개인정보보호법 과징금 10%:
지금 대비 안 하면 폐업까지
2026년 2월 12일, 국회 본회의를 통과한 개인정보보호법 개정안이
공포 후 6개월 뒤 시행됩니다. 매출액의 최대 10%를
과징금으로 부과할 수 있는 ‘징벌적 과징금’ 시대가 공식화된 것입니다.
단순히 대기업 얘기가 아닙니다. 고객 DB를 보유한 모든 사업자가 대상입니다.
📋 공포 후 6개월 시행
💰 최대 매출 10% 과징금
🔒 ISMS-P 의무화 2027.07
지금 무슨 일이 일어났나 — 개정 배경과 핵심 요약
SK텔레콤, 롯데카드, 쿠팡 등 굵직한 대기업에서 수백만 건의 개인정보 유출 사고가 연이어
터졌습니다. 그럼에도 일부 기업들은 개인정보 보호를 ‘비용’으로만 보고 투자를 외면했고,
기존 과징금이 관련 매출액의 고작 3%에 불과하다 보니 “벌금 내는 게 낫다”는 계산이
나왔습니다. 국회는 이 구조적 문제를 뜯어고치기로 했습니다.
2026년 2월 12일, 개인정보보호법 개정안(정무위원회 대안)이
국회 본회의를 통과했습니다. 핵심은 세 가지입니다. 첫째, 반복적이거나 중대한
침해에 대해 전체 매출액의 최대 10%를 과징금으로 부과하는
징벌적 과징금 신설입니다. 둘째, 대표이사(CEO)의 총괄 책임을 법에 명시했습니다.
셋째, 개인정보보호 인증(ISMS-P)을 일정 규모 이상 사업자에게 의무화합니다.
개정법은 공포일로부터 6개월 후 시행됩니다. 2026년 2월 중 공포가 완료된다면
빠르면 2026년 8월부터 실제 적용됩니다. 준비 시간이 많지 않습니다.
과징금 얼마나 커졌나 — 현행 vs 개정 비교표
숫자로 보면 변화의 무게가 와 닿습니다. 연 매출 50억 원인 중소기업이 개인정보를
유출했을 때, 현행법에서는 최대 1.5억 원(관련 매출액 3%) 수준이었습니다.
개정 이후 징벌적 과징금이 적용되면 최대 5억 원(전체 매출 10%)으로
뜁니다. 단순 계산만으로도 3배 이상 차이입니다.
| 구분 | 현행법 | 개정법 (일반) | 개정법 (징벌적) |
|---|---|---|---|
| 과징금 기준 | 관련 매출액의 3% | 관련 매출액의 3% | 전체 매출액의 10% |
| 매출액 없을 때 상한 | 20억 원 | 20억 원 | 50억 원 |
| 적용 조건 | 일반 위반 | 일반 위반 | 반복·고의·대규모 피해 |
| 감경 가능 여부 | 가능 | 가능 | 투자 실적 있을 때만 가능 |
회사 전체 매출액입니다. 유출된 서비스가 작은 부가 서비스라도
본사 전체 매출의 10%가 기준이 될 수 있습니다.
징벌적 과징금이 발동되는 3가지 트리거
개정법에서 징벌적 과징금(전체 매출액의 10%)이 실제로 발동되는 경우는
법 제64조의2 제2항에 명시된 세 가지 상황입니다. 세 가지 중 하나라도 해당하면
10% 기준이 적용될 수 있으므로, 각각의 의미를 정확히 파악해야 합니다.
트리거 ① 3년 이내 반복 위반
과징금 처분을 받은 날로부터 3년 이내에 동일 또는 유사한 위반 행위를 반복하는
경우입니다. 단, 각 위반에 고의 또는 중대한 과실이 있어야 합니다.
“한 번 걸렸으니 이번엔 봐주겠지”가 통하지 않는 구조입니다.
트리거 ② 1천만 명 이상 대규모 피해
고의 또는 중대한 과실로 위반 행위를 저질렀고, 그 결과 피해를 입은 정보주체가
1,000만 명 이상인 경우입니다. 플랫폼·통신·금융 분야라면
단 하나의 사고로도 이 기준을 넘을 수 있습니다. 국내 인터넷 쇼핑몰 상당수도
누적 회원 수를 고려하면 결코 안전지대가 아닙니다.
