직원의 고객정보 무단조회 — 개인정보보호법위반죄 성립요건과 처벌
직원의 고객정보 무단조회 — 개인정보보호법위반죄 성립요건과 처벌
법률가이드
IT/개인정보형사일반/기타범죄

직원의 고객정보 무단조회 — 개인정보보호법위반죄 성립요건과 처벌 

강대현 변호사

콜센터 상담원이 헤어진 연인의 통화기록을 조회하고, 은행 직원이 지인의 계좌를 몰래 열람하고, 공공기관 직원이 유명인의 주민등록정보를 들여다보는 일이 뉴스에 종종 등장합니다. 업무상 부여받은 접근권한을 사적인 호기심이나 다른 목적으로 사용한 것뿐인데, 이런 행위가 형사처벌로 이어질 수 있다는 사실은 의외로 잘 알려져 있지 않습니다. 게다가 근거 법령을 여전히 '정보통신망법'으로 알고 있는 경우가 많은데, 지금은 그렇지 않습니다. 이 글에서는 개인정보 무단조회가 어떤 법령·조문으로 처벌되는지, 단순히 '봤을 뿐'이어도 처벌되는지, 그리고 회사까지 함께 처벌될 수 있는지를 정리합니다.

법무법인 도모 강대현 변호사


개인정보 무단조회, 왜 정보통신망법이 아니라 개인정보보호법을 봐야 하나

2020년 이른바 '데이터3법' 개정으로 온라인서비스제공자(정보통신서비스제공자)의 개인정보 처리에 관한 조항이 정보통신망법에서 전부 삭제되고 개인정보보호법으로 일원화됐습니다. 이 개정은 2020년 8월 5일 시행됐고, 감독기관도 방송통신위원회에서 개인정보보호위원회로 바뀌었습니다. 그 결과 지금은 온라인상 개인정보 무단조회나 유출 문제를 다룰 때 정보통신망법이 아니라 개인정보보호법의 조문을 근거로 삼아야 정확합니다.

실무에서는 아직도 "정통망법 위반으로 고소하겠다"는 표현을 쓰는 경우를 종종 볼 수 있습니다. 틀린 법령을 근거로 대응 방향을 잡으면 처벌 조문과 법정형을 잘못 파악해 초기 대응이 어긋날 수 있습니다. 예컨대 형사 고소장을 작성하거나 반대로 방어 논리를 세울 때도, 정확한 근거법이 개인정보보호법이라는 점부터 확인하고 시작해야 합니다.

2020년 데이터3법 개정 이후 온라인 개인정보 보호의 근거법은 정보통신망법이 아니라 개인정보보호법입니다.

무단조회·유출, 어떤 조문으로 처벌되나 — 성립요건과 법정형

개인정보보호법 제59조는 금지행위로서, 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하게 하는 행위, 그리고 정당한 권한 없이 또는 권한을 초과해 개인정보를 이용·훼손·유출하는 행위를 금지하고 있습니다. 여기서 '업무상 알게 된'이란 자신의 직무를 수행하는 과정에서 접근권한을 갖게 된 정보를 뜻하고, '정당한 권한 없이'에는 애초에 권한이 없던 경우뿐 아니라 권한은 있었지만 그 용도를 벗어난 경우도 포함됩니다. 이를 위반하면 제71조에 따라 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해질 수 있고, 개인정보를 목적 외로 이용하거나 제3자에게 제공하는 행위 역시 동일하게 제71조가 적용됩니다.

실제로 문제 되는 유형은 업종을 가리지 않고 다양하게 나타납니다.

  • 콜센터·통신사 상담원 — 지인이나 특정인의 통화기록·요금정보를 업무와 무관하게 조회하는 경우

  • 금융기관 직원 — 고객의 계좌 거래내역이나 잔액을 사적으로 열람하는 경우

  • 의료기관 직원 — 담당하지 않는 환자의 진료기록을 호기심으로 열람하는 경우

  • 공공기관·지자체 직원 — 주민등록정보나 가족관계등록정보를 업무 목적 없이 조회하는 경우

접근권한이 있었는지보다, 그 권한을 실제로 어떤 목적으로 사용했는지가 처벌 여부를 가르는 핵심입니다.

