기업의 유출 사고 통지문을 받거나, 지인이 내 개인정보를 몰래 조회해 퍼뜨린 사실을 알게 되면 누구나 당황하게 됩니다. 가해자 처벌도 중요하지만, 정작 내가 입은 피해는 어떻게 배상받을 수 있는지가 더 현실적인 고민입니다. 개인정보보호법은 일반 불법행위보다 피해자에게 유리한 손해배상 장치를 여럿 두고 있습니다. 이 글에서는 개인정보 유출 피해자가 쓸 수 있는 손해배상 청구의 근거, 실손해 입증 없이 청구하는 법정손해배상 300만원, 위자료가 인정되는 기준과 실제 수준, 그리고 청구 절차까지 순서대로 정리해 드립니다.
법무법인 도모 강대현 변호사
개인정보 유출 피해, 무엇을 청구할 수 있나 — 형사와 민사는 별개 트랙
개인정보 침해에 대한 대응은 크게 두 갈래입니다. 하나는 유출·누설한 사람을 처벌해 달라는 형사 고소이고, 다른 하나는 내가 입은 손해를 물어내라는 민사 손해배상 청구입니다. 형사처벌이 이루어져도 배상이 자동으로 따라오는 것은 아니므로, 금전적 회복을 원한다면 민사 청구를 별도로 설계해야 합니다. 이 글은 그중 민사 구제를 다룹니다.
배상받을 수 있는 손해는 두 종류입니다. 유출로 인해 실제 발생한 재산적 손해(보이스피싱 피해, 명의도용으로 인한 금전 손실 등)와, 내 정보가 노출됐다는 데서 오는 정신적 고통에 대한 위자료입니다. 실무에서 대부분의 유출 사건은 재산 피해가 아직 현실화되지 않은 상태이므로, 위자료와 뒤에서 볼 법정손해배상이 청구의 중심이 됩니다. 어느 쪽이든 청구 상대방은 개인정보를 유출한 기업(개인정보처리자)일 수도 있고, 무단으로 조회·유포한 개인일 수도 있습니다.
손해배상의 법적 근거 — 개인정보보호법 제39조, 입증책임이 뒤집혀 있다
기본 근거는 개인정보보호법 제39조 제1항입니다. 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 배상을 청구할 수 있고, 이때 개인정보처리자는 고의 또는 과실이 없음을 스스로 입증하지 못하면 책임을 면할 수 없습니다. 일반 불법행위 소송에서는 피해자가 가해자의 고의·과실을 입증해야 하는 것과 반대로, 입증책임이 사업자 쪽으로 전환되어 있는 것입니다. 피해자로서는 유출 사실과 손해만 주장·소명하면 되고, 안전조치를 다했다는 점은 회사가 증명해야 합니다.
이 구조는 유출 사고의 특성을 반영한 것입니다. 개인정보가 어떤 경로로, 어떤 관리 소홀 때문에 빠져나갔는지는 시스템을 운영하는 회사만 알 수 있고, 피해자는 접근할 방법이 없습니다. 예컨대 온라인 쇼핑몰 해킹으로 이름·연락처·주소가 유출된 경우, 피해자는 유출 통지문과 언론 보도 정도만 확보하면 되고, 방화벽·암호화 등 법이 요구하는 보호조치를 다했는지는 쇼핑몰이 입증할 문제입니다.
개인정보보호법 제39조 제1항은 입증책임을 뒤집어 놓았습니다 — 고의·과실이 없다는 점은 피해자가 아니라 개인정보처리자가 입증해야 합니다.
법정손해배상 — 손해 입증 없이 300만원 이하를 청구하는 길
유출 피해자가 가장 자주 부딪히는 벽은 "그래서 손해가 얼마인지"를 증명하는 일입니다. 정보가 새 나갔지만 아직 눈에 보이는 피해가 없을 때, 손해액 입증은 사실상 불가능에 가깝습니다. 이를 위해 마련된 것이 개인정보보호법 제39조의2의 법정손해배상입니다. 개인정보처리자의 고의 또는 과실로 개인정보가 분실·도난·유출·위조·변조·훼손된 경우, 정보주체는 구체적인 손해액을 입증하지 않고도 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있습니다.
