“대규모 해킹 시대, 한국은 왜 피해자에게 충분히 보상하지 않을까?”

“대규모 해킹 시대, 한국은 왜 피해자에게 충분히 보상하지 않을까?”

 

✔ 국내 개인정보 유출, 왜 여전히 ‘솜방망이 처벌’일까?

 

최근 쿠팡을 비롯한 대형 플랫폼 및 빅테크 기업을 겨냥한 사이버 공격이 급증하고 있습니다.

 

그 피해는 단순한 개인 정보 유출을 넘어, 사회 인프라를 마비시킬 수 있는 위험성을 내포하고 있죠.

 

하지만 심각한 피해 규모에도 불구하고, 막상 사고가 터졌을 때 국내 법정에서 인정하는 피해자 1인당 배상액(위자료)은 10만 원 수준에 불과합니다.

 

정보 유출로 인해 금융 피해나 심각한 정신적 고통을 겪은 피해자들에게는 납득하기 어려운 금액인데요.

 

왜 국내 재판부는 빅테크 기업의 대규모 정보 유출 사고에 대해 이토록 낮은 배상액을 인정하는 것일까요?

 

그 배경에는 현행 법체계와 사법부 판단 기준의 한계가 자리 잡고 있습니다.

---

1. 현행 법률상 낮은 배상액과 피해 입증의 어려움

우리나라는 개인정보 유출에 대한 법정손해배상 제도(50~300만 원)가 존재하지만, 실제 재판에서는 이보다 훨씬 낮게 책정됩니다.
가장 큰 이유는 "피해 입증의 어려움" 입니다.

가장 근본적인 원인은 피해자가 실제 발생한 재산상의 손해를 법정에서 명확하게 입증하기 어렵다는 점입니다.

법원은 개인정보가 유출되었다는 사실만으로는 “피해가 발생했다”고 인정하지 않습니다.

 

예를 들어,

• 인과관계 입증의 벽: 개인 정보가 유출된 후 보이스피싱이나 금융 사기 피해를 당했을 때, 그 피해가 특정 빅테크 기업의 정보 유출 사고 때문에 직접적으로 발생했다는 인과관계를 피해자 개인이 입증해 내기는 현실적으로 불가능합니다. 법원은 입증 책임이 있는 피해자가 명확한 증거를 제시하지 못하면 손해를 인정하지 않는 경향이 강합니다.
• 물질적 피해 중심의 판단: 사법부는 해킹, 스팸, 피싱 위험 증가와 같은 장기적이고 간접적인 피해보다는 물질적으로 직접 확인 가능한 손해를 중심으로 판단합니다. 이 때문에 정보 유출로 인한 2차 피해들은 금전적 가치로 환산되어 인정받기 어렵습니다.

---

2. 정신적 손해(위자료) 산정 기준의 소극성

개인정보 유출 피해의 대부분은 정신적 고통입니다. 하지만 이 정신적 고통에 대한 금전적 평가, 즉 위자료 산정 기준이 극히 보수적입니다.

• 관례적인 낮은 기준액: 국내 사법부는 개인정보 유출 사건에 대한 위자료를 기존의 명예훼손 등 소액 사건 판례를 준용하여 5만 원에서 10만 원 사이에서 소극적으로 책정하는 경향이 오랫동안 이어져 왔습니다. 이 낮은 기준이 대규모 사고에도 그대로 적용되어 '솜방망이 배상' 논란을 키우고 있습니다.
• 객관적 표준 부재: 정신적 손해를 객관적으로 평가할 수 있는 합리적인 위자료 산정 표준 모델이 마련되어 있지 않기 때문에, 법원 재량에 따라 금액이 낮게 책정되는 한계가 있습니다.

 

---

3. 개인정보를 ‘재산적 가치’로 인정하는 인식이 낮음

EU(유럽연합)나 미국에서는 개인정보가 곧 ‘금전적 자산’으로 평가됩니다.
하지만 한국에서는 아직 개인정보를 정서적 피해나 불안 증가 정도의 문제로 판단하는 경향이 강합니다.

