대법 “개인정보 유출됐어도 정신적 피해 없으면 배상 안 해”

해킹으로 이메일·암호화 비밀번호 유출돼도

실제 피해 없으면 위자료 청구 불가 판단

클립아트코리아

온라인 지식거래 사이트 해킹으로 개인정보가 유출됐더라도, 실제로 위자료를 지급할 만큼의 정신적 손해가 발생하지 않았다면 개인정보처리자는 법정손해배상 책임을 지지 않는다는 대법원 판단이 나왔다. 단순 유출 사실만으로는 배상이 자동으로 인정되지 않는다는 점을 분명히 한 판결이다.

13일 법조계에 따르면 대법원 2부(주심 오경미 대법관)는 최근 온라인 지식거래 서비스 ‘해피캠퍼스’를 운영하는 회사가 해킹 사고로 개인정보를 유출했다며 회원이 제기한 손해배상 청구 소송에서 원고 패소로 판결한 원심을 확정했다.

이 사건은 2021년 9월 해피캠퍼스 홈페이지가 해킹돼 회원 약 40만 명의 개인정보가 유출된 사고에서 비롯됐다. 원고는 이메일 주소와 비밀번호가 유출된 뒤 스팸메일 수신과 보이스피싱 등 2차 피해가 우려된다며 개인정보보호법에 따른 법정손해배상금 30만 원을 청구했다.



1·2심은 원고의 청구를 모두 기각했다. 개인정보 유출로 불안감이나 불쾌감이 있었다고 하더라도, 이를 금전으로 위자할 정도의 정신적 손해가 발생했다고 보기 어렵다는 판단이었다.

대법원도 이 같은 결론을 유지했다. 대법원은 개인정보보호법상 법정손해배상 제도는 정보주체가 손해를 구체적으로 입증하지 않아도 청구할 수 있도록 한 제도이지만, 손해가 전혀 발생하지 않은 경우까지 배상 책임을 인정하려는 취지는 아니라고 밝혔다.

특히 대법원은 △유출된 비밀번호가 암호화돼 제3자가 실제로 이용했을 가능성이 매우 낮고 △이메일 주소도 다른 개인정보와 결합되지 않아 개인 식별이 어렵고 △유출 정보만으로 가입자의 성향이나 수요를 파악하기도 힘들며 △사고 이후 2년 넘게 스팸메일 증가나 추가 피해가 확인되지 않았다는 점을 종합적으로 고려했다. 아울러 회사 측이 사고 인지 직후 관계기관에 신고하고, 이용자에게 유출 사실을 알리며 비밀번호 변경을 요청하는 등 피해 확산 방지 조치를 취한 점을 들어 고의나 중과실도 인정하기 어렵다고 판단했다.