법원은 변론 전체의 취지와 증거조사 결과를 고려해 그 범위 안에서 금액을 정합니다. 여기서도 개인정보처리자가 고의·과실 없음을 입증하지 못하면 책임을 면하지 못합니다. 300만원은 상한이지 기준액이 아니므로 유출 정보의 민감도와 경위에 따라 인정액은 달라지지만, 손해 입증이라는 가장 어려운 관문을 건너뛸 수 있다는 점에서 개인 피해자에게 실용적인 청구 방식입니다. 통상의 손해배상 청구와 법정손해배상 중 어느 쪽으로 갈지는 소송 전략의 문제이므로, 피해 규모가 크고 입증 자료가 있다면 통상 청구를, 그렇지 않다면 법정손해배상을 검토하게 됩니다.
손해액을 증명하기 어렵다면 개인정보보호법 제39조의2에 따라 300만원 이하의 법정손해배상을 청구할 수 있습니다.
징벌적 손해배상 — 고의·중과실 유출이면 손해액의 5배까지
회사의 잘못이 무거운 사안을 위한 장치도 있습니다. 개인정보보호법 제39조 제3항에 따라, 개인정보처리자의 고의 또는 중대한 과실로 개인정보가 분실·도난·유출·위조·변조·훼손되어 손해가 발생하면, 법원은 그 손해액의 5배를 넘지 않는 범위에서 배상액을 정할 수 있습니다. 2016년에 3배 한도로 도입되었다가 2023년 개정으로 5배까지 상향된, 우리 법에서는 드문 징벌적 성격의 배상 규정입니다.
다만 요건이 "고의 또는 중대한 과실"이므로 단순한 관리 소홀만으로는 적용되기 어렵습니다. 보호조치 의무를 알면서도 방치했거나, 반복된 경고에도 조치하지 않아 대규모 유출로 이어진 경우처럼 비난 가능성이 큰 사안에서 문제됩니다. 배상액 산정 시에는 고의·중과실의 정도, 유출로 얻은 경제적 이익, 피해 규모, 사후 수습 노력 등이 고려됩니다. 개인 피해자 입장에서는 단독으로 다투기보다 같은 사고의 피해자들이 공동으로 소송을 진행하면서 이 조항을 주장하는 경우가 많습니다.
위자료는 얼마나 인정되나 — 법원이 보는 판단 기준
유출 사실만으로 위자료가 자동 인정되는 것은 아닙니다. 대법원은 개인정보가 정보주체의 의사에 반해 유출된 경우 위자료로 배상할 만한 정신적 손해가 발생했는지를 여러 사정을 종합해 판단하도록 하고 있습니다. 법원이 보는 요소는 대체로 다음과 같습니다.
유출된 정보의 종류와 성격 — 이름·이메일 수준인지, 주민등록번호·금융정보·건강정보처럼 민감한 정보인지가 출발점입니다.
식별 가능성과 제3자 열람 여부 — 유출된 정보로 개인을 특정할 수 있는지, 실제로 제3자가 열람했거나 열람할 가능성이 큰지를 봅니다.
확산 범위와 추가 피해 가능성 — 정보가 얼마나 퍼졌는지, 보이스피싱·명의도용 등 2차 피해로 이어질 위험이 있는지가 중요합니다.
관리 실태와 유출 경위 — 회사가 보호조치를 어느 정도 갖췄는지, 유출이 어떤 잘못에서 비롯됐는지를 평가합니다.
사후 조치 — 유출 통지, 확산 차단, 피해 방지 조치가 신속했는지도 위자료 판단에 반영됩니다.
실제 인정 수준을 보면, 수천만 명의 정보가 새 나간 카드사 대규모 유출 사건에서 법원은 1인당 10만원의 위자료를 인정했습니다. 유출된 정보가 사생활·신용과 밀접하고 제3자 열람 가능성이 크다는 점이 근거였습니다. 반대로 유출 직후 전량 회수되어 실제 열람 가능성이 없었던 사안에서는 정신적 손해 자체가 부정되기도 합니다. 즉 개인별 위자료는 수만 원에서 수십만 원 단위가 현실적인 눈높이이고, 민감정보이거나 2차 피해가 현실화된 경우에 금액이 올라가는 구조입니다.
