[뉴스스페이스=이은주 기자] 서울중앙지방법원 민사68단독은 2025년 12월 24일 하나카드가 SK플래닛 직원 두 명의 개인신용정보를 고객 동의 없이 제3자에게 제공한 사실을 인정하고, 1인당 50만원의 손해배상을 명령하는 일부 승소 판결을 내렸다.

이 판결은 구체적 피해 발생 여부와 무관하게 신용정보법 위반 자체로 배상 책임을 지울 수 있다는 점에서 개인정보 보호 분야의 중요한 선례가 됐다. 참여연대 공익법센터(구본석 변호사)가 공익소송으로 변론을 지원한 가운데, 법원은 하나카드의 위법성을 명확히 지적했다.
​

사건 배경

2021년 SK플래닛 직원 김모씨 등은 사원 복지 포인트 혜택 확인 과정에서 하나카드가 SK패밀리카드(복지 연계 카드)뿐 아니라 전체 카드 사용 내역을 SK엠앤서비스(복지포인트 수탁사)에 제공한 사실을 발견했다. 자녀 학원비·병원비 등 민감 결제 정보가 포함된 비연계 카드 내역까지 동의 없이 넘겨진 것으로 확인됐으며, 동의 시점 이전 정보와 미래 발급 카드 내역까지 포함됐다.

이에 원고들은 2023년 3월 16일 신용정보법 제32조1항(제3자 제공 시 사전 동의 의무)과 제15조1항(목적 달성 최소 범위 원칙) 위반을 이유로 소송을 제기했다.
​

법원 판단 핵심

법원은 하나카드가 복지포인트 관련 카드만이 아닌 전체 하나카드 정보, 동의 전후 미래 내역까지 SK엠앤서비스에 제공한 행위를 신용정보법 제32조1항 위반으로 봤다. 제공 정보(CI값, 가맹점명, 승인일자, 사용금액, 카드번호, 거래일시)가 민감정보가 아니고 고의·중과실 없으며 현실 피해 부재를 이유로 배상액을 50만원으로 제한했으나, 법 위반 자체를 손해로 인정했다. SK플래닛 제공 관련 주장은 증거 부족으로 기각됐다.
​

최근 개인정보 유출 현황

2025년 국내 개인정보 유출은 역대 최악을 기록 중이다. 개인정보보호위원회에 따르면 1~9월 유출 신고 건수는 311건으로 작년 전체(307건)를 초과했으며, 2021년 대비 2배 수준이다. 1~4월 유출 규모는 3,600만건으로 전년比 3배 폭증했으며, 8월 말까지 3,038만건, 쿠팡 사태 포함 연말 6,000만건 돌파 전망이다.

주요 사례로 SK텔레콤(2,696만명, 25개 항목 유출), KT(2만3000명, 소액결제 피해 2억4000만원), 롯데카드(297만명, 카드번호·CVC 유출), 쿠팡(3,370만명), 신한카드(19만건 가맹점 정보)가 꼽힌다.
​

이번 판결은 대기업의 무단 정보 제공에 대한 법적 책임을 강화하는 신호탄으로, 신용정보법의 동의 원칙과 최소 처리 범위를 철저히 준수해야 한다는 교훈을 준다. 2025년 311건 이상의 유출 사태 속에서 기업 보안 강화와 피해자 보호가 시급한 과제로 부상했다.