된 정보를 빼내는 행위를 퇴직 후에도 막고 있기 때문입니다. 이 글에서는 직장 안팎에서 벌어지는 개인정보 무단 조회와 유출이 어떤 법으로, 어떤 요건에서, 얼마나 무겁게 처벌되는지를 정리합니다.

법무법인 도모 강대현 변호사


직장 개인정보 무단 조회·유출 — 적용되는 세 갈래 법

같은 "남의 정보를 본다"는 행위라도, 어떤 방식으로 어디까지 갔는지에 따라 적용되는 법이 달라집니다. 실무에서 가장 자주 등장하는 것은 정보통신망법의 두 조항과 개인정보보호법의 한 조항입니다. 이 세 조항은 각각 보호하는 대상과 처벌 수위가 달라, 내 행위가 어디에 해당하는지부터 정확히 가려야 대응 방향이 잡힙니다.

  • 정보통신망법 제48조 제1항(침입) — 정당한 접근권한 없이, 또는 허용된 접근권한을 넘어 정보통신망에 침입하는 행위. 정보를 빼내지 않고 들여다보기만 해도 성립할 수 있습니다.

  • 정보통신망법 제49조(비밀 침해·누설) — 정보통신망으로 처리·보관·전송되는 타인의 정보를 훼손하거나, 타인의 비밀을 침해·도용·누설하는 행위.

  • 개인정보보호법 제59조 제2호(업무상 누설) — 개인정보를 처리하거나 처리하였던 자가 업무상 알게 된 개인정보를 누설하거나, 권한 없이 다른 사람이 이용하도록 제공하는 행위.

중요한 점은 하나의 행위가 동시에 여러 조항에 걸릴 수 있다는 것입니다. 예를 들어 권한 없는 시스템에 접속해(제48조) 동료의 비밀 메시지를 복사하고(제49조) 그 안의 고객 개인정보를 외부에 넘기면(개인정보보호법 제59조), 세 조항이 한꺼번에 문제 될 수 있습니다.

핵심은 "정보를 유출했는가"만이 아니라 "허용된 권한을 넘어 접근했는가"입니다. 조회 단계부터 이미 처벌 대상이 될 수 있습니다.

정보통신망법 제48조 — '권한을 넘어선' 조회도 침입이다

정보통신망법 제48조 제1항은 "누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다"고 정합니다. 흔한 오해는 "내 아이디와 비밀번호로 로그인했으니 침입이 아니다"라는 것입니다. 그러나 법원은 접근권한의 범위를 정하는 주체를 이용자가 아니라 시스템을 운영하는 서비스제공자(회사)로 봅니다. 회사가 허용한 범위를 벗어난 조회라면, 내 계정으로 들어갔더라도 "허용된 접근권한을 넘은 침입"이 될 수 있습니다.

대법원 2021. 6. 24. 선고 2020도17860 판결은 이 점을 분명히 했습니다. 회사가 직원들에게 각자 본인의 다면평가 결과 페이지에만 접근 권한을 주었는데, 피고인이 인터넷 주소(URL)의 마지막 숫자를 바꿔 입력하는 방식으로 다른 직원의 평가 페이지에 접속한 사안에서, 법원은 이를 정당한 접근권한 없이 정보통신망에 침입한 행위로 보았습니다. 보호조치를 깨뜨리는 해킹이 아니더라도, 허용 범위를 벗어난 접속 자체가 침입이 될 수 있다는 취지입니다.

나아가 대법원 2024. 11. 14. 선고 판결에서는 타인이 로그인해 둔 구글 계정의 사진첩에 접속한 행위가 정보통신망 침입에 해당하는지가 다투어지는 등, 권한 없는 접근의 외연은 계속 구체화되고 있습니다. 직장에서라면 인사·급여·고객 시스템에 자기 업무와 무관한 정보를 권한 밖에서 들여다보는 경우가 전형적입니다. 제48조 제1항 위반은 제72조 제1항 제1호에 따라 3년 이하의 징역 또는 3천만 원 이하의 벌금에 처해집니다.