위자료는 유출 정보의 민감도, 제3자 열람 가능성, 확산 범위, 관리 실태를 종합해 판단되며, 대규모 유출 사건의 실무 수준은 1인당 10만원 안팎에서 출발합니다.
가해자가 회사가 아니라 개인이라면 — 무단 조회·유포에 대한 청구
유출 주체가 기업이 아니라 개인인 경우도 많습니다. 직장 동료가 시스템에서 내 주소를 몰래 조회해 알려줬거나, 지인이 내 연락처와 사진을 단체대화방에 유포한 경우가 대표적입니다. 이때는 개인정보보호법 위반이나 정보통신망법 위반으로 형사 고소를 하면서, 민법상 불법행위에 기한 손해배상(위자료)을 함께 청구하는 방식이 일반적입니다. 개인 간 사안은 유출 정보가 특정인을 겨냥한 것이어서, 대규모 유출 사건보다 정신적 고통이 크게 평가될 여지가 있습니다.
실무 요령은 형사 절차를 증거 확보 수단으로 활용하는 것입니다. 개인 가해자를 상대로는 누가, 언제, 어떤 정보를, 어떻게 빼내 유포했는지를 피해자가 밝히기 어려운데, 수사가 진행되면 조회 기록·전송 내역 등이 수사기관에 의해 확보됩니다. 형사 사건이 기소나 처분으로 정리된 뒤 그 기록을 토대로 민사 청구를 하면 입증 부담이 크게 줄어듭니다. 합의 협상이 이뤄진다면 합의금에 민사 위자료가 포함되는지, 별도 청구를 유보하는지를 합의서 문구로 분명히 해 두어야 뒤탈이 없습니다.
청구 절차와 실무 체크 — 조정, 소송, 그리고 시효
소송이 부담스럽다면 개인정보 분쟁조정위원회의 조정 절차를 먼저 검토할 수 있습니다. 비용이 거의 들지 않고 소송보다 빠르게 결론이 나며, 조정이 성립하면 재판상 화해와 같은 효력이 인정됩니다. 조정이 결렬되거나 상대가 응하지 않으면 민사소송으로 넘어가면 됩니다. 준비할 자료는 다음과 같습니다.
유출 사실 증빙 — 회사의 유출 통지문·문자, 언론 보도, 개인정보보호위원회·한국인터넷진흥원(KISA) 신고 접수 내역 등을 확보합니다.
유출 정보의 범위 확인 — 어떤 항목이 유출됐는지 회사에 열람·확인을 요구해 특정합니다. 위자료 산정의 출발점이 됩니다.
2차 피해 자료 — 유출 이후 늘어난 스팸·피싱 시도, 명의도용 흔적 등을 시간 순으로 기록해 두면 정신적 손해의 근거가 됩니다.
개인 가해자 사안이면 형사 기록 — 고소 후 불기소이유통지·판결문 등을 발급받아 민사 입증에 활용합니다.
시효도 챙겨야 합니다. 불법행위에 기한 손해배상청구권은 손해 및 가해자를 안 날부터 3년, 불법행위가 있은 날부터 10년이 지나면 소멸합니다(민법 제766조). 유출 통지를 받은 시점부터 3년의 시계가 돌기 시작한다고 보고 움직이는 것이 안전합니다. 대규모 사건은 판결 확정까지 시간이 걸리므로, 다른 피해자들의 소송 결과를 기다리다 시효를 넘기는 일이 없도록 주의해야 합니다.
자주 묻는 질문
Q. 유출 통지를 받았지만 아직 아무 피해가 없습니다. 그래도 배상받을 수 있나요?
A. 가능성은 있지만 자동은 아닙니다. 법원은 유출 정보의 민감도, 제3자가 열람했거나 열람할 가능성, 확산 범위 등을 종합해 정신적 손해 발생 여부를 판단합니다. 정보가 실제로 외부에 노출된 정황이 있다면 위자료가 인정될 수 있고, 유출 직후 전량 회수된 사안처럼 열람 가능성이 없으면 부정될 수 있습니다.