 

이 때문에 법원이 정신적 손해배상을 크게 인정하지 않고, “유출됐지만 실제 피해는 없다”며 낮은 금액을 판결하는 경우가 많습니다.

---

4. 한국의 집단소송·징벌적 손해배상 제도가 미흡

많은 국가에서는 개인정보 유출 사고에 대해

• 소비자 집단이 대규모 소송을 제기하고,
• 기업이 수천억 원의 배상을 하는 것
  이 일반적입니다.

반면 한국은

• 집단소송 시스템이 매우 제한적,
• 징벌적 손해배상도 일부 영역에만 적용,
• 소송 절차가 복잡하고 피해자는 개별적으로 싸워야 함

결국 기업 입장에서는 “소송해도 감당 가능한 수준” 이라는 인식이 형성되고, 처벌과 배상 수준이 자연스럽게 낮아지는 구조가 만들어집니다.

---

5. 고도화된 사이버 공격, 기업 과실 100%로 보기 어려워

최근 해킹은

• 북한·중국 기반 APT 공격
• 0-day 취약점 활용
• 내부망 분리 우회
  등 매우 고난도 기술이 활용됩니다.

법원 입장에서는
“기업이 아무리 대비해도 막기 어려운 공격이었다” 라고 판단할 가능성이 커서, 기업의 책임을 100%로 인정하지 않습니다.

이 역시 배상액을 낮추는 결정적 요인이 됩니다.

---

6. 제도 개선 논의는 있지만 속도가 느림

정부와 국회에서도 개인정보 유출 피해의 심각성을 인지하고 있습니다. 실제로

• 징벌적 손해배상 확대
• 집단소송 강화
• 기업 보안 의무 강화
  등이 논의되고 있지만 경제계 반발과 제도 설계 논란으로 개정 속도는 더딥니다.

이런 상황 때문에 여전히 국내에서는 솜방망이 처벌 구조가 유지되고 있습니다.

---

✔ 결론: ‘솜방망이 처벌’은 판사의 문제가 아니라 구조의 문제

한국에서 개인정보 유출의 배상액이 낮게 책정되는 이유는 단순히 사법부의 판단 때문이 아니라,
피해 입증 부담,
개인정보 가치에 대한 낮은 인식,
집단소송 제도의 미비,
고난도 공격에 대한 과실 판단의 어려움,
제도 개선 지연
이 복합적으로 얽혀 있기 때문입니다.

 

향후 제도 개편이 본격화되면 기업의 책임 범위가 넓어지고, 배상액도 점차 현실화될 가능성이 있습니다.

하지만 현재로서는 피해자 보호보다는 기업 중심의 구조가 유지되고 있다고 보는 것이 맞습니다.

---

✔  시스템 리스크 시대, 제도 개선의 목소리

빅테크 기업의 정보 유출은 단순한 개인의 피해를 넘어 사회 전체의 시스템 리스크로 인식되고 있습니다.

 

낮은 배상액은 기업이 정보 보호 책임에 대해 실질적인 부담을 느끼지 못하게 하여, 근본적인 보안 시스템 개선을 어렵게 만듭니다.

 

따라서 다음과 같은 제도적 개선이 필요하다는 지적이 커지고 있습니다.

1. 징벌적 손해배상제 실효성 강화: 징벌적 배상액의 배수를 대폭 높이고 적용 범위를 확대하여 기업에 실질적인 압박을 가해야 합니다.
2. 법정손해배상액 상향: 이용자가 손해액을 입증하지 못하더라도 인정되는 법정손해배상액의 기준과 실제 판례 금액을 상향해야 합니다.
3. 위자료 산정 기준 현실화: 개인정보 침해에 대한 정신적 피해를 객관적으로 평가할 수 있는 현실적인 표준 위자료 산정 기준을 마련해야 합니다.

사이버 위협이 고도화되는 시대에, 사법부와 입법부의 적극적인 제도 개선만이 기업의 책임감을 높이고 이용자 권익을 실질적으로 보호할 수 있는 유일한 해법이 될 것입니다.