해피캠퍼스 개인정보유출 피해자 '위자료 청구' 패소 확정
![해커[게티이미지뱅크 제공]](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/3/2026/01/14/C0A8CA3D0000015C9FD7B9CC000AC17D_P2.jpeg) |
해커 |
(서울=연합뉴스) 이미령 기자 = 해킹으로 고객 개인정보가 유출됐더라도 고객에게 손해가 발생하지 않았음을 입증하면 기업에 법정손해배상 책임이 없다는 대법원 첫 판단이 나왔다.
법정손해배상이란 실제 손해를 입증하지 않더라도 사전에 법에서 정한 일정 금액을 청구할 수 있는 제도다. 대법원은 "피해자가 손해를 입증할 필요는 없지만, 손해가 발생하지 않은 경우까지 손해배상 의무가 인정되는 건 아니다"라는 점을 분명히 했다.
14일 법조계에 따르면 대법원 2부(주심 오경미 대법관)는 지식거래 사이트 해피캠퍼스를 상대로 이용자 유모씨가 낸 손해배상청구 소송에서 원심의 원고패소 판결을 지난달 확정했다.
지난 2021년 9월 해피캠퍼스에서 해킹 사고가 발생해 원고를 포함한 40만3천여명의 개인정보가 유출됐다. 원고는 암호화된 비밀번호와 이메일 주소가 유출되는 피해를 봤다.
이에 원고는 해피캠퍼스가 외부 접근통제를 소홀히 해 개인정보가 유출됐고, 이후 스팸 메일을 받거나 보이스피싱을 비롯한 2차 피해가 우려된다는 등 정신적 손해를 주장하며 30만원을 청구했다.
개인정보보호법 제39조의2 제1항은 개인정보 유출 등 사고의 법정손해배상 제도를 정하고 있다.
피해자는 개인정보 유출에 따른 손해를 입증하지 않아도 최대 300만원까지 배상을 청구할 수 있다. 개인정보 사고에서 피해자가 기업을 상대로 구체적 손해를 입증하기 어렵단 지적에 따라 2016년 법이 개정됐다.
그러나 이번 소송에서 1, 2심에 이어 대법원도 해피캠퍼스의 손해배상책임이 인정되지 않는다고 판단했다.
대법원은 우선 개인정보보호법상 "정보 주체는 개인정보처리자를 상대로 법정손해배상을 청구하기 위해 개인정보가 유출됐다는 사실만 주장·증명하면 되고, 손해 발생 사실을 구체적으로 주장·증명할 필요는 없다"고 전제했다.
대법원은 그러나 "손해가 발생하지 않은 것이 분명한 경우까지 손해배상 의무를 인정하려는 것이 해당 조항의 취지는 아니다"라며 "개인정보처리자로서는 정보 주체에게 정신적 손해가 발생하지 않았음을 주장·증명해 법정손해배상 책임을 면할 수 있다"고 밝혔다.
그러면서 개인정보 유출로 인한 정신적 손해 발생 여부를 판단할 때는 ▲ 유출된 개인정보의 종류와 성격 ▲ 개인정보 유출로 정보 주체를 식별할 가능성이 발생했는지 ▲ 제3자가 유출된 개인정보를 열람했는지 ▲ 유출된 개인정보의 확산범위 등을 고려해 구체적 사건에 따라 개별적으로 판단해야 한다고 설명했다. 단, 손해에 관한 증명 없이 피해자의 권리구제가 가능하게 하려는 법정손해배상 제도의 취지가 형해화하지 않도록 주의해야 한다고 부연했다.
대법원은 해피캠퍼스 개인정보 유출 사고의 경우 비밀번호가 암호화돼 제3자가 그 내용을 파악하거나 이용했을 가능성은 매우 낮고, 이메일 주소나 성명 등 다른 개인정보와 결합한 상태로 유출되지 않아 추가적 정보 없이 정보 주체가 누구인지 식별하기 어렵다고 판단했다.
그러면서 "이 사건에서 이메일 주소가 유출됐다고 해서 정보 주체에게 사생활·명예의 침해나 재산적 피해 등이 발생할 위험성은 낮고, 유출된 개인정보가 영리 목적으로 이용되거나 확산할 위험성도 높지 않아 보인다"며 원고의 청구를 기각한 원심을 확정했다.
already@yna.co.kr
▶제보는 카카오톡 okjebo
▶연합뉴스 앱 지금 바로 다운받기~
▶네이버 연합뉴스 채널 구독하기
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.