개인정보보호법 개정 2026
과징금 매출 10% 폭탄 — 지금 모르면 늦는다
SK텔레콤·쿠팡·롯데카드 등 연이은 대규모 유출 사고 이후, 국회가 움직였습니다.
2026년 2월 12일 찬성 158표 만장일치로 통과된 개인정보보호법 개정안은
과징금 상한을 기존 매출 3% → 최대 10%로 끌어올렸습니다.
단순한 처벌 강화가 아닙니다. CPO 이사회 의결 의무화, ISMS-P 강제 인증, 유출 가능성 통지제까지 —
기업 규모와 상관없이 모든 개인정보처리자가 즉각 점검해야 합니다.
CPO 이사회 의결 의무
ISMS-P 강제 인증
공포 후 6개월 시행
유출 가능성 통지제 신설
왜 지금 이 법이 바뀌었나: 개정 배경과 촉발 사건
2025년 한 해 동안 SK텔레콤·쿠팡·롯데카드 등 국내 최대 플랫폼과 통신사에서 연쇄적으로 대규모 개인정보 유출 사고가 발생했습니다.
피해자 수가 수백만 명을 훌쩍 넘었음에도 기업들이 지급한 과징금은 최대 수십억 원 수준에 불과했습니다.
매출 수조 원 규모 기업에게 그 정도 제재는 ‘경영 비용’으로 처리하면 그만이었고, 개인정보 보호 투자는 후순위로 밀리는 현실이 반복됐습니다.
이 구조적 문제를 끊겠다는 의지로 국회에 총 14개의 개인정보보호법 개정안이 발의됐고,
국회 정무위원회가 이를 하나의 대안으로 통합해 2026년 2월 12일 본회의에서 찬성 158표, 반대 0표 만장일치로 통과시켰습니다.
개정안의 핵심은 “사후 제재에서 사전 예방으로”입니다. 벌금 강화뿐 아니라, 기업이 자발적으로 보호 체계를 구축하도록 구조 자체를 바꿉니다.
기존 과징금 상한: 위반 관련 매출액의 3% 또는 최대 20억 원
개정 후 징벌적 과징금: 전체 매출액의 최대 10% 또는 최대 50억 원(매출 산정 불가 시)
인증 의무화 기준: 매출액·개인정보 처리 규모 기준 (대통령령 확정 예정)
핵심 변경 1 — 징벌적 과징금: 매출 3%에서 10%로
이번 개정안에서 가장 주목받는 변화는 단연 징벌적 과징금 제도(제64조의2 제2항 신설)입니다.
기존에는 법을 위반한 기업에 ‘관련 매출액의 3%’ 이내만 부과할 수 있었습니다.
그런데 이제는 아래 세 가지 중 하나에 해당하면 ‘전체 매출액의 10%’까지 과징금을 물릴 수 있게 됩니다.
| 적용 요건 | 세부 조건 |
|---|---|
| ① 반복 위반 | 과징금을 부과받은 날부터 3년 이내 동일 위반행위 재발 (고의·중과실 한정) |
| ② 대규모 피해 | 고의·중과실로 정보주체 1,000만 명 이상 피해 발생 |
| ③ 시정명령 불이행 | 개인정보보호위원회 시정명령을 이행하지 않아 유출·훼손 발생 |
스타트업·초기 기업이라고 해서 안전하지 않습니다.
반대로, 기업이 개인정보 보호를 위한 예산·인력·설비·장치를 투자·운영한 사실이 확인되면
과징금을 감경받을 수 있습니다. 단, 고의·중과실 위반은 감경 대상에서 제외됩니다.
즉, 사전 투자가 곧 리스크 헤지 수단이 되는 구조로 바뀐 셈입니다.
연 매출 1조 원 기업이 1,000만 명 유출 사고를 낸다면 이론적으로 최대 1,000억 원의 과징금 위험에 노출됩니다.
핵심 변경 2 — 유출 가능성 통지제 & 통지 범위 확대
기존 법은 개인정보가 실제로 “분실·도난·유출”된 경우에만 정보주체에게 알릴 의무가 있었습니다.
이번 개정안은 이를 두 가지 방향으로 크게 확장했습니다.
① 통지 대상 사유 확대: 위조·변조·훼손도 포함
이제 단순 유출뿐 아니라 개인정보가 위조·변조·훼손된 경우에도 해당 정보주체에게
반드시 통지해야 합니다. 해킹으로 DB 데이터가 조작된 경우, 내부 직원 실수로 파일이 손상된 경우 모두 해당됩니다.
② 유출 가능성 통지제 신설 — 사고 전에도 알려야
가장 파격적인 변화입니다. 유출이 ‘확정’되지 않았더라도, 유출 가능성이 있다는 사실을 알게 된 순간부터
지체 없이 피해를 최소화할 수 있는 정보를 정보주체에게 통지해야 합니다.
