왜 이 판결이 중요한가요?
인터넷을 쓰다 보면 "어딘가에서 내 전화번호가 팔린 것 같다"는 느낌을 받은 분들이 적지 않으실 겁니다. 실제로 다크웹이나 불법 경로를 통해 개인정보가 거래되는 일이 꾸준히 일어나고 있습니다. 이렇게 불법으로 사들인 개인정보를 사업에 써먹은 사람이 과연 어떤 법적 책임을 지는지, 대법원이 2026년에 명확한 기준을 제시했습니다.
이 판결은 "나는 그 정보를 합법적으로 모은 게 아니니까 개인정보처리자가 아니다"라는 주장을 정면으로 반박하며, 개인정보 보호의 빈틈을 메운 중요한 선례입니다.
사건은 어떤 내용이었나요?
피고인 이 씨는 불법 인터넷 도박사이트를 개설하면서 다른 도박사이트 회원 796명의 이름·계좌번호·휴대전화번호를 불법 경로로 넘겨받았습니다. 이 씨는 직접 수집한 것도 아니고 정보 주인들에게 동의를 받은 것도 아니었습니다.
이 씨는 이 개인정보를 이용해 796명을 자신의 도박사이트에 무단으로 회원가입시키고, 입출금·게임 기능이 제대로 돌아가는지 점검하는 데 활용했습니다. 1심과 2심은 도박공간 개설 및 개인정보보호법 위반으로 징역 1년을 선고했고, 이 씨는 대법원에 상고했습니다.
이 씨의 핵심 주장은 이것이었습니다. "나는 그 개인정보를 합법적으로 수집한 사람이 아니니, 개인정보보호법상 개인정보처리자에 해당하지 않는다. 따라서 처리자에게 적용되는 규정 위반으로 처벌할 수 없다."
대법원은 뭐라고 했나요?
대법원 제1부(주심 서경환 대법관)는 이 씨의 상고를 기각하고 징역 1년을 확정했습니다.
핵심 판시를 쉽게 풀면 이렇습니다. 개인정보를 어떻게 손에 넣었느냐(합법이냐 불법이냐)가 아니라, 그 정보를 업무 목적으로 실제로 사용했는지 여부가 기준이다. 쉽게 말해, 남의 지갑을 훔쳐서 그 안의 카드로 물건을 샀다면 절도와 부정사용 모두 죄가 되는 것처럼, 개인정보를 불법으로 얻어 업무에 썼다면 그 순간 개인정보처리자로서의 의무와 책임이 함께 따라온다는 뜻입니다.
대법원은 이렇게 강조했습니다. "만약 불법 취득자라는 이유만으로 개인정보처리자에서 빠진다면, 개인정보보호법이 부과하는 관리·감독 및 손해배상 책임을 모두 면하게 된다. 이는 개인정보 보호라는 법의 목적에 정면으로 반하고, 피해자 보호에 심각한 공백을 만든다."
우리 일상에는 어떤 의미가 있나요?
이 판결은 개인정보 침해 피해자, 즉 우리 모두에게 중요한 보호막을 만들어 주었습니다.
- 이제 "훔쳐온 정보니까 나는 개인정보처리자가 아니다"라는 주장이 법원에서 통하지 않습니다.
- 불법으로 유통된 개인정보를 사업에 활용한 자는 형사처벌(개인정보보호법 위반)은 물론 민사상 손해배상 책임도 질 수 있습니다.
- 기업이나 개인이 다크웹 등에서 개인정보를 구매해 마케팅·사업에 이용하는 행위를 강하게 억제하는 효과가 있습니다.
내 개인정보가 도용되어 어딘가에 무단으로 가입되거나 이용된 것 같다면, 단순히 탈퇴 요청에서 그치지 않고 개인정보 침해 신고 및 손해배상 청구까지 검토해 볼 수 있다는 점도 기억해 두시면 좋습니다.
비슷한 상황이라면 어떻게 하면 될까요?
내 개인정보가 동의 없이 어디선가 사용되고 있다는 것을 알게 되었다면 아래 순서를 참고하세요.
- 먼저 개인정보보호위원회(privacy.go.kr) 또는 한국인터넷진흥원(KISA, 118)에 신고하거나 상담을 받습니다.
- 피해 증거(가입 확인 문자, 이용 내역 캡처 등)를 최대한 확보해 둡니다.
- 민·형사 구제를 동시에 검토할 경우, 법적 절차와 증거 수집 방법을 미리 확인하는 것이 유리합니다.
개인정보 도용 문제는 사안에 따라 형사 고소, 민사 손해배상, 행정 신고 등 여러 경로를 복합적으로 활용하는 것이 효과적일 수 있습니다. 구체적인 상황은 법률 전문가와 먼저 상담해 보시기 바랍니다.
참고 판례: 대법원 2026도477 (선고 2026년 4월 16일, 대법원 제1부 / 주심 서경환 대법관)
보도 출처: 리걸타임즈 2026.04.16., 뉴스핌·머니투데이·아주경제 2026.05.29~31.
※ 본 글은 일반적인 법률 정보 제공을 목적으로 작성된 것으로, 특정 사건에 대한 법률 자문이 아닙니다. 개별 사건의 결과는 사안에 따라 다를 수 있습니다.