40만명 정보 유출됐는데 위자료 0원, 왜
이메일·비밀번호가 새어나가도 '실질적 손해'가 없으면 배상은 어렵다는 대법원 판단이 나왔다.
해킹으로 회원 40만여 명의 이메일과 비밀번호가 유출됐다. 피해를 입었다고 본 한 회원은 법정손해배상금 30만원을 청구했다. 결과는 원고 패소. 2025년 12월 4일 대법원 민사2부(주심 오경미 대법관)는 A씨가 해피캠퍼스 운영사 에이전트소프트를 상대로 낸 손해배상 소송에서 원고 패소를 확정했다(2023다311184).
'불안감'만으로는 손해가 아니다
개인정보가 유출됐다는 사실 자체가 곧바로 배상으로 이어지지는 않는다. 법원은 유출로 인해 정신적 손해가 실제로 발생했는지를 따로 판단한다. 막연한 불안감이나 불쾌감과, 배상 대상이 되는 구체적·실질적 손해를 구분한다는 취지다.
이 사건 1심은 두 가지에 주목했다. 첫째, 유출된 비밀번호가 암호화(해독하기 어렵게 변환)돼 있었다는 점이다. 둘째, 이메일 주소가 함께 새어나갔더라도 그것만으로는 회원이 구체적 위험에 노출됐다고 보기 어렵다는 점이다. 유출 정보의 성격과 실제 악용 가능성을 함께 저울질한 것이다.
법정손해배상을 청구해도 문턱은 남는다
A씨가 청구한 30만원은 법정손해배상이다. 개인정보 유출 사건에서 피해자가 손해액을 일일이 증명하기 어려운 점을 감안해, 일정 범위 안에서 법원이 액수를 정할 수 있도록 한 제도다. 다만 이 제도를 쓰더라도 침해 사실과 손해의 발생이라는 기본 요건은 여전히 판단 대상이 된다.
결국 쟁점은 '얼마'가 아니라 '손해가 있었느냐'로 옮겨갔다. 암호화 여부, 유출된 정보의 조합, 2차 피해 정황 같은 사정이 결론을 갈랐다. 같은 유출이라도 사실관계에 따라 결과가 달라질 수 있다는 의미이기도 하다.
그래서 어떻게
유출 통보를 받았다면 감정보다 기록이 먼저다. 통보 문자·메일을 캡처해 두고, 이후 스팸·피싱·명의도용 등 실제 피해 정황이 생기면 날짜와 내용을 남겨야 한다. 이런 구체적 정황이 '실질적 손해'를 뒷받침하는 근거가 된다. 반대로 유출 사실만 들고 배상을 구하면, 이번 사건처럼 문턱을 넘지 못할 수 있다. 소송을 고민한다면 유출 정보의 종류와 2차 피해 여부부터 정리하는 편이 현실적이다.
본 기사는 일반적인 법률 정보 제공을 목적으로 작성되었으며, 구체적인 사안에 대한 법률 자문이 아닙니다. 실제 사건은 사실관계에 따라 결론이 달라질 수 있으므로 반드시 변호사와 상담하시기 바랍니다.