단순히 '봤다'만으로도 처벌될까 — 최근 판례 경향

많은 사람이 "다운받거나 캡처해서 유출한 게 아니라 그냥 화면으로 봤을 뿐"이라며 억울해합니다. 하지만 최근 판례는 이런 항변이 통하기 점점 어려워지는 방향으로 흐르고 있습니다. CCTV 영상을 업무와 무관하게 열람한 사건에서 법원은 단순 열람 행위만으로도 개인정보를 '제공받은' 행위로 볼 수 있다고 판단해 처벌 대상으로 인정했습니다. 화면에 띄워 보는 것 자체가 이미 개인정보를 취득·이용한 것으로 평가될 수 있다는 취지입니다.

다만 처벌 범위가 무한정 넓어지는 것은 아닙니다. 대법원 2025. 7. 3. 선고 2023도5226 판결은 '업무상 처리'의 범위를 본래 담당업무뿐 아니라 부수적인 업무까지 비교적 넓게 인정하면서도, 검사가 위반행위를 구체적으로 입증해야 한다는 점을 함께 강조했습니다. 즉 접근 기록이 남아 있다는 사정만으로 곧바로 유죄가 되는 것은 아니고, 그 열람이 업무와 무관한 목적이었다는 점이 구체적으로 증명돼야 합니다. 이 지점이 실제 사건에서 다툼이 벌어지는 핵심 부분입니다.

다운로드나 유출 없이 단순 열람만 했더라도 '개인정보를 제공받은 행위'로 평가돼 처벌 대상이 될 수 있습니다.

직원 개인의 일탈인데 회사도 처벌받을 수 있다 — 양벌규정

개인정보보호법 제74조는 양벌규정을 두고 있습니다. 법인의 대표자나 대리인, 사용인 등이 업무와 관련해 제59조·제71조를 위반하면, 행위를 한 직원 본인뿐 아니라 그가 속한 법인도 함께 벌금형에 처해질 수 있습니다. 다만 법인이 그 위반행위를 방지하기 위해 해당 업무에 관해 상당한 주의와 감독을 게을리하지 않았다는 사실을 증명하면 면책될 수 있습니다.

이 조항이 실무에 주는 함의는 방향이 서로 다릅니다. 회사 입장에서는 접근권한을 최소한으로 부여하고, 접근 로그를 정기적으로 점검하고, 임직원 교육을 실시하는 등 평소에 '상당한 주의'를 다했다는 근거를 쌓아두어야 사고 발생 후 면책을 주장할 수 있습니다. 반대로 직원 개인의 입장에서는, 회사가 면책을 주장하며 관리 소홀이 아니었다고 방어하는 과정에서 오히려 개인의 일탈 행위였다는 점이 더 부각돼 개인 책임이 무거워질 수 있다는 점도 염두에 둬야 합니다.

회사가 상당한 주의·감독을 증명하지 못하면, 직원 개인의 위반행위에도 법인이 함께 벌금형을 받을 수 있습니다.

형사처벌과 별개로 민사 손해배상도 청구될 수 있다

개인정보보호법 제39조는 개인정보처리자의 손해배상책임을 규정하면서 입증책임을 전환해, 피해자가 아니라 개인정보처리자 쪽에서 고의·과실이 없었음을 증명하도록 하고 있습니다. 여기에 더해 제39조의2는 법정손해배상 제도를 두어, 피해자가 실제 손해액을 구체적으로 입증하지 않아도 300만원 이하 범위에서 법원이 재량으로 배상액을 정할 수 있도록 하고 있습니다.

다만 최근 판례는 이 조항의 적용 범위를 무제한으로 넓히지는 않았습니다. 법원은 개인정보가 단순히 조회되거나 유출됐다는 사실만으로는 부족하고, 실제로 손해가 발생했다는 사정이 함께 인정돼야 법정손해배상 청구가 성립한다고 판단했습니다. 예를 들어 조회된 정보가 실제로 제3자에게 전달되거나 스토킹, 채권추심 등에 악용된 정황이 확인돼야 손해 인정 가능성이 높아지고, 단순히 '조회 로그가 남았다'는 사실만으로는 배상까지 이어지기 어려울 수 있습니다.

단순 조회·유출 사실만으로는 부족하고, 실제 손해가 발생했다는 사정이 확인돼야 법정손해배상 청구가 인정됩니다.

적발됐을 때 실무 대응 — 형사·양벌·민사를 함께 고려해야

개인정보 무단조회 문제는 형사처벌, 회사에 대한 양벌규정, 피해자의 민사 손해배상이 동시에 얽히는 경우가 많아 어느 한쪽만 대응해서는 부족합니다. 아래 사항을 초기에 함께 점검하는 것이 유리합니다.

