​변호사가 직접 작성한 지식글만 게재합니다.

해킹당한 기업에 손배청구는 가능한가?

최종 수정일: 7월 22일


한화손해보험은 2011년 이름, 주민번호, 휴대전화 번호와 차량번로 등이 포함된 고객 정보 15만 7901건을 해킹당했으나, 이 사실을 1년6개월 동안 숨겨왔던 것으로 드러났다. 피해자들은 고객 정보를 소홀히 다룬 기업을 상대로 손해배상 청구를 제기할 수 있다. 그러나 현행법에 따라 소송을 제기하려면 피해자들이 직접 한화손해보험의 개인정보보호법 위반사실을 입증해야 한다.

기업이 개인정보보호법을 위반한 행위로 인해 고객에게 손해가 발생한 경우, 고객은 기업을 상대로 민사상 손해배상을 청구해 자신이 입은 손해를 전보 받을 수 있다, 이렇게 고객이 기업을 상대로 손해배상청구를 할 수 있는 근거 조문은 개인정보보호법 제39조 제1항(또는 정보통신망법 제 32조, 신용정보법 제43조)이다.

『 제39조(손해배상책임) ① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보 처리자에게 손해배상을 청구할 수 있다, 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. 』

위 규정에 대해 일반적으로 입증책임을 전환함으로써 피해자인 고객에게 신속·공정한 피해구제를 받을 권리를 실질적으로 보장하고 있다고 설명되어있다, 과연 그러할까?

개인정보보호법 제39조 제 1항의 본문은 '법 위반사실'과 '손해발생'에 대해 규정하고 있고, 단거는 '고의·과실'에 대해 규정하고 있다.

입증책임의 분배는 피해자인 고객이 위 세가지 중 '법 위반사실' 과 '손해발생'에 대해 입증하도록 되어 있고(본문), 기업이 위 세가지중 자신의 '고의·과실' 없음에 대해 입증하도록 되어있다(단서).

위 세가지 중 '손해발생'은 유출 자체로 인한 정신적 손해를 청구하는 경우에는 아에 문제되지 않는다, 기업의 '고의·과실'없음의 입증이란 '법을 위반하였으나 고의·과실은 없다는 사실'을 입증하라는 것을 의미하는데, 이 부분이 소송에서 현실적으로 문제되는 경우는 전혀 없고, 실제로 이런 상황은 존재하기 힘들다, 결국 입증의 핵심은 '법 위반사실'이다.

예컨대 해킹 사고에 의한 개인정보 유출의 경우, 고객은 기업이 기술적·관리적 보호조치 의무를 다하지 못했음을 입증해야만 원하는 손해배상을 받게 되는 것이다.

그러나 '기술적·관리적 보호조치'라는 것이 일반인이 접근하기 어려운 전문적인 내용이 대부분이다. 게다가 '기술적·관리적 보호조치위반'이라는 것은 소송과정에서 피고 기업이 자신이 소지한 증거자료를 충분히 자발적으로 제출하지 않으면 입증할 수 없기 때문에, 고객이 '법 위반사실'입증에 성공하기는 하늘의 별 따기만큼 어렵다.

사정이 이런데도, 접근하기도 쉽지 않고 내용 자체도 어려우며 손해배상소송에서 가장 핵심적인 '법 위반사실'을 피해자인 원고에게 입증 부담시켜 놓고, 실제 소송에서 전혀 문제된 적도 없고 그러한 경우를 상상하기도 어려운 '법을 위반했는데 고의·과실이 없는 경우'를 피고 기업에게 입증토록 한 조치가, 과연 진정으로 피해를 입은 고객에게 신속·공정한 피해구제를 받을 권리를 실질적으로 보장하는 거인가? 제 39조 제 1항이 진정으로 입증책임을 전환시켜 피해자인 고객에게 입증상의 부담을 덜어주려면 아래 정보통신망법 제 60조 제1항의 '통신과금서비스 제공자의 손해배상책임'과 같은 형식처럼 되어야 한다.

『 제60조(손해배상 등) ①통신과금서비스제공자는 통신과금서비스를 제공함에 있어서 통신과금서비스이용자에게 손해가 발생한 경우에 그 손해를 배상하여야 한다, 다만, 그 손해의 발생이 통신과금서비스이용자의 고의 또는 중과실로 인한 경우에는 그러하지아니하다, 』

위 정보통신망법 제 60조 제1항의 규정에 따르면, 피해자인 고객은 '손배발생'만 입증하면 되고, 피고 기업이 '고의·중과실 없음'을 입증하도록 되어 있다, 개인정보보호법 제 39조 제1항이 원고에게 '법 위반사실'과 '손해발생'까지 입증토록 하는 점과는 확연히 구별된다,

* 법무법인 민후 김경환 대표변호사 작성, 미디어오늘(2013. 5. 26.) 기고.

Today's Pick