개인정보 유출, 과징금과 배상책임

2025년과 2026년은 대규모 개인정보 사고가 유난히 잦았습니다.
통신·금융·유통을 가리지 않고 사고가 이어졌고, 사회적 파장도 역대급이었습니다. 개인정보 사고는 기업의 평판 하락과 주가 급락, 막대한 과징금으로 직결됩니다.
오늘은 18년이 넘는 오랜 기간 동안 개인정보보호법에 대한 소송과 자문을 제공한 개인정보보호법 전문변호사의 경험을 바탕으로 아래의 칼럼을 통해 개인정보 유출 사고의 최신 동향과 기업의 대응방안을 정리해보도록 하겠습니다.
■ 왜 지금 개인정보 보호인가
문제가 발생하면 기업에게 가장 체감되는 부담은 과징금입니다.
2023년 9월 시행 개정법은 과징금 상한을 ‘전체 매출액의 100분의 3’으로 정하되(제64조의2), 실제 산정은 위반과 관련 없는 매출을 제외한 ‘관련 매출액’을 기준으로 합니다.
대법원은 안전조치 위반의 관련 매출액을 유출된 개인정보를 보유·관리하는 서비스 범위로 판단해야 한다고 보아, 종전보다 산정 기준을 크게 넓혔습니다(2022두68923). 여기에 형사처벌, 손해배상 청구, 집단분쟁조정까지 겹치면 기업 리스크는 매우 커집니다.
법이 말하는 ‘유출’의 의미도 정확히 알아야 합니다.
개인정보 유출이란 개인정보가 처리자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있게 된 상태를 말하며, 분실·도난도 포함됩니다.
대법원은 보호조치가 미흡해 제3자가 접근할 수 있었다는 사정만으로는 곧바로 ‘유출’로 볼 수 없고, 실제로 열람·접근이 가능한 상태에 이르러야 한다고 보았습니다. 유출 여부의 판단이 신고·통지 의무의 출발점이 됩니다. 참고로 유출 사실의 신고와 정보주체 통지는 모두 유출을 안 때부터 72시간 이내에 이행해야 합니다.
■ 유출 신고와 침해사고 신고는 별개?
실무에서 가장 많이 혼동하는 부분으로, 두 신고는 근거법·소관 부처·기한이 모두 다릅니다.
개인정보가 유출되어 발생한 사고 신고는 개인정보보호법에 근거해, 처리자가 유출을 인지한 때부터 72시간 이내에 개인정보보호위원회 또는 한국인터넷진흥원(KISA)에 신고해야 합니다. 반면 침해사고 신고는 정보통신망법에 근거해, 해킹·악성코드 등으로 정보시스템이 공격받은 경우 인지한 때부터 24시간 이내에 과학기술정보통신부 또는 KISA에 신고해야 합니다.
근거법·부처·처리부서가 다르므로 두 신고는 각각 독립적으로 접수해야 합니다. 최근에는 해킹 침해사고가 그대로 정보 유출로 이어지는 경우가 많아, 24시간·72시간 두 기한을 동시에 관리해야 합니다.
■ 2025년 대형 사고와 과징금
2025년에는 매월이라 할 만큼 사고가 이어졌습니다. 4월 SKT, 8월 롯데카드, 9월 KT, 11월 쿠팡에서 대형 사고가 발생했습니다. SKT는 안전조치 의무 위반과 유출 통지 지연으로 과징금 약 1,348억 원(이용자 약 2,324만 명 유출)이라는 역대 최대 제재를 받았습니다.
롯데카드는 약 297만 명(주민등록번호 45만 명 포함)이 유출됐는데, 개인정보위는 2026년 3월 결제 로그에 주민등록번호를 평문으로 기록하는 등 법이 허용한 범위를 벗어난 처리에 대해 과징금 96억 2,000만 원을 부과했습니다. 쿠팡은 외부 해킹이 아니라 전직 내부 직원의 무단 접근으로 3,300만 명 이상이 유출돼 내부통제의 중요성을 일깨웠습니다.
