⚖️ D-185 (9월 11일 시행)
💸 매출 최대 10% 과징금
개인정보보호법 개정 과징금 매출 10%:
9월 전 안 바꾸면 기업 존폐 위기
쿠팡 3,370만 명 유출 사태가 바꾼 법률 — CEO·CPO 책임 강화부터 ISMS-P 의무화까지 실무 대응 완전정복
왜 지금인가? — 쿠팡 사태가 법을 바꿨다
2026년 3월 10일, 개인정보보호위원회는 개정 개인정보 보호법을 공포했습니다. 이 법은 오는 2026년 9월 11일부터 전면 시행됩니다. 법 개정의 직접적인 도화선은 2025년 11월에 터진 쿠팡 대규모 개인정보 유출 사건으로, 전직 내부 직원에 의해 3,370만 명의 고객 정보(이름·이메일·배송지·주문정보)가 외부에 노출됐습니다.
당시 기존 법률로는 쿠팡에 부과할 수 있는 과징금 상한이 전체 매출의 3%에 불과했습니다. 쿠팡의 연간 매출이 27조 원대임을 감안하면 최대 8,100억 원 수준이었지만, 전문가들은 실효적 억지력이 없다고 지적했습니다. 만약 새 법이 적용됐다면 이론상 최대 2조 7,000억 원의 과징금이 가능해지는 구조입니다. 결국 이 사건이 입법 속도를 끌어올렸고, 여야 합의로 2026년 2월 12일 국회 본회의를 통과시켰습니다.
💡 핵심 타임라인
2025.11 쿠팡 유출 사태 → 2026.02.12 국회 본회의 통과 → 2026.03.10 공포 → 2026.09.11 시행 → 2027.07.01 ISMS-P 의무화 별도 시행
핵심 변경 사항 5가지 한눈에 정리
이번 개정안은 단순히 과징금만 올린 게 아닙니다. 기업의 개인정보 거버넌스 전체 구조를 흔드는 내용을 담고 있습니다. 아래 표로 핵심 변경 사항을 한눈에 비교해 보세요.
| 구분 | 기존 (개정 전) | 개정 후 (9월 시행) |
|---|---|---|
| 과징금 상한 | 전체 매출액의 3% 이하 | 전체 매출액의 최대 10% |
| 유출 통지 기준 | 유출이 확인됐을 때 | 유출 가능성을 알게 됐을 때 |
| 통지 사고 범위 | 분실·도난·유출 | 위조·변조·훼손 추가 포함 |
| CEO 책임 | 불명확 | 최종 관리·감독 의무 법제화 |
| CPO 지정 | 자율 지정 | 이사회 의결 + 개인정보위 신고 의무 |
| ISMS-P 인증 | 자율 취득 | 주요 기업·기관 의무화 (2027.07~) |
※ 개인정보 보호 예산·인력·설비 투자 시 과징금 필수 감경 인센티브 신설 (고의·중과실 제외)
징벌적 과징금 3가지 발동 조건 (구체적 기준)
매출 10% 과징금이 무조건 적용되는 것은 아닙니다. 개정법은 세 가지 특례 조건 중 하나에 해당할 때만 강화된 제재를 부과하도록 명시했습니다. 하지만 이 세 가지 조건은 생각보다 폭넓게 해석될 수 있어 결코 안심할 수 없습니다.
최근 3년간 반복 위반
고의 또는 중대한 과실로 위반 행위를 3년 내 2회 이상 반복한 경우입니다. 과거에 과태료나 시정명령을 받은 이력이 있다면 이번 위반부터 바로 10% 특례가 적용될 수 있습니다. 단 한 번의 전력도 치명적이라는 점을 명심해야 합니다.
1,000만 명 이상 대규모 피해
고의 또는 중대한 과실로 1,000만 명 이상의 정보 주체에게 피해를 초래한 경우입니다. 쿠팡(3,370만 명), KT, LG유플러스 등 과거 대형 유출 사고들이 모두 이 기준을 충족합니다. 통신·유통·금융 등 대규모 고객 데이터를 보유한 기업은 사실상 이 조건의 직접 적용 대상입니다.
