개인정보보호법 개정 2026
소상공인, 모르면 매출 10% 날린다
2026년 2월 12일, 국회 본회의를 통과한 개인정보보호법 개정안으로 과징금 상한이 매출액의 최대 10%로 대폭 상향되었습니다. 온라인 주문 하나만 받아도 적용되는 이 법, 카페·쇼핑몰·병원·학원까지 예외가 없습니다.
⚠️ 공포 후 6개월 시행
💸 과징금 최대 매출 10%
🏪 소상공인 전면 적용
이번 개정, 핵심이 뭔가요? — 3줄 요약
개인정보보호법 개정 2026의 핵심은 단 하나입니다. 개인정보를 부주의하게 다루다가 유출 사고가 발생하면, 기존엔 ‘관련 매출의 3%’를 과징금으로 냈지만, 이제는 전체 매출액의 최대 10%까지 부과될 수 있습니다. SK텔레콤, 쿠팡 등 대형 플랫폼의 반복적 유출 사고가 계기가 되어 2026년 2월 12일 국회 본회의를 통과했으며, 국무회의 의결 및 법률 공포 후 6개월이 경과한 날부터 시행됩니다.
법 적용 대상은 ‘개인정보처리자’ 전체입니다. 대기업만의 이야기가 아닙니다. 고객 이름과 전화번호를 엑셀에 저장하는 동네 카페, 예약 시스템을 운영하는 미용실, 네이버 스마트스토어로 주문을 받는 1인 쇼핑몰도 모두 해당됩니다. ‘우리 가게는 작아서 괜찮겠지’라는 생각이 가장 위험한 착각입니다.
과징금 3% → 10%: 숫자가 달라지면 생존이 달라진다
숫자로 체감해 봅시다. 연 매출 1억 원짜리 소형 의원이 고객 개인정보를 잘못 관리해 유출 사고가 났다고 가정합니다. 기존 법 아래에서는 관련 매출의 3%, 즉 최대 300만 원 수준이었습니다. 그러나 개정 후에는 전체 매출액의 10%, 즉 1,000만 원까지 과징금이 부과될 수 있습니다. 더 큰 문제는 ‘과징금’이 끝이 아니라는 점입니다. 피해자 손해배상 청구, 영업 정지, 언론 노출로 인한 매출 감소까지 합산하면 사업 자체가 위태로워집니다.
아래 표를 통해 매출 규모별로 과징금 최대치를 비교해 보세요.
| 연 매출 규모 | 기존 과징금 상한 (3%) | 개정 후 과징금 상한 (10%) | 증가 금액 |
|---|---|---|---|
| 5,000만 원 | 150만 원 | 500만 원 | +350만 원 |
| 1억 원 | 300만 원 | 1,000만 원 | +700만 원 |
| 3억 원 | 900만 원 | 3,000만 원 | +2,100만 원 |
| 10억 원 | 3,000만 원 | 1억 원 | +7,000만 원 |
매출이 없거나 산정이 곤란한 사업자의 경우에도 예외 없이 최대 50억 원의 과징금이 부과될 수 있습니다. 이 조항은 의도적으로 매출 자료 제출을 거부하거나 허위 제출하는 사업자를 겨냥한 것이지만, 소규모 사업자라고 해서 면제되는 근거가 되지는 않습니다.
소상공인이 꼭 알아야 할 5가지 의무 변화
1 유출 가능성만 있어도 정보주체에게 통지해야 한다
기존에는 개인정보가 실제로 유출됐을 때만 당사자에게 알렸습니다. 개정법에서는 ‘유출 가능성이 있다고 판단되는 단계’에서도 즉시 통지 의무가 발생합니다. 예컨대 쇼핑몰 서버가 해킹 공격을 받았는데 유출 여부가 아직 불명확한 상태라도, 가능성이 확인되면 고객에게 안내해야 합니다. 이는 소규모 온라인 사업자에게 가장 실질적인 부담으로 작용할 수 있습니다.
2 CPO(개인정보보호책임자) 지정 및 이사회 의결 의무
일정 규모 이상의 사업자는 개인정보보호책임자(CPO)를 지정하고, 그 지정·변경·해제 시 이사회 의결 및 당국 신고를 해야 합니다. 개인 사업자나 소규모 법인은 대표 본인이 CPO를 겸직할 수 있지만, 그 역할을 수행한다는 사실을 서면으로 남겨두어야 합니다. 사업자가 1인이라도 ‘CPO 겸직 지정서’를 만들어 보관하는 것이 현명합니다.
3 개인정보처리방침 공개 및 최신화 의무 강화
개인정보처리방침을 홈페이지나 앱에 공개하는 것은 이미 의무였습니다. 하지만 개정법은 ‘처리 목적이나 보유 기간 등이 변경될 때마다 즉시 업데이트’해야 한다는 실질적 의무를 강화했습니다. 2년 전 만들어 둔 개인정보처리방침을 그대로 두고 운영하는 사업장은 이미 위반 상태일 수 있습니다.
