![[사건X파일] "다 털렸다" '듀오' 집단소송? 현직 변호사 "'이 것' 확인하라"](https://image.ytn.co.kr/general/jpg/2026/0511/202605111131192924_d.jpg)
AD
■ 방송 : FM 94.5 (06:40~06:55, 12:40~12:55, 19:40~19:55)
■ 방송일 : 2026년 5월 11일 (월)
■ 진행 : 이원화 변호사
■ 대담 : 김연근 변호사
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기를 바랍니다.
◇ 이원화 : 생각해보면, ‘결혼정보회사’만큼 한 사람의 정보를 깊숙이 들여다보는 곳이 또 있을까 싶습니다. 내가 어떤 가치관을 가졌는지, 어떤 조건인지, 어떤 결혼을 원하는지까지 적어내는 거니까요. 이쯤 되면 일반적인 회원가입이 아니라, 나라는 사람의 소개서를 맡기는 셈입니다. 그런데 만약, 이 정보가 통째로 외부로 빠져나갔다면 어떨까요. 이뿐만이 아니죠. 유출된 40만 명의 정보에는, 현재 회원 뿐 아니라 이미 탈퇴한 회원들의 정보까지 포함된 것으로 알려졌습니다. 더 황당한 건, 우리가 이 사실을 알게 된 건 최근이지만, 해킹 사고 자체는 이미 한참 전에 벌어졌단 점이죠. 개인정보보호위원회 조사 결과, 듀오는 유출 사실을 확인하고도 관계당국에 신고 의무를 지키지 않았고, 회원들에게도 제대로 통지하지 않은 것으로 드러났죠. 더 좋은 인연을 만나기 위해 적어낸 아주 민감하고도 개인적인 정보들. 피해자들은 어디까지 배상을 받을 수 있을까요? 오늘 <사건X파일>에서 이 사건, 자세히 살펴보겠습니다. 안녕하세요. <사건X파일>, 이원화입니다. 오늘은 ‘로엘 법무법인’ 김연근 변호사와 함께 합니다. 변호사님, 어서 오세요.
◆ 김연근 : 안녕하세요. ‘로엘 법무법인’ 김연근 변호사입니다.
◇ 이원화 : 국내에서 손꼽히는 결혼정보회사죠? ‘듀오’에서 ‘대규모 개인정보 유출 사건’이 발생했습니다. 구체적으로 어떤 일이 있었던 건가요?
◆ 김연근 : 네, 보도된 내용에 의하면 지난해 1월 국내 결혼정보회사 ‘듀오’에서 ‘대규모 개인정보 유출 사고’가 발생했습니다. 해커가 직원 PC를 통해 서버에 침입했고 약 42만 명의 회원 정보를 빼낸 사건인데요. 문제는 사고 이후 대응이었습니다. 듀오는 유출 사실을 인지하고도 회원들에게 개별 통지를 하지 않았고, 결국 ‘사고 발생 1년이 지나서야’ 외부에 알려졌습니다.
◇ 이원화 : 해킹으로 개인정보가 유출되는 사건이 이번이 처음은 아닙니다. 그런데 이번 사건이 유독 심각하게 느껴지는 건, 유출된 정보의 성격 때문인 것 같거든요? 업체 대표의 한 인터뷰를 보면, 가입자들이 결혼과 관련해 ‘165개의 질문’에 답해야 한다 이런 내용도 있던데. 165개나 되는 질문이라면, 이름이나 연락처 그런 연결인자 수준이 아니라 이게 굉장히 구체적이고 디테일한 정보일 것 같은데, 얼마나 사적인 정보까지 수집되는 거죠?
◆ 김연근 : 결혼정보회사가 보유한 정보는 일반 플랫폼과 차원이 다릅니다. 이름이나 연락처뿐 아니라 학력, 직업, 가족관계, 혼인 이력, 종교, 신체 조건, 일부 자산 정보까지 포함된 것으로 알려졌습니다. ‘사실상 한 사람의 생활과 가치관을 상당 부분 재구성할 수 있는 수준의 정보가 유출된 셈’입니다.