시정명령 불이행 후 사고 발생
개인정보보호위원회의 시정명령을 이행하지 않은 상태에서 추가 유출 사고가 발생한 경우입니다. 행정 지도를 무시하거나 형식적으로만 응하다 사고가 터지면 가장 강력한 제재를 피할 방법이 없습니다. 규제 당국과의 커뮤니케이션을 소홀히 해서는 안 되는 이유입니다.
💡 필자의 시각 — 중소기업도 안전지대가 아닙니다
조건 ②의 1,000만 명 기준이 대기업만을 겨냥한 것처럼 보이지만, 조건 ①과 ③은 규모와 무관하게 적용됩니다. 특히 이커머스·앱 서비스·의료·교육 분야에서 수십만 명의 회원 정보를 보유한 중견·중소기업도 반복 위반 이력만 있으면 매출 10% 특례를 피할 수 없습니다.
CEO·CPO 책임 강화 — 대표가 직접 처벌받는다
이번 개정에서 가장 주목해야 할 변화 중 하나는 최고경영자(CEO)가 개인정보 처리 및 보호의 최종 책임자로 법률에 명문화됐다는 점입니다. 과거에는 개인정보 관련 문제가 IT팀이나 보안팀의 영역으로 좁게 해석됐지만, 이제는 대표이사가 관리·감독 의무를 소홀히 했다는 사실이 입증되면 직접 책임을 피할 수 없게 됐습니다.
개인정보 보호책임자(CPO)의 역할도 대폭 강화됐습니다. 일정 규모 이상의 기업은 CPO를 지정·변경·해제할 때 반드시 이사회 의결을 거쳐야 하고, 개인정보보호위원회에 신고해야 합니다. 또한 CPO는 ▲개인정보 보호 전문 인력 관리 ▲관련 예산 확보 ▲대표자 및 이사회 보고 의무를 법적으로 이행해야 합니다.
⚠️ 실무적 시사점
CPO 지정 신고제가 도입되면 “우리 회사는 CPO가 누군지 명확하지 않다”는 말 자체가 법 위반 근거가 됩니다. 특히 CPO 직책을 형식적으로 겸직시켜 놓은 기업은 이사회 의결·신고 절차를 통해 실질적인 전문성을 갖춘 인물로 교체하거나 지위를 명확히 할 필요가 있습니다. 구체적인 적용 규모 기준은 후속 시행령으로 확정될 예정입니다.
유출 ‘가능성’만 있어도 통지해야 하는 이유
기존 법률은 “개인정보가 유출됐음을 알았을 때” 정보 주체에게 통지하도록 규정했습니다. 그런데 실제 현장에서는 유출이 완전히 확인될 때까지 통지를 미루는 관행이 생겨났고, 이 때문에 피해자들이 뒤늦게 사실을 알고 2차 피해를 당하는 경우가 반복됐습니다.
개정법은 이 기준을 “유출 가능성이 있음을 알게 됐을 때”로 앞당겼습니다. 예를 들어 랜섬웨어 공격을 받았거나, 내부 시스템에서 이상 접근이 감지됐거나, 협력업체 보안 사고가 확인된 경우처럼 완전한 유출 확인 전이라도 지체 없이 통지해야 합니다. 또한 기존에는 통지 대상에서 제외됐던 위조·변조·훼손 사고(랜섬웨어 등)도 이제 통지·신고 의무가 생겼습니다.
💡 통지 내용도 달라집니다
개정법은 유출 통지 시 단순 사실 고지에 그치지 않고, 손해배상 청구 방법·분쟁조정 신청 절차 등 피해구제 방법을 함께 알리도록 의무화했습니다. 고객에게 형식적인 사과 이메일만 보내는 방식은 더 이상 법적 기준을 충족하지 못합니다.
ISMS-P 인증 의무화 — 우리 회사는 해당될까?
ISMS-P(개인정보보호 관리체계 인증)는 한국인터넷진흥원(KISA)이 운영하는 정보보호 및 개인정보보호 통합 인증입니다. 기존에는 특정 요건을 갖춘 기업이 자율적으로 취득하는 선택사항이었지만, 이번 개정으로 공공·민간 분야의 파급력이 큰 주요 기업·기관에 의무화됩니다.
