회원 개인정보 유출에 따른 손해배상 판결

2024년 6월 해킹으로 인해 피고 회사에 보관 중이던 원고의 개인정보(한글이름, 생년월일, 성별, 휴대전화번호)가 유출되었고 이에 원고는 피고가 개인정보보호 의무를 위반했다며 손해배상을 청구했습니다. 법원은 피고의 의무 위반을 인정하고 원고에게 일부 위자료를 지급하라는 판결을 내렸습니다.

관련 당사자

• 원고 A: 개인정보 유출로 인해 피해를 입었다고 주장하며 손해배상을 청구한 당사자
• 피고 주식회사 B: 회원들의 개인정보를 보관하고 있었으며 해킹으로 인해 정보가 유출된 책임이 있는 당사자

분쟁 상황

피고 주식회사 B가 보관하던 회원 및 비회원의 개인정보가 2024년 6월 7일에서 8일 사이 성명불상의 해커에 의해 유출되었습니다. 원고의 경우 한글이름, 생년월일, 성별, 휴대전화번호가 유출되었으며 원고는 이에 대해 개인정보보호법상 피고의 과실을 주장하며 2,200,000원의 손해배상을 청구했습니다. 피고는 개인정보보호법에서 정하는 안전조치 의무를 위반하지 않았다고 주장했습니다.

핵심 쟁점

피고 회사의 개인정보보호법상 안전조치 의무 위반 여부와 그로 인한 손해배상 책임 발생 여부 및 적정한 위자료 액수

법원의 판단

법원은 피고가 원고에게 100,000원 및 이에 대한 지연이자를 지급하라고 판결했습니다. 지연이자는 2024년 6월 30일부터 2025년 8월 12일까지는 연 5% 그 다음 날부터 다 갚는 날까지는 연 12%입니다. 원고의 나머지 청구 2,100,000원은 기각되었고 소송비용 중 90%는 원고가 나머지는 피고가 각 부담하도록 했습니다.

결론

원고의 개인정보 유출에 대한 손해배상 청구는 일부 인용되어 100,000원의 위자료를 받게 되었으나 청구액 2,200,000원 중 대부분은 기각되었습니다.

연관 법령 및 법리

이 판결은 개인정보보호법의 여러 조항을 근거로 개인정보 유출에 대한 손해배상 책임을 판단했습니다.

• 개인정보보호법 제29조(안전조치의무)​: 개인정보처리자는 개인정보가 분실 도난 유출 위조 변조 또는 훼손되지 아니하도록 내부 관리계획 수립 접속기록 보관 등 안전성 확보에 필요한 기술적 관리적 및 물리적 조치를 해야 합니다. 이 사건에서 법원은 피고가 이러한 안전조치 의무를 적절히 이행하지 않아 개인정보가 유출된 것으로 보았습니다.

• 개인정보보호법 제21조 제1항(개인정보의 파기)​: 개인정보처리자는 개인정보의 보유기간이 경과하거나 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기해야 합니다. 판결문에서 명시적으로 언급되지는 않았지만 이 조항은 개인정보처리자의 전반적인 관리 의무를 구성하는 중요한 부분입니다.

• 개인정보보호법 제34조 제1항(개인정보 유출 통지 등)​: 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 정보주체에게 유출 사실을 통지하고 방송통신위원회 또는 행정안전부에 신고해야 합니다. 이 조항은 유출 발생 후 사후 조치에 관한 의무로 개인정보처리자의 책임 범위를 넓힙니다.

• 개인정보보호법 제39조 제1항(손해배상책임의 발생)​: 개인정보처리자가 이 법을 위반하여 정보주체에게 손해를 입힌 경우에는 정보주체에게 발생한 손해를 배상해야 합니다. 다만 개인정보처리자가 고의 또는 과실이 없음을 증명한 경우에는 그러하지 아니합니다. 이 조항은 개인정보처리자에게 손해배상 책임을 지우면서 동시에 자신에게 고의나 과실이 없었음을 스스로 입증해야 하는 '입증책임 전환'을 명시하고 있습니다. 즉 개인정보가 유출되면 일단 개인정보처리자에게 책임이 있다고 보고 처리자가 무고함을 증명해야 한다는 원칙입니다. 본 판결에서 피고는 고의나 과실이 없음을 입증하지 못하여 손해배상 책임이 인정되었습니다.

종합적으로 이 판결은 개인정보처리자가 개인정보보호법에서 정한 안전조치 의무를 소홀히 하여 개인정보가 유출될 경우 피해자에게 위자료를 포함한 손해를 배상할 책임이 있으며 특히 개인정보처리자에게는 자신의 고의나 과실이 없었음을 입증해야 하는 엄격한 책임이 있음을 보여줍니다.

참고 사항

개인정보가 유출되었다면 먼저 유출된 정보의 종류와 범위를 정확히 확인해야 합니다. 개인정보를 보관하던 회사(개인정보처리자)가 개인정보보호법상 안전조치 의무를 다하지 않은 것으로 의심된다면 손해배상 청구를 고려할 수 있습니다. 이때 개인정보처리자는 자신에게 고의나 과실이 없음을 스스로 입증해야 하므로 피해자는 유출 사실만으로도 손해배상 청구의 근거를 마련할 수 있습니다. 위자료 액수는 유출된 정보의 중요성 유출로 인한 피해의 정도 회사의 의무 위반 정도 등을 종합적으로 고려하여 법원이 판단하게 되므로 비슷한 피해를 입었더라도 일률적으로 동일한 금액을 받을 수는 없습니다. 소송을 통해 받을 수 있는 금액과 소송 과정에서 드는 시간적 경제적 비용을 충분히 고려하는 것이 중요합니다.