◇ 이원화 : 물론 결혼정보회사 입장에선, 제대로 된 매칭을 위해 다양한 정보가 많을수록 좋다, 이해 못할 바는 아니지만, 그럼에도 좀 과한 것 아닌가란 지점도 있는데 개인정보회사가 회원 매칭을 이유로 이렇게 폭넓은 개인정보를 수집하는 것, 이건 문제 없나요? 법적으로 어디까지 허용된다 이런 기준은 없습니까?
◆ 김연근 : 개인정보 보호법의 기본 원칙은 필요한 최소한의 정보만 수집하라는 것입니다. 물론 결혼 매칭 서비스 특성상 일반 서비스보다 더 많은 정보가 필요할 수는 있습니다. 다만 이번 사건에서는 주민등록번호나 자산 증빙 자료처럼 민감성이 높은 정보까지 광범위하게 보관해온 점이 문제로 지적되고 있습니다. 결국 ‘좋은 매칭’이라는 전제하에 필요 이상으로 많은 정보를 수집·보관한 것이 피해 규모를 키운 원인 중 하나로 보입니다.
◇ 이원화 : 결국 결혼정보회사가 보유한 개인정보 양도 양이지만 내용의 깊이도 훨씬 깊잖아요? 그러면 이렇게 정보의 양이 많고 민감도가 높다면, 유출 사고가 났을 때 법적으로도 일반 개인정보 유출보다 더 무겁게 평가될 수 있을까요?
◆ 김연근 : 네, 그렇습니다. 법원은 개인정보 유출로 인한 위자료 산정 시 '유출된 개인정보의 종류와 성격'을 기준으로 삼고 있습니다. 단순히 유출 사실 자체가 아니라, 어떤 정보가 얼마나 광범위하게 유출됐는지를 종합적으로 고려해야 한다는 것입니다.
◇ 이원화 : 또 하나 짚어볼 게 정보가 유출된 회원이 40만명 정도 된다고 했는데. 이 가운데 상당수는 이미 탈퇴한 회원이었다면서요? 탈퇴했으면 정보도 삭제했어야 하는 것 아닙니까? 이런 조항이 없었던 건가요?
◆ 김연근 : 맞습니다. 개인정보는 보유기간이 지나거나 목적이 달성되면 삭제하는 것이 원칙입니다. 그런데 듀오는 보유기간이 경과한 정회원 정보 29만 8,566건을 파기하지 않고 그대로 보관해왔습니다. 탈퇴 회원들은 서비스를 종료하면서 자신의 정보가 삭제될 것이라고 믿었을 텐데, 그 신뢰가 배반당한 셈입니다.
◇ 이원화 : 그리고 많은 분들이 헷갈릴 수 있는 게 이 사건이 보도된 게 비교적 최근이었거든요. 그런데 실제 사고는 ‘지난해 1월’에 났다고 하더라고요. 그런데 왜 1년도 훨씬 지난 시점에서야 이게 알려진 거죠? 그래도 되는 겁니까?
◆ 김연근 : 물론 안 됩니다. 개인정보 유출이 발생하면 회사는 회원들에게 이를 알리고 필요한 보호 조치를 할 수 있도록 해야 합니다. 그런데 듀오는 유출 사실을 인지한 뒤에도 회원들에게 개별적으로 알리지 않았고, 피해자들은 1년 넘게 자신의 정보가 유출됐다는 사실조차 모르고 있었던 겁니다.
◇ 이원화 : 그런데 결혼정보회사에서 개인정보 유출 시 회원에게 바로 알려야 한다는 걸 몰랐을 것 같진 않고요. 다만 회사 입장에서는 유출 사실을 공개하는 순간, 평판이라든지 회원 이탈 이런 부담이 생길 수 있잖아요. 그래서 이런 현실적인 이해관계 때문에, 유출 사실을 늦게 알리거나 소극적으로 공개하는 경우도 있다고 봐야할까요?