예를 들어 외부 해킹 시도 흔적이 포착됐거나 이상 접근이 탐지된 경우에도 사전 통지 의무가 발생할 수 있습니다.
분쟁조정 등의 법적 권리와 행사 방법을 반드시 안내해야 합니다.
자사 개인정보 침해 사고 대응 매뉴얼과 공지 템플릿을 지금 당장 점검하세요.
핵심 변경 3 — CPO·대표자 책임 강화 & 이사회 의결
이번 개정안에서 상대적으로 조명을 덜 받고 있지만, 기업 거버넌스를 근본적으로 바꾸는 변화가 바로 CPO와 대표자 책임 강화입니다.
개인정보 유출 사고가 나면 “담당 직원 실수”로 책임을 분산하던 시대는 사실상 끝났습니다.
대표자·사업주의 최종 책임자 명문화 (제30조의3 신설)
대표자 또는 사업주는 개인정보 보호에 필요한 인력 확보·예산 배정·총괄 관리를
실효성 있게 이행해야 한다는 의무가 법에 명확히 규정됩니다.
단순히 담당 부서를 두고 끝내는 방식은 더 이상 법적 보호 장치가 되지 않습니다.
CPO 지정·변경·해제 시 이사회 의결 의무 (제31조)
일정 기준 이상의 기업은 CPO(개인정보 보호책임자)를 임명·교체·해임할 때 반드시 이사회 의결을 거쳐야 하고,
개인정보보호위원회에 신고해야 합니다. CPO의 업무에는 전문 인력 관리, 예산 확보 권한이 추가되며,
주요 사항은 이사회와 대표이사에 직접 보고할 의무도 생깁니다.
징벌적 과징금 부과의 핵심 요건인 ‘고의 또는 중과실’ 판단 시, 이사회 보고 여부와 그에 따른 조치 이행이
중요한 고려 사항이 됩니다. 즉, 이사회에 보고하고 예산을 배정한 기록이 과징금 면제·감경의 핵심 증거가 됩니다.
관련 회의록, 결재 문서를 지금부터 체계적으로 관리하십시오.
핵심 변경 4 — ISMS-P 인증 의무화
정보보호 및 개인정보보호 관리체계 인증인 ISMS-P는 지금까지 자율 취득 항목이었습니다.
원하는 기업만 받는 ‘좋은 것’ 정도였죠. 그런데 이번 개정으로 매출액·개인정보 처리 규모가 대통령령 기준을 충족하는 기업은 의무적으로 취득해야 합니다.
단, 이 조항은 기업들의 준비 시간을 고려해 2027년 7월 1일부터 시행될 예정입니다.
ISMS-P란 무엇인가?
ISMS-P는 한국인터넷진흥원(KISA)이 부여하는 인증으로, 기업이 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를
동시에 충족하고 있음을 검증하는 제도입니다. 심사 항목은 관리 체계 수립, 보호 대책 구현, 개인정보 처리 단계별 요건 등
총 102개 기준에 달합니다.
2027년 7월 시행이지만, 지금 준비를 시작하지 않으면 인증 획득 전 의무 위반 기간이 발생합니다.
이 기간 중 유출 사고라도 발생한다면 과징금 감경 혜택을 받을 수 없을 뿐만 아니라, 시정명령 불이행으로
징벌적 과징금 적용 요건까지 충족될 수 있습니다.
시행 시기 & 기업 규모별 영향 총정리
개정 개인정보보호법의 시행 시기는 두 갈래로 나뉩니다. 전반적인 조항은 공포 후 6개월이 경과한 날부터 시행됩니다.
공포 시점은 2026년 3월 중순으로 예상되므로, 사실상 2026년 9~10월부터 과징금·CPO·통지 관련 조항이 모두 발효됩니다.
| 조항 | 시행 시기 | 주요 대상 |
|---|---|---|
| 징벌적 과징금 (매출 10%) | 공포 후 6개월 (~2026년 9월) | 모든 개인정보처리자 |
| 유출 가능성 통지제 | 공포 후 6개월 | 모든 개인정보처리자 |
| CPO 이사회 의결·신고 | 공포 후 6개월 | 대통령령 기준 이상 기업 |
| 대표자 최종 책임 명문화 | 공포 후 6개월 | 모든 개인정보처리자 |
| ISMS-P 의무 인증 | 2027년 7월 1일 | 대통령령 기준 이상 기업 |
중소기업·소상공인은 괜찮을까?
CPO 이사회 의결 의무와 ISMS-P 인증 의무는 ‘일정 규모 이상’ 기업에만 해당합니다.
그러나 징벌적 과징금과 유출 가능성 통지 의무는 모든 개인정보처리자에게 적용됩니다.
쇼핑몰, 학원, 소규모 병의원, 개인 서비스업 등 단 한 명의 고객 정보를 처리하더라도 대상이 됩니다.
