국회 통과 2026.02.12
법정손해배상 최대 300만원
개인정보 유출 손해배상 청구
2026 개정법으로 300만원 받는 완전 가이드
2026년 2월 12일, 개인정보보호법이 국회를 통과했습니다. 이제 내 정보가 털렸을 때 손해 금액을 직접 증명하지 않아도 최대 300만원을 받을 수 있으며, 기업이 ‘무과실’을 스스로 입증해야 합니다. 이 가이드 하나로 7단계 청구 절차를 끝낼 수 있습니다.
2026 개인정보보호법 개정, 뭐가 달라졌나
2026년 2월 12일, 국회 본회의를 통과한 개인정보보호법 개정안은 SK텔레콤·롯데카드·쿠팡 등 대규모 유출 사고가 연이어 터지면서 만들어진 법입니다. 핵심은 단 하나입니다. 기업이 ‘우리는 잘못이 없다’는 것을 스스로 증명해야 한다는 것입니다. 피해자가 손해를 입증하던 기존 구조가 완전히 뒤집혔습니다.
개정안의 핵심 4가지를 표로 정리했습니다.
| 구분 | 개정 전 | 개정 후 (2026) |
|---|---|---|
| 입증 책임 | 피해자가 손해 입증 | 기업이 무과실 입증 |
| 법정손해배상 | 최대 300만원 (기존 유지) | 300만원 (입증 불필요로 청구 용이) |
| 징벌적 과징금 | 관련 매출의 3% | 전체 매출의 최대 10% |
| 유출 통지 | 유출 후 통지 | 유출 가능성만 있어도 즉시 통지 의무 |
💡 핵심 인사이트: 개정법은 원칙적으로 공포 후 6개월이 경과한 날부터 시행됩니다. 단, 고의·중과실로 1천만명 이상 대규모 피해가 발생한 경우 과징금 규정은 시행 당시 종료되지 않은 위반행위에도 소급 적용됩니다. 쿠팡 사건이 바로 여기에 해당할 수 있어 향후 배상 규모가 크게 달라질 수 있습니다.
내 정보가 털렸는지 확인하는 3가지 방법
손해배상 청구의 첫 번째 조건은 ‘내 개인정보가 실제로 유출됐는지’를 확인하는 것입니다. 기업이 통지해줄 때까지 기다리는 것이 가장 이상적이지만, 현실에서는 통지가 늦거나 아예 안 오는 경우도 많습니다. 지금 당장 아래 3가지 방법으로 직접 확인하시기 바랍니다.
개인정보 침해 신고센터 (국번 없이 118)
한국인터넷진흥원(KISA)이 운영하는 공식 신고·상담 채널입니다. 전화 또는 privacy.go.kr(개인정보보호 포털) 온라인 신청을 통해 유출 여부를 확인하고 피해 상담까지 받을 수 있습니다.
해당 기업·서비스의 공식 공지 확인
개정법 제34조에 따라 기업은 유출 사실뿐 아니라 유출 가능성만 있어도 즉시 통지해야 합니다. 통지 항목에는 ‘손해배상 청구 방법 안내’가 의무적으로 포함되어야 합니다.
Have I Been Pwned + 2차 피해 패턴 확인
haveibeenpwned.com에서 이메일 주소로 글로벌 유출 DB를 조회할 수 있습니다. 가입한 적 없는 스팸 문자, 보이스피싱 시도, 출처 불명 광고 수신 증가 같은 2차 피해 징후가 있다면 유출 가능성을 강하게 의심해야 합니다.
💡 핵심 인사이트: 개정법은 기업이 유출 통지 시 반드시 ‘제39조에 따른 손해배상 청구 방법 및 제39조의2에 따른 법정손해배상 청구 방법’을 고지하도록 의무화했습니다. 즉, 기업 통지 메일을 받는 것만으로도 청구 근거를 확보한 셈입니다.
법정손해배상 300만원 — 조건과 청구 주체
개인정보 유출 손해배상 청구의 가장 강력한 무기는 법정손해배상입니다. 일반 손해배상과 달리 얼마를 잃었는지 굳이 계산해서 증명할 필요가 없습니다. 개인정보보호법 제39조의2에 따라 유출 사실만 확인되면 최대 300만원 범위에서 배상액을 결정할 수 있습니다.
법정손해배상 청구의 3가지 조건
조건 1. 개인정보처리자의 고의 또는 과실로 개인정보가 분실·도난·유출·위조·변조·훼손되었을 것
조건 2. 나(정보주체)가 그 개인정보처리자에게 개인정보를 제공한 사람일 것
조건 3. 기업이 자신의 고의·과실이 없음을 입증하지 못할 것 — 이 부분이 핵심 변화입니다. 기업이 무죄를 증명해야 하므로 피해자의 입증 부담이 거의 사라졌습니다.
