대규모 개인정보 유출 사건 이후, 기업이 지켜야 할 법적 의무와 실제 처벌 기준 정리
개인정보 유출은 해킹뿐 아니라 내부 실수, 관리 소홀로도 발생합니다. 본 글에서는 개인정보보호법과 정보통신망법상 처벌 구조, 실제 사례, 그리고 기업이 지켜야 할 보호조치 의무를 법률적으로 정리했습니다.
목차
1. 개인정보 유출이 기업에 미치는 법적 의미
최근 대형 통신사, 금융사, 쇼핑몰 등에서 연이어 발생한 개인정보 유출 사고는 단순한 보안 실패가 아닌 법적 위반 행위로 평가되고 있습니다. 개인정보보호법상 기업은 개인정보를 안전하게 처리할 의무를 가지며, 이 의무를 소홀히 한 경우 형사처벌·행정처분·과징금 등 다양한 법적 책임이 따릅니다.
기업 내부자의 단순 실수, 해킹, 외주업체의 보안 부실 등 원인이 무엇이든 관리적·기술적 보호조치를 다하지 않았다면 보호의무 위반으로 간주됩니다. 즉, 고의가 없었다거나 외부 공격이었다는 사유만으로 면책되기는 어렵습니다.
* 관련 전문가 칼럼 보기
2. 관련 법령으로 본 처벌 근거
개인정보유출에 대한 처벌은 개인정보보호법과 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에 근거합니다.
개인정보보호법 주요 조항에 따르면 과징금 산정 시에는 암호화, 접근통제 등 안전성 확보조치 이행 노력이 중요한 판단 요소로 작용하며, 특히 공공기관 업무를 방해할 목적의 개인정보 변경·말소 행위는 공공업무 중단·마비로 이어질 경우 중형으로 처벌됩니다.
제64조의2(과징금의 부과)
① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.
제70조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 10년 이하의 징역 또는 1억원 이하의 벌금에 처한다.
1. 공공기관의 개인정보 처리업무를 방해할 목적으로 공공기관에서 처리하고 있는 개인정보를 변경하거나 말소하여 공공기관의 업무 수행의 중단ㆍ마비 등 심각한 지장을 초래한 자
2. 거짓이나 그 밖의 부정한 수단이나 방법으로 다른 사람이 처리하고 있는 개인정보를 취득한 후 이를 영리 또는 부정한 목적으로 제3자에게 제공한 자와 이를 교사ㆍ알선한 자
또한, 정보통신서비스 제공자는 이용자 정보 보호를 위한 기술적·관리적 조치를 의무적으로 취해야 합니다. 이를 위반할 경우 정보통신망법 제76조에 따라 최대 3천만 원 이하의 과태료가 부과되며, 주민등록번호 등 고유식별정보의 오남용 시 추가 제재가 따릅니다.
이처럼 개인정보 유출에 대한 법적 책임은 단순한 도의적 사과를 넘어, 행정·형사·민사상 복합적인 제재 구조를 갖추고 있습니다.
3. 해킹 피해 기업도 처벌될 수 있을까
많은 기업이 외부 해킹 피해자는 가해자가 아니라고 생각하지만, 법은 다르게 봅니다. 개인정보보호법은 기업에 적극적인 위험 방지 의무를 부여하기 때문입니다. 즉, 보안 침해가 외부에서 발생했더라도 사전에 합리적인 보안조치를 하지 않았다면 처벌 대상이 될 수 있으며, 다음과 같은 상황이 법적 책임으로 이어질 수 있습니다.
- 노후 서버를 장기간 사용하면서 보안 업데이트 미실시
- 백신, 방화벽 등 기본 보안체계 미비
- 내부자 계정 및 접근권한 관리 소홀
- 유출 사고 후 신고 지연 또는 미통보
이러한 경우 기업은 단순 과태료를 넘어 영업정지·과징금·형사고발까지 받을 수 있습니다.
4. 형사처벌의 범위와 실제 판례
모든 개인정보유출이 형사처벌로 이어지는 것은 아닙니다. 형사처벌은 고의 또는 중대한 과실이 입증될 때만 가능하며, 단순 실수나 불가항력적 사고는 행정처분이나 민사 배상에 그칩니다.
다만, 반복적인 개인정보유출, 은폐, 허위 보고 등이 있을 경우 징역형이나 고액 벌금형이 선고될 수 있습니다. 대표적인 개인정보유출 관련 사례로는 카드사, 공공기관, 대형 쇼핑몰에서의 사건을 들 수 있습니다.
