온라인 자료 거래 사이트 해킹으로 개인정보가 유출된 경우 이용자는 곧바로 손해배상을 받을 수 있을까. 법원은 단순한 유출 사실만으로 위자료가 자동 인정되는 것은 아니라는 입장을 유지하고 있다.

14일 법조계에 따르면 개인정보 유출 사건에서 손해배상 인정 여부는 유출 정보의 성격과 외부 확산 가능성, 실제 2차 피해 발생 여부 등을 종합적으로 고려해 판단된다.

개인정보보호법은 개인정보처리자의 고의 또는 과실이 있는 경우 손해배상 책임을 인정하도록 규정하고 있다. 특히 같은 법 제39조의2는 개인정보가 유출된 경우 이용자가 손해를 구체적으로 입증하지 않더라도 일정 범위 내에서 법정손해배상을 청구할 수 있도록 하고 있다.

다만 법원은 해당 규정이 모든 경우에 위자료를 인정하는 것은 아니라는 입장이다.

실제 하급심에서도 판단은 사안마다 엇갈리고 있다. 2015년 카드사 고객정보 유출 사건에서 법원은 제3자 제공이나 유통 정황이 확인된 부분에 대해서는 정보주체의 정신적 손해를 인정해 1인당 10만원의 위자료를 인정했다.

반면 유출 직후 자료가 압수돼 외부 확산이 확인되지 않은 부분에 대해서는 정신적 손해가 발생했다고 보기 어렵다며 청구를 기각했다.

온라인 지식거래 사이트 해킹 사건에서도 비슷한 판단이 이어졌다. 해당 사건에서는 이메일 주소와 암호화된 비밀번호가 유출됐지만 위자료 지급은 인정되지 않았다.

1심은 피고의 안전조치 의무 위반 과실은 인정하면서도 비밀번호가 암호화돼 있어 악용 가능성이 낮고 이메일 주소만으로는 개인 식별이 어렵다는 점을 지적했다.

또 제3자 확산이나 스팸 증가 등 2차 피해가 확인되지 않았고, 사고 이후 통지와 비밀번호 변경 요청 등 대응 조치가 이뤄진 점도 고려됐다. 2심 역시 같은 취지로 항소를 기각했다.

이와 유사한 사건에서 대법원은 법정손해배상 제도의 기준을 보다 구체화했다.

자료 거래 사이트 이용자의 이메일 주소와 암호화된 비밀번호가 유출된 사안에서 정보주체는 유출 사실만으로 법정손해배상을 청구할 수 있지만 개인정보처리자가 정신적 손해가 발생하지 않았다는 점을 입증한 경우에는 책임을 면할 수 있다고 판단했다.

재판부는 위자료 인정 여부를 판단할 때 유출된 개인정보의 민감성과 식별 가능성, 제3자 열람 및 확산 여부, 추가 피해 발생 가능성, 사후 대응 조치 등을 종합적으로 고려해야 한다는 기준을 제시했다.

해당 사건에서는 이메일 주소와 암호화된 비밀번호만 유출된 점이 주요하게 고려됐다. 법원은 암호화된 비밀번호는 제3자가 내용을 파악하거나 이용할 가능성이 낮고 이메일 주소 역시 다른 정보와 결합되지 않은 상태에서는 개인 식별이 어렵다고 판단했다.

또 일정 기간 동안 스팸 증가나 추가 피해가 확인되지 않았고, 사업자가 관계기관 신고와 이용자 통지, 비밀번호 변경 안내 등 피해 확산 방지 조치를 취한 점도 함께 반영됐다.

법조계에서는 이번 판결이 개인정보 유출 사건에서 위자료 인정 기준을 구체적으로 정리한 사례로 보고 있다.

법무법인 민 박세희 변호사는 “개인정보 유출만으로 곧바로 위자료가 인정되는 것은 아니며 정보의 민감성이나 외부 유통 가능성, 실제 피해 발생 여부가 중요한 판단 기준이 된다”며 “사업자의 사후 대응 역시 책임 판단에 영향을 미친다”고 설명했다.