오늘은 회사 서버 해킹 침입으로 인한 손해배상의 범위에 대해 알아보겠습니다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 '정보통신망법')상 해킹은 형사처벌 대상일 뿐만 아니라, 민사상 불법행위로서 광범위한 손해배상 책임이 발생합니다. 가상의 사례를 통해 구체적인 쟁점을 살펴보겠습니다.
사건의 개요
피해 회사: 서울 강남에 소재한 의료 AI 스타트업 D사 (직원 45명, 연매출 약 38억 원)
가해자: D사의 전직 개발팀장 C씨 (34세, 퇴사 후 경쟁업체 이직)
사건 내용: C씨는 퇴사 3개월 후, 재직 시절 알고 있던 관리자 계정 정보를 이용하여 D사의 클라우드 서버에 무단 접속했습니다. 약 2주에 걸쳐 핵심 AI 학습 데이터 12만 건, 고객사 진료기록 연동 API 설계 문서, 그리고 투자 유치용 사업계획서를 외부 저장소로 유출했습니다.
발각 경위: D사 보안팀이 비정상 접속 로그를 탐지하여 수사기관에 신고, C씨는 정보통신망법 위반 및 부정경쟁방지법 위반 혐의로 구속되었습니다.
D사는 형사 고소와 별도로 C씨 및 C씨가 이직한 경쟁업체 E사를 상대로 민사 손해배상 청구 소송을 제기했습니다. 이 사건에서 핵심적으로 다투어지는 쟁점 세 가지를 차례로 분석하겠습니다.
쟁점 1: 직접 재산 손해의 산정 기준
첫째, 서버 해킹으로 인한 직접 재산 손해가 어디까지 인정되는지가 문제됩니다. 직접 손해란 해킹 행위와 상당인과관계가 있는 재산적 피해를 의미합니다.
이 사건에서 D사가 주장할 수 있는 직접 손해 항목은 다음과 같습니다.
1
시스템 복구 비용 - 서버 보안 재구축, 관리자 계정 전면 교체, 보안 감사(침해사고 분석) 비용 등이 포함됩니다. D사의 경우 외부 보안 업체에 의뢰한 포렌식 및 복구 비용만 약 4,800만 원이 소요되었습니다.
2
유출 데이터의 경제적 가치 - AI 학습 데이터 12만 건의 수집 및 가공에 투입된 인건비, 외주비, 서버 운영비 등 실제 투자 비용을 기준으로 산정합니다. D사는 해당 데이터 구축에 약 3년간 7억 원을 투입한 것으로 주장했습니다.
3
업무 중단 손실 - 해킹 발각 후 서버 긴급 차단으로 약 5일간 서비스가 중단되었고, 이 기간의 매출 감소분(일평균 매출 기준 약 5,200만 원)이 손해에 해당합니다.
실무 포인트: 직접 손해를 입증하려면 복구 업체의 견적서와 세금계산서, 데이터 구축에 투입된 인건비 내역(급여대장, 프로젝트 관리 기록), 매출 감소를 뒷받침하는 재무제표 등 구체적 증거자료가 필수적입니다. 법원은 추상적 가치 주장보다 실제 지출 증빙에 근거한 손해 산정을 선호합니다.
쟁점 2: 영업비밀 침해에 따른 간접 손해와 일실이익
둘째, 유출된 정보가 영업비밀에 해당하는 경우, 향후 발생할 간접 손해(일실이익)까지 배상 범위에 포함될 수 있는지가 쟁점입니다.
부정경쟁방지 및 영업비밀보호에 관한 법률 제11조는 영업비밀 침해로 인한 손해액 산정에 관해 세 가지 방법을 규정하고 있습니다.
1
침해자의 이익액 기준 - C씨 또는 E사가 유출된 기술을 활용하여 얻은 이익을 D사의 손해액으로 추정하는 방법입니다. E사가 유출 데이터를 기반으로 유사 제품을 출시했다면, 해당 제품의 매출이익이 손해 산정의 기초가 됩니다.
2
합리적 실시료(로열티) 기준 - D사의 기술을 합법적으로 라이선스했을 경우 받을 수 있었던 실시료를 손해로 산정합니다. AI 학습 데이터와 API 설계 기술의 시장 라이선스 가치를 감정을 통해 평가하는 방식입니다.
3
법원의 재량 산정 - 손해액 입증이 어려운 경우, 법원이 변론 전체의 취지와 증거조사 결과에 기초하여 상당한 금액을 인정할 수 있습니다(같은 법 제14조의2).
이 사건에서 D사의 AI 학습 데이터는 비공지성(외부에 공개되지 않았음), 경제적 유용성(핵심 사업 자산), 비밀관리성(접근 권한 통제, NDA 체결)의 3요건을 충족할 가능성이 높으므로, 영업비밀로 인정받을 수 있습니다.
실무 포인트: 영업비밀로 인정받으려면 퇴사자와의 비밀유지약정(NDA), 사내 접근 권한 관리 기록, 해당 정보에 대한 '대외비' 등급 지정 문서 등 비밀관리 조치를 사전에 갖추어 두는 것이 결정적으로 중요합니다. 관리 조치가 미흡하면 영업비밀성 자체가 부정될 수 있습니다.