◆ 김연근 : 현실적으로 기업 입장에서는 유출 사실이 공개될 경우 평판 하락이나 회원 이탈 같은 부담이 생길 수 있습니다. 하지만 이를 숨기거나 늦게 공개할수록 결국 더 큰 책임으로 이어질 가능성이 큽니다. 특히 이번 사건처럼 보안 조치 미비와 통지 의무 위반까지 확인된 경우에는 피해자 측에 상당히 유리한 사정으로 작용할 수 있습니다.
◇ 이원화 : 결국 제재가 충분히 무거운지도 생각해봐야할 것 같아요. 과징금이 11억9천, 과태료가 1320만 원 정도 나왔다던데 기업 입장에서 개인정보 보호 제대로 못하면 회사 자체가 흔들릴 수 있겠구나 느낄 만큼의 충분한 압박이 된다고 보세요?
◆ 김연근 : 솔직히 말씀드리면, 현재 수준으로는 ‘충분하지 않다’는 것이 법조계와 전문가들의 공통된 시각입니다. 42만 명으로 나누면 ‘1인당 약 2,800원’, 저가 커피 한 잔 수준입니다. 현행 개인정보 보호법은 과징금을 '위반 행위와 관련된 매출액의 최대 3%' 범위에서 산정하도록 하고 있습니다. 듀오의 경우 최근 3년 평균 매출 약 413억 원을 기준으로 산정됐고, 중기업으로 분류되어 15%가 추가 감경된 것으로 알려졌습니다. 제도 안에서는 문제가 없지만, 피해 규모와 정보의 민감도를 고려하면 현실 체감과 괴리가 큽 것으로 보입니다.
◇ 이원화 : 피해자 입장에서 가장 궁금한 건, ‘그래서 어떻게 해야 하고 배상은 어느 정도 가능하냐’ 이 부분일 것 같거든요? 이미 집단소송 움직임도 있습니다만, 만약에 변호사님에게 이 사건이 주어지면, 배상액이라든지 소송을 어떻게 접근하시겠어요? 기존 사건들보다 더 높은 위자료가 인정돼야하는 것 아니냔 이야기도 나오고 있거든요.
◆ 김연근 : 이 사건은 개인정보 유출 소송에서 피해자 측에 유리한 구조를 갖추고 있습니다. 우선 책임 입증 측면에서, 개인정보 보호법은 개인정보처리자가 고의 또는 과실이 없음을 스스로 입증하지 못하면 책임을 면할 수 없도록 입증책임을 전환하고 있습니다. 이미 개인정보보호위원회 조사에서 접근제한 조치 미비, 취약한 암호화, 파기 의무 위반, 통지 의무 위반 등 다수의 법령 위반이 확인됐기 때문에 듀오가 무과실을 입증하기는 사실상 어려운 것으로 보입니다. 손해 입증 측면에서는 ‘법정손해배상 제도’를 활용할 수 있겠습니다. 피해자들은 구체적인 손해액을 입증하지 않아도 ‘최대 300만 원까지 청구’할 수 있습니다. 위자료 수준에 대해서는, 과거 카드사 개인정보 유출 사건에서 1인당 10만 원이 인정됐던 것과 달리, 이번 사건은 종교·혼인경력·자산정보 등 극도로 민감한 정보가 포함됐다는 점에서 법원이 더 높은 위자료를 인정할 가능성이 큽니다. 해킹에 의해 제3자가 실제로 열람했을 가능성이 높고, 42만 명이라는 방대한 확산 범위, 2차 범죄 악용 가능성까지 고려하면 기존 사례보다 높은 위자료가 인정될 여지가 있습니다.
◇ 이원화 : 그러면 이제 좀 현실적인 부분인데요, 집단소송엔 참여해야할까요? 참여 여부를 판단할 때 확인할 부분 같은 것도 있을까요?