트리거 ③ 시정명령 불이행 후 유출 발생
개인정보보호위원회로부터 시정조치 명령을 받았음에도 이행하지 않은 상태에서
개인정보 유출·변조·훼손이 발생한 경우입니다. 이 경우는 피해 규모와 무관하게
징벌적 과징금이 적용됩니다. 공문 한 장을 무시했다가 회사를 날릴 수 있는 조항입니다.
세 가지 트리거 중 가장 현실적인 위험은 트리거 ①(반복 위반)입니다.
단 한 번 개인정보 위반으로 시정명령을 받은 기업이 3년 안에 보안 사고를 낸다면,
그 즉시 10% 과징금의 사정권에 들어갑니다. 기존 처분 이력이 있는 기업은 지금 당장
내부 점검이 필요합니다.
과징금을 줄이는 단 하나의 공식 — 감경 사유 파헤치기
개정법은 무조건 때리는 구조가 아닙니다. 과징금 감경 조항(제64조의2 제6항)도
함께 신설했습니다. 바로 “개인정보 보호를 위한 예산·인력·설비·장치 등의
투자 및 운영”을 사전에 실행한 경우입니다. 단, 고의 또는 중대한 과실이
있는 경우에는 감경이 적용되지 않으므로, 이 조항의 실질적 수혜자는
‘과실이 없거나 경미한 과실이 있는 경우’로 한정됩니다.
이 조항의 의미는 단순합니다. 사고가 나더라도, 사전에 투자 증거를 남겨두면
과징금을 깎을 수 있다는 것입니다. 쉽게 말해, 개인정보 보호 투자 실적이
방어막이 됩니다. 반면 고의적 무관심이 입증되면 감경은 없습니다.
이 구조는 기업이 ‘보안 투자를 했다는 문서화’를 얼마나 체계적으로 해 놓느냐가
리스크 크기를 결정한다는 것을 의미합니다.
CPO 보고 기록 등 모든 활동을 날짜와 함께 문서로 보존하세요.
법원이나 위원회가 ‘투자 및 운영’ 여부를 판단할 때 가장 강력한 증거가 됩니다.
CEO·CPO 책임이 달라진다 — 대표이사가 직접 챙겨야 할 것
이번 개정의 또 다른 핵심은 대표이사(CEO)의 책임을 법 조문에 명시(제30조의3)했다는
점입니다. 기존에는 개인정보 보호가 담당자나 IT 부서의 업무로 치부됐습니다.
이제는 대표자가 전문 인력과 충분한 예산을 지원할 최종 책임자로
법적으로 규정됩니다. 이것은 단순한 선언이 아닙니다. 과징금 부과 과정에서
대표자의 관여·방치가 ‘고의 또는 중대한 과실’을 판단하는 주요 근거가 될 수 있습니다.
개인정보보호책임자(CPO)의 새로운 역할
CPO의 업무에 두 가지가 추가됐습니다. 첫째, 개인정보 보호에 필요한
전문 인력의 관리 및 예산 확보입니다. 둘째,
대표자 및 이사회에 대한 개인정보보호 현황 보고입니다.
특히 일정 규모 이상의 기업에서는 CPO 지정·변경·해제 시 이사회 의결을 거쳐야 하고,
개인정보보호위원회에 신고도 해야 합니다.
개인적으로는 이 조항이 가장 파급력이 크다고 봅니다. 지금까지 많은 중소기업이
CPO를 ‘명목상 임명’만 해놓고 실질적인 권한도 예산도 주지 않았습니다.
이제 그 구조가 바뀝니다. CPO에게 실질적인 권한을 부여하지 않은 채 사고가 나면,
대표자가 방치 책임을 지게 됩니다.
소상공인·중소기업 5단계 실전 대응 체크리스트
법이 시행되기 전, 지금 당장 실행 가능한 5가지 조치를 순서대로 정리했습니다.
대기업이 아니어도 이 체크리스트는 여전히 유효합니다. 오히려 법무팀이 없는
중소기업일수록 사전 준비가 유일한 방어입니다.
