📢 2026.03.10 공포 — 오늘 발효된 법
개인정보보호법 과징금 10%:
9월 전 모르면 우리 회사가 타깃
오늘(3월 10일) 바로 공포된 개인정보보호법 개정안은 기업의 ‘사고 비용 계산법’을 완전히 뒤집습니다.
매출의 최대 10%까지 과징금을 맞을 수 있는 징벌적 조항이 9월 11일부터 실제 적용됩니다.
시행일 2026-09-11
CEO·CPO 직접 책임
1,000만 명 유출 시 즉시 적용
1. 오늘 공포된 법, 핵심을 30초에 파악하기
개인정보보호위원회는 2026년 3월 10일, 드디어 개정 개인정보보호법을 공포했습니다. 지난해 12월 국회 정무위원회 통과, 2월 12일 본회의 통과, 3월 국무회의 의결을 거쳐 오늘 최종 공포된 것입니다. 시행일은 2026년 9월 11일로 확정됐습니다. 약 6개월의 유예기간이 주어진 셈이지만, 사실상 지금 당장 준비를 시작해도 빠듯한 일정입니다.
이번 개정안의 핵심은 세 가지입니다. 첫째, 징벌적 과징금 도입(매출액 최대 10%). 둘째, 유출 가능성 단계부터 통지 의무화. 셋째, CEO·CPO 책임 명문화. 기존 과징금 상한이 매출의 3%였다는 점을 떠올리면, 사실상 최대 제재 수위가 세 배 이상 뛴 것입니다. EU의 GDPR(최대 매출 4%)보다도 높은 수준이라는 점에서 국내 기업들에게 상당한 충격파가 예상됩니다.
💡 핵심 인사이트: 이번 개정은 단순한 ‘벌금 인상’이 아닙니다. 개인정보 보호 책임을 실무 담당자가 아닌 대표이사(CEO)와 이사회 수준으로 끌어올렸다는 점이 본질입니다. 보안 담당자만의 문제가 아니라 경영 전략 차원의 이슈가 된 것입니다.
2. 개인정보보호법 과징금 10% — 실제로 어떤 기업이 해당되나
“우리는 해당 안 되겠지”라고 안심하기 전에, 적용 요건부터 정확히 확인해야 합니다. 이번 개정안이 도입한 징벌적 과징금 특례는 세 가지 상황 중 하나라도 해당하면 발동됩니다.
| 적용 요건 | 내용 |
|---|---|
| ① 반복 위반 | 최근 3년 내 고의 또는 중대한 과실로 법 위반을 반복한 경우 |
| ② 대규모 피해 | 고의 또는 중대한 과실로 1,000만 명 이상 피해를 초래한 경우 |
| ③ 시정명령 불이행 | 시정명령을 이행하지 않아 개인정보 유출 등 사고가 발생한 경우 |
언뜻 보면 “1,000만 명이나 돼야 해당되는 거잖아”라고 생각할 수 있습니다. 하지만 ①번 반복 위반 요건은 중소기업도 피해갈 수 없습니다. 보안 점검 미흡으로 한 번 시정조치를 받았는데 이후 같은 문제가 재발하면 ‘반복 위반’으로 간주될 수 있기 때문입니다. 또한 매출액 산정이 곤란한 경우를 대비해 과징금 상한도 기존 20억 원에서 50억 원으로 상향됐습니다. 이 부분은 스타트업이나 비영리단체도 결코 가볍게 볼 수 없는 내용입니다.
반대로, 사전 예방적 투자를 충실히 한 기업에는 과징금 감경 인센티브가 주어집니다. 개인정보 보호를 위한 예산·인력·설비·기술적 장치를 적극 투자·운영한 기록이 있으면 필수적으로 과징금이 깎입니다. 단, 고의·중과실에 의한 사고라면 이 감경 혜택은 적용되지 않습니다.
💡 주관적 의견: 개인적으로 이 제도의 가장 큰 의미는 ‘과징금 감경 인센티브’라고 봅니다. 법이 단순히 처벌만 강화하는 게 아니라, 기업이 보안 투자를 늘리면 실제로 이득을 볼 수 있는 구조를 만든 것입니다. 보안 예산을 ‘비용’이 아니라 ‘보험’으로 보는 인식 전환이 이제 선택이 아닌 필수가 됐습니다.
3. 유출 ‘가능성’만으로도 통지해야 하는 새 규정
기존 개인정보보호법은 기업이 “유출이 됐음을 알았을 때” 이용자에게 통지하도록 규정했습니다. 그런데 현실에서는 기업이 유출 사실을 확인하는 데 수개월이 걸리는 경우가 다반사입니다. 실제로 쿠팡의 경우, 핵심 개발자가 마스터키를 탈취한 후 11개월이나 지나서야 기업이 이를 파악했습니다. 그 사이 3,370만 명의 개인정보가 무방비로 노출돼 있었습니다.
