데이터가 곧 자산인 시대가 되면서, 기업의 데이터 출처는 점점 다양해지고 있습니다. 직접 수집한 정보뿐 아니라 외부 위탁사에서 받은 정보, 공개 데이터셋에서 다운로드한 정보, 심지어 다크웹·해킹 커뮤니티에서 거래되는 정보까지 어떤 형태로든 흘러 들어올 가능성이 상존합니다. 특히 생성형 AI 학습이 본격화되면서 적법 경로를 통한 학습인지, 정당한 권한범위 내 학습인지 세심하게 검토할 새 없이 학습에 이용되거나, 또는 결과물로 현출될 리스크도 존재합니다.

그런데 이렇게 위법하게 취득한 것으로 판단될 수 있는 데이터 중에서도, 타인의 개인정보를 위법하게 취득, 보유·이용하는 자 역시 개인정보처리자로서 의무를 부담하는 걸까요? 종래 일부에서는 "취득 자체가 위법하였다면 개인정보 보호법상 '개인정보처리자'에 해당하지 않는다"는 항변을 시도해 왔던 것으로 보이는데, 이번 2026년 4월 선고된 대법원 판결은 그러한 주장을 인정할 수 없다고 분명히 판단하였습니다(대법원 2026. 4. 16. 선고 2026도477 판결).

[Question] 해킹 등 부정한 경로로 취득한 개인정보를 업무에 활용한 경우, 개인정보 보호법상 어떤 책임을 지게 되나요? AI 사업자로서 점검할 부분은?

[Answer]

1. 사건의 쟁점

본 사건 피고인은 해킹·불법 유통(정보주체 동의 미취득, 법률 규정위반 수집 등)으로 취득한 개인정보를 업무 목적으로 이용하면서, "취득 자체가 불법이었던 이상 개인정보 보호법상 처리자가 아니다"라고 항변하였습니다. (참고로 이 사건에서 피고인은 신규 불법 온라인 도박게임 사이트를 개설하면서, 타 도박사이트 가입자의 개인정보를 무단으로 제공받아 신규게임 테스트 목적으로 활용하였습니다.)

이는 단순한 항변을 넘어 개인정보 및 데이터 시장 전반의 책임 구조를 가르는 문제이기도 합니다. 만약 이러한 주장이 받아들여진다면 가장 무책임하게 개인정보를 수집‧이용 또는 제공한 자가 오히려 아무런 책임도 지지 않게 되는 역설이 발생하기 때문입니다.

2. 대법원의 판단

가. 개인정보 처리자 지위는 처리 실태로 정해집니다

「개인정보 보호법」 제2조 제5호는 처리자를 "업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 처리하는 공공기관·법인·단체 및 개인 등"으로 정의하고 있습니다. 대법원은 이 조항이 '개인정보파일을 어떠한 경위와 방법으로 취득하였는지'에 관해 아무런 제한을 두고 있지 않다는 점을 우선 짚었습니다(문언적 해석).

나아가 대법원은 「개인정보 보호법」의 보호법익이 정보주체의 개인정보자기결정권에 있음을 분명히 하면서(대법원 2014. 7. 24. 선고 2012다49933 판결, 2025. 10. 30. 선고 2024도19539 판결), 동법이 처리자에게 ① 수집·제공의 적법요건(제15조, 제17조), ② 목적 외 이용·제공 금지(제18조 제1항), ③ 정보주체 요구 시 수집 출처 고지(제20조 제1항), ④ 열람·정정·삭제·처리정지 응답(제35조~제37조), ⑤ 위반 시 손해배상책임(제39조 제1항)에 이르기까지 광범위한 의무를 부과하고 있다는 체계적 구조를 강조하였습니다.

이러한 입법 체계 아래에서 부정한 방법으로 취득한 자만을 처리자 개념에서 제외한다면, 정보주체의 권익을 가장 침해할 우려가 큰 자가 오히려 의무와 책임을 면하는 결과가 되어 개인정보자기결정권 보호에 상당한 공백이 발생합니다. 결국 처리자 지위는 권원(權原)의 정당성이 아니라 처리의 실태에 따라 정해진다는 것이 본 판결의 핵심입니다.