-
1
개인정보 처리 현황 전수 조사
현재 어떤 개인정보를 어디서 수집·보관·이용·제공하고 있는지 목록을 만드세요.
엑셀 한 장이라도 시작하는 것이 중요합니다. ‘모르고 있었다’는 변명이
법적으로 통하지 않는 시대입니다. -
2
개인정보 처리방침 최신화
홈페이지나 앱에 게시된 개인정보 처리방침이 실제 처리 현황과 다르다면
즉시 수정해야 합니다. 특히 유출 통지 항목 범위가 확대됐으므로,
“유출이 의심될 때 어떻게 통보하는지”까지 방침에 반영해야 합니다. -
3
CPO 실질 임명 및 권한·예산 부여
이름만 올려놓은 CPO라면 지금 당장 실질적인 역할을 부여해야 합니다.
소규모 사업장이라면 대표 본인이 CPO를 맡되, 연간 보안 관련 예산 항목을
회계에 명시적으로 포함시켜야 합니다. -
4
직원 대상 개인정보보호 교육 이수 및 기록 보존
일회성 교육이 아니라 정기적으로, 그리고 이수 명단·일시·내용을 문서로 남겨야
합니다. 이 기록이 나중에 과징금 감경 자료가 될 수 있습니다. -
5
개인정보보호위원회 이전 행정처분 이력 확인
과거에 시정권고나 개선 요구를 받은 적이 있다면 이것이 ‘반복 위반’ 트리거의
기산점이 될 수 있습니다. 기존 처분 이력을 확인하고, 해당 사항을 모두 이행
완료했는지 점검해야 합니다.
ISMS-P 의무화, 우리 회사는 해당될까?
개정법은 일정 규모 이상의 개인정보처리자에게
개인정보보호 인증(ISMS-P)을 의무적으로 취득하도록 했습니다.
다만 이 조항의 시행일은 2027년 7월 1일로 별도로 설정됐기 때문에,
나머지 조항보다 여유가 있습니다. 의무 대상 기준은 매출액, 개인정보 처리 규모 등을
고려해 대통령령으로 별도 정합니다.
현행 ISMS(정보보호 관리체계) 인증 의무 기준을 참고하면, 정보통신서비스 매출액
100억 원 이상이거나 일평균 이용자 수 100만 명 이상인 사업자가 대상이었습니다.
ISMS-P 의무화 대상도 유사한 수준에서 결정될 가능성이 높습니다. 연 매출
100억 원 미만의 소상공인·소규모 스타트업은 당장 의무 대상에서 제외될
가능성이 높지만, 미리 자발적으로 준비하면 과징금 감경 자료로 활용할 수 있습니다.
ISMS-P 의무화 대상이 아니더라도, 인증을 자발적으로 받으면 개정법 제64조의2 제6항의
과징금 감경 사유에 해당할 수 있습니다. 의무 대상 기업에 대해서는
인증을 받더라도 감경이 적용되지 않으므로, 역설적으로 의무 외 기업의 자발적 인증이
더 큰 법적 보호막이 됩니다.
| 구분 | ISMS-P 의무화 대상 (예상) | 시행 시기 | 과징금 감경 여부 |
|---|---|---|---|
| 대규모 플랫폼·통신·금융 | 해당 | 2027.07.01 | 감경 제외 (고의·중과실 시) |
| 정보통신서비스 매출 100억↑ | 해당 가능성 높음 | 2027.07.01 | 의무 대상은 감경 제외 |
| 소상공인·소규모 사업자 | 해당 가능성 낮음 | – | 자발적 인증 시 감경 가능 |
❓ Q&A — 자주 묻는 질문 5가지
징벌적 과징금이 시행되면 동네 카페나 소규모 쇼핑몰도 해당되나요?
징벌적 과징금(전체 매출액 10%)이 적용되려면 고의 또는 중대한 과실이 전제됩니다.
소규모 사업자가 악의적으로 개인정보를 유출하거나, 시정명령을 받고도 무시하거나,
3년 내 반복 위반을 하지 않는다면 일반 과징금(관련 매출액 3%) 체계가 적용됩니다.
다만 고객 DB를 관리하는 모든 사업자는 개인정보보호법의 적용 대상이므로,
기본적인 처리방침 수립·보안 조치는 규모에 관계없이 필수입니다.
