개인정보보호법 개정안 2026.9.11 시행 예정
개인정보 유출 법정손해배상,
300만원 못 받은 진짜 이유
“유출됐으니 300만원 받을 수 있다”는 말, 직접 판결문 확인해봤습니다. 2026년 1월 대법원은 정반대 결론을 내렸습니다. 유출 사실이 있어도 기업이 “손해가 없었다”를 증명하면 배상 책임이 사라집니다. 그런데 같은 시기 개정법이 통과되면서 9월부터는 구조가 완전히 바뀝니다.
“유출되면 300만원”이 틀린 이유 — 대법원이 직접 말했습니다
2026년 1월 14일, 대법원 2부(주심 오경미 대법관)가 조용하지만 중요한 판결을 확정했습니다. 해피캠퍼스 해킹으로 이메일 주소와 암호화된 비밀번호가 유출된 피해자가 법정손해배상금 30만원을 청구했고, 대법원은 기업의 손을 들어줬습니다. (출처: 대법원 2025. 12. 4. 선고 2023다311184 판결)
개인정보보호법 제39조의2, 이른바 법정손해배상 조항은 2014년 도입 당시 “피해자가 손해액을 입증하지 않아도 최대 300만원을 청구할 수 있다”는 게 핵심이었습니다. 입증 부담을 없애줬기 때문에 실질적인 구제 수단으로 기대를 받았습니다. 그런데 대법원은 이번에 결정적인 단서를 달았습니다.
💡 공식 판결문과 실제 결과를 나란히 놓으면 이게 보입니다
대법원은 “피해자는 유출 사실만 증명하면 청구 요건을 갖춘다”고 전제한 뒤, “손해가 발생하지 않은 것이 분명한 경우에는 기업이 이를 증명해 책임을 면할 수 있다”고 판시했습니다. 유출 → 자동 배상이 아니라, 유출 → 기업의 반증 가능 구조입니다.
이 판결이 왜 중요하냐면, 대다수 한국어 블로그와 뉴스 기사는 여전히 “유출되면 최대 300만원 청구 가능”이라는 문장에서 멈추기 때문입니다. 그 뒤에 붙는 조건, 즉 기업이 반증에 성공하면 0원이 된다는 부분은 거의 다루지 않습니다. 2021년 40만 3,000명이 유출된 해피캠퍼스 사건에서 피해자가 한 푼도 받지 못한 이유가 바로 이 구조 때문입니다.
대법원이 제시한 5가지 기준 — 내 정보가 해당하는지 체크하는 법
대법원은 “손해가 발생했는지 여부”를 판단할 때 아래 다섯 가지를 종합적으로 고려하라고 판시했습니다. (출처: 대법원 2023다311184 판결문) 이 기준을 알면 내 상황에서 배상을 받을 수 있는지 스스로 판단해볼 수 있습니다.
| 판단 기준 | 배상 불리 | 배상 유리 |
|---|---|---|
| ① 유출 정보의 종류 | 이메일·암호화 비밀번호 | 주민번호·계좌·의료정보 |
| ② 개인 식별 가능성 | 단독으로 식별 불가 | 이름·연락처 결합 유출 |
| ③ 제3자 열람 여부 | 열람 증거 없음 | 다크웹 유통 확인됨 |
| ④ 정보 확산 범위 | 2년 내 2차 피해 없음 | 스팸·보이스피싱 급증 확인 |
| ⑤ 기업의 사후 조치 | 신고·통지 즉시 이행 | 은폐·지연 대응 |
해피캠퍼스 사건에서는 다섯 기준 중 네 가지가 기업에 유리하게 작용했습니다. 비밀번호는 암호화돼 있었고, 이메일만으로는 누군지 특정이 안 됐으며, 유출 후 2년이 지나도록 스팸이나 명의도용 피해가 확인되지 않았고, 기업은 사고 직후 신고와 피해자 통지를 이행했습니다. 이 네 가지가 겹치면 법원은 “감내하기 어려운 정신적 손해가 발생했다고 보기 어렵다”는 결론을 냅니다.
💡 반대로 생각하면 배상 가능성을 높이는 조합이 보입니다
주민번호·계좌번호·의료정보처럼 민감 정보가 이름과 함께 유출됐고, 그 이후 스팸 문자나 보이스피싱 전화가 급증한 기록이 있다면, 이 다섯 기준 중 세 가지 이상이 피해자 방향으로 기울어집니다. 법원이 “손해 없음”을 받아들이기 어려운 상황이 됩니다.
