유출인가 누설인가 : 대법원 판례로 보는 개인정보보호법 형사 책임의 경계

카테고리 없음

유출인가 누설인가 : 대법원 판례로 보는 개인정보보호법 형사 책임의 경계

프라이버시 큐레이터 2026. 2. 16. 04:13

기업의 고객 데이터베이스 서버가 해킹을 당해 정보가 빠져나간 사건과, 퇴사하는 직원이 경쟁사 지인에게 고객 명부를 이메일로 몰래 전송한 사건. 일반인의 눈에는 둘 다 똑같은 '개인정보 사고'로 보일 수 있지만, 법정에서는 이 두 사건을 완전히 다른 잣대로 심판한다. 전자가 정보의 물리적 통제권을 잃어버린 '유출(Leakage)'이라면, 후자는 직무상 알게 된 비밀을 특정인에게 적극적으로 알린 '누설(Disclosure)'에 해당하기 때문이다. 개인정보보호법 수사 실무와 대법원 판례에서 이 두 개념을 어떻게 구분하며, 왜 '누설'의 형사 책임이 훨씬 더 무겁게 다루어지는지 명확한 법리적 기준을 알아보자.

1. 통제권의 상실(유출)과 인식의 발생(누설)

개인정보보호법을 해석할 때 가장 먼저 짚어야 할 지점은 사태의 성격이 '유출'인지 '누설'인지 규명하는 것이다. 두 단어는 일상에서 혼용되지만 법률적 내포는 확연히 다르다.

'유출'이란 개인정보가 개인정보처리자의 관리 및 통제 범위를 벗어나 외부로 옮겨진 '상태' 그 자체를 의미한다. 해커의 공격으로 데이터가 복제되어 빠져나가거나, 직원이 고객 정보가 담긴 USB를 지하철에 두고 내린 경우가 대표적이다. 즉, 정보가 울타리 밖으로 넘어갔다는 물리적 사실 자체가 핵심이다.

반면 '누설'은 상태가 아닌 '행위와 결과'에 초점을 맞춘다. 법률상 누설은 개인정보취급자(직원 등)가 직무상 알게 된 개인정보를 정당한 권한 없는 제3자에게 알려주어, 그 제3자가 정보의 내용을 '알 수 있는 상태'로 만드는 적극적인 행위를 말한다. 단순히 문서가 밖으로 나간 것을 넘어, 누군가의 머릿속에 그 정보가 인식될 수 있는 상황을 고의로 초래했는가가 누설을 판단하는 핵심 기준이다.

2. 대법원이 제시한 '누설'의 엄격한 성립 요건

정보가 외부로 전달되었다고 해서 무조건 '누설죄'가 성립하는 것은 아니다. 대법원은 누설의 성립 요건을 매우 엄격하고 정밀하게 따진다.

대법원 판례(2015도8766)는 누설에 대해 "아직 알지 못하는 타인에게 사실을 알리는 행위"로 정의하며, 중요한 법리적 기준을 제시했다. 만약 직원이 외부인에게 고객 명부 파일을 전송하긴 했으나 그 파일에 강력한 암호가 걸려 있었고 상대방이 그 암호를 풀지 못했다면 어떻게 될까? 대법원의 논리에 따르면, 상대방이 정보의 내용을 실질적으로 알아차릴 수 없는 상태였으므로 이는 기수(범죄의 완성)로서의 '누설'에 해당하지 않는다고 볼 여지가 크다.

수사기관은 이 과정에서 행위자의 '고의성'을 집중적으로 파고든다. 상대방이 이 정보를 열어볼 것이라는 사실을 충분히 예견했음에도 불구하고(미필적 고의) 파일을 전송하거나 구두로 전달했다면 누설의 고의가 강력하게 인정된다. 반면, 단순히 수신인의 이메일 주소를 착각하여 오발송한 단순 과실의 경우라면, 고의적 누설보다는 관리 소홀에 의한 유출(과태료 사안 등)로 다루어질 확률이 높다.

3. 처벌의 무게 : 왜 '누설'이 더 치명적인가

법정에서 유출과 누설의 구분은 곧 형량의 차이로 직결된다. 실무적으로 '누설'은 '단순 유출'보다 행위자의 배신적 악의가 크다고 보아 훨씬 무거운 철퇴가 내려진다.

단순한 관리 실수나 방화벽 등의 안전성 확보 조치를 게을리하여 해킹 등으로 정보가 '유출'된 경우, 개인정보보호법 제73조에 따라 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처해진다. 물론 이 역시 가벼운 처벌은 아니지만, 행위의 초점이 관리자의 '과실'에 맞춰져 있다.

그러나 직무상 알게 된 비밀을 고의로 빼돌려 제3자에게 '누설'한 경우는 차원이 다르다. 법 제71조 제9호는 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자를 '5년 이하의 징역 또는 5천만 원 이하의 벌금'이라는 엄벌에 처하도록 규정하고 있다. 여기에 더해, 퇴직한 이후라도 재직 중 알게 된 정보를 누설하거나 이용한다면 동일하게 무거운 징역형의 대상이 된다.

마치며

개인정보보호법 체계 안에서 '유출'이 방패가 뚫린 사고라면, '누설'은 내부자가 성문을 열어준 배신행위다. 기업의 정보 보안 리스크는 외부의 해킹 공격(유출)을 막는 데만 국한되지 않는다.

진정한 보안의 완성은 내부 직원들이 직무상 다루는 정보의 무거움을 깨닫고, 이를 함부로 외부로 발설하거나 전송하는 행위(누설)가 얼마나 참혹한 형사 처벌로 돌아오는지 철저하게 교육하는 것에서 시작된다. 법은 고의적인 비밀 누설자에게 결코 관용을 베풀지 않음을 기억해야 할 것이다.

※ 법률 및 판례 참조 안내: 본 칼럼은 개인정보보호법 제71조(누설 및 무단 제공)와 제73조(유출), 그리고 대법원 판례(2015도8766)가 판시한 누설의 법리적 요건을 바탕으로 작성된 분석 에세이입니다. 정보보호 사고 발생 시 형사 처벌 여부와 적용 법조는 행위자의 고의성, 정보의 암호화 여부, 피해 규모 등 구체적인 사실관계에 따라 수사기관과 재판부의 판단이 달라질 수 있습니다. 본 내용은 기업의 컴플라이언스(준법 감시) 이해를 돕기 위한 일반적 정보 제공 목적이며, 개별 사건에 대한 공식적 법률 자문이 아님을 밝힙니다. (작성 기준일: 2026. 2.)