1. 쿠팡·티빙 유출 사태, "나도 보상받을 수 있나"
2026년 들어 대형 플랫폼의 개인정보 유출 사고가 잇따르고 있습니다. 쿠팡은 대규모 고객정보 유출로 개인정보보호위원회로부터 역대 최대 규모의 과징금을 부과받았고, 티빙·골프존 등에서도 회원 수백만 명의 정보가 새어 나가면서 피해자들이 집단으로 손해배상 소송에 나섰습니다. 청주에서도 이런 온라인 서비스를 이용하다 "고객님의 정보가 유출되었습니다"라는 안내 문자를 받고 어떻게 대응해야 하는지 묻는 분들이 부쩍 늘었습니다.
가장 궁금해하시는 것은 두 가지입니다. "내 정보가 유출됐으면 돈을 받을 수 있나", 그리고 "어떻게 청구하나"입니다. 개인정보 보호법은 유출 피해자가 배상받을 수 있는 여러 경로를 마련해 두고 있지만, 유출됐다고 해서 자동으로 일정액이 지급되는 구조는 아닙니다. 어떤 정보가, 어떤 경위로, 얼마나 위험하게 유출됐는지에 따라 결론이 갈립니다.
2. 개인정보 유출 배상의 세 가지 경로
개인정보 보호법은 손해배상에 관해 세 개의 조문을 두고 있습니다. 먼저 아래 표로 정리하면 이해가 쉽습니다.
| 경로 | 핵심 내용 | 근거 |
|---|
| 일반 손해배상 | 실제 손해를 증명해 청구. 기업이 무과실을 증명 못 하면 책임 | 제39조 제1항 |
| 법정손해배상 | 손해액 증명 없이 300만 원 이하에서 청구 | 제39조의2 |
| 징벌적 손해배상 | 고의·중과실로 유출돼 손해가 발생하면 손해액의 5배까지 | 제39조 제3항 |
첫째, 제39조 제1항의 일반 손해배상입니다. 정보주체는 기업이 법을 위반해 손해를 입힌 경우 배상을 청구할 수 있는데, 이때
기업이 스스로 "고의나 과실이 없었다"는 점을 증명하지 못하면 책임을 면하지 못합니다. 피해자가 가해자의 잘못을 입증해야 하는 일반 불법행위와 달리 입증책임이 기업에게 넘어가 있어, 피해자에게 훨씬 유리한 구조입니다.
둘째, 제39조의2의 법정손해배상입니다. 개인정보가 유출됐을 때 실제로 얼마의 손해를 입었는지 돈으로 증명하기는 대단히 어렵습니다. 그래서 이 조항은
구체적 손해액을 증명하지 않아도 300만 원 이하 범위에서 법원이 상당한 금액을 정해 배상하도록 하고 있습니다. 일반 손해배상을 청구했다가 사실심 변론이 끝나기 전에 법정손해배상으로 청구를 바꿀 수도 있습니다.
셋째, 제39조 제3항의 징벌적 손해배상입니다. 기업의 고의 또는 중대한 과실로 정보가 유출되어 정보주체에게 손해가 발생한 경우, 법원은 실제 손해액의 5배를 넘지 않는 범위에서 배상액을 정할 수 있습니다(2023년 개정으로 종전 3배에서 5배로 상향됐습니다). 다만 손해액 증명이 필요 없는 법정손해배상과 달리 이 경우에는 실제 손해가 발생했다는 점이 전제되어야 하므로, 기업이 안전조치를 심각하게 소홀히 했고 그로 인해 구체적 피해가 생긴 사안이라면 실제 손해를 크게 웃도는 배상까지 가능하다는 뜻입니다.
참고로 일반 손해배상과 법정손해배상은 함께 받는 것이 아니라 둘 중 하나를 선택해 청구하는 관계이며, 소송 도중 사실심 변론이 끝나기 전까지 서로 바꿀 수 있습니다.
3. "유출됐으니 무조건 300만 원"은 아니다 — 2025년 대법원 판결
법정손해배상 때문에 "유출만 되면 300만 원을 받는다"고 오해하기 쉽지만, 그렇지 않습니다. 2025년 12월 대법원은 바로 이 쟁점을 정면으로 정리했습니다(대법원 2025. 12. 4. 선고 2023다311184 판결).
대법원은 먼저 피해자에게 유리한 원칙을 확인했습니다. 법정손해배상을 청구하는 정보주체는
개인정보가 유출됐다는 사실만 주장·증명하면 되고, 손해가 얼마나 발생했는지 구체적으로 증명할 필요는 없다는 것입니다. 손해 증명이 곤란하더라도 피해자가 쉽게 구제받도록 한 제도의 취지를 살린 해석입니다.
그러나 동시에 한계도 분명히 했습니다.