ISMS-P 인증 의무화는 예산 확보와 준비 기간이 필요한 점을 고려해 2027년 7월 1일부터 시행됩니다. 9월 11일 시행 사항과 달리 1년 3개월의 준비 기간이 있지만, ISMS-P 인증을 처음 취득하는 데는 통상 12~18개월이 소요되는 만큼 지금 당장 준비를 시작해야 합니다. 의무화 대상 기업의 구체적인 기준은 후속 시행령을 통해 확정될 예정이며, 연 매출·일일 이용자 수·보유 개인정보 규모 등을 기준으로 할 가능성이 높습니다.
📌 인센티브도 기억하세요
개정법은 단순히 규제만 강화한 것이 아닙니다. 개인정보 보호를 위한 예산·인력·설비·장치에 투자하고 운영한 기업은 과징금을 필수적으로 감경받는 인센티브가 생겼습니다(단, 고의·중과실 제외). ISMS-P 인증 취득은 사고 발생 시 과징금 감경을 위한 가장 강력한 증빙 자료가 될 수 있습니다.
9월 11일 전 기업 실무 대응 체크리스트 6단계
2026년 9월 11일까지 남은 시간은 약 185일입니다. 지금 당장 시작해야 할 실무 대응을 단계별로 정리했습니다.
STEP 1과징금 위험 노출 여부 자가 진단
최근 3년간 개인정보 관련 행정처분·과태료·시정명령 이력을 전수 조사하세요. 이력이 있다면 이미 조건 ①의 위험 그룹입니다. 법무·보안팀 합동으로 이력 검토를 우선 진행해야 합니다.
STEP 2CPO 지위 재정비 및 이사회 보고 체계 구축
CPO가 형식적 겸직 상태라면 전담 CPO 지정을 검토하세요. 이사회에 개인정보 보호 현황을 정기 보고하는 아젠다를 설치하고, CPO 지정 신고 절차는 후속 시행령 확정 후 즉시 이행할 준비를 해야 합니다.
STEP 3유출 대응 SOP(표준운영절차) 업데이트
유출 확인 시 → 가능성 인지 시로 통지 기준을 변경한 신규 SOP를 작성하세요. 랜섬웨어 공격, 이상 접근 탐지, 협력업체 보안 사고 등 ‘가능성 인지’ 시나리오별 통지 기준과 책임자를 명확히 문서화해야 합니다.
STEP 4유출 통지 서식에 피해구제 방법 추가
기존 유출 통지 템플릿에 손해배상 청구 방법·분쟁조정 신청 절차·개인정보보호위원회 연락처를 필수 기재 항목으로 추가하세요. 형식적인 사과문 수준에서 벗어나야 법적 의무를 충족합니다.
STEP 5개인정보 보호 예산·인력 투자 기록 관리
과징금 감경 인센티브를 받으려면 보호 투자의 증빙이 핵심입니다. 보안 솔루션 도입, 전문 인력 채용, 교육 이수 기록, 시스템 점검 보고서 등을 체계적으로 보관하는 내부 문서화 시스템을 지금부터 구축해야 합니다.
STEP 6ISMS-P 인증 취득 로드맵 수립
의무화 대상 기업으로 예상된다면 KISA에 사전 문의하고 인증 컨설팅을 시작하세요. 취득에 최소 12~18개월이 필요하므로 2027년 7월 시행 전에 완료하려면 늦어도 2026년 초 기준으로는 이미 늦었습니다. 지금 바로 RFP를 준비하는 것을 권장합니다.
Q&A — 현장에서 가장 많이 묻는 5가지
Q1. 매출 10% 과징금이 무조건 부과되는 건가요? 소규모 기업도 해당되나요?
무조건 적용되는 것은 아닙니다. 앞서 설명한 3가지 특례 조건(반복 위반·1,000만 명 이상 피해·시정명령 불이행 후 사고) 중 하나에 해당해야 합니다. 그러나 소규모 기업이라도 반복 위반 이력이 있거나 시정명령을 무시하면 조건 ①③에 해당할 수 있으므로 규모와 무관하게 주의가 필요합니다.
Q2. 유출 가능성 통지를 너무 일찍 하면 고객에게 불필요한 불안을 주지 않나요?
