2026년 6월 국내 대형 OTT 플랫폼의 개인정보 유출 사고가 알려지면서, 피해자가 실제로 어떤 법적 수단을 통해 배상을 받을 수 있는지 관심이 높아지고 있습니다. 개인정보 보호법은 일반 손해배상, 법정손해배상, 징벌적 손해배상 세 가지 청구 루트를 마련해 두고 있으며, 각각 요건과 입증 부담이 다릅니다. 어떤 루트를 선택하느냐에 따라 피해자가 실제로 받을 수 있는 배상액과 소송 전략이 달라질 수 있습니다.

개인정보 유출 손해배상, 세 가지 청구 루트

일반 손해배상 청구: 과실 추정의 전환

개인정보 보호법 제39조 제1항은 "정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 손해배상을 청구할 수 있다"고 규정하면서, 개인정보처리자가 고의 또는 과실이 없음을 스스로 증명하지 않으면 책임을 면할 수 없도록 하고 있습니다. 일반 불법행위 소송에서는 피해자가 가해자의 과실을 입증해야 하는 것과 달리, 개인정보 분야에서는 이 증명 책임이 기업 쪽으로 전환되어 있습니다.

다만 '손해를 입었다'는 사실 자체는 여전히 피해자가 주장·입증해야 합니다. 법원은 개인정보 유출로 인한 정신적 손해가 현실적으로 발생했는지를 해당 정보의 성격, 유출 경위, 제3자 열람 가능성 등을 종합해 판단합니다. 이름·연락처 정도만 유출된 경우와, 금융계좌번호·비밀번호·CI·DI 등 민감 정보까지 포함된 경우는 손해 발생 여부와 규모의 판단이 달라질 수 있습니다.

법정손해배상: 실손 입증 없이 300만 원 한도 청구

실제 금전 피해를 구체적으로 입증하기 어렵다면, 개인정보 보호법 제39조의2의 법정손해배상 제도가 현실적인 선택지가 됩니다. 이 조문은 개인정보처리자의 고의 또는 과실로 개인정보가 유출된 경우, 피해자가 실손 금액 증명 없이도 300만 원 이하의 범위에서 법원이 상당한 배상액을 정하도록 하고 있습니다. 변론 종결 전까지는 일반 손해배상 청구를 법정손해배상 청구로 변경하는 것도 가능합니다(제39조의2 제3항).

법정손해배상은 '입증 부담을 낮춰주는 대신 배상 상한도 제한'하는 구조입니다. 법원이 변론 전체의 취지와 증거조사 결과를 고려해 금액을 정하기 때문에, 실무에서 인정되는 배상액은 유출된 정보의 종류와 민감도, 피해 규모, 기업의 보안 관리 수준에 따라 편차가 상당합니다. 동일 사고의 피해자라도 특정 고위험 정보(금융정보, 의료기록 등)가 함께 유출된 경우와 단순 연락처만 유출된 경우는 배상액 산정에서 차이가 생길 수 있습니다.

징벌적 손해배상: 고의·중대과실이 있으면 최대 5배

개인정보처리자에게 고의 또는 중대한 과실이 있고 피해자에게 실제 손해가 발생한 경우, 법원은 손해액의 5배 이내에서 배상액을 정할 수 있습니다(제39조 제3항). 기업이 보안 시스템을 아예 갖추지 않거나, 유출 사실을 알고도 은폐한 경우 등이 여기에 해당할 수 있습니다. 단, 기업이 고의·중과실 없음을 증명하면 적용이 배제됩니다.

징벌적 손해배상 청구는 이론상 강력한 수단이지만, '중대한 과실'의 기준을 피해자가 먼저 어느 정도 소명해야 한다는 점에서 실무적으로 쉽지 않은 경로입니다. 해킹 수법이 고도화되어 있고, 기업이 일정 수준의 보안 조치를 취했다고 주장하는 경우 중대과실 인정이 쉽지 않을 수 있습니다.

청구에 앞서 피해자가 짚어야 할 쟁점들

손해 발생 여부와 인과관계의 증명 문제

개인정보 유출 소송에서 피해자가 자주 맞닥뜨리는 현실적 어려움은 '유출'과 '나의 피해' 사이의 인과관계를 구체적으로 보여줘야 한다는 점입니다. 보이스피싱 피해, 스팸 문자 증가, 신원도용 시도 등이 유출된 정보와 직접 연결된다는 것을 입증하는 것은 쉽지 않습니다. 법정손해배상 루트를 선택하면 실손 입증 부담은 낮아지지만, 그래도 유출 자체로 인한 정신적 손해가 발생했다는 사실은 소명이 필요합니다.

법원은 지금까지 대규모 유출 사고에서 유출된 정보의 성격이 개인 식별 및 사생활과 밀접하고, 제3자에 의한 열람 가능성이 사회통념상 인정된다면 정신적 손해 발생 자체는 인정하는 경향을 보여 왔습니다. 이 점에서 CI·DI, 환불 계좌번호, 이메일 등 결합 시 개인 식별이 가능한 정보가 포함된 유출 사고는 피해자에게 상대적으로 유리한 출발점이 됩니다.

증거 보전: 유출 통지와 2차 피해 기록

유출 통지를 받은 즉시 해야 할 것은 그 통지 내용의 캡처·저장입니다. 유출된 항목의 종류, 유출 시점, 기업의 인지 경위, 피해 방지 조치 안내 등이 포함된 통지문은 나중에 소송 단계에서 유출 사실과 기업의 인식을 입증하는 증거가 됩니다. 이와 함께, 통지 이후 발생한 이상 문자 수신 이력, 사칭 전화 내역, 계정 도용 시도 기록 등 2차 피해로 볼 수 있는 사정들도 날짜와 함께 기록해 두어야 합니다.

기업이 유출 사실을 안 날로부터 72시간 이내에 개인정보보호위원회에 신고할 의무가 있고, 피해자에게도 지체 없이 통지해야 합니다. 기업이 이 통지를 늦게 했거나 유출 항목을 축소해 알렸다면, 그 자체가 손해배상에서 참작 사유가 될 수 있습니다.

소멸시효와 청구 방법의 선택

개인정보 유출로 인한 손해배상 청구권은 피해자가 유출 사실을 안 날로부터 3년, 사고 발생일로부터 10년이 지나면 소멸됩니다. 유출 통지를 받은 날이 사실상 '안 날'이 되는 경우가 많으므로, 통지를 받고도 오랜 기간 방치하면 권리를 잃을 수 있습니다.

개인 단독으로 소송을 제기하는 방법 외에도, 개인정보 분쟁조정위원회를 통한 조정 신청이 가능합니다. 조정은 소송보다 절차가 간소하고 비용이 적게 들지만, 상대방이 조정안 수락을 거부하면 결국 소송으로 이어질 수 있습니다. 동일 사고의 피해자가 다수인 경우에는, 소송 비용 분담과 증거 공유 면에서 공동 소송의 실익이 있는지도 살펴볼 필요가 있습니다.

피해자 입장에서 실질적인 배상을 받기 위해서는 어떤 청구 루트를 선택할지, 유출된 정보의 종류를 어떻게 손해액 산정에 연결할지, 기업 측 보안 관리 소홀의 정도를 어떻게 소명할지가 핵심 판단 포인트가 됩니다. 이 판단은 유출 사고의 세부 경위와 피해자 개인의 사정에 따라 달라지는 복합적인 문제입니다.