만두귀 변호사 | 2026년 1월

여러분,

여러분, 어느 날 아침에 이런 문자 받으신 적 있으세요?

“고객님의 개인정보가 외부 유출되었습니다. 불편을 드려 죄송합니다.”

가슴이 철렁 내려앉죠. 내 이름, 전화번호, 주소, 심지어 주민번호까지 어디론가 새나갔다는 거잖아요. 밤에 잠도 제대로 못 자고, 혹시 내 명의로 대출이 나간 건 아닌지, 보이스피싱 전화가 오는 건 아닌지 불안하고 화가 나죠.

당연히 손해배상이라도 받아야겠다 싶습니다.

그런데 2026년 1월, 대법원이 이런 판결을 내렸습니다.

“막연한 불안감만으로는 손해배상 대상이 아니다.”

네? 내 정보가 유출됐는데 불안한 게 당연한 거 아닌가요?

이 사건의 주인공은,

이 사건의 주인공은 대학생들 사이에서 유명한 학습자료 공유 사이트 ‘해피캠퍼스’였습니다.

레포트 숙제에 치이던 대학생들이라면 한 번쯤은 들어봤을 이 사이트가 2019년과 2023년, 무려 두 차례나 해킹을 당했습니다. 유출된 정보는 회원들의 이름, 이메일, 전화번호, 주소, 그리고 암호화된 비밀번호까지. 상당히 민감한 개인정보들이었죠.

회원들은 분노했습니다.

“밤마다 불안해서 잠도 못 자겠어요. 내 정보가 어디에 팔렸을지, 누가 악용할지 모르잖아요.”

“개인정보보호법에 법정손해배상 제도가 있다면서요? 당연히 배상받아야죠!”

사이트 운영사는 사과문을 올렸지만, 회원들의 분노는 식지 않았습니다. 결국 집단소송이 시작됐습니다.

회원들의 논리는 명확했습니다. 개인정보보호법 제39조의2를 보면, 정보주체가 고의 또는 과실로 개인정보가 유출된 경우 법원이 300만원 이하 범위에서 상당한 손해액을 인정할 수 있다고 되어 있거든요. 정보가 유출됐으니 당연히 정신적 고통이 있고, 그럼 배상받을 수 있는 거 아니냐는 겁니다.

1심 법원은 회원들의 손을 들어줬습니다.

“유출된 정보의 양과 성격을 고려하면 충분히 정신적 고통이 있다.”

1인당 10만원씩 위자료를 인정했죠.

그런데 항소심은 달랐습니다. 그리고 대법원은 더 명확하게 선을 그었습니다.

법적 쟁점과 판결

대법원은 2026년 1월 13일, 이렇게 판단했습니다.

“개인정보가 유출됐다는 사실만으로는 정신적 손해를 인정하기 어렵다.”

그러면서 이렇게 덧붙였습니다.

“단순히 불안하다거나 불쾌하다는 막연한 감정만으로는 금전으로 배상해야 할 손해로 볼 수 없다.”

더 나아가 법정손해배상 제도에 대해서도 이렇게 정리했습니다.

“법정손해배상은 손해 입증이 어려운 경우를 돕기 위한 제도다. 하지만 손해가 발생하지 않았다는 걸 기업이 입증하면, 법정손해배상 책임도 없다.”

여기서 핵심은요, 개인정보보호법 제39조의2가 말하는 손해란 실제로 발생한 구체적이고 현실적인 손해를 의미한다는 겁니다.

대법원이 말하는 구체적 손해란 이런 겁니다. 유출된 정보로 보이스피싱 피해를 당해서 돈을 잃었다든지, 명의도용으로 대출이 나갔다든지, 스토킹 범죄에 노출돼서 실제 위협을 받았다든지 하는 실질적이고 입증 가능한 피해 말이죠.

단순히 “불안해요”, “찝찝해요”, “기분 나빠요”라는 감정만으로는 손해배상을 인정받기 어렵다는 게 대법원의 입장입니다.

만두귀 변호사의 솔직한 생각은요, 이 판결이 법리적으로는 맞습니다.

