"해킹으로 내 개인정보가 유출되었는데, 기업이나 해커에게 손해배상을 청구할 수 있나요? 가능하다면 어떤 절차를 거쳐야 하나요?"
핵심 결론부터 말씀드리겠습니다. 해킹으로 인한 개인정보 유출 피해자는 해커 본인은 물론, 개인정보를 보관하던 기업(개인정보처리자)에게도 손해배상을 청구할 수 있습니다. 개인정보 보호법 제39조는 정보주체의 손해배상청구권을 명시하고 있으며, 기업 측은 고의 또는 과실이 없었음을 스스로 증명하지 못하면 배상 책임을 집니다.
개인정보 유출 피해에 대한 손해배상은 크게 두 가지 법률에 근거합니다.
1. 개인정보 보호법 제39조(손해배상책임)
개인정보처리자가 이 법을 위반하여 정보주체에게 손해를 입힌 경우, 손해배상 책임을 부담합니다. 여기서 중요한 점은 입증책임의 전환입니다. 일반 불법행위에서는 피해자가 가해자의 과실을 증명해야 하지만, 이 조항에서는 기업이 "자신에게 고의 또는 과실이 없음"을 증명해야 합니다. 피해자에게 유리한 구조입니다.
2. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제32조
정보통신서비스 제공자(온라인 플랫폼, 쇼핑몰 등)가 이용자의 개인정보를 분실·도난·유출한 경우에도 손해배상 책임을 집니다. 역시 입증책임이 기업에게 전환되어 있습니다.
3. 민법 제750조(불법행위)
해커 개인에 대해서는 민법상 불법행위에 따른 손해배상을 청구할 수 있습니다. 다만 해커의 신원이 특정되어야 하고, 실제 배상 능력이 있어야 현실적으로 의미가 있습니다.
실무에서 개인정보 유출 사건의 손해배상액은 피해 유형에 따라 다음과 같이 나뉩니다.
개인정보 유출 피해 시 손해배상을 청구하려면 다음 순서를 따릅니다.
Step 1. 피해 사실 확인 및 증거 확보
유출 통지 메일, 문자, 기업 공지사항 등을 캡처하여 보관합니다. 유출된 정보 항목(이름, 연락처, 주민등록번호, 카드번호 등)을 정리해 두는 것이 중요합니다. 2차 피해(스팸 문자, 피싱 시도 등)가 있다면 해당 기록도 함께 확보합니다.
Step 2. 개인정보 침해신고
한국인터넷진흥원(KISA) 개인정보침해 신고센터(전화 118, 온라인 privacy.kisa.or.kr)에 신고합니다. 신고 접수 기록 자체가 추후 소송에서 증거 자료로 활용될 수 있습니다.
Step 3. 기업에 직접 배상 요구
해당 기업의 개인정보보호 담당 부서에 서면으로 손해배상을 요구합니다. 이 단계에서 합의가 이루어지는 경우도 있습니다.
Step 4. 개인정보 분쟁조정위원회 활용
합의가 되지 않으면 개인정보 분쟁조정위원회에 조정을 신청할 수 있습니다. 비용이 들지 않고, 처리 기간은 접수 후 약 60일 이내입니다. 대규모 유출 사건의 경우 집단분쟁조정도 가능합니다.
Step 5. 민사소송 제기
조정이 성립되지 않으면 법원에 손해배상청구 소송을 제기합니다. 소송 비용은 청구 금액에 따라 달라지며, 피해자가 다수일 경우 공동소송이나 단체소송의 형태를 검토할 수 있습니다. 소멸시효는 손해 및 가해자를 안 날로부터 3년, 불법행위일로부터 10년이므로 시기를 놓치지 않도록 유의해야 합니다.
실무적으로 몇 가지 유의사항이 있습니다.