쟁점 3: 개인정보 유출에 따른 제3자 배상 책임과 위자료
셋째, 이 사건에서는 고객사의 진료기록 연동 API가 유출되었기 때문에 개인정보 유출에 따른 별도의 배상 문제가 발생합니다.
개인정보 보호법 제39조에 따르면, 개인정보처리자(D사)는 개인정보 유출로 정보주체에게 발생한 손해를 배상할 책임이 있으며, 고의 또는 과실이 없음을 입증하지 못하면 책임을 면할 수 없습니다(입증책임 전환). 이는 D사에게 이중의 부담으로 작용합니다.
1
D사의 정보주체(환자)에 대한 배상 - 유출된 API를 통해 실제로 환자 진료 데이터가 노출되었다면, 개인정보 유출 1건당 위자료가 인정될 수 있습니다. 실무상 개인정보 유출 위자료는 1인당 10만 원에서 30만 원 수준에서 인정되는 경우가 많지만, 민감정보(진료기록)의 경우 더 높게 산정될 가능성이 있습니다.
2
D사의 C씨에 대한 구상권 - D사가 정보주체에게 배상한 금액에 대해서는 해킹의 직접 원인을 제공한 C씨에게 구상권(대신 갚은 돈을 돌려받을 권리)을 행사할 수 있습니다.
3
행정 제재 비용 - 개인정보보호위원회로부터 과징금(위반행위 관련 매출의 3% 이내) 또는 과태료(최대 5,000만 원) 처분을 받을 수 있으며, 이러한 행정 제재로 인한 손해도 C씨에 대한 배상 청구에 포함시킬 수 있는지가 다투어집니다. 실무에서는 행정 제재 비용 자체는 D사의 자체 보안 관리 의무 위반 부분이 경합하므로, 전액 구상이 인정되기는 어렵고 과실 비율에 따라 분담하는 것이 일반적입니다.
실무 포인트: 해킹 피해 회사는 가해자에 대한 손해배상 청구 외에, 유출된 개인정보의 정보주체(이 사건에서는 환자)에 대한 통지 의무(유출 사실 인지 후 72시간 이내)와 개인정보보호위원회에 대한 신고 의무를 신속히 이행해야 합니다. 이를 지체하면 추가적인 과태료 부과 사유가 됩니다.
손해배상 범위 종합 정리
이상의 쟁점을 종합하면, 회사 서버 해킹 침입에 따른 손해배상 범위는 크게 네 가지 층위로 구성됩니다.
1
직접 재산 손해 - 시스템 복구비, 포렌식 비용, 업무 중단 매출 손실 등 실비 성격의 손해
2
영업비밀 침해 손해 - 유출 기술의 경제적 가치, 침해자 이익액, 합리적 실시료 등
3
개인정보 유출 관련 배상 - 정보주체에 대한 위자료 배상 후 가해자 구상, 행정 제재 비용의 일부
4
신용 및 평판 훼손 손해 - 해킹 사실 공개 후 거래처 이탈, 투자 유치 실패 등 간접적이지만 상당인과관계가 인정되는 범위의 손해
다만, 모든 손해가 자동으로 인정되는 것은 아닙니다. 법원은 피해 회사의 자체 보안 관리 소홀(퇴직자 계정 미삭제 등)이 해킹을 용이하게 한 경우 과실상계(피해자의 과실만큼 배상액을 줄이는 것)를 적용합니다. 이 사건에서도 D사가 C씨의 퇴사 후 관리자 계정을 즉시 비활성화하지 않은 점은 20~40% 수준의 과실상계 사유가 될 수 있습니다.
피해 기업이 사전에 갖추어야 할 법적 대비 사항
마지막으로, 해킹 피해 발생 시 손해배상 청구의 실효성을 높이기 위해 기업이 평소에 준비해 두어야 할 사항을 정리하겠습니다.
1
퇴직자 계정 즉시 삭제 절차 수립 - 인사팀과 IT팀 간 연동 프로세스를 마련하여 퇴사 당일 모든 시스템 접근 권한을 차단해야 합니다.
2
비밀유지약정(NDA) 및 경업금지약정 체결 - 핵심 기술직 직원과는 입사 시 또는 퇴사 시 별도의 비밀유지약정을 체결하여 영업비밀 관리 의무를 구체화해야 합니다.
3
접속 로그 보관 및 이상 징후 탐지 시스템 운영 - 정보통신망법상 접속기록 최소 1년 보관 의무가 있으며, 실시간 모니터링 체계를 갖추면 침해 사실을 조기에 발견하여 손해 확대를 방지할 수 있습니다.
4
디지털 포렌식 증거 보전 - 해킹 인지 즉시 서버 이미지를 복제하여 증거를 보전해야 합니다. 시간이 경과하면 로그가 덮어씌워져 인과관계 입증이 어려워질 수 있습니다.
회사 서버 해킹은 형사 책임뿐 아니라 다층적 민사 손해배상 책임을 수반하며, 그 배상 범위는 피해 기업의 사전 보안 관리 수준과 사후 대응 속도에 따라 크게 달라집니다. 해킹 사고를 인지한 경우, 증거 보전과 법적 절차를 동시에 신속하게 진행하는 것이 피해 회복의 핵심입니다.