SKT 조정안 거부 — 기업이 30만원 권고를 거절할 수 있었던 구조
2025년 SK텔레콤 유심 해킹 사건은 역대급 규모였습니다. 피해 가입자 수만 수천만 명 수준이었고, 집단분쟁조정위원회는 피해자 1인당 30만원을 배상하라고 권고했습니다. (출처: 개인정보분쟁조정위원회 조정 결과, 2025.11.) 그런데 SK텔레콤은 이 권고를 거부했습니다.
거부할 수 있었던 이유는 법 구조에 있습니다. 집단분쟁조정은 합의를 이끌어내는 절차일 뿐, 기업이 수용을 거부하면 강제할 방법이 없습니다. 단체소송도 마찬가지입니다. 현행 개인정보보호법상 단체소송은 “금지·중지 청구”만 가능하고, 금전 배상 청구는 단체소송으로 할 수 없습니다. 피해자가 소송으로 가려면 결국 개인이 각자 민사소송을 제기해야 했습니다.
💡 SKT가 30만원 거부를 계산한 방식이 이겁니다
피해자가 수천만 명이어도, 개인 소송 비용이 배상 예상액보다 크면 실제로 소를 제기하는 사람은 극소수에 그칩니다. SKT 1차 집단소송에 참여한 인원은 9,175명이었습니다. 전체 피해자 대비 0.03% 수준입니다. 기업 입장에서는 전면 수용보다 소송 대응 비용이 훨씬 저렴하게 계산됩니다.
이 구조적 허점이 2026년 2월 개정법 통과의 직접적인 배경이 됩니다. 이재명 대통령은 개인정보보호위원회 업무보고에서 “유출 기업이 망할 수도 있다는 공포를 느껴야 한다”고 직접 언급했습니다. (출처: 틱탁틱탁, 2026.3.8.) 그 결과가 매출 10% 징벌적 과징금 도입입니다.
2026년 9월, 개정법 시행 후 달라지는 것과 그대로인 것
개인정보보호법 개정안은 2026년 2월 12일 국회 본회의를 통과하고, 3월 10일 공포됐습니다. 공포 후 6개월이 경과하는 2026년 9월 11일부터 시행됩니다. (출처: 법률신문, 2026.3.12. / 법무법인 광장 뉴스레터, 2026.2.24.) 단, ISMS-P 의무화 규정은 2027년 7월 1일 별도 시행입니다.
📌 9월 이후 달라지는 핵심 3가지
① 징벌적 과징금 상한 매출 10% — 반복 위반이거나 피해자 1,000만 명 이상이면 기존 3%에서 10%로 상향. 매출 미발생 시 50억원 이하. (제64조의2 제2항)
② 유출 가능성 사전 통지 의무 — 실제 유출이 확인되지 않아도 유출 가능성을 인지한 순간 전체 정보주체에게 통지해야 함. (제34조 제2항 신설)
③ 대표자 개인 책임 명확화 — CEO가 개인정보 보호 총괄 책임자로 법에 명시됨. CPO는 이사회에 정기 보고 의무 부과. (제30조의3)
그런데 중요한 것이 있습니다. 이번 개정에서 법정손해배상 300만원 한도는 그대로입니다. 개인이 받을 수 있는 최대 금액은 변하지 않습니다. “유출됐을 때 기업이 무조건 배상해야 한다”는 방향의 무과실책임 도입은 일부 국회의원이 별도로 발의한 상태이고, 이번 개정에는 포함되지 않았습니다. (출처: 다음뉴스, 2026.3.19.) 기업 측이 여전히 “손해가 없었음”을 증명하면 법정손해배상을 피할 수 있는 구조는 개정 후에도 유지됩니다.
피해자 입장에서 개정법의 실질적 변화는 주로 통지 쪽에 있습니다. 유출 가능성만 있어도 기업이 통지해야 하기 때문에, 피해자가 사고를 더 빨리 알 수 있게 됩니다. 증거 수집 골든타임이 길어지는 효과입니다.
배상받으려면 지금 당장 해야 할 것들 — 유출 통보받은 날이 전부입니다
대법원이 해피캠퍼스 사건에서 배상 불인정의 근거로 든 것 중 하나가 “유출 후 2년이 지나도록 2차 피해가 없었다”는 점입니다. 뒤집어 말하면, 2차 피해를 기록하고 증명한 사람은 이 논리에서 벗어납니다. 유출 통보를 받은 날이 증거 수집의 시작점이자 마감점입니다.