■ 유출됐다고 무조건 배상은 아니다
기업 입장에서 중요한 최신 판례가 있습니다. 대법원은 2025년, 개인정보가 유출됐더라도 처리자가 ‘위자료로 배상할 만한 정신적 손해가 발생하지 않았음’을 증명하면 법정손해배상 책임을 면할 수 있다고 판단했습니다(2023다311184).
해당 사건에서는 유출된 비밀번호가 강하게 암호화돼 있었고, 이메일도 다른 식별정보와 결합되지 않았으며, 2차 피해가 없었고, 기업이 즉시 신고·통지 등 조치를 취한 점이 근거가 됐습니다. 유출 정보의 종류·성격, 식별 가능성, 제3자 열람 여부, 확산 범위, 사후조치 등을 종합 고려한다는 것입니다. 결국 암호화와 신속한 사고 대응이 배상책임을 좌우하는 핵심 방어 요소임을 보여줍니다.
■ 사고가 터졌을 때, 대응 순서
유출을 인지하면 곧바로 대응반(사고 부서·정보보안·법무·홍보)을 꾸립니다. 침해사고는 24시간, 개인정보 유출은 72시간 이내에 신고하고, 정보주체에게 법정 항목(유출 항목·시점, 이용자 조치사항, 회사 대응, 상담처 등)을 통지하며 민원·언론 대응을 준비합니다. 통지 지연은 그 자체가 제재 사유이므로 신속성이 관건입니다.
■ 결국은 사전 관리 체계
유출 원인은 외부 해킹뿐 아니라 업무 과실·시스템 오류·내부자 유출 등 내부 요인이 크고, 해킹조차 대부분 관리체계 미비와 맞물립니다. 따라서 CPO·CISO를 중심으로 수집·이용, 위탁·제공, 보관·파기의 생애주기별 준거성을 확보하고 안전성 확보조치를 상시 점검해야 합니다. 특히 롯데카드 사례처럼 로그에 주민등록번호를 평문으로 남기는 관행은 대형 유출과 제재로 직결되므로, 불필요한 개인정보의 최소 수집과 암호화가 기본입니다.
법률사무소 인평은 금융권 정보보호·컴플라이언스 자문, 개인정보 가명·익명처리와 정보보호 체계 수립 컨설팅을 다수 수행해 왔습니다.
개인정보보호는 예방이 최선이고, 사고 시에는 초기 대응이 피해 규모를 좌우합니다. 관리체계 점검이나 유출 대응이 필요하시다면 인평의 변호사와 상담하시기 바랍니다.
감사합니다.
법률사무소 인평 드림
■ 자주 묻는 질문 (Q&A)
Q1. 개인정보 유출 신고는 언제까지 해야 하나요?
유출을 인지한 때부터 72시간 이내입니다. 개인정보보호위원회 또는 한국인터넷진흥원(KISA)에 신고하고, 정보주체에게도 72시간 내 법정 항목을 통지해야 합니다.
Q2. 침해사고 신고와 유출 신고는 같은 건가요?
아닙니다. 해킹 등 침해사고는 정보통신망법에 따라 24시간 이내 과기정통부·KISA에, 개인정보 유출은 개인정보보호법에 따라 72시간 이내에 각각 신고합니다. 근거법과 부처가 달라 별도로 접수해야 합니다.
Q3. 유출되면 무조건 손해배상을 해야 하나요?
아닙니다. 대법원은 기업이 ‘위자료로 배상할 만한 정신적 손해가 없음’을 증명하면 법정손해배상 책임을 면할 수 있다고 보았습니다(2023다311184). 암호화 수준과 신속한 사후 대응이 중요한 방어 요소입니다.

< 개인정보보호법 전문변호사와의 직접 상담 문의>