어떤 기업이 대상인가 — 손해배상 보장 의무 대상
모든 기업이 법정손해배상 보험·공제 가입 의무를 지는 것은 아닙니다. 아래 두 가지 요건을 동시에 충족하는 기업은 반드시 배상책임 이행 보장 조치(보험·공제 가입 또는 준비금 적립)를 해야 합니다.
| 요건 | 기준 |
|---|---|
| 매출 기준 | 전년도 매출액 10억원 이상 |
| 정보주체 수 | 직전 3개월 일일 평균 1만명 이상 개인정보 보유 |
💡 현실적 전략: 쿠팡처럼 피해자가 3,000만명 이상이면 손해를 직접 입증하지 않아도 법정손해배상 300만원 청구가 가능합니다. 법원이 실제로 얼마를 인정할지는 개별 사건의 성격에 따라 다르지만, 분쟁조정을 통해 10만~80만원대 화해 가능성이 높습니다. 개인적으로는 변호사 선임 없이 혼자 할 수 있는 분쟁조정 신청을 먼저 강력히 추천합니다.
개인정보 유출 손해배상 청구 7단계 실전 절차
막막하게 느껴지는 법적 절차를 7단계로 쪼갰습니다. 1~4단계는 혼자, 5~7단계는 기관의 도움을 받아 진행하면 됩니다.
유출 사실 확인 및 스크린샷 보관
기업이 보낸 통지 이메일·문자, 공지사항 화면을 즉시 캡처해서 저장합니다. 통지 일자와 내용이 훗날 결정적 증거가 됩니다. 개정법에 따라 통지문에는 손해배상 청구 안내가 의무 포함되어 있습니다.
2차 피해 현황 기록
보이스피싱 시도, 스팸 문자 수신, 명의 도용 시도, 불법 대출 시도 등 2차 피해가 발생한 경우 날짜·내용·캡처를 모두 기록합니다. 2차 피해가 있으면 배상액이 올라갈 가능성이 높습니다.
KISA 개인정보침해 신고(118)
국번 없이 118로 전화하거나 privacy.go.kr에서 온라인 신고를 접수합니다. 이 단계에서 공식 사건 번호를 받아두면 이후 분쟁조정 신청 시 유용하게 활용됩니다.
해당 기업에 내용증명 발송
우체국 또는 카카오페이 내용증명 서비스를 통해 “귀사의 개인정보 유출로 인해 손해배상을 청구합니다”는 내용을 서면으로 발송합니다. 소멸시효 중단 효력과 함께 기업의 태도를 확인하는 역할을 합니다.
개인정보분쟁조정위원회 조정 신청
비용이 없고 변호사가 없어도 신청 가능한 가장 현실적인 방법입니다. privacy.go.kr에서 온라인으로 30분이면 신청 완료됩니다. 처리 기간은 60일 이내이며, 합의가 이루어지면 확정판결과 동일한 효력이 있습니다.
집단분쟁조정 참여 (대규모 유출 시)
쿠팡·SKT 사례처럼 피해자가 50명 이상인 사건에서는 집단분쟁조정 제도를 활용할 수 있습니다. 위원회가 일괄 처리하여 개별 신청 부담이 줄어들고, 분쟁조정 결정을 거부한 기업은 소송에서 불리해질 수 있습니다.
민사소송 (법정손해배상 청구)
분쟁조정이 결렬되거나 더 높은 배상액을 원할 때 소송을 제기합니다. 소가 300만원 이하인 경우 소액심판 절차가 적용되어 인지대가 약 1만원 수준입니다. 법정손해배상 조항으로 손해 액수를 별도 증명하지 않아도 됩니다.
💡 핵심 인사이트: 개인정보 유출 손해배상 청구에서 현실적으로 가장 빠르고 비용이 들지 않는 경로는 분쟁조정 신청입니다. 소송은 4~5년이 걸릴 수 있는 반면, 분쟁조정은 60일 이내에 결론이 납니다. 다만 배상액 상한이 낮을 수 있으므로, 2차 피해가 극심하거나 기업의 고의성이 명백한 경우에는 변호사와 상담 후 소송을 검토하시기 바랍니다.
분쟁조정 vs 소송 — 비용·기간·배상액 완전 비교
개인정보 유출 손해배상 청구에서 선택지는 크게 두 가지입니다. 어떤 방법이 자신에게 맞는지 아래 표를 보고 판단하세요.
| 구분 | 분쟁조정 | 민사소송 |
|---|---|---|
| 비용 | 무료 | 인지대 1만원~(소액) / 변호사 선임 시 수백만원 |
| 처리 기간 | 60일 이내 | 1심 1~2년, 집단소송 4~5년 |
| 변호사 필요 | 불필요 | 소액사건은 불필요, 대형 소송은 필요 |
| 배상 수준 | 통상 10만~80만원 | 최대 300만원(법정) / 5배(징벌) |
| 강제력 | 합의 시 확정판결과 동일 | 강제 집행 가능 |
| 기업 거부 시 | 조정 불성립 → 소송으로 전환 | 판결로 강제 결정 |
💡 현실적 판단: 피해금액이 작고 시간이 없다면 분쟁조정이 단연 최선입니다. 그러나 기업의 고의성이 명백하거나 집단 소송 변호사 사무소가 수임 중인 사건(쿠팡처럼)이라면 수임비 없이 성공보수 10~15%만 내는 집단소송 참여가 더 유리할 수 있습니다. 분쟁조정 결과를 먼저 받아본 후 소송 여부를 판단하는 투 트랙 전략을 개인적으로 추천합니다.
