개인정보 유출 2차 피해 — 명의도용·스미싱 손해 누가 배상하나
개인정보 유출 2차 피해 — 명의도용·스미싱 손해 누가 배상하나
법률가이드
IT/개인정보손해배상

개인정보 유출 2차 피해 — 명의도용·스미싱 손해 누가 배상하나 

강대현 변호사

“고객님의 개인정보가 유출되었습니다.” 이 한 통의 문자를 받고 나면 막연한 불안이 밀려오지만, 정작 누구에게 무엇을 청구할 수 있는지는 알기 어렵습니다. 유출 사실만으로도 배상을 받을 수 있을까요? 명의도용이나 스미싱으로 실제 돈까지 빠져나갔다면 그 손해는 누가 물어줄까요? 이 글에서는 개인정보 유출로 인한 2차 피해의 배상 책임을 손해의 갈래별로 나눠, 무엇을 어떻게 청구해야 하는지 차근차근 정리합니다.

법무법인 도모 강대현 변호사


개인정보 유출 2차 피해 — 손해를 세 갈래로 나눠 본다

어느 날 "고객님의 개인정보가 유출되었습니다"라는 문자를 받으면, 대부분은 막연한 불안만 안은 채 무엇을 어떻게 청구해야 할지 몰라 넘어갑니다. 그러나 배상 문제를 제대로 따지려면 먼저 손해가 어떤 성격인지 갈래를 나눠야 합니다. 손해의 종류에 따라 청구할 수 있는 조문과 입증의 난이도가 완전히 달라지기 때문입니다.

개인정보 유출로 생기는 손해는 크게 셋으로 나뉩니다. 첫째는 유출 그 자체로 인한 정신적 손해(위자료)입니다. 아직 구체적 피해는 없지만 내 정보가 남의 손에 넘어갔다는 사실만으로도 불안과 정신적 고통이 발생했다고 보는 영역입니다. 둘째는 유출된 정보가 실제 범죄에 쓰여 발생한 2차 금전피해로, 명의도용 대출, 스미싱·보이스피싱으로 인한 계좌 이체, 대포폰 개통 같은 직접적인 재산 손해가 여기에 속합니다. 셋째는 아직 현실화되지 않았지만 장래에 발생할 수 있는 추가 피해의 위험입니다.

실무에서 다툼이 가장 치열한 지점은 첫째와 둘째의 경계입니다. 유출 사실만으로 인정되는 위자료는 뒤에서 보듯 액수가 크지 않은 반면, 실제 금전피해는 인과관계만 입증되면 전액을 받을 수 있어 액수가 크기 때문입니다. 그래서 내가 입은 손해가 어느 칸에 들어가는지부터 정확히 짚는 것이 배상 전략의 출발점입니다.

유출 자체의 위자료, 실제 금전피해, 장래 위험은 각각 다른 조문과 다른 입증 기준으로 다뤄진다. 손해의 갈래를 먼저 나누는 것이 배상 청구의 첫 단추다.

유출한 사업자의 배상책임 — 개인정보보호법 제39조의 입증책임 전환

개인정보 유출 손해배상의 뼈대는 개인정보보호법 제39조 제1항입니다. 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 배상을 청구할 수 있고, 이때 개인정보처리자가 고의 또는 과실이 없음을 스스로 입증하지 못하면 책임을 면할 수 없습니다. 일반 민사소송에서는 피해자가 가해자의 과실을 증명해야 하지만, 이 조항은 그 부담을 사업자 쪽으로 넘겨 놓았다는 점이 핵심입니다.

이렇게 입증책임을 전환한 이유는 정보의 비대칭 때문입니다. 회사가 방화벽을 어떻게 관리했는지, 접근권한을 어떻게 통제했는지, 암호화를 했는지 같은 내부 사정은 피해자가 알 방법이 없습니다. 따라서 안전조치 의무를 다했다는 사실은 그 정보를 쥐고 있는 회사가 증명하라는 것입니다. 실제 소송에서 회사가 "우리는 관리 의무를 다했다"는 점을 설득력 있게 입증하지 못하면, 유출 사실만으로 배상책임의 문턱을 넘게 됩니다.