한편 본 판결은 형사사건에 관한 것이지만, 처리자 지위가 인정되는 순간 형사책임뿐 아니라 「개인정보 보호법」 제39조에 따른 손해배상책임(2026년 3월 시행 개정법상 고의·중과실 시 5배 징벌적 손해배상 가능), 개인정보보호위원회의 시정명령·과징금 등 민사·행정상 제재의 가능성이 동시에 작동하기 시작한다는 점에 실무적 의미가 있습니다.

나. 목적 외 제공과 불법 유출의 상상적 경합

대법원은 처리자의 목적 외 제공행위(제18조 제1항 위반, 제71조 제2호)와 정당한 권한 없는 유출행위(제59조 제3호 위반, 제71조 제10호)는 수범자 및 금지행위 등 구체적 구성요건을 달리하므로, 어느 한 죄가 다른 죄의 구성요건을 모두 포함하는 특별관계에 있지 않다고 보았습니다. 그 결과 두 죄는 각기 독립된 별개의 구성요건으로서 1개의 행위가 각 구성요건을 충족하는 경우 상상적 경합 관계에 있다고 판시하였습니다.

다만 본 판결은, 두 죄의 상상적 경합으로 보더라도 결과적으로 처단형의 범위에 차이가 없고 양형의 조건이나 선고형에도 실질적 차이가 없을 것으로 보인다고 보아, 죄수 평가에 관한 원심의 잘못이 판결에 영향을 미쳤다고 볼 수 없다는 이유로 상고를 기각하였습니다. 죄수론적으로는 원심의 판단을 시정하면서도 결론에 영향을 주지 않는다는 직권판단을 보여준 사례입니다.

3. AI 시대의 실무적 함의 ― 학습데이터 출처 관리

본 판결은 불법 취득한 개인정보를 처리한 자도 개인정보보호법상 개인정보처리자에 해당한다고 판단한 사건이지만, 그 사정거리는 생성형 AI 학습 영역까지 충분히 닿을 수 있습니다.

과거 유출 사고로 공개된 개인정보 또는 기타 데이터는 물론, 생성형 AI 모델 학습에 자주 활용되는 Common Crawl 등 대규모 웹크롤링 데이터, 출처 검증이 미흡한 오픈 데이터셋 가운데에는 동의 없이 수집된 개인정보나 데이터가 포함되었을 가능성이 있습니다.

이러한 개인정보 및 데이터를 모델 학습이라는 업무 목적으로 운용하고 있다면, 본 판결의 논리에 따라 그 자체로 개인정보처리자 지위가 인정될 가능성이 큽니다. "공개된 데이터를 가져왔을 뿐"이라거나 "자동 수집되었을 뿐"이라는 항변은 쉽게 받아들여지기 어려울 것으로 예상됩니다.

4. 실무상 점검해야 할 4가지 체크포인트

개인정보 및 데이터 관련 사고나 분쟁은 대체로 그 출처, 즉 취득(또는 침해)의 경로나 경위, 취득 권한여부, 취득행위의 정당성 여부가 명확하지 않은 경우가 많습니다. 그렇다면 기업 입장에서는 이번 판결을 계기로, 다음 사항들에 대한 점검을 통해 보유·활용 중인 데이터의 출처와 처리 구조를 다시 한번 짚어볼 필요가 있습니다.

가. 개인정보 또는 데이터의 처리현황 점검

마케팅·CRM·AI 학습용 데이터셋별로 ① 직접 수집인지, ② 위탁사로부터 제공받은 것인지, ③ 외부 구매·다운로드를 통한 것인지 출처와 동의 기반을 구분하여 정리해 두는 작업입니다. 사후 정보주체의 출처 고지 요구가 있을 때 응답할 수 있는 상태를 유지하는 것이 핵심입니다.

나. SI·외주 계약의 데이터 진정성 보증

외주 개발사 또는 시스템 통합(SI) 사업자가 "샘플 데이터" 또는 "오픈 데이터셋"이라는 명목으로 가져오는 파일이 실제 적법한 동의 기반으로 수집된 것인지에 대한 검증 책임은 결국 발주사에 귀속됩니다. 계약서에 제공되는 개인정보 또는 데이터의 출처와 적법성에 관한 진술·보장(R&W) 조항을 두고, 위반 시 면책·구상 조항을 함께 명시해 두는 것이 사후 분쟁 예방에 효과적입니다.

