기업·부동산

개인정보 유출 손해배상, 300만 원 법정 배상 요건과 기업의 법적 책임 방어 전략

법무법인 도아 최지양 변호사 2026. 6. 12. 08:00

 

 

녕하세요. 법무법인 도아 안국분사무소 최지양 대표 변호사입니다.


 

얼마 전 국내 대형 OTT 서비스인 티빙과 공공 행정 포털인 정부24에서 

개인정보가 대규모로 유출되었다는 공식 공지와 뉴스를 보았습니다. 

 

그 통지를 받은 날 이후부터 출처 불명의 해외 로그인 시도와 보이스피싱 유도 문자가 빗발치고 있습니다.

 

대기업과 정부 기관의 보안 소홀로 입은 이 정신적 고통과 불안감을 법적으로 보상받을 수 있을까요?

집단소송이라도 참여해야 하는지 눈앞이 캄캄합니다.


 

최근 OTT 서비스와 공공 행정 포털에서 개인정보 유출 또는 노출 사고가 잇따라 알려지면서 많은 분들의 불안이 커지고 있습니다.

티빙 사건의 경우 개인정보보호위원회가 개인정보 유출신고를 접수하고 조사에 착수했으며, 공개된 유출 항목에는 아이디, 이름, 생년월일, 성별, 휴대전화번호, 이메일, 환불 계좌번호, 비밀번호 등이 포함된 것으로 확인됩니다. 

 

정부24와 관련해서도 생활기록부, 졸업증명서, 납세증명서, 주민등록증 발급상황 조회 등 행정 서비스 과정에서 개인정보가 타인에게 노출된 사례가 문제 되었고, 개인정보위의 제재가 이루어진 바 있습니다.

개인정보가 유출되면 당장 금전 피해가 발생하지 않았더라도 보이스피싱, 스미싱, 계정 탈취 시도 등 2차 피해에 대한 불안이 생길 수 있습니다. 

 

이때 피해자는 어떤 손해배상을 청구할 수 있는지, 기업은 어떤 범위에서 책임을 부담하는지 정확히 구분해야 합니다.

 

오늘 법무법인 도아 안국분사무소에서는 개인정보 유출 시 손해배상 청구 기준과 피해자 및 기업 입장에서의 대응 방법에 대해 상세하게 정리해 드리고자 합니다.

 

 

 

 

1. 손해액 입증 한계를 보완하는 300만 원 이하 법정손해배상 제도

개인정보 유출 사건에서 피해자가 가장 어려워하는 부분은 실제 손해액을 입증하는 것입니다.

개인정보가 유출되었다는 사실은 확인되지만, 그로 인해 정확히 얼마의 경제적 손해가 발생했는지 계산하기 어려운 경우가 많습니다. 

 

이를 보완하기 위해 개인정보 보호법은 법정손해배상 제도를 두고 있습니다.

정보주체는 개인정보처리자의 고의 또는 과실로 개인정보가 유출된 경우, 구체적인 손해액을 입증하지 않더라도 300만 원 이하 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있습니다.

다만 300만 원이 자동으로 인정되는 것은 아닙니다. 

 

법원은 유출된 정보의 종류, 유출 경위, 피해자 수, 통지와 사후조치의 적정성, 2차 피해 발생 여부, 정신적 고통의 정도 등을 종합해 배상액을 정합니다.

따라서 피해자 입장에서는 유출되었다는 사실뿐 아니라 어떤 정보가 유출되었는지, 유출 이후 어떤 피해나 불안이 발생했는지를 자료로 정리하는 것이 중요합니다.

 


 

 

2. 피해자는 유출 통지와 2차 피해 정황을 보존해야 합니다.

개인정보 유출 손해배상을 검토한다면 먼저 기업이나 기관이 발송한 유출 통지 이메일, 문자, 홈페이지 공지 화면을 보존해야 합니다.

통지에는 유출 일시, 유출 항목, 유출 경위, 피해 예방 방법, 신고·상담 창구 등이 포함되어야 하므로, 향후 손해배상 청구에서 중요한 기초자료가 됩니다.