다만 여기서 오해하기 쉬운 대목이 있습니다. 배상책임이 인정된다는 것과 배상액이 크다는 것은 별개입니다. 회사의 과실이 인정되더라도, 정작 배상받는 금액은 뒤에서 볼 '손해의 크기' 판단에서 다시 걸러집니다. 즉 책임의 문(제39조 제1항)은 상대적으로 넓지만, 배상액의 문은 손해의 실질을 따져 좁게 열린다는 구조를 이해해야 실제 회수 가능액을 가늠할 수 있습니다.

유출만으로 위자료 받을 수 있나 — 대법원의 '정신적 손해' 종합판단

실제 금전피해 없이 유출 사실만 있는 경우, 위자료가 인정되는지가 첫 관문입니다. 대법원은 개인정보가 정보주체의 의사에 반해 유출되었다고 해서 곧바로 위자료가 인정되는 것은 아니고, 정신적 손해가 발생했는지를 여러 사정을 종합하여 판단해야 한다고 봅니다(대법원 2019. 9. 26. 선고 2018다222303, 222310, 222327 판결).

판례가 제시한 고려요소는 다음과 같습니다. 각 요소가 무거울수록 위자료가 인정되고 액수도 올라갑니다.

  • 유출된 정보의 종류와 성격 — 이름·전화번호 정도인지, 주민등록번호·계좌·비밀번호처럼 민감하고 도용 위험이 큰 정보인지.

  • 개인 식별 가능성 — 그 정보만으로 특정 개인을 식별할 수 있는지.

  • 제3자의 열람 가능성과 확산 범위 — 실제로 외부에 노출·유통되었는지, 회수되었는지.

  • 2차 피해 가능성 — 유출 정보가 범죄에 악용될 현실적 위험이 있는지.

  • 유출 경위와 관리 실태, 사후 조치 — 회사가 관리 의무를 얼마나 소홀히 했고, 유출 후 통지·차단 등 조치를 신속히 했는지.

이 기준은 2026년 들어 더 분명해졌습니다. 대법원은 2026년 1월 해킹으로 정보가 유출되었더라도 기업이 '이용자에게 손해가 발생하지 않았음'을 입증하면 배상책임을 면할 수 있다는 취지의 판단을 처음으로 내놓았습니다. 유출 규모가 크다는 사실 하나만으로 위자료가 자동 산정되는 것이 아니라, 위 종합요소에 비추어 실질적 손해가 있었는지를 따진다는 흐름이 자리 잡은 것입니다.

법정손해배상 300만원 — 입증 부담 던 제도지만 '자동 배상'은 아니다

피해자가 손해액을 구체적으로 계산해 증명하기란 대단히 어렵습니다. 이 부담을 덜어 주는 장치가 개인정보보호법 제39조의2(법정손해배상)입니다. 정보주체는 개인정보처리자의 고의 또는 과실로 정보가 분실·도난·유출·위조·변조·훼손된 경우, 구체적 손해액을 증명하지 않아도 300만원 이하의 범위에서 상당한 금액을 손해로 하여 배상을 청구할 수 있습니다. 실제 손해가 얼마인지 일일이 밝히지 않아도 되므로 대규모 유출 집단소송에서 자주 활용됩니다.

다만 '법정'이라는 이름 때문에 무조건 300만원이 나온다고 오해하면 안 됩니다. 앞서 본 2026년 1월 대법원 판단이 바로 이 지점을 짚었습니다. 법정손해배상은 손해액 산정의 부담만 덜어 줄 뿐 손해의 존재 자체를 면제해 주는 제도가 아니며, 기업이 손해가 없었음을 입증하면 청구가 배척될 수 있다는 것입니다. 즉 '자동 배상'이나 '징벌적 배상'과는 다르다는 점이 명확해졌습니다.