◆ 김연근 : 집단소송 참여는 개인 소송보다 비용 부담이 적고, 증거 수집과 법리 구성을 전문 로펌이 담당하기 때문에 일반 피해자 입장에서는 현실적으로 유리한 선택이 될 수 있습니다. 참여 여부를 판단할 때 확인할 사항은 크게 ‘세 가지’입니다. 첫째, ‘본인이 실제 피해 대상자인지 확인’해야합니다. 듀오가 개인정보보호위원회의 명령에 따라 피해 회원들에게 개별 통지를 진행하면, 통지 내용을 반드시 보관해야 합니다. 둘째, ‘소송 참여 시 청구 금액과 수임료 구조를 꼼꼼히 확인’할 필요가 있습니다. 현재 법무법인들이 1인당 최소 50만 원 청구를 논의 중인데, 실제 인용 금액과 수임료를 비교해 실익을 따져봐야 합니다.
◇ 이원화 : 그렇죠. 왜 그러냐면 지금까지 집단 소송이 뭐 꽤 여러 차례 있었습니다만, 사실 실제로 인용이 돼서 피해자들에게 피해 금액이 손해배상금으로 지급이 된 사례가 그렇게 많지 않습니다. 거의 없다시피 할 정도이기 때문에 이 사건에서도 어느 정도가 인정이 될지 이런 것들은 어느 정도 본인도 스스로 판단을 해 보시고 결정하시는 게 좋을 것 같아요. ‘탈퇴한 회원’은 원래 정보가 파기됐어야 하는 경우니까, 손해배상 금액 더 높게 받을 수도 있겠습니까?
◆ 김연근 : 충분히 검토 가능한 주장입니다. 탈퇴 회원의 경우 두 가지 측면에서 추가적인 법적 근거가 있습니다. 첫째, ‘파기 의무 위반’이라는 독립적인 위법행위가 존재합니다. 개인정보 보호법은 처리 목적이 달성되거나 보유기간이 경과하면 지체 없이 파기하도록 의무화하고 있습니다. 탈퇴 회원들은 서비스를 종료하면서 자신의 정보가 삭제될 것이라는 정당한 기대를 가졌는데, 듀오가 이를 이행하지 않은 것은 단순한 유출 사고를 넘어 별도의 위법행위를 구성할 수 있습니다. 둘째, 위자료 산정에서 이 점이 ‘가중 요소’로 작용할 수 있습니다. 법원은 개인정보처리자가 개인정보를 관리해온 실태와 유출의 구체적 경위를 위자료 산정 기준으로 삼고 있는데, 파기됐어야 할 정보를 방치한 것은 관리 실태가 더욱 불량했음을 보여주는 사정이 될 수 있습니다. 따라서 탈퇴 회원은 현재 회원보다 더 높은 위자료를 주장할 수 있는 근거가 될 수 있습니다.
◇ 이원화 : 끝으로, 내가 현재 회원이거나, 예전에 가입했다가 탈퇴한 사람이다 하는 경우, 지금 무엇부터 확인하고 어떤 자료를 남겨야 하는지 이 부분 한 번 정리해주시죠.
◆ 김연근 : 네, 현재 회원이거나 과거 가입 이력이 있는 분들이라면 우선 ‘듀오 측 안내 문자나 이메일’을 잘 보관해두시는 게 좋겠습니다. 또 가입 당시 어떤 정보를 제출했는지 정리해두시고, 이후 스팸 문자나 보이스피싱 같은 이상 징후가 있었다면 ‘캡처’나 ‘기록’을 남겨두시는 게 도움이 될 수 있습니다. 무엇보다 ‘같은 비밀번호를 다른 사이트에서도 사용하고 있다면 즉시 변경하시는 것을 권고 드립니다.
◇ 이원화 : <사건X파일>, 오늘 저희가 준비한 내용은 여기까지입니다. 여러분은 모두 변호 받아, 마땅한 사람들입니다. 사건! 엑스파일! 여러분, 고맙습니다.
