[뉴스토마토 김민승 법률전문기자] 최근 대법원은 약 40만명의 개인정보가 유출된 사고와 관련해, 피해자가 해당 회사를 상대로 제기한 손해배상 청구 소송에서 회사의 손을 들어줬습니다. 유출 사실은 인정되지만, 피해자에게 위자료를 배상할 만큼의 실질적인 '정신적 손해'가 발생했다고 보기는 어렵다는 취지입니다.

 

 

문제가 된 회사는 온라인 지식거래 서비스를 제공하는 인터넷 사이트를 운영사입니다. 그런데 2021년 9월쯤 해커가 사이트를 해킹, 원고를 포함한 가입자 40만여명의 개인정보가 유출됐습니다. 이 사고로 회사는 개인정보보호위원회로부터 2022년 9월 개인정보보호법상 안전조치 의무를 위반했다는 이유로 과징금 및 과태료를 부과받았습니다. 원고는 이 사고로 본인의 암호화된 비밀번호와 이메일 주소가 유출됐다고 주장했습니다. 원고는 회사의 과실로 인해 이 사건 이후 스팸메일을 받고 있고, 비밀번호 유출로 2차 피해 발생이 우려되는 등 정신적 손해를 입었다고 주장하면서 30만원의 손해배상을 청구한 겁니다. 

 

1심은 이 회사가 웹 방화벽을 비활성화하고 홈페이지 취약점 점검을 소홀히 하는 등 기술적·관리적 보호 의무를 위반한 과실을 인정했습니다. 하지만 △사전에 비밀번호 암호화가 이뤄진 점 △이메일 주소 유출만으로 위험에 노출된다고 보기 어려운 점 △해킹된 개인정보가 제3자에게 전달되거나 확산됐다고 볼 증거가 없는 점 △회사가 신속한 조치를 취한 점 등을 근거로 원고에게 위자료로 배상할 만한 정신적 손해가 발생하지 않았다고 판단했습니다.

 

2심도 같은 결론을 내렸습니다. 회사가 개인정보 유출에 고의 또는 과실이 없다는 점을 입증하지 않아 개인정보보호법 제39조의2가 규정하는 법정손해배상청구의 대상이 된다고 인정했습니다. 사회통념상 이메일 주소 등 개인정보가 유출되면 정보 주체의 개인정보자기결정권을 침해해 정신적 손해를 발생시킬 개연성이 있으므로, 이 사고와 원고의 정신적 손해 사이에 인과관계도 있다고 봤습니다. 하지만 2심도 이 사고로 인해 원고에게 불안감이나 불쾌감 등 정신적 고통이 있었더라도 금전으로 보상할 정도의 손해는 아니라고 판단한 겁니다.

 

대법원도 하급심과 같은 결론을 내렸습니다. 개인정보보호법 제39조의2는 고의 또는 과실로 개인정보 유출 사고를 일으킨 개인정보처리자를 상대로 정보 주체가 300만원 이하의 범위에서 상당한 금액의 배상을 청구할 수 있도록 하는 법정손해배상 청구 규정입니다. 개인정보처리자는 개인정보 유출 사고에 고의나 과실이 없음을 입증하지 못하면 책임을 면하지 못합니다.

 

대법원은 위 규정에 피해자가 쉽게 권리구제를 받을 수 있도록 하는 입법취지가 있지만, 손해가 발생하지 않은 것이 분명한 경우까지 손해배상의무를 인정하려는 취지는 아니라고 지적했습니다. 따라서 정보 주체가 위자료 배상을 청구하면 개인정보처리자는 정보 주체에게 위자료로 배상할 만한 정신적 손해가 발생하지 않았음을 주장·증명해 위 규정에 따른 법정손해배상책임을 면할 수 있다는 겁니다.

 

정보 주체에게 위자료로 배상할 만한 정신적 손해가 발생했는지 판단하기 위해서는, △유출된 개인정보의 종류와 성격 △개인정보 유출로 정보 주체를 식별할 가능성이 발생했는지 △제3자가 유출된 개인정보를 열람했거나 장래 열람할 가능성이 있는지 △유출된 개인정보의 확산 범위 △개인정보 유출로 추가적인 법익침해 가능성이 발생했는지 △개인정보처리자의 개인정보 관리 상황 및 개인정보 유출 경위 △개인정보 유출 피해 발생 및 확산 방지 조치의 내용 등의 사정을 종합적으로 고려해 구체적 사건에 따라 개별적으로 판단해야 한다는 기준을 제시했습니다. 이런 기준에 따라 판단하더라도 손해에 관한 증명 없이 피해자의 권리구제가 가능하게 하려는 법정손해배상제도의 취지가 형해화되지 않도록 주의해야 한다는 점도 강조했습니다.

 

대법원은 이와 같은 법리를 설시하면서, △이 사고로 유출된 원고의 비밀번호가 암호화돼 있어 제3자가 그 내용을 파악하거나 이용했을 가능성이 매우 낮은 점 △유출된 이메일 주소가 다른 개인정보와 결합된 상태가 아니므로 정보 주체를 식별하기 어려운 점 △이 사건 사이트의 가입자 유형이 폭넓고 다양해 이메일 주소만으로 정보 주체의 사생활·명예의 침해나 재산적 피해 등 발생위험이 낮은 점 △실제로 사고 발생일로부터 2년이 넘은 시점에도 스팸메일의 증가 등이 확인되지 않고 2차 피해 발생도 없었던 점 △회사에 고의·중과실이 없고 사고 이후 신속하게 조치를 취한 점 등을 고려해 원고에게 위자료로 배상할 만한 정신적 손해가 발생하지 않았다고 판단했습니다.

 

개인정보보호법 제39조 제1항은 개인정보처리자가 개인정보보호법을 위반한 행위로 정보 주체가 손해를 입으면 개인정보처리자가 손해배상책임을 지도록 규정합니다. 반면, 제39조의2는 제39조 제1항에도 불구하고 개인정보 유출 사고가 있으면 300만원 이하의 범위에서 상당한 금액을 손해액으로 해 배상을 청구할 수 있도록 규정합니다. 제39조의2는 2015년 7월24일 징벌적 손해배상제 및 법정손해배상제를 도입해 개인정보 유출 등에 따른 피해구제를 강화하기 위해 신설된 조문입니다.

 

이번 대법원판결은 입법취지와는 다르게 자칫 제39조의2에 의하더라도 피해자가 실제 손해를 입증해야 하는 것처럼 해석될 여지가 있습니다. 이번 판결이 앞으로 대규모 개인정보 유출 사고를 일으킨 쿠팡 등을 상대로 한 소송에 어떤 영향을 미치게 될지 귀추가 주목됩니다.

 

김민승 법률전문기자 lawyerms@etomato.com

 

이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 최병호 공동체부장이 최종 확인·수정했습니다.