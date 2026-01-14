해킹으로 고객 개인정보가 유출됐더라도 실제 손해가 발생하지 않았다는 사실을 입증하면 기업이 법정손해배상 책임을 지지 않는다는 대법원 첫 판단이 나왔다. 법정손해배상은 피해자가 실제 손해를 입증하지 않아도 법에서 정한 일정 금액을 청구할 수 있는 제도지만, 대법원은 “손해가 발생하지 않은 경우까지 배상 책임을 인정하는 것은 아니다”라고 명확히 했다.

14일 법조계에 따르면 대법원 2부(주심 오경미 대법관)는 지식거래 사이트 해피캠퍼스를 상대로 이용자 유모씨가 낸 손해배상청구 소송에서 원심 판결을 확정하며 원고 패소를 지난달 결정했다.

사진=연합

이번 사건은 지난 2021년 9월 해피캠퍼스에서 발생한 해킹으로 40만3000여명의 비밀번호·이메일주소 등 개인정보가 유출된 사건에서 비롯됐다. 원고는 해피캠퍼스가 외부 접근 통제를 소홀히 해 개인정보가 유출됐으며, 이후 스팸메일 수신이나 보이스피싱 등 2차 피해가 우려된다며 정신적 손해 30만원을 청구했다.

개인정보보호법 제39조의2 제1항은 피해자가 개인정보 유출 사고에 따른 손해 발생을 입증하지 않아도 최대 300만원까지 법정손해배상을 청구할 수 있도록 규정한다. 개인정보 유출 사고에서 피해자가 구체적 손해를 입증하기 어렵단 지적에 따라 입증 없이 권리를 행사할 수 있도록 하기 위해 2016년 관련법이 개정됐다.

그러나 대법원은 “정보 주체는 개인정보처리자(해피캠퍼스)를 상대로 법정손해배상을 청구하기 위해 개인정보가 유출됐다는 사실만 주장·증명하면 되고, 손해 발생 사실을 구체적으로 주장·증명할 필요는 없다”고 전제하면서도 “손해가 발생하지 않은 게 분명한 경우까지 배상 책임을 인정하려는 것이 법 취지는 아니다”라고 판단했다. 즉 개인정보처리자는 정보 주체에게 정신적 손해가 발생하지 않았음을 주장·증명해 책임을 면할 수 있다는 것이다.

법원은 정신적 손해 발생 여부를 판단할 때 유출된 개인정보의 종류와 성격, 정보 주체 식별 가능성, 제3자의 열람 여부, 확산 범위 등을 종합적으로 고려해야 한다고 설명했다. 다만 손해에 관한 증명 없이 피해자의 권리구제가 가능하게 하려는 법정손해배상 제도의 취지가 형해화하지 않도록 주의해야 한다고 부연했다.

해피캠퍼스 사건의 경우, 비밀번호는 암호화돼 제3자가 내용을 파악할 가능성이 매우 낮았고, 이메일 주소 등 다른 개인정보와 결합되지 않아 정보 주체를 식별하기 어려웠다는 게 대법원의 판단이다. 대법원은 “이메일 주소 유출만으로 사생활·명예 침해나 재산적 피해가 발생할 위험이 낮고, 영리 목적으로 이용될 가능성도 크지 않다”며 원고 청구를 기각한 원심을 확정했다.

Copyright ⓒ 세계일보. 무단 전재 및 재배포 금지