또 300만원은 상한선이지 정액이 아닙니다. 법원은 유출 정보의 민감도와 2차 피해 위험 등을 종합해 그 범위 안에서 금액을 정하므로, 실제 인정액은 이보다 훨씬 낮게 나오는 경우가 많습니다. 대규모 유출 집단소송에서 1인당 위자료가 수만 원에서 수십만 원 선에 그치는 사례가 적지 않은 것도 이 때문입니다. 그래서 정보가 민감할수록, 확산이 넓을수록 액수를 높일 자료를 모으는 것이 실무의 관건입니다.

명의도용·스미싱 실제 금전피해 — 인과관계가 승패를 가른다

위자료가 소액에 그치는 것과 달리, 유출된 정보가 실제 범죄에 쓰여 명의도용 대출, 스미싱·보이스피싱 이체, 대포폰·대포통장 개설 같은 금전피해로 이어졌다면 그 손해는 별도로 전액을 청구할 수 있습니다. 문제는 '그 유출' 때문에 '이 피해'가 났다는 인과관계를 피해자가 입증해야 한다는 점입니다.

인과관계 입증이 까다로운 이유는 범죄자라는 제3자가 중간에 끼어들기 때문입니다. 내 정보가 A사에서 유출된 시점, 그 정보가 실제로 범죄에 사용된 정황, 그리고 다른 경로(피싱 사이트에 직접 입력, 다른 곳의 유출 등)로 정보가 새지 않았다는 점까지 아우르는 그림을 그려야 합니다. 유출 정보에 주민등록번호나 계좌·비밀번호처럼 그 자체로 도용에 직결되는 항목이 포함되어 있었다면 인과관계를 인정받기가 상대적으로 수월합니다.

예를 들어 유출 통지 직후 낯선 대출이 실행되고, 그 대출 신청에 유출된 항목이 그대로 사용된 정황이 확인된다면 인과관계 주장이 힘을 얻습니다. 반대로 유출 후 상당한 시간이 지난 뒤 피해가 발생했거나, 피해자가 다른 경로로도 정보를 노출한 사정이 있으면 회사는 그 지점을 파고들어 책임을 다툽니다. 따라서 피해 발생 즉시 거래내역·문자·통화기록·경찰 신고 접수증 등 시간 순서를 보여 주는 자료를 확보하는 것이 무엇보다 중요합니다.

위자료는 유출 사실만으로 다투지만, 실제 금전피해는 '유출 → 피해'의 인과관계 입증에서 승패가 갈린다. 시간 순서를 증명하는 자료 확보가 배상액을 좌우한다.

징벌적 손해배상 — 3배에서 5배로, 2026년 무엇이 달라지나

개인정보보호법은 악의적 유출을 억제하기 위해 제39조 제3항에 징벌적 손해배상을 두고 있습니다. 개인정보처리자의 고의 또는 중대한 과실로 정보가 유출되어 손해가 발생한 경우, 법원은 실제 손해액을 넘는 범위까지 배상액을 정할 수 있습니다. 단순 과실이 아니라 관리를 현저히 소홀히 했거나 고의적 정황이 있을 때 적용되는, 무게가 다른 조항입니다.

여기에 2026년 중요한 변화가 예정되어 있습니다. 현재 징벌적 손해배상의 한도는 손해액의 3배이지만, 2026년 2월 국회 본회의를 통과한 개정 개인정보보호법에 따라 2026년 8월 12일부터는 손해액의 5배 범위로 상향됩니다. 기업의 안전조치 의무를 더 무겁게 강제하려는 취지로, 유출 시점이 시행일 이후인 사건이라면 배상 규모의 상한이 커지는 셈입니다.

다만 징벌적 손해배상은 문턱이 높다는 점을 함께 알아야 합니다. '고의 또는 중대한 과실'이라는 요건을 피해자가 입증해야 하고, 법원도 이를 엄격하게 봅니다. 그래서 실무에서는 유출 원인이 회사의 명백한 관리 소홀이나 내부자의 고의로 밝혀진 경우에 주로 문제가 됩니다. 배수 상향은 협상과 소송에서 유리한 지렛대가 될 수 있지만, 요건 충족 여부를 냉정하게 따져 전략을 세워야 합니다.

