[법률] 개인정보 유출 사고 났을 때, 회사가 부담하는 법적 책임 총정리

고객 정보가 유출됐다는 신고를 받았다면 회사는 얼마나 심각한 상황에 처하게 될까요? 데이터 유출은 단순한 보안 사건을 넘어 회사가 법정에서 수백만 원대의 손해배상을 청구받을 수 있는 법률 문제입니다. 이 글에서는 개인정보 유출 시 회사가 맞닥뜨리게 될 민사, 형사, 행정 책임의 전모를 판례와 함께 살펴보겠습니다.

---

개인정보 유출 시 회사 책임의 3가지 축

개인정보 유출 사고가 발생하면 회사는 세 가지 서로 다른 책임을 동시에 지게 됩니다. 마치 건물의 벽, 천장, 바닥이 모두 손상되는 것처럼 회사의 여러 방향에서 책임이 추궁됩니다.

 

첫 번째는 민사 책임입니다. 피해 고객이 개인정보보호법 제39조를 근거로 손해배상을 청구합니다. 여기서 중요한 점은 회사가 "나는 고의나 과실이 없었다"는 사실을 스스로 입증해야 한다는 것입니다. 즉, 피해자가 손해를 입었다는 것만 보여주면, 회사는 자신의 무고함을 능동적으로 증명해야 합니다.

두 번째는 형사 책임입니다. 개인정보보호법 위반 시 임원이나 담당자 개인이 3년 이하의 징역 또는 3천만 원 이하의 벌금에 처할 수 있습니다. 회사뿐만 아니라 경영진과 담당자 개인도 처벌 대상이 됩니다.

세 번째는 행정 책임입니다. 개인정보보호위원회는 과태료나 과징금을 부과할 수 있습니다. 과태료는 내용에 따라 천만 원에서 억대까지 갈 수 있으며, 과징금은 불법으로 얻은 이익을 박탈하는 제도입니다.

---

대법원 2018다222303 판결로 보는 실제 배상 기준

신용카드 회사의 개인정보 유출 사건은 한국 판례법에서 중요한 선례를 남겼습니다. 2019년 9월 26일 대법원이 내린 2018다222303 판결은 개인정보 유출 사건의 배상 책임을 명확히 한 사건입니다.

이 판결의 핵심은 "카드사가 고객의 개인정보를 보호할 주의의무를 위반했다"는 점을 인정했다는 것입니다. 법원은 정보 유출 자체만으로는 손해배상을 인정하지 않았지만, 회사가 지켜야 할 보안 기준을 충족하지 못했다는 과실을 인정했습니다.

흥미로운 점은 배상액입니다. 대법원은 각 피해자에게 위자료 7만 원을 배상하라고 판결했습니다. 이것이 작다고 느껴질 수 있지만, 법원의 논리는 명확합니다. "피해자가 구체적이고 개별적인 손해를 입증해야 한다"는 원칙입니다. 정보 유출만으로는 실제 금전 손해를 입증하기 어렵기 때문에, 법원은 정신적 고통에 대한 위자료로 제한했던 것입니다.

다만 이 판결은 회사의 과실을 명확히 인정했으므로, 향후 더 많은 고객이 유사한 손해배상을 청구할 수 있는 법적 선례가 되었습니다.

---

법정손해배상과 징벌적 배상 : 입증 없이도 청구 가능한 배상

개인정보보호법이 개정되면서 피해자들에게 매우 유리한 두 가지 배상 제도가 도입되었습니다.

첫째, 법정손해배상입니다. 개인정보보호법 제39조의2에 따르면, 피해자는 실제 손해를 입증하지 않아도 최대 300만 원의 손해배상을 청구할 수 있습니다. 예를 들어 유출된 고객이 1,000명이라면, 회사는 최대 30억 원의 법정손해배상 책임을 질 수 있습니다. 이는 실제 손해가 얼마나 되는지 증명할 필요가 없다는 점에서 매우 강력합니다.

둘째, 징벌적 배상입니다. 개인정보보호법 제39조 제3항은 회사가 고의 또는 중과실로 개인정보를 유출했다면, 손해액의 5배 이내에서 추가 배상을 명령할 수 있습니다. 중과실이란 단순한 부주의를 넘어 현저한 주의 태만을 의미합니다. 예를 들어 암호화 없이 고객 정보를 저장하거나, 외주업체의 보안을 전혀 점검하지 않은 경우가 이에 해당합니다.

이 두 제도의 핵심은 "피해자의 입증 부담을 대폭 축소했다"는 것입니다. 과거에는 고객이 직접 얼마의 손해를 입었는지 증명해야 했지만, 이제는 정보가 유출되었다는 사실만으로도 배상을 청구할 수 있게 된 것입니다.

---

회사가 사전에 갖춰야 할 최소 방어선

이제 역으로 생각해봅시다. 회사는 이러한 책임으로부터 자신을 어떻게 방어할 수 있을까요?

 

첫째, 개인정보처리방침 수립입니다. 이는 단순한 서류 작업이 아닙니다. 개인정보를 어떻게 수집하고, 어디에 저장하고, 누가 접근할 수 있으며, 언제 파기할 것인지를 명확히 정하는 것입니다. 이 방침이 없거나 실제 처리와 불일치한다면, 그 자체로 과실의 증거가 됩니다.

둘째, 접근 권한의 최소화와 암호화입니다. 개인정보는 필요한 사람만 필요한 정보에 접근할 수 있도록 제한해야 합니다. 그리고 저장되는 모든 정보는 암호화되어야 합니다. 판례에서 자주 지적되는 과실의 원인이 바로 "암호화 없이 정보를 보관한 경우"입니다.

셋째, 외부 위탁업체 관리입니다. 만약 고객 정보 처리를 외부 회사에 맡긴다면, 회사는 그 위탁업체가 어느 수준으로 정보를 보호하는지 확인하고 점검할 의무가 있습니다. 위탁업체의 보안 사고는 결국 원사업자의 책임이 될 수 있습니다.

이 세 가지 방어선을 갖춘다면, 설사 보안 사고가 발생하더라도 "회사가 최선을 다했다"는 점을 입증할 수 있고, 과실의 수준을 크게 낮출 수 있습니다.

---

미리 준비하는 것이 최고의 대책

개인정보 유출은 더 이상 남의 일이 아닙니다. 매달 어딘가의 기업에서 정보 유출 사고가 터지고 있으며, 그때마다 수백억 원대의 손해배상이 오갑니다.

중요한 것은 이 모든 책임을 피할 수는 없다는 점입니다. 하지만 사전에 적절한 보안 체계를 갖추고, 처리방침을 정하고, 정기적으로 점검한다면 과실의 정도를 크게 낮출 수 있습니다. 또한 만약 사고가 발생했을 때 그 책임을 최소화할 수 있는 증거도 남길 수 있습니다.

개인정보 보호는 단순한 IT 부서의 일이 아닌 회사 전체의 법적 리스크 관리 문제입니다. 

 

---

법무법인 도하 | 원준성 변호사

특허·상표·저작권·데이터 분쟁 전문

더 궁금한 점이 있으시면 편하게 문의해 주세요.