개정 법률은 이 허점을 막기 위해 통지 기준을 “유출 등의 가능성이 있음을 알게 되었을 때”로 앞당겼습니다. 사고가 확인되지 않더라도, 이상 접근 징후를 포착했거나 외부 해킹 시도가 감지됐다면 지체 없이 정보 주체에게 알려야 합니다. 또한 통지 범위도 크게 확대됐습니다. 기존에는 분실·도난·유출만 통지 대상이었지만, 이제는 랜섬웨어 공격 등으로 인한 위조·변조·훼손까지 포함됩니다.
더 나아가, 통지를 할 때 단순히 “유출됐습니다”만 알리는 것으로는 부족합니다. 이제는 손해배상 청구 방법, 분쟁조정 신청 경로 등 피해 구제 방법까지 함께 안내해야 합니다. 이를 위반하면 별도의 제재 대상이 될 수 있습니다.
4. CEO·CPO가 직접 책임지는 구조로 바뀐다
이번 개정안에서 가장 파격적인 내용 중 하나는 바로 경영진 책임 명문화입니다. 그동안 개인정보 유출 사고가 발생해도 “실무 담당자의 문제”로 덮이는 경우가 많았습니다. 하지만 이제는 법이 명시적으로 대표이사(CEO)에게 개인정보 처리·보호의 최종 관리·감독 의무를 부여합니다.
개인정보 보호책임자(CPO) 제도도 대폭 강화됩니다. 일정 규모 이상의 기업은 CPO를 지정·변경·해제할 때 이사회 의결을 거쳐야 하고, 이를 개인정보보호위원회에 신고해야 합니다. CPO는 개인정보 보호에 필요한 전문 인력 관리와 예산 확보 업무를 직접 수행하며, 개인정보 보호 관련 사항을 대표이사와 이사회에 정기적으로 보고해야 합니다.
💡 실무 포인트: CPO를 ‘형식적으로 이름만 올려두는’ 식으로 운영하던 기업들은 지금 당장 역할을 재정립해야 합니다. 이사회 의결·신고 절차 없이 CPO를 교체하면 그 자체로 법 위반이 됩니다. 또한 CPO가 예산과 인력에 대한 실질적 권한을 갖지 못한 채 운영되면 역할 의무 위반으로 이어질 수 있습니다.
이 조항은 사실상 개인정보 보호를 이사회 아젠다로 올리라는 요구입니다. 선진 기업들이 ESG·사이버보안을 이사회에서 다루는 것처럼, 국내 기업도 이제는 개인정보 보호를 경영 최상위 의제로 다뤄야 하는 시대가 열렸습니다.
5. ISMS-P 의무화 — 내년 7월부터 해당 기업은?
기존에는 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증이 자율 취득 제도였습니다. 물론 인터넷서비스 사업자, 병원, 금융기관 등 특정 업종은 이미 ISMS 인증이 의무였지만, 개인정보보호 영역에서의 ISMS-P 의무화는 새로운 이야기입니다. 개정 법률은 공공기관과 주요 민간 기업에 ISMS-P 인증을 의무화합니다.
단, ISMS-P 의무화 규정은 기업들의 준비 기간을 고려해 2027년 7월 1일부터 시행됩니다. 구체적인 의무화 대상 기준(매출액, 이용자 수 등)은 시행령으로 정해질 예정입니다. 개인정보보호위원회는 현재 후속 시행령 개정 작업을 신속히 추진하고 있다고 밝혔습니다. 다만 1년여의 준비 기간이 주어진다 해도, ISMS-P 인증 취득 자체가 수개월에서 1년 이상 걸릴 수 있으므로 대상 기업은 지금부터 준비를 시작하는 것이 현명합니다.
💡 체크 포인트: ISMS-P 인증을 갖고 있다고 해서 법적 면책이 자동으로 되지는 않습니다. 쿠팡 사례처럼 ISMS 인증을 받았음에도 실제 보안 운영이 부실하면 여전히 책임을 피할 수 없습니다. 인증은 ‘최소한의 출발점’이지, ‘완전한 보호막’이 아닙니다.
6. 지금 당장 해야 할 기업 체크리스트 5가지
9월 11일까지 약 6개월이 남았습니다. 막막하다면 아래 5단계 체크리스트부터 시작하세요. 대기업부터 스타트업까지 규모와 무관하게 점검해야 할 핵심 항목입니다.
CPO가 실질적 권한(예산·인력)을 갖고 있는지, 이사회에 보고하는 체계가 마련됐는지 즉시 확인하세요. CPO 지정·변경 시 이사회 의결 절차도 사전에 구비해야 합니다.
‘유출 가능성 인지’ 시점부터 통지 의무가 발동됩니다. 이상 접근 감지 → 내부 보고 → 정보주체 통지까지의 SOP(표준 운영 절차)를 지금 만들어야 합니다.