4 외주·위탁업체 관리 책임이 사업주에게 귀속된다
POS 시스템 업체, 배달 앱, 결제 대행사, 클라우드 서비스 등에 개인정보 처리를 위탁하는 경우, 해당 업체가 법을 위반하더라도 위탁자인 사업주가 관리 의무를 다하지 않으면 공동으로 책임을 질 수 있습니다. 외주 업체와 체결한 계약서에 개인정보 보호 관련 조항이 없다면 지금 당장 추가해야 합니다.
5 자동화된 결정에 대한 정보주체의 거부권 보장
AI 추천 시스템이나 자동화된 마케팅 메시지 발송처럼 알고리즘이 개인에게 영향을 미치는 결정을 내릴 경우, 고객은 그 결정에 대한 설명을 요구하거나 거부할 권리를 갖게 됩니다. 이커머스나 앱 기반 서비스를 운영하는 소상공인이라면 자동 발송되는 SMS·이메일 마케팅 로직도 점검 대상에 포함됩니다.
시행 전까지 반드시 완료해야 할 체크리스트 7
개정법은 공포 후 약 6개월 뒤 시행됩니다. 국회 통과일(2026.02.12) 기준으로 공포가 3~4월 중에 이루어진다면 시행은 2026년 8~9월이 됩니다. 준비할 시간이 생각보다 짧습니다. 아래 7가지 체크리스트를 하나씩 이행하고 반드시 문서로 남겨두세요. 과징금 감경 요건이 ‘이행 증명 가능 여부’에 달려 있습니다.
매출 규모별 현실적 대응 전략
법의 원칙은 모두에게 동일하게 적용되지만, 현실적인 대응 수준은 사업 규모에 따라 달라질 수 있습니다. 중요한 것은 ‘완벽한 보안’이 아니라 ‘의무를 다하려는 노력을 입증하는 것’입니다. 개정법에는 과징금 감경 조항이 명문화되어 있으며, 사전 예방 투자를 증명하면 과징금을 줄일 수 있습니다.
연 매출 1억 미만 초소형 사업자 (카페·미용실·학원 등)
별도의 보안 솔루션 구입보다는 ①개인정보처리방침 공개, ②고객 동의서 양식 정비, ③불필요한 정보 즉시 파기 3가지에 집중하세요. 비용은 사실상 0원에 가깝습니다. 개인정보보호위원회 포털에서 무료 자가진단 도구와 표준 양식을 모두 다운로드받을 수 있습니다.
연 매출 1억~10억 중소형 사업자 (소형 의원·쇼핑몰·스튜디오 등)
온라인 예약 시스템이나 결제 시스템을 운영한다면 외주 업체와의 위탁 계약서 정비가 핵심입니다. 직원이 2인 이상이라면 직원별 접근 권한을 문서로 정리하고, 퇴직자 권한 회수 절차도 표준화해 두세요. 월 5만 원 이하의 클라우드 기반 고객 관리 솔루션(CRM)을 도입하면 로그 기록 자동 보관이 가능합니다.
연 매출 10억 이상 성장 단계 사업자
이 단계부터는 ISMS(정보보호 관리체계) 인증이나 개인정보보호 컨설팅 도입을 진지하게 고려해야 합니다. 개정법은 ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 의무 적용 대상을 확대했으며, 해당 기준에 해당하는 사업자는 2027년 7월 1일까지 인증을 준비해야 합니다. 법무법인 또는 정보보호 전문 업체의 1회성 컨설팅(50~200만 원 수준)만으로도 취약점 파악이 가능합니다.
개인정보보호법을 ‘비용’이 아닌 ‘신뢰 자산’으로 보는 이유
많은 소상공인들이 개인정보 관련 의무를 ‘귀찮은 규제’로 인식합니다. 하지만 필자의 관점에서 보면, 이번 개정법은 오히려 성실한 소상공인에게 기회가 될 수 있습니다. 대형 플랫폼의 잇따른 유출 사고로 소비자들의 경계심이 높아진 지금, ‘개인정보처리방침을 투명하게 공개하고 고객 동의를 꼼꼼히 받는다’는 사실 자체가 신뢰 마케팅이 됩니다.
실제로 ‘개인정보처리방침’을 눈에 띄는 곳에 게시하고, 고객에게 수집 목적을 명확히 설명하는 가게와 그렇지 않은 가게를 비교했을 때, 소비자 신뢰도와 재구매율에 유의미한 차이가 나타난다는 국내 연구 결과도 있습니다. 규제를 이행하면서 동시에 브랜드 신뢰를 쌓을 수 있는 것입니다. 더불어 소비자 2명 중 1명은 개인정보 유출 이슈가 발생하면 해당 서비스를 탈퇴한다는 통계는, 한 번의 사고가 고객 기반의 절반을 날릴 수 있다는 현실을 보여줍니다.
개인정보 관리를 잘하는 것은 과징금을 피하는 소극적 목표가 아니라, 단골 고객과의 신뢰 관계를 지키는 적극적 경영 전략입니다. 이번 법 개정을 계기로 고객 정보를 얼마나 소중히 다루고 있는지 한 번 점검해 보시기를 권합니다.