징벌적 손해배상 5배 — 언제, 어떻게 적용받나
개인정보보호법 제39조 제3항은 기업의 고의 또는 중대한 과실이 인정될 경우 법원이 손해액의 최대 5배까지 배상액을 정할 수 있다고 규정합니다. 단순히 해킹당한 것과 달리, 보안 조치를 명백히 해태한 경우나 반복 위반이 있을 때 이 조항이 강력하게 작동합니다.
법원이 징벌적 배상액을 산정할 때 고려하는 요소
2026 개정 징벌적 과징금 — 기업에 부과되는 처벌
이번 개정으로 개인정보보호위원회가 기업에 부과할 수 있는 과징금 상한이 크게 올랐습니다. 다음 세 가지 경우 중 하나에 해당하면 전체 매출액의 10% 범위 내 징벌적 과징금이 부과될 수 있습니다.
| 적용 조건 | 과징금 상한 |
|---|---|
| 고의·중과실로 3년 이내 반복 위반 | 전체 매출액의 10% |
| 고의·중과실로 1천만명 이상 피해 발생 | 전체 매출액의 10% |
| 시정조치 명령 불이행 후 유출 발생 | 전체 매출액의 10% |
| 매출액 없거나 산정 곤란한 경우 | 50억원 이하 |
💡 피해자에게 주는 의미: 기업에 부과되는 과징금이 커질수록 향후 민사소송에서 ‘기업이 의무를 다하지 않았다’는 근거가 강해집니다. 개인정보보호위원회의 과징금 결정문은 민사소송에서 유력한 간접 증거로 활용될 수 있으므로, 행정 처분 결과를 반드시 확인해두시기 바랍니다.
놓치면 끝! 소멸시효와 증거보전 타이밍
개인정보 유출로 인한 손해배상 청구에는 소멸시효가 있습니다. 기한을 놓치면 법적으로 아무것도 받을 수 없습니다. 반드시 아래 내용을 숙지하세요.
⏱️ 소멸시효 핵심 정리
손해 및 가해자를 안 날부터 3년 이내 청구해야 합니다. 기업의 유출 통지를 받은 날이 기산점이 됩니다.
불법행위가 있었던 날부터 10년 이내에 청구해야 합니다.
내용증명 발송·분쟁조정 신청은 소멸시효를 중단시킵니다. 기한이 촉박하다면 즉시 내용증명을 발송하세요.
지금 당장 보관해야 할 증거 체크리스트
💡 핵심 인사이트: 많은 분들이 통지를 받고도 “귀찮다”, “얼마 안 되겠지”라며 넘기다가 3년 시효를 놓칩니다. 그러나 분쟁조정 신청은 30분 안에 끝나고 무료입니다. 법정손해배상이 설령 10만원에 그치더라도, 내 정보를 소홀히 취급한 기업에 법적 책임을 묻는 행위 자체가 이후 더 강력한 개인정보 보호 생태계를 만드는 데 기여합니다.
자주 묻는 질문 Q&A
마치며 — 총평
2026년 2월 12일 통과된 개인정보보호법 개정안은 피해자 중심으로 법 구조를 완전히 전환한 역사적인 개정입니다. 이전까지는 “내가 손해를 입었다는 것을 내가 증명해야” 했습니다. 앞으로는 기업이 “우리가 최선을 다했다”는 것을 직접 증명해야 합니다.
개인적인 의견을 솔직하게 말씀드리면, 이번 개정법의 가장 큰 의의는 손해배상 금액의 크기보다 청구 자체의 진입 장벽이 사라진 것이라고 생각합니다. 변호사도 필요 없고, 손해 증명도 필요 없고, 30분이면 분쟁조정 신청이 끝납니다. 더 이상 “어차피 얼마 받겠어?”라는 이유로 포기하지 마세요. 내 정보를 허술하게 관리한 기업에 법적 기록을 남기는 것만으로도 충분한 이유가 있습니다.
다만 법 시행 시기, 구체적 적용 범위는 향후 시행령 제정을 통해 확정되므로 개인정보보호위원회 공식 채널의 업데이트를 주기적으로 확인하시기 바랍니다.
본 콘텐츠는 2026년 3월 4일 기준 공개된 법령 및 공식 자료를 바탕으로 작성된 정보 제공 목적의 글입니다. 개별 사건에 대한 법률적 판단은 전문 변호사와의 상담을 통해 이루어져야 합니다. 법령 시행 시기 및 세부 내용은 향후 시행령 제정에 따라 변경될 수 있습니다.
댓글 남기기