소송 말고 빠른 길 — 개인정보 분쟁조정과 집단분쟁조정

손해액이 소액이라면 소송 비용과 시간이 배보다 배꼽이 될 수 있습니다. 이때 활용할 수 있는 것이 개인정보 분쟁조정위원회를 통한 분쟁조정입니다. 소송보다 절차가 간이하고 비용 부담이 적으며, 조정이 성립하면 재판상 화해와 같은 효력이 생겨 신속한 해결이 가능합니다. 개인이 유출 사업자를 상대로 직접 조정을 신청할 수 있습니다.

같은 사건으로 피해를 입은 사람이 많은 대규모 유출이라면 집단분쟁조정을 고려할 수 있습니다. 피해를 입은 정보주체가 일정 수 이상이고 쟁점이 사실상·법률상 공통될 때 여러 피해자를 묶어 한 번에 처리하는 제도로, 개별 소송의 부담을 크게 덜어 줍니다. 조정 결과를 바탕으로 사업자가 유사 피해자 전체에 대한 보상안을 마련하도록 권고할 수도 있습니다.

물론 조정은 상대방이 수락해야 성립한다는 한계가 있습니다. 사업자가 조정안을 거부하면 결국 소송으로 가야 합니다. 그러나 조정 과정에서 회사의 태도와 방어 논리를 미리 파악할 수 있고, 소액 다수 피해에서는 조정만으로도 실익 있는 결과를 얻는 경우가 많으므로, 소송에 앞서 조정을 먼저 시도해 보는 것이 대체로 합리적입니다.

유출 통보를 받았을 때 — 피해자가 지금 해야 할 것

배상 여부를 떠나, 유출 통지를 받은 직후의 대응이 이후 피해 규모와 입증력을 좌우합니다. 다음 조치들을 서둘러 챙겨 두는 것이 좋습니다.

  • 통지 내용 보관 — 어떤 항목이 언제 유출되었는지 적힌 통지 문자·메일을 캡처해 두면 인과관계 입증의 출발점이 됩니다.

  • 계정·금융 보안 강화 — 비밀번호 변경, 명의도용 방지 서비스와 계좌 개설·대출 관련 알림 신청으로 2차 피해를 선제 차단합니다.

  • 이상 거래 즉시 신고 — 낯선 대출·결제·개통이 확인되면 곧바로 금융회사와 경찰(112)·금융감독원에 신고하고 접수증을 확보합니다.

  • 시간 순서 자료 정리 — 유출 시점과 피해 시점, 사용된 정보 항목을 시간순으로 정리해 두면 소송·조정에서 결정적 증거가 됩니다.

  • 청구 기한 확인 — 손해배상 청구에는 시효가 있으므로, 뒤로 미루지 말고 초기에 대응 방향을 잡아 두는 것이 안전합니다.

이 자료들은 나중에 위자료를 다투든, 실제 금전피해의 인과관계를 다투든 공통으로 쓰이는 기초 증거입니다. '어차피 소액일 텐데'라며 그냥 넘기기보다, 최소한의 자료라도 확보해 두면 선택지가 넓어집니다.

자주 묻는 질문

Q. 유출 문자만 받았고 실제 피해는 없는데도 배상받을 수 있나요?

A. 받을 수 있는 경우도 있지만 액수는 크지 않은 편입니다. 유출 사실만으로도 정신적 손해가 인정될 수 있으나, 법원은 유출 정보의 민감도·확산 범위·2차 피해 가능성 등을 종합해 판단합니다. 정보가 민감하지 않거나 회수·차단이 신속했다면 위자료가 소액에 그치거나 인정되지 않을 수도 있습니다.

Q. 회사가 "우리도 해킹 피해자"라고 하면 배상하지 않아도 되나요?

A. 그렇지 않습니다. 개인정보보호법 제39조 제1항은 회사가 고의·과실이 없음을 스스로 입증하지 못하면 책임을 면할 수 없도록 하고 있습니다. 해킹을 당했다는 사실 자체보다, 안전조치 의무를 제대로 이행했는지가 관건이며 그 입증 부담은 회사에 있습니다.