기업이 "위자료로 배상할 만한 정신적 손해가 발생하지 않았다"는 점을 거꾸로 증명하면 배상책임을 면할 수 있다는 것입니다. 그 판단은 유출된 정보의 종류와 성격, 제3자가 실제로 열람했거나 앞으로 열람할 가능성, 정보가 얼마나 퍼졌는지, 추가 피해 가능성, 기업의 관리 상태와 유출 경위, 사후 조치 등을 종합해 사건마다 개별적으로 내려집니다. 실제로 이 사건에서는 유출된 정보가
암호화된 비밀번호와 이메일 주소뿐이어서, 대법원은 배상할 만한 정신적 손해가 발생했다고 보기 어렵다며 청구를 받아들이지 않았습니다.
정리하면, 주민등록번호·계좌번호·연계정보(CI)처럼 그 자체로 신원 도용이나 2차 피해로 이어질 위험이 큰 정보가 유출됐다면 배상 가능성이 높지만, 이미 암호화됐거나 위험이 낮은 정보만 유출된 경우에는 배상이 부정될 수 있습니다. "무엇이 유출됐는가"가 결론을 가르는 셈입니다.
4. 무엇을 준비해야 하나 — 통지문과 피해 자료
개인정보가 유출되면 기업은 제34조에 따라 지체 없이 정보주체에게 유출된 항목, 유출 시점과 경위, 피해를 줄이기 위해 할 수 있는 방법, 기업의 대응조치와 구제절차, 신고 접수처를 알려야 합니다. 일정 규모 이상이면 개인정보보호위원회 등에 신고할 의무도 있습니다. 따라서 대응의 출발점은 바로 이
유출 통지문입니다. 앞서 보았듯 어떤 정보가 유출됐는지가 배상 가능성을 좌우하므로, 문자·이메일·우편으로 받은 통지 내용을 반드시 보관해 두어야 합니다.
여기에 더해, 개인정보보호위원회의 조사결과나 과징금·과태료 처분이 나와 있다면 이는 기업이 안전조치 의무를 위반했음을 뒷받침하는 강력한 자료가 됩니다. 또한 유출 이후 걸려 온 보이스피싱, 스미싱 문자, 명의도용이나 계정 도용 시도처럼 실제 2차 피해가 있었다면 그 기록(문자 캡처, 통화내역, 거래·가입 내역)을 남겨 두는 것이 좋습니다. 이런 자료가 정신적 손해와 위험을 구체적으로 입증하는 근거가 됩니다.
한 가지 더, 대응은 서두르는 편이 좋습니다. 개인정보 유출로 인한 손해배상청구권은 불법행위에 따른 것이어서, 손해와 가해자를 안 날부터 3년, 유출이라는 불법행위가 있은 날부터 10년이 지나면 시효로 소멸합니다(민법 제766조). 보통 기업의 유출 통지를 받은 때가 '안 날'의 기준이 될 수 있으므로, 통지를 받았다면 미루지 말고 대응 여부를 검토하는 것이 안전합니다.
5. 혼자 할까 함께 할까 — 세 갈래 대응 방법
피해자가 취할 수 있는 방법은 크게 세 가지입니다. 성격이 서로 다르므로 아래 표로 구분해 보시기 바랍니다.
| 방법 | 무엇을 하나 | 특징 |
|---|
| 개인·공동 소송 | 손해배상 청구 | 배상금을 직접 받는 유일한 경로. 여럿이 함께 제기 가능 |
| 집단분쟁조정 | 일괄 조정 신청 | 개인정보분쟁조정위원회, 비용 부담 적고 신속 |
| 단체소송 | 침해 금지·중지 청구 | 등록 소비자·비영리단체만 제기, 배상금은 못 받음 |
첫째, 개인 또는 공동 소송입니다. 피해자가 직접, 또는 여러 명이 함께 법원에 손해배상을 청구하는 방법으로,
배상금을 실제로 받는 유일한 경로입니다. 최근 유출 사고에서 로펌들이 피해자를 모아 진행하는 방식이 대부분 이것입니다.
둘째, 집단분쟁조정입니다(제49조). 같은 유형의 피해가 다수에게 발생한 경우 개인정보분쟁조정위원회에 일괄 조정을 신청할 수 있습니다. 절차 개시가 공고되면 조정을 신청하지 않았던 피해자도 당사자로 추가될 수 있고, 기업이 조정안을 수락하면 참여하지 않은 피해자에 대한 보상계획서 제출을 권고받기도 합니다. 소송보다 비용 부담이 적고, 공고가 끝난 다음 날부터 60일 이내로 비교적 신속합니다.
셋째, 단체소송입니다(제51조). 다만 이는
손해배상을 받는 절차가 아니라 권리침해 행위의 금지·중지를 구하는 소송이고, 공정거래위원회에 등록된 일정 요건의 소비자단체나 일정 요건을 갖춘 비영리민간단체만 제기할 수 있습니다. 게다가 기업이 집단분쟁조정을 거부하거나 그 결과를 수락하지 않은 경우에 비로소 제기할 수 있는 보충적 수단입니다. 따라서 배상금을 원하는 개인이라면 단체소송이 아니라 개인·공동 소송이나 집단분쟁조정을 이용해야 합니다.
