해킹으로 고객의 개인정보가 유출됐더라도 고객에게 손해가 발생하지 않은 점을 입증하면 기업에 법정손해배상 책임을 물을 수 없다는 대법원 첫 판단이 나왔다. 법정손해배상 제도는 피해자 측에서 구체적인 손해를 입증하지 않더라도 사전에 법에서 정한 범위 내에서 손해배상을 청구할 수 있는 제도다. 이에 대해 대법원은 “피해자가 손해를 입증할 필요는 없지만, 손해가 발생하지 않은 경우까지 손해배상 의무가 인정되는 건 아니다”라고 판단했다.
14일 법조계에 따르면, 대법원 2부(주심 오경미 대법관)는 유모씨가 지식거래 사이트 해피캠퍼스를 상대로 낸 손해배상청구 소송에서 원심의 원고 패소 판결을 지난달 상고 기각으로 확정했다.
이 사건은 지난 2021년 9월 해피캠퍼스에서 해킹 사고가 발생해 원고를 포함한 40만3000여명의 개인정보가 유출된 게 발단이 됐다. 유씨는 암호화된 비밀번호와 이메일 주소가 유출되는 피해를 입었다. 유씨는 해피캠퍼스가 보안 대책을 소홀히 해 개인정보가 유출됐고, 이후 스팸 메일을 받고 있고, 보이스피싱을 비롯한 2차 피해가 우려된다는 등 정신적 손해를 주장하며 법정 손해배상금 30만원을 청구했다. 현행 개인정보보호법에 따르면, 개인정보처리자의 고의 또는 과실로 개인정보가 유출됐을 경우엔 최대 300만원의 법정손해배상을 청구할 수 있다.
14일 법조계에 따르면, 대법원 2부(주심 오경미 대법관)는 유모씨가 지식거래 사이트 해피캠퍼스를 상대로 낸 손해배상청구 소송에서 원심의 원고 패소 판결을 지난달 상고 기각으로 확정했다.
 |
서울 서초구 대법원./뉴스1 |
이 사건은 지난 2021년 9월 해피캠퍼스에서 해킹 사고가 발생해 원고를 포함한 40만3000여명의 개인정보가 유출된 게 발단이 됐다. 유씨는 암호화된 비밀번호와 이메일 주소가 유출되는 피해를 입었다. 유씨는 해피캠퍼스가 보안 대책을 소홀히 해 개인정보가 유출됐고, 이후 스팸 메일을 받고 있고, 보이스피싱을 비롯한 2차 피해가 우려된다는 등 정신적 손해를 주장하며 법정 손해배상금 30만원을 청구했다. 현행 개인정보보호법에 따르면, 개인정보처리자의 고의 또는 과실로 개인정보가 유출됐을 경우엔 최대 300만원의 법정손해배상을 청구할 수 있다.
이 사건의 경우 1, 2심에 이어 대법원도 해피캠퍼스의 손해배상책임이 인정되지 않는다며 원고 패소로 판결했다. 대법원은 우선 “정보 주체는 개인정보처리자를 상대로 법정 손해배상을 청구하기 위해 개인정보가 유출됐다는 사실만 주장·증명하면 되고, 손해 발생 사실을 구체적으로 주장·증명할 필요는 없다”는 점을 전제로 했다. 이어 대법원은 “손해가 발생하지 않은 것이 분명한 경우까지 손해배상 의무를 인정하라는 것이 해당 조항의 취지는 아니다”라며 “개인정보처리자로서는 정보 주체에게 정신적 손해가 발생하지 않았음을 주장·증명해 법정 손해배상 책임을 면할 수 있다”고 봤다.
대법원은 개인정보 유출로 인한 정신적 손해 발생 여부를 판단할 때는 ▲유출된 개인정보의 종류와 성격 ▲개인정보 유출로 정보 주체를 식별할 가능성이 발생했는지 ▲제3자가 유출된 개인정보를 열람했는지 ▲유출된 개인정보의 확산 범위 등을 고려해 구체적 사건에 따라 개별적으로 판단해야 한다고 판시했다. 다만 손해에 관한 증명 없이 피해자의 권리 구제가 가능하게 하려는 법정 손해배상 제도의 취지가 형해화되지 않도록 주의해야 한다고 덧붙였다.
대법원은 해피캠퍼스 사건의 경우 유출된 비밀번호가 암호화돼 있어 제3자가 그 내용을 파악하거나 이용했을 가능성은 매우 낮고, 이메일 주소나 성명 등 다른 개인정보와 결합한 상태로 유출되지 않아 추가적 정보 없이 정보 주체가 누구인지 식별하기 어렵다고 판단했다. 이어 “이 사건에서 이메일 주소가 유출됐다고 해서 정보 주체에게 사생활·명예의 침해나 재산적 피해 등이 발생할 위험성은 낮고, 유출된 개인정보가 영리 목적으로 이용되거나 확산할 위험성도 높지 않아 보인다”며 유씨의 상고를 기각했다.
[이민준 기자]
- Copyrights ⓒ 조선일보 & chosun.com, 무단 전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.