개인정보 보호법 개정 9월 시행:
모르면 배상조차 못 받는다
2026년 2월 12일, 국회 본회의를 통과한 개인정보 보호법 개정안이 오는 2026년 9월 11일부터 시행됩니다. 과징금 상한이 전체 매출액의 최대 10%로 치솟고, 유출이 ‘확인’되기 전이라도 ‘가능성’만으로 즉시 통지해야 하는 의무가 생깁니다. 기업에게는 생존을 위협할 수 있는 변화이고, 개인에게는 내 정보가 털렸을 때 배상받을 권리가 훨씬 강해지는 기회입니다.
매출 10% 과징금
유출 가능성 통지제 신설
CEO·CPO 책임 명확화
왜 지금 개정됐나 — 연이은 대형 유출 사고가 법을 바꿨다
개인정보 보호법 개정의 직접적인 계기는 최근 수년간 반복된 국내 주요 플랫폼·통신사·금융사의 대규모 개인정보 유출 사고입니다. 쿠팡, 주요 통신사, 대형 금융기관 등이 해킹 또는 내부 관리 소홀로 수백만 명의 개인정보를 유출시켰지만, 기존 제도에서는 과징금 상한이 ‘관련 매출액의 3%’에 불과해 처벌의 실효성이 낮다는 비판이 이어졌습니다.
2026년 2월 12일, 14개의 발의안을 통합·조정한 국회 정무위원회 대안이 본회의를 통과했고, 3월 10일 공포를 거쳐 오는 9월 11일부터 본격 시행됩니다. 단순히 벌금을 올린 수준이 아니라, 기업 거버넌스 구조 자체를 흔드는 수준의 변화입니다.
💡 인사이트: 지금까지 대기업들이 유출 사고를 내고도 ‘솜방망이 처벌’로 넘어갔던 이유가 관련 매출액 기준의 낮은 과징금 상한 때문이었습니다. 이번 개정은 그 구멍을 메우는 실질적 전환점입니다.
징벌적 과징금 완전 해부 — 매출 10%가 실제로 얼마인지
개인정보 보호법 개정이 만든 3가지 징벌 트리거
이번 개정의 가장 강력한 조항은 징벌적 과징금으로, 전체 매출액의 최대 10%까지 부과할 수 있습니다. 단, 아무 때나 적용되는 것이 아니라 다음 세 가지 조건 중 하나에 해당해야 합니다.
| 트리거 조건 | 구체적 기준 | 과징금 상한 |
|---|---|---|
| 반복 위반 | 3년 이내 과징금 부과 후 동일 위반 재발 (고의·중과실) | 전체 매출 10% |
| 대규모 피해 | 고의·중과실로 1,000만 명 이상 피해 발생 | 전체 매출 10% |
| 시정명령 불이행 | 시정조치 명령에 따르지 않아 유출 발생 | 전체 매출 10% |
| 매출 없는 경우 | 매출 산정 곤란 시 대통령령 기준 | 50억 원 이하 |
연매출 1조 원 기업이라면 최대 1,000억 원의 과징금을 맞을 수 있습니다. 반면 사전에 보안 예산·인력·설비에 투자한 기업에게는 과징금 감경 인센티브가 주어지는 당근책도 함께 신설되었습니다. 단, 고의 또는 중과실이 있는 경우에는 감경이 적용되지 않습니다.
중요한 것은 ‘대규모 피해’ 조건입니다. 개정안 시행 이후 종료되지 않은 위반행위에도 소급 적용되기 때문에, 9월 11일 이전에 이미 진행 중인 개인정보 침해 행위가 있다면 기업 입장에서는 지금 당장 자체 점검에 나서야 합니다.
유출 가능성 통지제 — ‘이미 털린 뒤’ 고지는 끝났다
개인정보 보호법 개정으로 통지 의무의 시점이 달라진다
기존 법에서는 개인정보가 실제로 유출되었음을 알게 된 때 정보주체에게 통지하면 됐습니다. 그러나 이번 개정은 기준 시점을 대폭 앞당겼습니다. 유출이 확인되지 않았더라도, 유출 ‘가능성’을 인지한 순간 즉시 모든 해당 정보주체에게 통지할 의무가 생깁니다.
이는 개인에게 매우 중요한 변화입니다. 기업이 해킹 사실을 확인하는 데 수일에서 수주가 걸리는 현실에서, 그 사이에 피해자는 보이스피싱·명의도용 등 2차 피해에 무방비 상태로 노출됩니다. 새 법은 그 공백을 막기 위해 ‘조기 경보’ 시스템을 법제화한 것입니다.
또한 통지 범위도 넓어졌습니다. 기존에는 분실·도난·유출만 통지 대상이었으나, 이제는 위조·변조·훼손까지 포함됩니다. 통지 시 포함해야 할 항목에는 피해구제 방법(손해배상 청구, 분쟁조정 신청 절차)도 명시적으로 안내해야 합니다. 기업이 유출 통지를 보내면서 배상 방법을 쏙 빼놓던 관행이 사라지게 되는 것입니다.