Q. 손해액을 증명할 자료가 전혀 없는데 청구할 수 있나요?
A. 있습니다. 개인정보보호법 제39조의2의 법정손해배상을 이용하면 구체적 손해액을 입증하지 않고도 300만원 이하의 범위에서 배상을 청구할 수 있습니다. 금액은 법원이 변론 전체의 취지와 증거를 고려해 정하며, 회사가 고의·과실 없음을 입증하면 책임을 면할 수 있다는 점은 같습니다.
Q. 위자료는 보통 얼마나 받게 되나요?
A. 대규모 유출 사건의 실무 수준은 1인당 10만원 안팎에서 형성되어 있습니다. 다만 주민등록번호·금융정보 같은 민감정보가 유출됐거나 보이스피싱 등 2차 피해가 현실화된 경우, 특정인을 겨냥한 개인 간 유포 사안에서는 더 높게 인정될 여지가 있습니다. 유출 정보의 종류와 사건 경위가 금액을 좌우합니다.
Q. 회사가 아니라 지인이 제 정보를 유포했습니다. 누구에게 청구하나요?
A. 유포한 개인을 상대로 민법상 불법행위에 기한 위자료를 청구할 수 있고, 개인정보보호법·정보통신망법 위반으로 형사 고소도 병행할 수 있습니다. 수사 과정에서 조회·전송 기록이 확보되므로, 형사 절차를 먼저 진행한 뒤 그 기록으로 민사를 입증하는 순서가 실무적으로 유리합니다.
Q. 언제까지 청구해야 하나요?
A. 불법행위 손해배상청구권은 손해 및 가해자를 안 날부터 3년, 불법행위가 있은 날부터 10년이 지나면 시효로 소멸합니다(민법 제766조). 유출 통지를 받았다면 그 시점부터 3년 안에 청구한다고 생각하고 준비하는 것이 안전합니다.
Q. 소송까지 가지 않고 해결하는 방법도 있나요?
A. 개인정보 분쟁조정위원회에 조정을 신청하는 방법이 있습니다. 비용 부담이 거의 없고 절차가 소송보다 빠르며, 조정이 성립하면 재판상 화해와 같은 효력이 있습니다. 조정이 안 되면 그때 민사소송으로 전환하면 되므로, 소액 피해라면 조정을 먼저 시도할 실익이 있습니다.
맺음말
개인정보 유출 피해의 배상은 생각보다 촘촘하게 제도화되어 있습니다. 개인정보보호법 제39조는 입증책임을 회사 쪽으로 돌려놓았고, 손해액 증명이 어려우면 제39조의2의 법정손해배상(300만원 이하)으로, 회사의 잘못이 무거우면 제39조 제3항의 5배 배상으로 다툴 수 있습니다. 위자료는 유출 정보의 민감도와 열람·확산 가능성에 따라 정해지며, 대규모 사건 기준 1인당 10만원 안팎이 출발선입니다.
결국 관건은 내 사안이 어느 청구 방식에 맞는지, 증거를 어떻게 조직하는지입니다. 유출 통지문 보관, 유출 항목 확인, 2차 피해 기록, 그리고 3년 시효 관리까지가 기본기입니다. 수원·경기남부에서 개인정보 유출·유포 피해로 배상 문제를 고민하고 계시다면, 형사 고소와 민사 청구를 함께 설계할 수 있는 변호사와 초기에 방향을 잡아 보시기 바랍니다.
조력이 필요하시면 010-3432-1451 강대현 변호사에게 연락주십시오. 신속히 도와드리겠습니다.
의뢰인을 위한 최선의 전략을 끊임없이 고민합니다.
로톡의 모든 콘텐츠는 저작권법의 보호를 받습니다.
콘텐츠 내용에 대한 무단 복제 및 전재를 금지하며, 위반 시 민형사상 책임을 질 수 있습니다.
