해킹으로 고객 개인 이메일주소와 비밀번호가 유출됐더라도 고객에게 손해가 발생하지 않았음을 입증하면 기업에 법정손해배상 책임이 없다는 대법원 판단이 나왔다.

14일 법조계에 따르면 대법원 2부(주심 오경미 대법관)는 지난달 지식거래 사이트 해피캠퍼스를 상대로 이용자 A씨가 낸 손해배상청구 소송 상고심에서 원고패소 판결한 원심을 확정했다.

지난 2021년 9월 해피캠퍼스에서 해킹 사고가 발생해 A씨를 포함한 40만3000여명의 개인정보가 유출됐다. A씨는 암호화된 비밀번호와 이메일 주소가 유출되는 피해를 봤다.

이에 A씨는 해피캠퍼스가 외부 접근통제를 소홀히 해 개인정보가 유출됐고, 이후 스팸 메일을 받거나 보이스피싱을 비롯한 2차 피해가 우려된다는 등 정신적 손해를 주장하며 30만원을 청구했다.

개인정보보호법 제39조의2 제1항은 개인정보 유출 등 사고의 법정손해배상 제도를 정하고 있다. 법정손해배상이란 실제 손해를 입증하지 않더라도 사전에 법에서 정한 일정 금액을 청구할 수 있는 제도다.

1·2심은 위자료로 배상할 만한 정신적 손해가 발생했다고 볼 수 없다며 피고의 손을 들어줬다.

재판부는 “비밀번호에 대해 사전에 암호화 조치가 이루어졌고, 이메일 주소의 유출만으로 해당 정보주체를 구체적이고 예상가능한 위험에 노출시킨다고 단정하기 어렵다”고 했다. 이어 “해킹된 개인정보가 제3자에게 전달되거나 일반 또는 제3자에게 확산되었다고 볼 증거도 없는 점 등을 보면 피고 회사가 수집한 개인정보가 유출됨에 따라 원고에게 위자료로 배상할 만한 정신적 손해가 발생했다고 보기 어렵다”고 판단했다.

대법원도 해피캠퍼스의 손해배상책임이 인정되지 않는다고 판단했다.

개인정보 유출로 인한 정신적 손해 발생 여부를 판단할 때는 △유출된 개인정보의 종류와 성격 △개인정보 유출로 정보 주체를 식별할 가능성이 발생했는지 △제3자가 유출된 개인정보를 열람했는지 △유출된 개인정보의 확산범위 등을 고려해 구체적 사건에 따라 개별적으로 판단해야 한다고 설명했다. 단, 손해에 관한 증명 없이 피해자의 권리구제가 가능하게 하려는 법정손해배상 제도의 취지가 형해화하지 않도록 주의해야 한다고 했다.

대법원은 해피캠퍼스 개인정보 유출 사고의 경우 비밀번호가 암호화돼 제3자가 그 내용을 파악하거나 이용했을 가능성은 매우 낮고, 이메일 주소나 성명 등 다른 개인정보와 결합한 상태로 유출되지 않아 추가적 정보 없이 정보 주체가 누구인지 식별하기 어렵다고 판단했다.

그러면서 “이 사건에서 이메일 주소가 유출됐다고 해서 정보 주체에게 사생활·명예의 침해나 재산적 피해 등이 발생할 위험성은 낮고, 유출된 개인정보가 영리 목적으로 이용되거나 확산할 위험성도 높지 않아 보인다”며 원고의 청구를 기각한 원심을 확정했다.

김선일 기자 sikim@naeil.com