SKT와 쿠팡의 2026년
2025년 1월 10일 오후, 010 번호로 전화가 왔습니다. 카페에서 김주형 기자와 회의를 하던 중이었습니다.
받았더니 검찰청 직원이라면서 (지금은 쓰지 않는) 제 계좌가 범죄에 이용됐다고 했습니다. 그는 제가 계좌를 제공하지 않았다는 것을, 범죄와 무관한 '피해자'라는 것을 소명해야 한다고 했습니다. 그러면서 직업, 급여, 재산 등을 꼬치꼬치 물었습니다.
그때는 이런 접근이 보이스피싱의 전형적 수법이라는 사실을 몰랐습니다. 지금 생각하면 바보같지만, 묻는 말에 대부분 대답한 것 같고, 이게 취재할 거리가 될지 생각하고 있었습니다.
그는 범죄 연관성이 의심되면 검찰에서 다시 전화가 올 것이라고 하면서 끊었습니다.
전화는 오지 않았습니다. 이날 저녁에서야 보이스피싱이었다는 걸 깨닫고, 금융정보 초기화, 스마트폰 포맷 등 피해예방 조치들을 하느라 힘든 시간을 보냈습니다.
이로부터 열흘 전, 저는 졸업한 대학의 '사과' 문자를 받았습니다. 전산 시스템이 사이버 공격을 당해 여러 개인정보가 유출됐다는 통지였습니다. 그로 인해 이런 전화도 받게 되지 않았을까, 짐작만 했습니다.
저는 SKT와 쿠팡 가입자이기도 합니다.
많은 독자분들도 그러셨겠지만, 지난 4월 SKT의 '사과' 문자를 받았고, 순서를 기다려 유심을 교체했습니다. 지난 11월에는 쿠팡의 '사과' 문자를 받았습니다.
정신적 손해
보이스피싱 당시 당장의 금융 피해는 없었지만, 유출된 정보로 휴대전화가 개통되지는 않을지, 이후 불법 대출에 악용되지는 않을지, 불안한 마음으로 여러 조치들을 했던 기억이 있습니다.
그리고 과거 개인정보 유출 사건의 피해자들은 정신적 손해에 대한 배상을 청구해 왔습니다.
(재산상 손해가 발생했다면 이에 대한 배상 청구도 가능하지만, 손해를 실제로 입증하기 어려운 경우가 많다고 합니다.)
대법원은 돈으로 배상할 만한 정신적 손해가 발생했는지의 판단 기준을 이렇게 제시했습니다.
① 유출된 개인정보의 종류와 성격
② 정보 주체를 식별할 가능성
③ 제3자의 열람 또는 열람 가능성
④ 정보 확산 범위
⑤ (추가) 피해 가능성
⑥ 개인정보 관리 실태와 유출 경위
⑦ 피해 발생과 확산을 막기 위해 이뤄진 조치
지난 12월 4일 나온 대법원 판결은 정신적 손해에 대한 배상책임을 인정하지 않았습니다.
2021년 한 온라인 지식거래 서비스가 해킹당해 40만 명의 개인정보가 유출된 사건과 관련된 손해배상청구였습니다. 방화벽 비활성화, 취약점 미점검 등 개인정보 보호의무를 위반한 과실이 드러났고, 개인정보보호위원회는 과징금과 과태료 처분을 내렸습니다.
하지만 법원은 '돈으로 배상할 만한 정신적 손해'가 발생했다고 인정하지 않았습니다.
이메일과 (암호화된) 비밀번호 유출로 인해 불안감, 불쾌감 등 '정신적 고통'이 생길 수 있지만, 돈으로 배상할 정도는 아니라는 겁니다. 이메일만으로는 정보 주체가 누구인지, 어떤 성향이나 수요가 있는지 파악하기 어렵고, 사생활이나 재산 피해 등이 발생할 가능성이 낮다고 판단했습니다.
정신적 고통에 대한 '위자료'는 법원 재량
반대로, 손해배상책임을 인정한 판결들도 있습니다.
2011년 네이트·싸이월드 해킹(1심¹): 이름, 주민등록번호, 아이디, 비밀번호, 주소, 전화번호 등 가장 기본적이며 정보 주체를 식별할 수 있는 정보가 유출됐고, 제3자에게 판매될 가능성 등 정보가 광범위하게 확산할 수 있으며, 운영사인 SK커뮤니케이션즈가 보호의무를 소홀히 해 해킹을 방지하지 못했으므로 정신적 손해를 배상할 의무가 있다.
2012~2013년 신용카드 3사 외주업체 직원 유출: 유출된 고객정보가 대출업자들에게 넘어가 텔레마케팅 등에 활용됐고, 여전히 회수되지 않은 정보가 있을 수 있으며, 보이스피싱 같은 범죄에 어떻게 활용될지 가늠하기 어렵고, 유출사고의 전반적 경위 등을 종합하면, 정신적 손해가 현실적으로 발생했다고 봐야 한다.
2016년 인터파크 해킹: 이름, 성별, 생년월일, 전화번호, 주소 등 유출된 개인정보는 개인을 식별할 수 있고, 사생활과 밀접한 관련이 있으며, 이를 도용한 2차 피해 발생과 확대 가능성을 배제하기 어렵다. 또한 유출을 인지하고 14일 후에야 이를 통지하여 (피해자들이) 신속히 대응할 기회를 잃게 했다.
아직 재판 중인 2024년 모두투어 해킹 관련 사건에서도, 1심 재판부는 손해배상책임을 인정했습니다. 그런데 피해자가 청구한 220만 원 중에서 10만 원만 받아들였습니다. 구체적 근거를 판결문에 밝히지 않아, 왜 10만 원인지는 알 수 없고요.
이처럼 위자료 액수를 정하는 문제는 법원 재량에 달려 있습니다.
2025년 대형 개인정보 유출사고들이 이어지면서, 유출로 인한 피해를 더 실효적으로 구제하기 위해, 사고를 초래한 기업의 책임을 더 제대로 묻기 위해, 관련 제도를 개선해야 한다는 여론도 계속 커지고 있습니다.
2025년 SKT와 쿠팡에서 일어난 유출사고도 '정신적 고통' 등에 대한 배상을 청구하는 소송들이 진행 중입니다.
여러 법률사무소·법무법인에서 산발적으로 소송을 제기한 터라, 개별 사건들을 모두 파악해 따라가는 일이 쉽지만은 않은데요. 그래도 개인정보 유출사고의 책임을 묻고 피해를 구제하려는 법적 절차들을, 법원 판단을 가능한 한 따라가 보고자 합니다.
¹ 이는 당시 하급심 판결들 중에서 이례적 판결이었습니다. 서울서부지법 1심 재판부는 20만 원을 지급하라고 판결했지만, 2심 재판부는 'SK커뮤니케이션즈의 과실로 해킹사고가 발생했다고 볼 수 없다'는 이유로 손해배상청구를 기각했습니다.