법은 결국 손해를 전제로 하거든요. 손해가 없는데 배상을 한다는 건 논리적으로 맞지 않죠. 그리고 만약 막연한 불안감만으로도 배상을 인정하면, 모든 정보 유출 사고마다 천문학적인 손해배상이 발생할 수 있습니다.

하지만 피해자 입장에서는 정말 억울하죠.

내 소중한 정보가 해커 손에 들어갔는데 그냥 참으라는 건가 싶은 거예요.

만두귀 변호사의 한마디

그렇다면 우리는 어떻게 해야 할까요?

첫째, 개인정보 유출 사고가 났을 때는 즉시 2차 피해를 막는 게 최우선입니다. 비밀번호를 당장 바꾸세요. 금융거래 내역을 주기적으로 확인하세요. 보이스피싱 전화가 오면 철저히 대응하세요. 그리고 이 모든 과정을 기록으로 남겨두세요.

둘째, 만약 실제로 2차 피해가 발생했다면 그때는 달라집니다. 보이스피싱으로 돈을 잃었다면 그 금액을, 명의도용으로 대출이 나갔다면 그 피해를, 정확하게 증명하면 손해배상을 받을 수 있습니다. 구체적 손해가 있으면 법이 보호해줍니다.

셋째, 기업은 개인정보 보호에 더 철저해야 합니다. 이번 판결이 기업의 책임을 면제해준 건 절대 아닙니다. 오히려 사전 예방이 얼마나 중요한지를 보여주는 판결이에요. 해킹 사고가 한 번 나면 기업 이미지는 추락하고, 고객 신뢰는 무너지거든요.

넷째, 그렇다고 해서 가만히 있으라는 건 절대 아닙니다. 개인정보 유출 피해를 당하셨다면 즉시 신고하고 상담받으세요.

개인정보 유출 피해 신고 및 상담 기관

한국인터넷진흥원 개인정보침해신고센터
전화: 국번 없이 118
웹사이트: privacy.kisa.or.kr

개인정보보호위원회 개인정보 포털
침해신고 및 분쟁조정 신청
웹사이트: privacy.go.kr

경찰청 사이버안전국
사이버범죄 신고
웹사이트: cyberbureau.police.go.kr

한국인터넷진흥원 개인정보침해신고센터에 전화 한 통이면 됩니다. 국번 없이 118번을 누르시면 전문 상담원이 친절하게 안내해줍니다. 웹사이트 privacy.kisa.or.kr에서 온라인으로도 신고할 수 있고요.

개인정보보호위원회 개인정보 포털 privacy.go.kr에서도 침해신고와 분쟁조정을 신청할 수 있습니다. 특히 분쟁조정위원회를 통하면 소송 없이도 기업과의 분쟁을 해결할 수 있어요. 바로 이겁니다. 소송 없는 해결 말이죠.

만약 사이버범죄와 관련된 피해라면 경찰청 사이버안전국 cyberbureau.police.go.kr에도 신고하실 수 있습니다.

혼자 끙끙 앓지 마시고, 이런 기관들을 적극 활용하세요. 그게 여러분의 권리를 지키는 첫걸음입니다.

제가 겪어보니까요, 법은 완벽하지 않습니다.

개인정보 유출로 인한 불안감이나 정신적 고통을 법이 제대로 보상하지 못한다는 건 분명히 아쉬운 부분입니다. 밤잠 설치는 사람들의 마음을 법이 다 헤아려주지 못하는 거죠.

하지만 현실적으로 우리가 할 수 있는 건, 내 정보를 내가 지키는 겁니다.

비밀번호는 주기적으로 바꾸고, 의심스러운 사이트에는 가입하지 않고, 2차 인증을 설정하고, 피해가 발생하면 즉시 증거를 확보하는 거죠. 소송으로 가기 전에, 내가 먼저 나를 지켜야 합니다.

법보다 먼저, 내 정보는 내가 지켜야 합니다.

오늘도 소송 없는 세상을 꿈꾸는 만두귀 변호사였습니다.