YTN 김양원 (kimyw@ytnradio.kr)
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
■ 방송일 : 2026년 5월 11일 (월)
■ 진행 : 이원화 변호사
■ 대담 : 김연근 변호사
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기를 바랍니다.
◇ 이원화 : 생각해보면, ‘결혼정보회사’만큼 한 사람의 정보를 깊숙이 들여다보는 곳이 또 있을까 싶습니다. 내가 어떤 가치관을 가졌는지, 어떤 조건인지, 어떤 결혼을 원하는지까지 적어내는 거니까요. 이쯤 되면 일반적인 회원가입이 아니라, 나라는 사람의 소개서를 맡기는 셈입니다. 그런데 만약, 이 정보가 통째로 외부로 빠져나갔다면 어떨까요. 이뿐만이 아니죠. 유출된 40만 명의 정보에는, 현재 회원 뿐 아니라 이미 탈퇴한 회원들의 정보까지 포함된 것으로 알려졌습니다. 더 황당한 건, 우리가 이 사실을 알게 된 건 최근이지만, 해킹 사고 자체는 이미 한참 전에 벌어졌단 점이죠. 개인정보보호위원회 조사 결과, 듀오는 유출 사실을 확인하고도 관계당국에 신고 의무를 지키지 않았고, 회원들에게도 제대로 통지하지 않은 것으로 드러났죠. 더 좋은 인연을 만나기 위해 적어낸 아주 민감하고도 개인적인 정보들. 피해자들은 어디까지 배상을 받을 수 있을까요? 오늘 <사건X파일>에서 이 사건, 자세히 살펴보겠습니다. 안녕하세요. <사건X파일>, 이원화입니다. 오늘은 ‘로엘 법무법인’ 김연근 변호사와 함께 합니다. 변호사님, 어서 오세요.
◆ 김연근 : 안녕하세요. ‘로엘 법무법인’ 김연근 변호사입니다.
◇ 이원화 : 국내에서 손꼽히는 결혼정보회사죠? ‘듀오’에서 ‘대규모 개인정보 유출 사건’이 발생했습니다. 구체적으로 어떤 일이 있었던 건가요?
◆ 김연근 : 네, 보도된 내용에 의하면 지난해 1월 국내 결혼정보회사 ‘듀오’에서 ‘대규모 개인정보 유출 사고’가 발생했습니다. 해커가 직원 PC를 통해 서버에 침입했고 약 42만 명의 회원 정보를 빼낸 사건인데요. 문제는 사고 이후 대응이었습니다. 듀오는 유출 사실을 인지하고도 회원들에게 개별 통지를 하지 않았고, 결국 ‘사고 발생 1년이 지나서야’ 외부에 알려졌습니다.
◇ 이원화 : 해킹으로 개인정보가 유출되는 사건이 이번이 처음은 아닙니다. 그런데 이번 사건이 유독 심각하게 느껴지는 건, 유출된 정보의 성격 때문인 것 같거든요? 업체 대표의 한 인터뷰를 보면, 가입자들이 결혼과 관련해 ‘165개의 질문’에 답해야 한다 이런 내용도 있던데. 165개나 되는 질문이라면, 이름이나 연락처 그런 연결인자 수준이 아니라 이게 굉장히 구체적이고 디테일한 정보일 것 같은데, 얼마나 사적인 정보까지 수집되는 거죠?
◆ 김연근 : 결혼정보회사가 보유한 정보는 일반 플랫폼과 차원이 다릅니다. 이름이나 연락처뿐 아니라 학력, 직업, 가족관계, 혼인 이력, 종교, 신체 조건, 일부 자산 정보까지 포함된 것으로 알려졌습니다. ‘사실상 한 사람의 생활과 가치관을 상당 부분 재구성할 수 있는 수준의 정보가 유출된 셈’입니다.