개정법이 시행되기까지 남은 시간이 얼마나 되나요?
2026년 2월 12일 본회의 통과 후 대통령이 공포하면, 그 공포일로부터 6개월 후
시행됩니다. 통상 공포까지 2~4주가 소요되므로, 빠르면 2026년 8월 하순,
늦어도 2026년 9월 내외 시행이 예상됩니다. ISMS-P 의무화 규정은 예외로
2027년 7월 1일 시행됩니다.
매출이 없는 스타트업이나 비영리단체는 과징금이 얼마나 되나요?
개정법에서는 매출액이 없거나 산정이 곤란한 경우를 대비해 상한액을 별도로
규정했습니다. 일반 과징금 상한은 20억 원이며, 징벌적 과징금이 적용되는 경우에는
상한이 50억 원으로 상향됩니다. 매출이 없다고 안심하기 어렵습니다.
CPO를 별도로 둘 여력이 없는 1인 사업자는 어떻게 해야 하나요?
개인정보보호법에서는 1인 사업자도 개인정보처리자라면 CPO(또는 개인정보보호책임자)를
지정해야 합니다. 사업주 본인이 CPO를 겸직하는 것은 가능하며, 이 경우에도
개인정보 처리방침 수립, 연간 교육, 보안 조치 기록 등을 남겨두는 것이 중요합니다.
개인정보보호위원회 공식 포털(privacy.go.kr)에서 중소기업·소상공인용 가이드와
자가점검 도구를 무료로 제공하므로 적극 활용하시기 바랍니다.
유출 가능성만 발생해도 통지 의무가 있다고 하던데, 어떤 경우인가요?
이번 개정으로 유출이 확인되지 않더라도 유출 가능성이 인지된 경우
지체 없이 정보주체에게 피해 최소화 관련 정보를 통지할 의무가 새로 생겼습니다.
구체적인 ‘가능성 기준’은 대통령령으로 추후 정해집니다. 예를 들어 해킹 시도가
탐지된 경우, 내부 직원의 무단 접근이 확인된 경우 등이 해당될 수 있습니다.
따라서 침해 모니터링 체계를 구축해두는 것이 유출 전 단계부터 필수가 됩니다.
마치며 — 총평
이번 개인정보보호법 개정은 단순한 벌금 인상이 아닙니다. ‘개인정보 보호에 투자하면
감경, 방치하면 폭탄’이라는 구조를 법으로 못 박은 것입니다. 징벌적 과징금 자체보다
더 중요한 것은 사전 예방 투자를 ‘증명’하는 문화를 만드는 일입니다.
소상공인이나 중소기업에서는 “우리는 작으니까 괜찮겠지”라는 막연한 안도감이 가장
위험합니다. 단 한 번의 고객 DB 유출이, 10년 쌓은 회사를 과징금과 배상 소송으로
흔들 수 있습니다. 시행 예상 시점인 2026년 8~9월 전까지 위에서
소개한 5단계 체크리스트를 순서대로 이행해 두시기 바랍니다.
법이 복잡해 보이지만, 현장에서 요약하면 하나로 귀결됩니다. “기록을 남기고,
투자했다는 증거를 쌓아라.” 이 한 문장이 개정법 시대의 개인정보 보호 전략입니다.
공식적인 가이드와 자가진단 도구는 개인정보보호위원회 공식 포털(privacy.go.kr)에서
확인하실 수 있습니다. 개정법 시행령 및 ISMS-P 의무화 대상 기준은 추후 대통령령
제정 이후 확정되므로, 최신 공고를 주기적으로 확인하시는 것을 권장합니다.
본 포스팅은 2026년 2월 국회 본회의를 통과한 개인정보보호법 개정안 및 공개된 법률 자료를 바탕으로 작성된 정보 제공용 콘텐츠입니다. 개정법의 시행령·시행규칙은 향후 대통령령으로 확정될 예정이며, 구체적인 법적 판단은 법무 전문가와 상담하시기 바랍니다. 본 포스팅은 법률 자문을 제공하지 않습니다. 최신 내용은 개인정보보호위원회(privacy.go.kr) 공식 공고를 통해 확인하시기 바랍니다.
댓글 남기기