특히 1,000만 명 기준은 대기업에만 해당되지만, 반복 위반 조항과 시정명령 불이행 조항은 기업 규모와 무관합니다.
지금 당장 해야 할 실무 대응 체크리스트
법이 공포된 지금부터 시행일인 2026년 9~10월까지는 약 6개월의 준비 시간이 주어집니다.
이 기간을 어떻게 활용하느냐에 따라 징벌적 과징금 노출을 원천 차단하거나, 유출 사고 발생 시 감경 혜택을 받을 수 있습니다.
-
1
개인정보 처리 현황 전수 조사: 현재 수집·보관·처리 중인 개인정보 항목, 보유 기간, 제3자 제공 현황을 파악합니다. 파기 기준 초과 보관 데이터는 즉시 삭제하십시오.
-
2
개인정보처리방침 업데이트: 유출 가능성 통지, 위조·변조·훼손 시 통지 내용, 정보주체의 법적 권리 안내 항목을 방침에 반영합니다.
-
3
침해 사고 대응 프로세스 재정비: 기존 대응 절차가 ‘유출 확정 후 통지’에 맞춰져 있다면, ‘유출 가능성 탐지 즉시 통지’로 프로세스를 앞당겨야 합니다. 보안관제(SIEM) 연동 및 이상 접근 알림 체계를 점검하십시오.
-
4
CPO 역할 재정립 및 이사회 보고 체계 구축: 일정 규모 기업이라면 CPO를 임원급으로 승격하고, 이사회에 정기적으로 개인정보보호 현황을 보고하는 거버넌스를 수립합니다. 관련 회의록을 반드시 보존하십시오.
-
5
개인정보보호 예산·인력 공식 편성: 과징금 감경의 핵심 증거는 예산과 인력 투자입니다. 보안 솔루션 도입, 교육 이수, 전문 인력 채용 내역을 문서화하여 보관합니다.
-
6
ISMS-P 인증 로드맵 수립 (해당 기업): 2027년 7월 의무화 전 인증 취득을 목표로 2026년 상반기 내 준비 착수가 필요합니다. KISA 인증 전문기관과 사전 컨설팅을 진행하십시오.
기업으로부터 개인정보 유출 통지를 받았다면, 이제 손해배상 청구, 법정손해배상 청구, 분쟁조정 신청 방법을 안내받을 법적 권리가 있습니다.
피해 발생 시 개인정보분쟁조정위원회(privacy.go.kr)에 신청하면 무료로 조정 서비스를 받을 수 있습니다.
외부 링크:
개인정보보호위원회 공식 포털 ·
KISA 한국인터넷진흥원
자주 묻는 질문 Q&A
직원 10명짜리 소기업도 과징금 매출 10%를 맞을 수 있나요?
유출 가능성 통지는 어떤 상황에서 해야 하나요?
ISMS-P 인증을 받으면 과징금을 완전히 면제받을 수 있나요?
CPO 이사회 의결 의무는 어느 규모 기업부터 해당하나요?
이번 개정안은 언제부터 정식 시행되나요?
✍️ 마치며 — 총평
솔직히 말하면, 이번 개인정보보호법 개정은 예전처럼 ‘한 번 읽고 잊어도 되는 법 개정’이 아닙니다.
과징금 매출 10% 폭탄은 단순한 숫자가 아닙니다. 연 매출 100억 원 기업이라면 최대 10억 원,
1,000억 원 기업이라면 100억 원이 법적으로 부과 가능한 세상이 됩니다.
그것도 단 한 번의 대규모 유출이나, 시정명령 한 번 무시한 것으로 말입니다.
제가 주목하는 지점은 과징금 감경 조항입니다. 정부가 기업에게 처벌만 강요하는 게 아니라,
“예산과 인력에 투자한 기록만 있으면 깎아준다”고 명시했습니다.
이건 기업에게 매우 명확한 메시지입니다. 개인정보 보호를 ‘비용’이 아닌 ‘리스크 감경 투자’로 인식하라는 것이죠.
결론적으로, 지금 당장 해야 할 일은 간단합니다. ① 개인정보 처리 현황 전수 파악, ② 침해 대응 프로세스를 유출 확정 전 단계로 앞당기기, ③ 이사회·대표자 보고 체계 수립, ④ 관련 예산 편성 및 문서 보존.
법이 시행되는 2026년 하반기 전에, 지금이 바로 움직여야 할 때입니다.
※ 본 콘텐츠는 2026년 2월 12일 국회 본회의를 통과한 개인정보보호법 개정안을 기반으로 작성되었습니다.
구체적인 시행 기준(대통령령)은 향후 확정 예정이며, 개정 내용은 변경될 수 있습니다.
법적 판단이 필요한 경우 반드시 전문 법률가의 자문을 구하시기 바랍니다.
공식 정보 출처: 개인정보보호위원회(privacy.go.kr)
댓글 남기기