현실적인 고민이지만, 법은 ‘지체 없는 통지’ 의무를 우선합니다. 다만 통지 시 “현재 조사 중이며 추가 피해 예방을 위해 이렇게 행동하세요”라는 방식으로 단계별 안내를 하는 것이 불필요한 혼란을 줄이는 방법입니다. 통지를 늦추다 적발됐을 때의 위험이 훨씬 크다는 점을 기억하세요.
Q3. CPO 지정 신고 의무화의 ‘일정 규모 이상’ 기준은 언제 확정되나요?
개정법 공포일인 2026년 3월 10일 기준으로 구체적인 기준은 아직 후속 시행령으로 확정 중입니다. 개인정보보호위원회는 9월 11일 시행에 맞춰 시행령 개정을 신속히 추진하겠다고 밝혔으므로, 2026년 상반기 중 확정될 가능성이 높습니다. 공식 홈페이지(pipc.go.kr)를 통해 시행령 공고를 모니터링하는 것이 중요합니다.
Q4. 과징금 감경 인센티브를 받으려면 어떤 투자가 인정되나요?
개정법은 “개인정보 보호 관련 예산·인력·설비·장치 등을 투자·운영한 경우”를 감경 요건으로 명시했습니다. 구체적인 인정 범위는 시행령에서 정해질 예정이나, 통상 보안 솔루션 도입·전문 인력 채용·정기 취약점 점검·임직원 개인정보 보호 교육 수료·ISMS-P 인증 취득 등이 포함될 것으로 예상됩니다. 단, 고의나 중대한 과실이 있는 경우는 감경 대상에서 제외됩니다.
Q5. 이번 개정이 EU의 GDPR과 비교하면 어느 수준인가요?
GDPR은 위반 시 전 세계 연간 매출의 최대 4%(일반 위반) 또는 2%(특정 위반)까지 과징금을 부과합니다. 한국의 개정법은 3가지 특례 조건 하에서만 최대 10%를 적용한다는 점에서 적용 범위는 제한적이지만, 특례 조건 내에서는 GDPR보다 높은 비율을 적용할 수 있는 구조입니다. 다만 GDPR이 EU 전체 매출 기준임에 반해 한국법은 국내 매출 기준으로 해석될 가능성이 있어 실질 금액 차이는 별도 분석이 필요합니다.
마치며 — 이 법이 진짜 의미하는 것
개인정보 보호법 개정을 단순히 “과징금이 올랐다”는 수준으로만 이해하는 기업은 앞으로 큰 위기를 맞을 수 있습니다. 이 법의 진짜 의미는 “개인정보 보호는 보안팀의 일이 아니라 경영진의 책임”이라는 패러다임 전환에 있습니다.
CEO 관리·감독 의무 명문화, CPO 이사회 의결·신고 의무화, 과징금 감경 인센티브로서의 사전 투자 증빙 — 이 세 가지를 연결하면 결론은 명확합니다. 개인정보 보호를 이사회 어젠다로 올리고, 예산을 배정하고, 전문 인력을 두는 기업만이 법적 리스크를 최소화할 수 있습니다. 반면 기존처럼 형식적으로 운영한 기업은 사고 발생 시 감경 근거도 없이 최대 과징금을 고스란히 짊어지게 됩니다.
2026년 9월 11일까지 남은 시간은 넉넉하지 않습니다. 위의 6단계 체크리스트부터 하나씩 실행해 나가는 것이 가장 현명한 선택입니다. 법 공포 직후인 지금이 가장 좋은 준비 시점입니다.
※ 이 글은 2026년 3월 11일 기준 공포된 개인정보 보호법 및 공식 보도자료를 바탕으로 작성된 정보성 콘텐츠입니다. 구체적인 법적 의무 판단과 대응 방안은 반드시 법무 전문가 또는 개인정보보호위원회에 확인하시기 바랍니다. 이 글의 내용이 개별 기업의 법적 자문을 대체하지 않습니다. 후속 시행령 내용에 따라 일부 내용이 변경될 수 있습니다.
외부 참고: 개인정보보호위원회 공식 사이트 / KISA ISMS-P 인증 포털
댓글 남기기