접근권한의 범위를 정하는 주체는 이용자가 아니라 서비스제공자입니다. 회사가 허용한 선을 넘으면, 내 계정이라도 '침입'이 됩니다.

정보통신망법 제49조 — 타인의 비밀을 보거나 빼내면

제49조는 "정보통신망에 의하여 처리·보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설"하는 것을 금지합니다. 여기서 "타인의 비밀"이란 일반적으로 알려져 있지 않은 사실로서, 알리지 않는 것이 본인에게 이익이 되는 정보를 말합니다. 동료의 사내 메신저 대화, 업무 이메일, 고객 상담 기록 등이 모두 여기에 해당할 수 있습니다.

대법원 2018. 12. 27. 선고 2017도15226 판결은 컴퓨터에 저장되어 있던 직장 동료의 사내 메신저 대화 내용을 몰래 열람하고 복사한 행위를 제49조 위반으로 보았습니다. 특히 법원은 "정보통신망에 침입하는 등 부정한 수단·방법"에 반드시 해킹만 포함되는 것이 아니라, 이용자가 이미 로그인해 둔 상태를 틈타 정당한 접근권한 없는 사람이 몰래 비밀을 취득·누설하는 행위도 포함된다고 판단했습니다. 즉 "잠깐 자리를 비운 동료의 켜진 화면을 본 것뿐"이라는 변명이 통하지 않을 수 있다는 의미입니다.

제49조 위반은 제71조에 따라 5년 이하의 징역 또는 5천만 원 이하의 벌금으로, 단순 침입(제48조)보다 형이 무겁습니다. 들여다보는 데 그치지 않고 그 내용을 캡처·복사하거나 제3자에게 전달하면 침해를 넘어 누설로까지 평가되어 처벌 위험이 커집니다.

개인정보보호법 제59조 — 퇴직해도 따라오는 의무

직장에서 다루는 정보의 상당수는 고객·환자·회원의 개인정보입니다. 개인정보보호법 제59조 제2호는 "개인정보를 처리하거나 처리하였던 자는 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공"하는 것을 금지합니다. 문구에 "처리하였던 자"가 포함되어 있다는 점이 핵심입니다. 즉 이 의무는 재직 중에만 적용되는 것이 아니라, 퇴사한 뒤에도 그대로 이어집니다.

법원은 이 조항의 의무 주체를 단순히 개인정보를 접한 모든 사람이 아니라 "업무상" 개인정보를 처리하였던 자로 한정하면서도, 퇴직자가 재직 중 알게 된 고객 정보를 빼돌리는 행위에는 책임을 인정해 왔습니다. 대법원 2025. 7. 3. 선고 2023도5226 판결 등은 제59조 제2호의 "누설"의 의미와 범위를 다루며 처벌 기준을 구체화하고 있습니다. 위반 시 제71조 제5호에 따라 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처해지며, 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 사람도 함께 처벌됩니다.

  • 퇴사하면서 고객 명단·연락처·거래 내역을 개인 저장장치나 새 직장으로 반출하는 행위

  • 업무상 알게 된 고객 정보를 지인·거래처에 알려 주거나 마케팅에 활용하도록 넘기는 행위

  • 그러한 사정을 알면서 영리·부정 목적으로 개인정보를 건네받아 사용하는 행위

처벌 수위 한눈에 비교 — 어느 단계가 더 무거운가

같은 사건이라도 어느 조항이 적용되느냐에 따라 형의 상한이 달라집니다. 큰 흐름은 단순히 권한을 넘어 들여다본 단계보다, 비밀을 빼내 누설하거나 제3자에게 넘긴 단계로 갈수록 무겁게 다스려진다는 것입니다.

  • 정보통신망법 제48조 제1항(침입) — 3년 이하 징역 또는 3천만 원 이하 벌금

  • 정보통신망법 제49조(비밀 침해·누설) — 5년 이하 징역 또는 5천만 원 이하 벌금

  • 개인정보보호법 제59조 제2호(업무상 누설) — 5년 이하 징역 또는 5천만 원 이하 벌금

하나의 행위가 침입과 비밀 침해, 개인정보 누설에 동시에 해당하면, 각 죄가 상상적 경합 또는 실체적 경합 관계로 평가되어 결과적으로 가장 무거운 형을 기준으로 처벌됩니다. 단순 호기심에 한 번 조회한 사안과, 영리 목적으로 대량의 고객 정보를 빼내 넘긴 사안은 같은 조문이라도 양형에서 큰 차이가 납니다.