❓ Q&A — 소상공인 5대 질문
Q1. 직원이 없고 혼자 운영하는 1인 사업자도 개인정보보호법이 적용되나요?
네, 적용됩니다. 개인정보보호법은 개인사업자를 포함한 모든 ‘개인정보처리자’를 대상으로 합니다. 고객의 이름·전화번호·주소 등을 수집하는 순간부터 법적 의무가 발생합니다. 다만 처리하는 개인정보의 건수나 규모에 따라 의무 사항의 수준이 달라지므로, 처리 건수가 적은 소규모 사업자는 기본 의무(처리방침 공개, 동의 수령, 보유 기간 내 파기)에 집중하면 됩니다.
Q2. 이번 개정법은 언제부터 실제로 시행되나요?
2026년 2월 12일 국회 본회의를 통과했으며, 이후 국무회의 의결 및 대통령 공포 절차를 거쳐 공포일로부터 6개월 뒤 시행됩니다. 공포 시기에 따라 다르지만 2026년 8~9월 시행이 예상됩니다. ISMS-P(정보보호 관리체계 인증) 의무화 조항은 2027년 7월 1일부터 별도로 시행됩니다. 공포일은 관보(gwanbo.mois.go.kr) 또는 국가법령정보센터(law.go.kr)에서 확인하실 수 있습니다.
Q3. 고객 개인정보를 종이에 수기로만 적어 관리하면 법 적용에서 제외되나요?
아닙니다. 개인정보보호법은 전자적 처리뿐 아니라 종이 문서를 통한 정보 처리에도 적용됩니다. 수기 예약 장부, 명함 파일, 회원 카드 등도 모두 개인정보 처리에 해당합니다. 다만 디지털 시스템에 비해 외부 해킹 위험은 낮으므로, 잠금장치가 있는 캐비닛에 보관하고 불필요해진 문서를 즉시 파쇄하는 것이 핵심 의무입니다.
Q4. 과징금 10%는 모든 위반 사례에 적용되나요, 아니면 특정 조건에만 해당되나요?
특정 조건에서만 적용됩니다. 징벌적 과징금(매출 10%)의 적용 조건은 ①3년 이내 같은 위반을 반복한 경우(고의·중과실), ②고의·중과실로 1,000만 명 이상 피해를 야기한 경우, ③시정조치 명령을 따르지 않아 유출이 발생한 경우입니다. 이 세 조건에 해당하지 않으면 기존 과징금 상한(관련 매출의 3%)이 적용됩니다. 그러나 한 번 위반하면 다음 위반에서 바로 10% 적용 대상이 될 수 있어 첫 위반 예방이 가장 중요합니다.
Q5. 네이버 스마트스토어나 카카오 채널로만 운영하는데, 별도로 개인정보처리방침을 만들어야 하나요?
플랫폼 입점 판매자는 해당 플랫폼의 개인정보처리방침을 준용하는 부분이 있지만, 독립적인 개인정보처리방침을 갖추는 것이 원칙입니다. 특히 고객에게 직접 연락하거나, 별도의 DM·문자로 마케팅을 한다면 독립적인 동의 절차와 처리방침이 필요합니다. 별도 홈페이지가 없는 경우, 카카오 채널 게시판이나 스마트스토어 공지사항에 처리방침을 게시하는 방법을 사용할 수 있습니다.
✍️ 마치며 — 총평
개인정보보호법 개정 2026의 핵심은 결국 ‘기업의 책임성 강화’입니다. SK텔레콤, 쿠팡 같은 대기업이 반복적으로 유출 사고를 내도 솜방망이 처벌에 그쳤던 구조를 바꾸기 위해 만들어진 법입니다. 하지만 법은 대기업만 골라서 적용하지 않습니다. 준비하지 않은 소상공인에게도 동일하게 적용됩니다.
반면 이번 개정에서 명문화된 ‘과징금 감경 조항’은 소상공인에게 오히려 좋은 소식입니다. 완벽한 보안 시스템이 없어도 됩니다. 자가진단을 실시하고, 개인정보처리방침을 업데이트하고, 불필요한 정보를 파기한 기록만 남겨두어도 ‘관리 의지’가 인정될 수 있습니다. 시행 전까지 남은 6개월, 지금 당장 개인정보보호위원회 자가진단 페이지(privacy.go.kr)에 접속해 현황을 점검하는 것이 첫 번째 실행입니다.
개인정보를 소중히 다루는 가게는 고객이 오래 머뭅니다. 이것이 규제 이행의 최종 목표이자, 가장 현실적인 이유입니다.
※ 본 콘텐츠는 일반적인 정보 제공을 목적으로 작성되었으며, 법률 자문이나 전문 컨설팅을 대체하지 않습니다. 개별 사업 상황에 따른 구체적인 법적 판단은 반드시 자격을 갖춘 전문가에게 문의하시기 바랍니다. 법령 시행일 및 세부 규정은 관보(gwanbo.mois.go.kr) 및 국가법령정보센터(law.go.kr)에서 최신 내용을 확인하시기 바랍니다.
댓글 남기기