  • 접근 로그 등 객관적 증거 확인 — 조회 시점, 조회 대상, 조회 횟수 등 시스템에 남은 기록부터 파악합니다.

  • 업무 관련성 소명자료 준비 — 해당 조회가 실제 업무 범위 내였다는 정황이 있다면 관련 자료를 정리해둡니다.

  • 실제 유출·악용 여부 점검 — 민사 손해배상 리스크는 유출·악용 정황이 있는지에 따라 크게 달라지므로 별도로 대응해야 합니다.

  • 회사 측이라면 상당한 주의·감독 증빙 정리 — 접근권한 관리규정, 교육 이수 기록 등을 모아 양벌규정상 면책 주장에 대비합니다.

자주 묻는 질문

Q. 업무상 접근권한이 있었는데도 처벌될 수 있나요?

A. 네. 접근권한이 있더라도 그 권한을 업무 목적과 무관하게 사용했다면 정당한 권한 없이 또는 권한을 초과해 이용한 경우에 해당해 처벌 대상이 될 수 있습니다. 접근권한의 존재 자체보다 실제 사용 목적이 핵심 판단 기준입니다.

Q. 개인정보를 다운받거나 유출하지 않고 화면으로만 봤어도 처벌되나요?

A. 최근 판례 경향은 단순 열람만으로도 개인정보를 제공받은 행위로 보아 처벌 대상으로 인정하는 쪽으로 흐르고 있습니다. 보기만 했을 뿐 유출하지 않았다는 항변만으로는 처벌을 피하기 어려울 수 있습니다.

Q. 회사가 상당한 주의를 다했다는 걸 어떻게 증명하나요?

A. 접근권한을 최소한으로 부여했는지, 접근 로그를 정기적으로 점검했는지, 임직원 대상 개인정보 보호 교육을 실시했는지 등이 판단 근거가 됩니다. 이런 자료를 평소에 축적해두지 않으면 사고 발생 후에는 소명 자체가 어려워집니다.

Q. 민사 손해배상은 형사처벌과 별도로 청구해야 하나요?

A. 네, 형사처벌과 민사 손해배상은 별개 절차입니다. 다만 최근 판례는 개인정보가 조회·유출됐다는 사실만으로 곧바로 법정손해배상이 인정되는 것은 아니고, 실제 손해가 발생했다는 사정이 함께 확인돼야 한다고 보고 있습니다.

Q. 합의하면 형사처벌을 피할 수 있나요?

A. 개인정보보호법위반죄는 일반적으로 피해자의 처벌불원 의사만으로 처벌이 불가능해지는 반의사불벌죄가 아니므로, 합의했다고 자동으로 처벌을 면하는 것은 아닙니다. 다만 합의와 재발방지 노력은 양형에서 유리한 정상참작 사유로 작용할 수 있습니다.

Q. 퇴사한 직원이 재직 중 조회한 정보로 문제가 되면 회사도 책임지나요?

A. 조회 행위가 재직 중 업무와 관련해 이루어졌다면 퇴사 여부와 무관하게 양벌규정에 따라 회사도 벌금형 병과 대상이 될 수 있습니다. 다만 회사가 상당한 주의·감독 의무를 다했음을 입증하면 면책될 여지가 있습니다.

맺음말

개인정보 무단조회는 더 이상 정보통신망법이 아니라 개인정보보호법으로 다뤄야 하는 문제이고, 단순히 화면으로 보기만 했다는 사정만으로는 처벌을 피하기 어려운 방향으로 판례가 움직이고 있습니다. 여기에 회사에 대한 양벌규정과 피해자의 민사 손해배상까지 겹치면, 하나의 조회 행위가 형사·행정·민사 세 갈래로 동시에 문제 될 수 있습니다.

접근 로그의 구체적 내용, 업무 관련성 여부, 실제 손해 발생 여부에 따라 결론이 크게 달라지는 만큼 초기 대응이 특히 중요합니다.

조력이 필요하시면 010-3432-1451 강대현 변호사에게 연락주십시오. 신속히 도와드리겠습니다.

의뢰인을 위한 최선의 전략을 끊임없이 고민합니다.

로톡의 모든 콘텐츠는 저작권법의 보호를 받습니다.

콘텐츠 내용에 대한 무단 복제 및 전재를 금지하며, 위반 시 민형사상 책임을 질 수 있습니다.

강대현 변호사 작성한 다른 포스트
조회수 17
관련 사례를 확인해보세요