먼저 A 카드사 사건에서는 영업센터에서 약 20만 건에 달하는 가맹점주 개인정보가 마케팅 목적으로 무단 활용된 사실이 드러났습니다. 이에 개인정보보호위원회는 보호조치 의무 위반을 이유로 총 134억 원의 과징금을 부과하였습니다.
다음으로 B 공공기관 사건은 담당 직원의 단순 실수로 약 50명의 개인정보가 기관 홈페이지에 게시된 사례입니다. 고의성은 없었지만 관리적 보호조치를 다하지 않은 것으로 판단되어 180만 원의 과태료가 부과되었습니다.
마지막으로 C 대형 쇼핑몰 사건은 외부 해킹으로 인해 약 158만 명의 고객정보가 유출된 대규모 사고였습니다. 현재까지 해당 사건은 관계 기관의 조사가 진행 중으로, 기업의 보안체계 및 대응절차의 적정성이 주요 쟁점으로 다뤄지고 있습니다.
이처럼 개인정보유출 사건은 원인과 경중에 따라 처벌의 수준은 달라지지만, 공통적으로 기업의 보호조치 의무 위반 여부가 핵심 판단 기준이 된다는 점에서 시사하는 바가 큽니다.
➡ 판례의 핵심은, '기업이 유출 방지를 위한 합리적 조치를 다했는가?'에 따라 처벌 수위가 결정됩니다.
5. 피해자의 권리와 손해배상 절차
피해자는 개인정보유출을 당했을 때 다음과 같은 경로로 배상을 청구할 수 있습니다.
1. 개인정보 분쟁조정위원회
- 간단한 절차로 조정이 가능하며, 평균 배상액은 10만~50만 원 수준입니다.
2. 민사소송(집단소송 포함)
- 정식 재판을 통해 손해배상을 받을 수 있으며, 유출 규모가 크면 집단소송으로 진행되기도 합니다.
3. 형사 고소 또는 신고
- 유출 행위가 범죄로 판단될 경우, 가해자에 대한 형사책임을 물을 수 있고, 정신적 손해 역시 배상 대상에 포함되지만 유출과 피해 사이의 인과관계 입증이 필요합니다.
* 관련 지식글 보기
6. 기업이 사전에 준비해야 할 법적 리스크 관리
기업이 개인정보유출 사고로부터 법적 책임을 최소화하기 위해서는 단순 기술보안만으로는 부족합니다. 법률적 관점에서의 '예방 + 대응 체계'가 함께 필요합니다.
주요 항목 | 핵심 내용 |
보안 점검 주기화 | 정기적 시스템 취약점 점검 및 개선 |
접근 권한 최소화 | 민감정보 접근은 최소 인원으로 제한 |
사고 대응 매뉴얼 | 유출 발생 시 24시간 내 통지 및 대응 체계 가동 |
법률 자문 병행 | 개인정보 처리방침, 위탁계약, 내부규정의 법적 검토 |
법무법인 민후의 김경환 대표변호사는 "보안 기술보다 중요한 것은 사고 이후의 신속하고 투명한 대응이며, 사전 법률검토가 이루어질수록 기업의 책임 범위는 줄어든다"고 강조한 바 있습니다.
7. 강화되는 개인정보 유출 처벌 추세
최근 정부와 국회는 집단소송법 도입 및 과징금 상한 확대 등을 논의하며 개인정보 관련 제재 수위를 높이고 있습니다. 이는 과거 솜방망이 처벌이라는 사회적 비판을 해소하기 위한 조치로, 향후에는 유출 규모와 피해 정도에 따라 수백억 원 단위의 과징금이 부과될 가능성도 있습니다.
기업은 단순한 보안 관리 수준을 넘어, 법률적 책임관리 체계를 구축해야 합니다. 개인정보유출은 어느 기업에도 일어날 수 있는 리스크지만, 법은 명확합니다.
개인정보 유출 방지를 위한 ① 기술적·관리적 조치는 기업의 법적 의무이며, ② 사고 발생 시 24시간 내 신고와 통지가 필요하고, ③ 피해자는 손해배상 및 형사처벌을 요구할 권리가 있습니다.
따라서 기업은 보안 인프라뿐 아니라 법률적 대응 프로세스를 함께 구축해야 합니다. 법무법인 민후는 개인정보보호 관련 자문·소송·형사사건 등 다수의 실무 경험을 바탕으로, 기업이 신뢰받는 정보보호체계를 갖추도록 전문적 조력을 제공합니다.