들여다보는 데 그쳤는지, 빼내어 넘겼는지가 형량을 가르는 분기점입니다.

상황별 적용 — 내 경우는 어디에 해당할까

추상적인 조문만으로는 감이 잡히지 않으므로, 직장에서 실제로 벌어지는 전형적 상황에 대입해 보겠습니다. 아래 예시는 일반적인 법리 적용을 보여 주는 가정이며, 구체적 사건은 사실관계에 따라 결론이 달라질 수 있습니다.

  • 권한 밖 시스템·페이지 조회 — 자기 업무와 무관한 타 부서 자료나 다른 직원의 인사·평가 페이지를 URL 조작 등으로 들여다본 경우. 주로 정보통신망법 제48조 침입이 문제 됩니다.

  • 로그인된 동료 화면·계정 이용 — 자리를 비운 동료의 켜진 메신저나 메일을 열람·복사한 경우. 제48조 침입에 더해 제49조 비밀 침해·누설까지 함께 평가될 수 있습니다.

  • 퇴사 시 고객 데이터 반출 — 재직 중 알게 된 고객 명단·연락처를 빼내어 새 직장이나 개인 용도로 사용한 경우. 개인정보보호법 제59조 위반이 핵심이며, 사안에 따라 업무상배임이나 부정경쟁방지법 위반이 함께 문제 될 수 있습니다.

실제 사건에서는 이 유형들이 뒤섞여 나타나는 경우가 많습니다. 예컨대 퇴직 직전 권한이 살아 있는 동안 대량으로 자료를 내려받았다면, 침입·비밀 침해·개인정보 누설이 한 흐름으로 연결되어 더 무겁게 평가될 수 있습니다.

입건·기소되면 — 실무상 유의점

이런 사건에서 다툼의 중심은 대개 "고의"와 "권한의 범위"입니다. 피의자가 자신에게 허용된 접근 범위를 어디까지로 인식했는지, 정보를 빼낸 목적이 무엇이었는지가 성립과 양형 모두를 좌우합니다. 회사가 정한 보안 규정, 권한 부여 내역, 접속 로그 등이 객관적 증거로 작용하므로, 사실관계를 정확히 정리하는 것이 우선입니다.

양형에서는 유출 규모, 영리 목적 유무, 피해 확산 정도, 그리고 사후에 정보를 삭제·반환하고 피해자와 합의했는지가 비중 있게 고려됩니다. 다만 수사가 시작된 뒤 기기나 로그를 임의로 삭제하는 것은 증거인멸로 오히려 불리하게 작용할 수 있으므로 주의해야 합니다. 또한 이 문제는 형사처벌과 별개로 회사의 징계, 손해배상 청구로도 이어질 수 있어, 형사·민사·노무를 함께 살피는 종합적 대응이 필요합니다.

초기 진술과 증거 보존 방향이 전체 결과를 좌우합니다. 입건 단계에서부터 신중하게 접근하는 것이 안전합니다.

자주 묻는 질문

Q. 제 회사 계정으로 정상 로그인했는데도 침입죄가 되나요?

A. 될 수 있습니다. 정보통신망법은 접근권한의 범위를 정하는 주체를 이용자가 아니라 서비스제공자(회사)로 봅니다. 따라서 내 계정으로 들어갔더라도 회사가 허용한 범위를 넘어 다른 직원의 정보나 권한 밖 시스템을 조회하면 "허용된 접근권한을 넘은 침입"으로 평가될 수 있습니다(대법원 2020도17860 참조).

Q. 퇴사한 뒤에 예전 고객 연락처를 쓰면 처벌되나요?

A. 처벌될 수 있습니다. 개인정보보호법 제59조 제2호는 "처리하였던 자"까지 의무 주체로 규정해, 퇴직 후에도 업무상 알게 된 개인정보를 누설하거나 권한 없이 제공하는 것을 금지합니다. 재직 중 알게 된 고객 명단을 새 직장이나 개인 영업에 활용하면 5년 이하 징역 또는 5천만 원 이하 벌금의 대상이 될 수 있습니다.