위조·변조·훼손(랜섬웨어 포함)도 통지 대상입니다. 기존 통지 템플릿에 피해구제 방법(손해배상 청구, 분쟁조정 신청) 안내 문구를 반드시 추가하세요.
과징금 감경 인센티브를 받으려면 ‘보안 투자 이력’이 필요합니다. 지금부터 예산 집행 내역, 인력 채용, 시스템 도입 기록을 체계적으로 문서화하세요.
2027년 7월 의무화 기준(대상 기업 범위)은 시행령으로 확정됩니다. ISMS-P 취득까지 6~12개월이 필요하므로, 대상 기업은 올 하반기부터 준비에 착수해야 합니다.
7. Q&A — 실무자가 가장 많이 묻는 5가지
Q1. 개인정보보호법 과징금 10%는 언제부터 실제로 적용되나요?
2026년 9월 11일부터 시행됩니다. 단, 개정안 시행 전에 이미 발생한 사고에 대한 소급 적용은 되지 않습니다. 9월 11일 이후 발생하거나 확인된 위반 행위부터 새로운 기준이 적용됩니다.
Q2. 연 매출이 10억 미만인 소규모 기업도 해당되나요?
네, 원칙적으로 해당됩니다. 다만 매출액 산정이 곤란한 경우에는 과징금 상한이 50억 원으로 설정됩니다. 소규모 기업이라도 ‘반복 위반’ 요건에 걸리면 상당한 제재를 받을 수 있으므로, 규모와 무관하게 기본 보안 체계를 갖추는 것이 중요합니다.
Q3. 랜섬웨어 피해를 입었을 때도 이용자에게 통지해야 하나요?
그렇습니다. 개정 법률은 개인정보의 위조·변조·훼손도 ‘유출 등 사고’에 포함시켰습니다. 랜섬웨어로 데이터가 암호화·훼손된 경우, 단순 유출이 아니더라도 지체 없이 정보주체에게 통지하고 개인정보보호위원회에 신고해야 합니다.
Q4. ISMS-P 인증을 받으면 과징금이 면제되나요?
면제가 아닌 감경입니다. ISMS-P 인증 자체가 직접적인 과징금 면제 요건은 아닙니다. 다만 ISMS-P 인증 과정에서 요구하는 예산·인력·설비 투자 기록이 과징금 필수 감경 인센티브로 작용할 수 있습니다. 인증이 면죄부가 아님을 반드시 명심하세요.
Q5. CPO를 새로 지정하거나 교체할 때 이사회 의결이 반드시 필요한가요?
‘일정 규모 이상’의 개인정보처리자에 해당하는 기업이라면 CPO 지정·변경·해제 시 이사회 의결 및 개인정보보호위원회 신고가 의무화됩니다. ‘일정 규모 이상’의 구체적인 기준은 시행령에서 확정될 예정이며, 개인정보보호위원회는 시행령 개정을 신속히 추진할 계획이라고 밝혔습니다.
8. 마치며 — 쿠팡 3,370만 명 사태가 남긴 교훈
이번 법 개정의 직접적인 도화선이 된 것은 쿠팡의 3,370만 명 규모 개인정보 유출 사태입니다. ISMS 인증을 보유하고 최고 수준의 보안 투자를 자랑하던 기업이, 내부 직원의 악의적 행위로 11개월 동안 방치된 채 역대 최대 규모 유출을 내줬습니다. 이 사건은 “우리는 보안 잘 하고 있다”는 자신감이 얼마나 위험한 착각인지를 보여줬습니다.
개정 개인정보보호법은 그 교훈에 직접 응답한 법입니다. 과징금을 높이는 것만이 아니라, CEO·CPO가 이사회에서 책임지는 거버넌스 구조를 법제화했고, 유출을 ‘확인’하기 전부터 통지 의무를 발동시킴으로써 기업이 은폐할 여지를 좁혔습니다. 개인적으로는 이번 개정이 한국 개인정보 보호 제도의 성숙도를 EU GDPR 수준으로 끌어올리는 전환점이 될 것이라 봅니다.
9월 11일은 생각보다 빨리 옵니다. 지금 당장 CPO에게 이 법을 공유하고, 이사회 아젠다에 ‘개인정보 보호 리스크 점검’을 올리는 것이 첫 번째 행동입니다. 그것이 과징금 10%를 피하는 가장 현실적인 방법입니다.
※ 이 포스팅은 2026년 3월 10일 공포된 개인정보보호법 개정안을 바탕으로 작성된 정보 제공 목적의 콘텐츠입니다. 법적 해석·적용은 기업별 상황에 따라 달라질 수 있으며, 구체적인 법률 판단은 반드시 전문 법률가와 상담하시기 바랍니다. 시행령 세부 기준은 추후 개정될 수 있습니다. 외부 링크: 개인정보보호위원회 · 개인정보 포털
댓글 남기기