법률사무소
김준홍 변호사
개인정보 유출 손해배상 청구, 얼마까지 받을 수 있을까?
"쇼핑몰에서 개인정보가 유출되었다는 통보를 받았습니다. 손해배상을 청구할 수 있나요? 받을 수 있다면 얼마나 받을 수 있을까요?"
오늘은 많은 분들이 궁금해하시는 개인정보 유출 손해배상 청구에 대해 체계적으로 알아보겠습니다. 결론부터 말씀드리면, 개인정보가 유출된 경우 정보통신망법 또는 개인정보 보호법에 근거하여 손해배상을 청구할 수 있으며, 실제 손해를 입증하지 못하더라도 법정손해배상 제도를 활용하면 최대 300만 원까지 청구가 가능합니다.
첫째, 개인정보 유출 손해배상의 법적 근거
개인정보 유출에 대한 손해배상 청구는 크게 세 가지 법적 근거가 있습니다.
1
개인정보 보호법 제39조
개인정보처리자가 법을 위반하여 정보주체에게 손해를 입힌 경우 배상 책임을 집니다. 이때 사업자가 고의 또는 과실이 없음을 스스로 입증해야 하는 "입증책임 전환" 규정이 적용됩니다.
2
개인정보 보호법 제39조의2 (법정손해배상)
실제 손해액을 입증하기 어려운 경우, 법원에 300만 원 이하의 범위에서 상당한 금액을 손해배상으로 청구할 수 있습니다. 피해자 입장에서 가장 실용적인 조항입니다.
3
민법 제750조 (불법행위)
일반 불법행위에 기한 손해배상 청구도 가능합니다. 다만 이 경우 피해자가 사업자의 고의 또는 과실, 인과관계를 직접 입증해야 하므로 난이도가 높습니다.
둘째, 실제 인정되는 배상 금액은 얼마 수준인가
실무에서 자주 접하는 질문이 바로 "실제로 얼마를 받을 수 있느냐"입니다. 솔직하게 말씀드리면, 현재 법원의 인정 금액은 기대보다 낮은 편입니다.
위자료(정신적 손해배상) 기준
- 일반적인 개인정보 유출 사건: 1인당 10만 원~30만 원 수준
- 유출 정보의 민감도가 높은 경우(의료정보, 금융정보 등): 50만 원~100만 원 이상 인정 가능
- 2차 피해(스팸, 보이스피싱 등)가 실제 발생한 경우: 추가 재산적 손해배상 청구 가능
법원은 유출된 정보의 종류, 유출 규모, 사업자의 관리 소홀 정도, 사후 대응 조치 여부, 2차 피해 발생 여부 등을 종합적으로 고려하여 배상액을 산정합니다. 단순히 이름과 연락처가 유출된 경우와 주민등록번호, 계좌번호, 의료기록까지 유출된 경우는 금액 차이가 상당합니다.
셋째, 청구 시 반드시 알아야 할 실무 포인트
손해배상을 효과적으로 청구하기 위해 다음 다섯 가지 사항을 반드시 숙지하셔야 합니다.
1
증거 확보가 최우선
사업자로부터 받은 유출 통보 문자, 이메일, 안내문 등을 캡처하여 보관하세요. 유출 사실을 인지한 날짜도 기록해 두어야 합니다.
2
소멸시효에 주의
불법행위에 기한 손해배상 청구권은 손해와 가해자를 안 날로부터 3년, 불법행위일로부터 10년 이내에 행사해야 합니다. 유출 통보를 받은 시점이 기산점이 되는 경우가 많습니다.
3
2차 피해 발생 시 별도 기록
유출 이후 스팸 문자, 스팸 전화, 보이스피싱 시도 등이 발생했다면 해당 내역(통화기록, 문자 캡처)을 모두 보관하세요. 재산적 손해 입증의 핵심 자료가 됩니다.
4
개인 청구 vs 집단소송(공동소송) 선택
대규모 유출 사건의 경우 피해자들이 공동소송 형태로 진행하면 소송 비용을 분담할 수 있고, 사회적 관심도 높아져 유리한 측면이 있습니다. 소가(청구 금액)가 낮은 개인 사건은 소송 비용 대비 실익을 꼼꼼히 따져야 합니다.
5
개인정보보호위원회 신고를 병행
개인정보보호위원회(privacy.go.kr)에 피해 사실을 신고하면, 사업자에 대한 행정 조사와 시정 명령이 이루어질 수 있습니다. 행정 처분 결과는 민사소송에서도 유리한 참고 자료로 활용됩니다.
넷째, 사업자가 배상을 거부하는 경우 예외 사유
사업자 측에서 자주 내세우는 항변(면책 주장)도 알아두실 필요가 있습니다.
사업자의 주요 면책 주장
- "기술적, 관리적 보호조치를 충분히 이행했다" (법령에서 요구하는 암호화, 접근통제, 보안점검 등을 모두 갖추었다는 주장)
- "외부 해킹에 의한 불가항력이었다" (다만 법원은 보안 체계가 부실했다면 불가항력으로 인정하지 않는 경향)
- "유출된 정보가 이미 공개된 정보에 해당한다"
이러한 항변이 인정될 경우 배상 책임이 감경되거나 면제될 수 있으므로, 사업자가 보안 조치 의무를 어떻게 이행했는지를 구체적으로 따져보는 것이 중요합니다. 실무상 사업자가 개인정보 보호법 시행령에서 정한 안전성 확보조치 기준을 위반한 사실이 드러나면 면책이 인정되기 어렵습니다.
정리하면, 개인정보 유출 손해배상은 법적으로 명확히 인정되는 권리이며, 법정손해배상 제도를 통해 실손해 입증 부담 없이도 청구할 수 있습니다. 다만 증거 확보, 소멸시효 관리, 소송의 실익 분석 등 실무적인 준비가 결과를 크게 좌우하므로 사전에 충분한 검토를 거치는 것이 바람직합니다.
👤
김준홍 변호사의 코멘트
개인정보 유출 사건을 다루면서 느낀 점은, 유출 통보를 받고도 대응 시기를 놓쳐 소멸시효가 임박한 상태로 찾아오시는 분들이 꽤 많다는 것입니다. 통보를 받으셨다면 증거 확보와 함께 가능한 빨리 법적 대응 방향을 점검해 보시길 권합니다.
이 글의 변호사
본 콘텐츠는 일반적인 법률 정보를 제공하기 위한 것으로, 구체적인 법률 자문이 아닙니다. 개별 사안에 대해서는 반드시 변호사와 상담하시기 바랍니다. ⓒ 2026 알법(albup.co.kr)
