온라인 사이트 해킹에 “정신적 피해” 주장…대법 “배상 책임 없어”

“시스템 통제 소홀로 스팸메일 받고 2차 피해”…30만원 배상 청구
1·2심 이어 대법도 기각…“피해 사실 없고, 회사 고의·중과실 아냐”

대법원 전경. 뉴스1

온라인 사이트 회원이 해킹으로 정신적 손해를 입었다며 배상을 요구했으나 하급심에 이어 대법원도 받아들이지 않았다.

14일 법조계에 따르면 대법원 2부(주심 오경미 대법관)는 A 씨가 한 지식거래 서비스 제공 업체를 상대로 제기한 손해배상 청구 소송에서 원심의 원고 패소 판결을 확정했다.

A 씨는 2001년 리포트, 논문, 자기소개서, 시험자료 등의 거래를 중개하는 해당 사이트에 가입하면서 성명, 생년월일, 전화번호, 이메일 주소 등의 개인정보를 제공했다.

이후 2021년 9월 신원미상의 해커가 사이트를 해킹하며 회원 40만여명의 개인정보를 탈취했다. 개인정보보호위원회는 사이트 운영사의 일부 안전조치 의무 위반을 적발해 총 2200만 원 상당의 과징금과 과태료를 부과했다.

A 씨는 이에 “시스템에 대한 접근통제를 소홀히 해 개인정보가 유출돼 스팸메일을 받고 보이스피싱 등 2차 피해가 우려된다”며 30만 원을 배상하라는 소송을 제기했다.

1심은 위자료를 배상할 만한 손해가 발생하기 어렵다며 회사 측 손을 들어줬다.

1심 재판부는 “이메일 주소 유출만으로 구체적이고 예상가능한위험에 노출한다고 단정하기 어렵고, 해킹된 정보가 제3자에게 전달되거나 확산하였다고 볼 증거가 없다”고 판단했다.

또 회사가 피해 발생 즉시 당국에 신고해 불법 접속 경로를 차단하고 회원들에게 관련 사실을 알린 점을 참작했다.

2심도 “개인정보 유출로 불안감이나 불쾌감 등 정신적 고통이 없다고 볼 수 없으나 그것을 금전으로 위자할 정도의 정신적 손해로 보기는 어렵다”며 항소를 기각했다.

상고심에서는 개인정보보호법에 따른 손해배상을 청구할 때 손해 발생 사실을 구체적으로 주장 또는 증명해야 하는지가 쟁점이 됐다.

대법은 상고 기각으로 원심 판단을 확정했다.

대법은 “사고 발생일로부터 2년 넘게 스팸메일 증가가 확인되지 않고, 추가적인 법익 침해나 2차 피해 발생에 관한 자료가 없다”고 판시했다.

그러면서 “사측에 해킹 사고에 관한 고의·중과실이 있다기 보기 어렵다”며 “위자료를 배상할 만한 정신적 손해가 없었으므로 원심 결론은 정당하다”고 설명했다.

개인정보보호법상 배상 책임 입증 여부를 두고는 “정보 주체(A 씨)가 배상을 청구할 때 구체적인 내역을 입증하지 않아도 된다”면서도 “그러나 손해가 발생하지 않은 것이 분명한 경우까지 손해배상 의무를 인정하라는 것은 아니다”고 판시했다.

해킹 피해자가 배상을 요구하면 개인정보처리자인 회사 측이 손해 발생 사실이 없었다는 점을 증명하면 된다는 취지다.

(서울=뉴스1)