Q. 명의도용으로 대출까지 나갔는데 회사에 전액 물어달라고 할 수 있나요?

A. 유출과 그 대출 피해 사이의 인과관계가 입증되면 실제 손해액 전부를 별도로 청구할 수 있습니다. 다만 중간에 범죄자라는 제3자가 개입하므로 인과관계 입증이 쉽지 않습니다. 유출 통지, 대출 실행 내역, 신고 접수증 등 시간 순서를 보여 주는 자료를 최대한 확보하는 것이 중요합니다.

Q. 손해액을 정확히 증명하지 못하면 한 푼도 못 받나요?

A. 그렇지 않습니다. 법정손해배상(제39조의2)을 활용하면 구체적 손해액을 증명하지 않아도 300만원 이하 범위에서 청구할 수 있습니다. 다만 2026년 대법원 판단처럼 기업이 손해가 없었음을 입증하면 배척될 수 있어, 유출 정보의 민감성 등 손해를 뒷받침할 자료는 갖춰 두는 것이 좋습니다.

Q. 소송은 부담스러운데 더 빠른 방법은 없나요?

A. 개인정보 분쟁조정위원회의 분쟁조정을 먼저 시도해 볼 수 있습니다. 소송보다 간이하고 비용이 적으며, 조정이 성립하면 재판상 화해와 같은 효력이 있습니다. 피해자가 많은 대규모 유출이라면 여러 사람을 묶는 집단분쟁조정도 가능합니다.

Q. 유출 사실을 뒤늦게 알았는데 청구에 기한이 있나요?

A. 있습니다. 불법행위로 인한 손해배상 청구권은 손해와 가해자를 안 날부터 3년, 불법행위가 있은 날부터 10년이 지나면 시효로 소멸합니다(민법 제766조). 유출이나 2차 피해를 인지했다면 시효가 지나기 전에 대응 방향을 잡아 두어야 합니다.

맺음말

개인정보 유출 배상은 '얼마를 받을 수 있나'보다 '내 손해가 어느 갈래인가'를 먼저 정리하는 데서 출발합니다. 유출 사실만으로 다투는 위자료는 대체로 소액이지만, 명의도용·스미싱 같은 실제 금전피해는 인과관계만 입증되면 전액을 회수할 수 있습니다. 그리고 2026년 8월부터 시행되는 징벌적 손해배상 5배 상향은 악의적 유출 사건에서 협상과 소송의 지렛대가 커진다는 것을 의미합니다.

핵심은 초기 대응입니다. 유출 통지와 피해 발생의 시간 순서를 보여 주는 자료를 확보하고, 소액이라면 분쟁조정을, 금전피해가 크다면 인과관계 입증에 집중한 소송을 선택지에 올려 두어야 합니다. 어느 길이 실익이 큰지는 유출된 정보의 성격과 피해 양상에 따라 달라지므로, 사안을 나눠 판단할 필요가 있습니다.

혼자 판단하기 어렵다면 자료를 정리해 초기에 점검을 받아 보시길 권합니다. 수원·경기남부 지역에서 개인정보 유출과 2차 피해로 고민하고 계신 분이라면, 손해의 갈래와 회수 가능성을 함께 짚어 대응 방향을 잡는 것만으로도 부담을 크게 덜 수 있습니다.

조력이 필요하시면 010-3432-1451 강대현 변호사에게 연락주십시오. 신속히 도와드리겠습니다.

의뢰인을 위한 최선의 전략을 끊임없이 고민합니다.

로톡의 모든 콘텐츠는 저작권법의 보호를 받습니다.

콘텐츠 내용에 대한 무단 복제 및 전재를 금지하며, 위반 시 민형사상 책임을 질 수 있습니다.

강대현 변호사 작성한 다른 포스트
조회수 18
관련 사례를 확인해보세요