Q. 동료 자리에 켜져 있던 메신저를 잠깐 본 것도 죄가 되나요?

A. 단순히 화면을 본 정도를 넘어 내용을 열람·복사하거나 옮겨 적었다면 정보통신망법 제49조의 비밀 침해·누설이 문제 될 수 있습니다. 대법원은 이용자가 로그인해 둔 상태를 틈타 권한 없는 사람이 몰래 비밀을 취득하는 행위도 "부정한 수단·방법"에 포함된다고 보았습니다(대법원 2017도15226). "켜져 있어서 봤다"는 사정만으로 면책되지 않을 수 있습니다.

Q. 정보를 유출하지 않고 보기만 했는데도 처벌되나요?

A. 그럴 수 있습니다. 정보통신망법 제48조 제1항의 침입죄는 권한을 넘어 정보통신망에 접근한 것 자체로 성립하며, 별도의 유출이나 손해가 없어도 처벌 대상이 됩니다. 다만 빼내어 누설·제공까지 나아가면 제49조나 개인정보보호법이 추가로 적용되어 형이 더 무거워집니다.

Q. 회사 징계와 형사처벌을 동시에 받을 수 있나요?

A. 네. 형사처벌과 회사의 내부 징계는 별개의 절차입니다. 무단 조회·유출이 인정되면 해고 등 징계와 형사 기소가 함께 진행될 수 있고, 회사나 피해자가 입은 손해에 대한 민사상 배상 책임까지 더해질 수 있습니다. 그래서 형사 대응만이 아니라 노무·민사 측면을 함께 고려하는 것이 중요합니다.

Q. 정보통신망법과 개인정보보호법 중 어느 법으로 처벌되나요?

A. 행위의 내용에 따라 한 법만 적용될 수도, 여러 법이 함께 적용될 수도 있습니다. 권한 밖 접근은 정보통신망법 제48조, 비밀의 침해·누설은 제49조, 그 정보가 개인정보이고 업무상 알게 된 것이라면 개인정보보호법 제59조가 각각 또는 동시에 문제 됩니다. 여러 죄가 경합하면 가장 무거운 형을 기준으로 처벌됩니다.

맺음말

직장에서의 개인정보 무단 조회·유출은 "내 계정이니까", "퇴사했으니까"라는 생각만으로 가볍게 넘길 문제가 아닙니다. 정보통신망법은 허용된 권한을 넘어선 접근 자체를, 개인정보보호법은 업무상 알게 된 정보를 빼내는 행위를 퇴직 후에도 처벌하며, 비밀을 누설·제공하는 단계로 갈수록 형은 무거워집니다. 단순 조회는 3년 이하, 비밀 침해·누설과 개인정보 누설은 5년 이하의 징역까지 가능하다는 점을 기억해 두는 것이 좋습니다.

이런 사건은 권한의 범위와 고의, 그리고 초기 진술·증거 보존의 방향에 따라 결과가 크게 달라집니다. 자신이 어떤 조항에 해당하는지, 어떤 자료가 유리하거나 불리하게 작용할지를 빠르게 정리해 두는 것이 무엇보다 중요합니다. 수원과 경기 남부 지역에서 비슷한 상황으로 고민하고 계신다면, 사실관계를 차분히 점검하고 대응 방향을 함께 설계해 보시기를 권해 드립니다.

조력이 필요하시면 010-3432-1451 강대현 변호사에게 연락주십시오. 신속히 도와드리겠습니다.

의뢰인을 위한 최선의 전략을 끊임없이 고민합니다.

로톡의 모든 콘텐츠는 저작권법의 보호를 받습니다.

콘텐츠 내용에 대한 무단 복제 및 전재를 금지하며, 위반 시 민형사상 책임을 질 수 있습니다.

강대현 변호사 작성한 다른 포스트
조회수 94
관련 사례를 확인해보세요