다. M&A 데이터 실사 강화

인수합병 단계에서 인수 대상 회사가 보유한 데이터 자산은 처리자 지위와 함께 인수회사로 이전됩니다. 인수 대상 데이터에 위법한 경로로 취득된 개인정보나 데이터가 혼입되어 있는지를 일반 법무·재무 실사와 별개의 항목으로 점검하는 방안을 검토할 필요가 있습니다.

라. AI 학습 단계별 데이터 출처 로그 보관

AI 모델 학습이 진행되는 각 단계(수집·전처리·학습·검증)에서 입력된 데이터셋의 출처와 라이선스를 일정 수준 기록·관리해 둘 필요가 있습니다. 사후에 정보주체가 개인정보보호법상 출처 고지(제20조) 또는 삭제(제36조)를 요구할 때, 기록이 없으면 응답 자체가 불가능하기 때문입니다.

다만 한 가지 유의할 점은 이러한 기록의 유지는 개인정보 보호법상 응답 의무 이행의 수단이 되는 동시에, 향후 저작권·개인정보 침해 분쟁에서 학습 데이터의 적법성이 문제될 때 직접적인 증거로 활용될 가능성도 있습니다. 최근 해외 AI 사업자들을 상대로 제기된 학습 데이터 관련 분쟁들이 보여주듯, 데이터의 출처 로그는 컴플라이언스의 근거가 되는 동시에 침해 사실을 자인하는 자료로 사용될 수 있는 이른바 양날의 칼이 될 수 있다는 것입니다.

따라서 AI 사업자 입장에서는 출처 정보를 가능한 한 모두 남긴다는 접근보다, 법적 의무 이행에 실제로 필요한 범위가 어디까지인지를 먼저 정리한 뒤 그에 맞춰 기록·관리하는 신중한 설계가 필요합니다. 적법한 동의 또는 라이선스 증빙을 함께 남겨두면 분쟁 시 방어 자료로도 작용할 수 있어 검토 가치가 있습니다. 학습 데이터 정책을 수립하는 단계에서부터 컴플라이언스와 분쟁 대응을 함께 고려하여야 합니다.

5. 결론

본 판결의 메시지는 결국 취득 경위가 어떠하든 개인정보를 처리하는 순간부터 책임도 시작된다는 것입니다. 출처의 적법성은 처리자 지위 인정의 전제가 아니라, 개별 사건의 양형 판단과 민사상 손해배상 다툼에서 별도로 평가될 사실관계의 문제일 뿐입니다.

이번 판결은 단순히 해킹이라는 적극적 위법행위를 통해 개인정보를 취득한 자만을 대상으로 하는 것이 아닙니다. 외부 데이터셋·웹크롤링·해외 데이터 구매 등 다양한 경로로 데이터를 확보하여 활용하는 모든 기업에 보내는 신호로 읽을 수 있어야 합니다.

특히 AI 서비스를 신규 출시하거나 LLM 기능을 추가하는 단계라면, 출시 이전에 학습데이터 출처 검증, 개인정보의 포함여부, 그와 함께 개인정보 처리방침이 정합성을 갖추었는지 여부, 글로벌 사업자와의 계약 구조를 함께 점검하시는 것이 효과적인 사전 예방책이 될 것입니다.

신준선 변호사는 다양한 사업 유형의 개인정보 처리방침 정비, AI·데이터 규제 자문, 글로벌 AI 서비스의 한국 진출 자문, IT·SI 프로젝트 계약 검토 및 분쟁 대응 자문 실적을 보유하고 있으므로 관련 법률자문 및 검토가 필요하시다면 언제든 연락주시기 바랍니다.

법무법인 청출은 국내 5대 대형로펌인 김앤장, 광장, 태평양, 세종, 율촌과 검찰, 대기업 법무팀 출신의 변호사들로만 이루어져 있고, 한 명의 변호사가 아닌 사건과 관련된 분야의 전문 변호사들이 팀을 구성하여 대응합니다. 청출은 특정 쟁점만 해결하는 것을 넘어 사업 전반에 대한 종합 솔루션을 제공하여, 궁극적으로 고객이 원하는 바를 이루는 것에 초점을 맞추는 법률 컨설팅을 제공하고 있습니다. 목표 달성에 도움이 필요하시다면, 주저없이 청출에 문의주시기 바랍니다.