유출 이후 발생한 정황도 함께 정리해야 합니다. 

 

유출 사고 공지 시점을 기점으로 날아온 보이스피싱 문자, 스미싱 링크, 해외 로그인 시도 알림, 계정 잠금 통지, 명의도용 의심 내역, 카드 재발급이나 비밀번호 변경 조치 등을 시간순으로 정리해 두는 것이 좋습니다.

다만 유출 이후 스팸 문자나 로그인 시도가 있었다고 해서 모두 해당 유출 사고와 직접 연결된다고 단정할 수는 없습니다. 

 

법원에서는 유출된 정보의 종류와 2차 피해 사이의 관련성을 살펴보므로, 단순한 불안감보다는 구체적인 정황 자료를 모아두는 것이 필요합니다.

 


 

 

3. 기업 입장이라면 안전조치와 사후 대응을 자료로 입증해야 합니다.

개인정보처리자는 자신에게 고의 또는 과실이 없음을 입증하지 못하면 손해배상 책임을 면하기 어렵습니다. 

 

따라서 기업은 사고 전 개인정보 보호법령에 따른 기술적·관리적·물리적 안전조치를 어느 정도 이행했는지 자료로 설명해야 합니다.

예를 들어 접근권한 관리, 개인정보 암호화, 접속기록 보관과 점검, 보안 업데이트, 취약점 점검, 침입탐지·차단 시스템 운영, 개인정보 처리 위탁관리, 임직원 교육 기록 등이 중요합니다.

사후 대응도 중요합니다. 

 

유출 사실을 인지한 뒤 지체 없이 침해 경로를 차단했는지, 관계기관에 신고했는지, 정보주체에게 72시간 내 통지했는지, 비밀번호 변경·계정 잠금·피해 상담창구 운영 등 추가 피해 방지 조치를 했는지 확인해야 합니다.

기업 방어의 핵심은 해킹이라 어쩔 수 없었다가 아닙니다.

 

사고 전후로 필요한 보호조치를 합리적으로 이행했고, 유출 이후 피해 확산을 줄이기 위해 어떤 조치를 했는지를 객관자료로 설명하는 것입니다.

 

 

 

 

개인정보 유출 사건은 피해자에게는 장기간의 불안과 2차 피해 위험을 남기고, 기업에게는 손해배상청구와 행정제재, 신뢰도 하락이라는 부담을 남깁니다.

피해자는 유출 통지, 유출 항목, 2차 피해 정황, 계정 보호 조치 내역을 정리해야 하고, 기업은 사고 전 안전조치와 사고 후 신고·통지·피해방지 조치를 입증할 수 있어야 합니다.

법무법인 도아 안국분사무소 최지양 변호사는 개인정보 유출 사건에서 유출 정보의 성격, 법정손해배상 청구 가능성, 2차 피해 자료, 기업의 안전조치 이행 여부, 사후 통지와 신고 절차를 함께 검토합니다.

개인정보 유출 통지를 받았거나, 기업 내부 시스템 침해 사고로 대응이 필요한 상황이라면 먼저 유출 통지서, 유출 항목, 사고 발생일, 후속 조치 내역, 관련 로그와 보안 점검 자료를 정리해 보시기 바랍니다. 

 

자료가 정리되어야 손해배상 청구도, 기업의 책임 범위 방어도 정확하게 시작할 수 있습니다.

 

 

법무법인 도아 최지양 대표 변호사 1:1 문의
010-6413-7114

 

 

변호사 직접 소통 가능한 로펌, 종로 법무법인 도아 안국분사무소 최지양 변호사

안녕하세요. 종로 법무법인 도아 안국분사무소 최지양 대표 변호사입니다. 이번에 새로운 프로필 사진으로 단장하며 제가 변호사로서 굳건히 지켜온 철학과 최근 도아가 집중하고 있는 중대한

jytrust.tistory.com

 

 

법무법인 도아 안국분사무소 서울 종로구 율곡로 33