◇ 이원화 : 물론 결혼정보회사 입장에선, 제대로 된 매칭을 위해 다양한 정보가 많을수록 좋다, 이해 못할 바는 아니지만, 그럼에도 좀 과한 것 아닌가란 지점도 있는데 개인정보회사가 회원 매칭을 이유로 이렇게 폭넓은 개인정보를 수집하는 것, 이건 문제 없나요? 법적으로 어디까지 허용된다 이런 기준은 없습니까?
◆ 김연근 : 개인정보 보호법의 기본 원칙은 필요한 최소한의 정보만 수집하라는 것입니다. 물론 결혼 매칭 서비스 특성상 일반 서비스보다 더 많은 정보가 필요할 수는 있습니다. 다만 이번 사건에서는 주민등록번호나 자산 증빙 자료처럼 민감성이 높은 정보까지 광범위하게 보관해온 점이 문제로 지적되고 있습니다. 결국 ‘좋은 매칭’이라는 전제하에 필요 이상으로 많은 정보를 수집·보관한 것이 피해 규모를 키운 원인 중 하나로 보입니다.
◇ 이원화 : 결국 결혼정보회사가 보유한 개인정보 양도 양이지만 내용의 깊이도 훨씬 깊잖아요? 그러면 이렇게 정보의 양이 많고 민감도가 높다면, 유출 사고가 났을 때 법적으로도 일반 개인정보 유출보다 더 무겁게 평가될 수 있을까요?
◆ 김연근 : 네, 그렇습니다. 법원은 개인정보 유출로 인한 위자료 산정 시 '유출된 개인정보의 종류와 성격'을 기준으로 삼고 있습니다. 단순히 유출 사실 자체가 아니라, 어떤 정보가 얼마나 광범위하게 유출됐는지를 종합적으로 고려해야 한다는 것입니다.
◇ 이원화 : 또 하나 짚어볼 게 정보가 유출된 회원이 40만명 정도 된다고 했는데. 이 가운데 상당수는 이미 탈퇴한 회원이었다면서요? 탈퇴했으면 정보도 삭제했어야 하는 것 아닙니까? 이런 조항이 없었던 건가요?
◆ 김연근 : 맞습니다. 개인정보는 보유기간이 지나거나 목적이 달성되면 삭제하는 것이 원칙입니다. 그런데 듀오는 보유기간이 경과한 정회원 정보 29만 8,566건을 파기하지 않고 그대로 보관해왔습니다. 탈퇴 회원들은 서비스를 종료하면서 자신의 정보가 삭제될 것이라고 믿었을 텐데, 그 신뢰가 배반당한 셈입니다.
◇ 이원화 : 그리고 많은 분들이 헷갈릴 수 있는 게 이 사건이 보도된 게 비교적 최근이었거든요. 그런데 실제 사고는 ‘지난해 1월’에 났다고 하더라고요. 그런데 왜 1년도 훨씬 지난 시점에서야 이게 알려진 거죠? 그래도 되는 겁니까?
◆ 김연근 : 물론 안 됩니다. 개인정보 유출이 발생하면 회사는 회원들에게 이를 알리고 필요한 보호 조치를 할 수 있도록 해야 합니다. 그런데 듀오는 유출 사실을 인지한 뒤에도 회원들에게 개별적으로 알리지 않았고, 피해자들은 1년 넘게 자신의 정보가 유출됐다는 사실조차 모르고 있었던 겁니다.
◇ 이원화 : 그런데 결혼정보회사에서 개인정보 유출 시 회원에게 바로 알려야 한다는 걸 몰랐을 것 같진 않고요. 다만 회사 입장에서는 유출 사실을 공개하는 순간, 평판이라든지 회원 이탈 이런 부담이 생길 수 있잖아요. 그래서 이런 현실적인 이해관계 때문에, 유출 사실을 늦게 알리거나 소극적으로 공개하는 경우도 있다고 봐야할까요?