6. 얼마를 받고, 과징금과는 무엇이 다른가
법정손해배상의 한도는 300만 원이지만, 실제 법원이 인정하는 위자료는 사안에 따라 편차가 큽니다. 과거 대규모 유출 사건들에서 1인당 위자료는 대체로 수만 원에서 수십만 원 수준으로 인정되거나, 앞서 본 대법원 판결처럼 정신적 손해가 없다고 보아 청구가 기각된 예도 적지 않습니다. 유출된 정보가 민감할수록, 그리고 실제 2차 피해가 확인될수록 인정액이 올라가는 경향이 있습니다.
한편 뉴스에 등장하는 거액의 과징금은 배상금과 전혀 다른 것입니다. 개인정보보호위원회는 안전조치를 소홀히 한 기업에 제64조의2에 따라 전체 매출액의 100분의 3 이내에서 과징금을 부과할 수 있고, 2026년 9월 11일 시행되는 개정법은 피해 규모가 1천만 명 이상이거나 위반을 반복하는 등 중대한 경우 그 상한을 100분의 10까지 높였습니다. 쿠팡에 부과된 수천억 원대 과징금이 그 예입니다. 그러나 이 과징금은
국고로 귀속되는 행정제재일 뿐, 피해자 개인에게 지급되는 배상금이 아닙니다. "기업이 수천억 원 과징금을 맞았으니 나도 그만큼 받는다"는 것은 오해이며, 배상은 별도로 청구해야 받을 수 있습니다. 다만 일정 규모 이상의 기업은 손해배상책임 이행에 대비해 보험 가입이나 준비금 적립이 의무화되어 있어(제39조의7), 배상 판결을 받은 뒤 실제로 지급받을 가능성은 그만큼 높아집니다.
7. 청주·충북에서 대응한다면
청주·충북에 사시더라도 온라인 서비스 이용자로서 거주지와 무관하게 배상을 청구할 수 있습니다. 손해배상 소송은 피고인 기업의 주소지뿐 아니라 불법행위지, 즉 개인정보 유출의 결과가 발생한 곳을 관할하는 법원에도 제기할 수 있습니다(민사소송법 제18조). 특히 청구금액이 3,000만 원 이하인 소액사건은 원고인 피해자 주소지 법원에서도 진행할 수 있어, 청주에 사는 피해자라면 청주지방법원에서 소송하는 것도 가능합니다. 집단분쟁조정은 개인정보분쟁조정위원회(온라인 신청)를 통해 전국 어디서든 신청할 수 있고, 유출 사실 확인과 신고는 개인정보보호위원회 및 한국인터넷진흥원(KISA)의 개인정보침해 신고센터(국번 없이 118)를 이용할 수 있습니다. 비용이 부담되면 대한법률구조공단(국번 없이 132)의 상담도 활용할 수 있습니다.
조성욱 변호사의 관점
21년간 청주에서 다양한 사건을 다뤄 보면, 개인정보 유출 사건은 "유출됐다"는 사실 자체보다 "그래서 어떤 위험에 노출됐는가"를 얼마나 구체적으로 보여 주느냐가 결론을 좌우합니다. 많은 분들이 유출 안내 문자만 받고 막연히 소송을 떠올리시지만, 정작 중요한 것은 유출된 정보의 종류를 정확히 확인하고 그 이후 걸려 온 보이스피싱이나 스팸, 명의도용 시도를 증거로 남겨 두는 일입니다. 반대로 기업을 대리하는 입장에서는 암호화 여부와 사후 대응이 방어의 핵심이 됩니다. 어느 쪽이든 감정적으로 접근하기보다 유출된 정보의 성격과 실제 피해 가능성을 냉정하게 따지는 것이 유리한 결과로 이어집니다.
8. 법률사무소 信의 대응
법률사무소 信은 청주에서 21년간 민사·기업법무 사건을 다뤄 왔습니다. 개인정보 유출 사건은 다음 원칙으로 대응합니다.
첫째, 유출 통지문과 개인정보보호위원회 처분 자료를 확보해 유출된 정보의 종류와 기업의 안전조치 위반 여부를 가장 먼저 진단합니다. 둘째, 일반 손해배상과 법정손해배상 중 사안에 유리한 경로를 선택하고, 고의·중과실이 인정될 여지가 있으면 징벌적 배상까지 검토합니다. 셋째, 유출 이후의 2차 피해 정황을 증거로 정리해 정신적 손해와 위험을 구체적으로 입증합니다. 넷째, 피해자가 많은 사안에서는 개인·공동 소송과 집단분쟁조정 중 실익이 큰 방법을 안내합니다. 다섯째, 기업 자문의 경우에는 유출 통지·신고 의무 이행과 과징금 대응, 소송 방어를 통합적으로 지원합니다. 여섯째, 변호사·세무사 자격을 함께 활용해 배상과 관련한 세무 문제까지 함께 살핍니다.
청주·충북에서 개인정보 유출로 피해를 입으셨거나, 반대로 유출 사고로 곤란을 겪는 사업자라면 부담 없이 연락 주십시오. ☎ 043-291-5555