통지문 원본 캡처
날짜·시간 포함 캡처. 기업이 나중에 내용 수정·삭제할 수 있습니다.
유출 정보 항목 확인
이름+주민번호+계좌 조합인지 확인. 조합일수록 배상 가능성 높아집니다.
스팸·피싱 기록 저장
유출 시점 이후 급증한 스팸 문자, 보이스피싱 전화 녹음을 날짜별 정리합니다.
118 신고 + 접수번호 확보
한국인터넷진흥원(KISA) 개인정보침해신고센터에 신고하면 공식 접수 번호가 발급됩니다. 분쟁조정 시 핵심 근거가 됩니다.
내용증명 발송
기업 법무팀 앞으로 유출 경위·피해 보상을 요구하는 내용증명 발송. 기업 답변이 협상 증거가 됩니다.
⚠️ 주의: 2026년 9월 시행 이후에는 “유출 가능성”만 통지받아도 이 5단계를 시작할 수 있습니다. 실제 유출 확인을 기다릴 필요가 없어집니다.
집단소송 vs 개인 분쟁조정 — 어떤 게 더 유리할까요
SKT 사건에서 집단소송 참여자 9,175명은 1인당 50만원 위자료를 청구했고, 2026년 1월 기준 첫 변론을 앞두고 있습니다. (출처: 조선일보, 2025.5.17.) 한편 개인정보 분쟁조정은 비용이 무료이고 평균 2~3개월 내에 결론이 나옵니다. 두 경로를 무조건 비교하기보다 상황에 따라 단계적으로 접근하는 게 현실적입니다.
| 구분 | 개인 분쟁조정 | 집단소송(민사) |
|---|---|---|
| 비용 | 무료 | 착수금+성공보수(약 10%) |
| 소요 기간 | 2~3개월 | 1~3년 |
| 강제력 | 없음(기업 거부 가능) | 강제 집행 가능 |
| 신청 조건 | 개인 단독 가능 | 개인 단독 / 50명↑ 집단 |
| 현실 배상액 | 10~30만원 수준 | 50~300만원(피해 증명 시) |
분쟁조정을 먼저 신청하고 기업이 거부하면 그때 민사소송으로 넘어가는 순서가 비용과 시간을 모두 고려했을 때 합리적입니다. 분쟁조정 과정에서 만들어진 서류와 기업의 거부 사실 자체가 민사 소송에서 유용한 증거가 됩니다. 특히 9월 개정법 시행 이후에는 기업이 과징금 부담 때문에 분쟁조정 단계에서 합의에 더 적극 나올 가능성이 있습니다.
자주 묻는 질문 Q&A
마치며 — 법이 바뀌어도 권리는 직접 써야 합니다
직접 판결문을 확인하고 나서 느낀 건 하나입니다. “유출됐으니 300만원 받을 수 있다”는 말은 반쪽짜리 정보입니다. 기업이 반증에 성공하면 0원이 됩니다. 이 구조는 2026년 9월 개정법 시행 이후에도 바뀌지 않습니다.
개정법이 바꾸는 건 다른 쪽입니다. 기업이 사고를 숨기거나 늑장 대응할 경우 매출 10% 과징금이라는 실질적인 위협이 생겼습니다. 이 위협이 기업의 태도를 바꾸고, 분쟁조정 단계에서 합의 가능성을 높이는 간접 효과를 냅니다.
유출 통보를 받은 날 아무것도 하지 않으면 나중에 소송을 해도 증거가 없어 패소합니다. 5단계 증거 수집은 특별한 전문 지식이 필요 없습니다. 그날 바로 시작하는 사람과 그렇지 않은 사람 사이의 결과 차이는 꽤 큽니다.
본 포스팅 참고 자료
본 포스팅은 일반적인 법률 정보 제공을 목적으로 작성되었으며, 개별 사안에 따라 법적 판단이 달라질 수 있습니다. 구체적인 법률 조언이 필요한 경우 반드시 법률 전문가와 상담하시기 바랍니다. 본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있습니다. 본문 내 법령 내용은 2026년 3월 27일 기준이며, 이후 시행령 제정·시행 일정에 따라 세부 내용이 변경될 수 있습니다.
댓글 남기기