◆ 김연근 : 현실적으로 기업 입장에서는 유출 사실이 공개될 경우 평판 하락이나 회원 이탈 같은 부담이 생길 수 있습니다. 하지만 이를 숨기거나 늦게 공개할수록 결국 더 큰 책임으로 이어질 가능성이 큽니다. 특히 이번 사건처럼 보안 조치 미비와 통지 의무 위반까지 확인된 경우에는 피해자 측에 상당히 유리한 사정으로 작용할 수 있습니다.
◇ 이원화 : 결국 제재가 충분히 무거운지도 생각해봐야할 것 같아요. 과징금이 11억9천, 과태료가 1320만 원 정도 나왔다던데 기업 입장에서 개인정보 보호 제대로 못하면 회사 자체가 흔들릴 수 있겠구나 느낄 만큼의 충분한 압박이 된다고 보세요?
◆ 김연근 : 솔직히 말씀드리면, 현재 수준으로는 ‘충분하지 않다’는 것이 법조계와 전문가들의 공통된 시각입니다. 42만 명으로 나누면 ‘1인당 약 2,800원’, 저가 커피 한 잔 수준입니다. 현행 개인정보 보호법은 과징금을 '위반 행위와 관련된 매출액의 최대 3%' 범위에서 산정하도록 하고 있습니다. 듀오의 경우 최근 3년 평균 매출 약 413억 원을 기준으로 산정됐고, 중기업으로 분류되어 15%가 추가 감경된 것으로 알려졌습니다. 제도 안에서는 문제가 없지만, 피해 규모와 정보의 민감도를 고려하면 현실 체감과 괴리가 큽 것으로 보입니다.
◇ 이원화 : 피해자 입장에서 가장 궁금한 건, ‘그래서 어떻게 해야 하고 배상은 어느 정도 가능하냐’ 이 부분일 것 같거든요? 이미 집단소송 움직임도 있습니다만, 만약에 변호사님에게 이 사건이 주어지면, 배상액이라든지 소송을 어떻게 접근하시겠어요? 기존 사건들보다 더 높은 위자료가 인정돼야하는 것 아니냔 이야기도 나오고 있거든요.
◆ 김연근 : 이 사건은 개인정보 유출 소송에서 피해자 측에 유리한 구조를 갖추고 있습니다. 우선 책임 입증 측면에서, 개인정보 보호법은 개인정보처리자가 고의 또는 과실이 없음을 스스로 입증하지 못하면 책임을 면할 수 없도록 입증책임을 전환하고 있습니다. 이미 개인정보보호위원회 조사에서 접근제한 조치 미비, 취약한 암호화, 파기 의무 위반, 통지 의무 위반 등 다수의 법령 위반이 확인됐기 때문에 듀오가 무과실을 입증하기는 사실상 어려운 것으로 보입니다. 손해 입증 측면에서는 ‘법정손해배상 제도’를 활용할 수 있겠습니다. 피해자들은 구체적인 손해액을 입증하지 않아도 ‘최대 300만 원까지 청구’할 수 있습니다. 위자료 수준에 대해서는, 과거 카드사 개인정보 유출 사건에서 1인당 10만 원이 인정됐던 것과 달리, 이번 사건은 종교·혼인경력·자산정보 등 극도로 민감한 정보가 포함됐다는 점에서 법원이 더 높은 위자료를 인정할 가능성이 큽니다. 해킹에 의해 제3자가 실제로 열람했을 가능성이 높고, 42만 명이라는 방대한 확산 범위, 2차 범죄 악용 가능성까지 고려하면 기존 사례보다 높은 위자료가 인정될 여지가 있습니다.
◇ 이원화 : 그러면 이제 좀 현실적인 부분인데요, 집단소송엔 참여해야할까요? 참여 여부를 판단할 때 확인할 부분 같은 것도 있을까요?
◆ 김연근 : 집단소송 참여는 개인 소송보다 비용 부담이 적고, 증거 수집과 법리 구성을 전문 로펌이 담당하기 때문에 일반 피해자 입장에서는 현실적으로 유리한 선택이 될 수 있습니다. 참여 여부를 판단할 때 확인할 사항은 크게 ‘세 가지’입니다. 첫째, ‘본인이 실제 피해 대상자인지 확인’해야합니다. 듀오가 개인정보보호위원회의 명령에 따라 피해 회원들에게 개별 통지를 진행하면, 통지 내용을 반드시 보관해야 합니다. 둘째, ‘소송 참여 시 청구 금액과 수임료 구조를 꼼꼼히 확인’할 필요가 있습니다. 현재 법무법인들이 1인당 최소 50만 원 청구를 논의 중인데, 실제 인용 금액과 수임료를 비교해 실익을 따져봐야 합니다.
◇ 이원화 : 그렇죠. 왜 그러냐면 지금까지 집단 소송이 뭐 꽤 여러 차례 있었습니다만, 사실 실제로 인용이 돼서 피해자들에게 피해 금액이 손해배상금으로 지급이 된 사례가 그렇게 많지 않습니다. 거의 없다시피 할 정도이기 때문에 이 사건에서도 어느 정도가 인정이 될지 이런 것들은 어느 정도 본인도 스스로 판단을 해 보시고 결정하시는 게 좋을 것 같아요. ‘탈퇴한 회원’은 원래 정보가 파기됐어야 하는 경우니까, 손해배상 금액 더 높게 받을 수도 있겠습니까?
◆ 김연근 : 충분히 검토 가능한 주장입니다. 탈퇴 회원의 경우 두 가지 측면에서 추가적인 법적 근거가 있습니다. 첫째, ‘파기 의무 위반’이라는 독립적인 위법행위가 존재합니다. 개인정보 보호법은 처리 목적이 달성되거나 보유기간이 경과하면 지체 없이 파기하도록 의무화하고 있습니다. 탈퇴 회원들은 서비스를 종료하면서 자신의 정보가 삭제될 것이라는 정당한 기대를 가졌는데, 듀오가 이를 이행하지 않은 것은 단순한 유출 사고를 넘어 별도의 위법행위를 구성할 수 있습니다. 둘째, 위자료 산정에서 이 점이 ‘가중 요소’로 작용할 수 있습니다. 법원은 개인정보처리자가 개인정보를 관리해온 실태와 유출의 구체적 경위를 위자료 산정 기준으로 삼고 있는데, 파기됐어야 할 정보를 방치한 것은 관리 실태가 더욱 불량했음을 보여주는 사정이 될 수 있습니다. 따라서 탈퇴 회원은 현재 회원보다 더 높은 위자료를 주장할 수 있는 근거가 될 수 있습니다.
◇ 이원화 : 끝으로, 내가 현재 회원이거나, 예전에 가입했다가 탈퇴한 사람이다 하는 경우, 지금 무엇부터 확인하고 어떤 자료를 남겨야 하는지 이 부분 한 번 정리해주시죠.
◆ 김연근 : 네, 현재 회원이거나 과거 가입 이력이 있는 분들이라면 우선 ‘듀오 측 안내 문자나 이메일’을 잘 보관해두시는 게 좋겠습니다. 또 가입 당시 어떤 정보를 제출했는지 정리해두시고, 이후 스팸 문자나 보이스피싱 같은 이상 징후가 있었다면 ‘캡처’나 ‘기록’을 남겨두시는 게 도움이 될 수 있습니다. 무엇보다 ‘같은 비밀번호를 다른 사이트에서도 사용하고 있다면 즉시 변경하시는 것을 권고 드립니다.
◇ 이원화 : <사건X파일>, 오늘 저희가 준비한 내용은 여기까지입니다. 여러분은 모두 변호 받아, 마땅한 사람들입니다. 사건! 엑스파일! 여러분, 고맙습니다.
YTN 김양원 (kimyw@ytnradio.kr)
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
AD