💡 인사이트: “유출 가능성만으로 통지”라는 기준이 모호하게 보일 수 있습니다. 구체적 기준은 대통령령으로 위임됐으며, 개인정보보호위원회는 3~4월 중 시행령 입법예고를 진행할 예정입니다. 이 기준이 어떻게 정해지느냐에 따라 기업의 부담 수준이 크게 달라질 것입니다.
CEO·CPO 책임 강화 — 이사회까지 끌어들인 이유
이번 개인정보 보호법 개정은 개인정보 보호 실패의 책임을 실무 담당자에서 최고경영진(CEO)과 이사회로 끌어올렸다는 점에서 혁신적입니다. 기존에는 보안 사고가 나도 현장 담당자나 외주업체에 책임을 전가하는 경우가 많았는데, 이제는 그 구조 자체가 법으로 차단됩니다.
개정법은 대표자(CEO)를 개인정보 처리 및 보호의 최종 책임자로 명시하고, 충분한 인력과 예산 확보를 포함한 총괄적 관리 조치를 법적 의무로 규정합니다. 또한 일정 규모 이상 기업은 개인정보 보호책임자(CPO)를 지정·변경·해제할 때 이사회 의결을 거쳐야 하며, 개인정보보호위원회에 신고까지 해야 합니다.
CPO는 개인정보 보호 현황을 대표자 및 이사회에 정기 보고할 의무도 새로 생겼습니다. 이사회가 개인정보 보호 현황을 공식 안건으로 다루게 되는 것이고, 이로 인해 ‘몰랐다’는 변명이 성립하기 어려워집니다. 징벌적 과징금 부과 시 ‘고의 또는 중대한 과실’ 여부를 판단할 때 이사회 보고 여부와 그에 따른 조치가 핵심 기준이 될 것입니다.
ISMS-P 의무화 — 2027년 7월 전에 준비해야 할 것
개인정보 보호법 개정이 만들어내는 인증 의무화의 파장
ISMS-P(정보보호 및 개인정보보호 관리체계 인증)는 기존에는 자율 인증이었습니다. 그러나 이번 개정으로 매출액·개인정보 처리 규모가 대통령령이 정하는 기준에 달하는 기업은 의무적으로 ISMS-P 인증을 취득해야 합니다. 시행은 2027년 7월 1일로 9월 시행 본법보다 약 10개월 유예됩니다.
ISMS-P 인증 취득은 통상 6개월~1년 이상의 준비 기간이 필요합니다. 심사 준비, 내부 규정 정비, 전문 인력 확보까지 고려하면 사실상 2026년 하반기부터 준비를 시작해야 2027년 7월 시행에 맞출 수 있습니다. 인증을 받지 않으면 과태료 대상이 됩니다.
역설적으로 ISMS-P 인증을 성실히 유지하고 보안 투자를 꾸준히 해왔다면, 사고 발생 시 징벌적 과징금의 감경 사유로 활용될 수 있습니다. 비용이 아니라 리스크 헤지 수단으로 인증을 바라봐야 할 시대가 된 것입니다.
일반인이 얻는 권리 — 배상 청구, 이제 훨씬 쉬워진다
이번 개정은 기업 규제에만 집중된 것처럼 보이지만, 사실 정보주체(일반 소비자)의 권리 강화라는 측면에서도 큰 의미가 있습니다. 개인정보 유출 사고가 났을 때 기업이 보내는 통지문에는 이제 반드시 손해배상 청구 방법, 분쟁조정 신청 절차가 포함되어야 합니다. 기존에는 “유출되었으니 비밀번호를 바꾸세요”로 끝나는 경우가 많았지만, 앞으로는 내가 배상받을 수 있는 방법까지 기업이 알아서 안내해야 합니다.
또한 이번 법에는 포함되지 않았으나 현재 국회에서 추가 논의 중인 개정안들이 있습니다. 입증책임 전환이 그 핵심인데, 현재는 피해자(소비자)가 기업의 ‘고의 또는 과실’을 입증해야 하지만, 개정안에서는 반대로 기업이 자신의 무과실을 입증하지 못하면 자동으로 책임을 지는 구조로 바뀝니다. 이 조항이 통과된다면 개인 소비자가 배상을 받기 위해 넘어야 할 문턱이 혁명적으로 낮아집니다.
💡 인사이트: 현행 법정손해배상은 최대 300만 원이지만, 유출된 피해자가 100만 명이라면 기업 전체 배상 책임이 수조 원에 달할 수 있습니다. 추가 개정안이 통과되면 집단 소송의 문이 본격적으로 열리게 됩니다. 소비자 입장에서 이 흐름을 주목해야 할 이유가 충분합니다.
9월 시행 전, 당신이 지금 해야 할 3가지
개인정보 보호법 개정 시행일(2026년 9월 11일)까지 약 6개월이 남아 있습니다. 기업 담당자라면, 그리고 개인이라면 각자의 입장에서 지금 당장 움직여야 할 시점입니다.
개인정보 처리 현황 전수 감사: 어떤 데이터를, 어디에, 누가 접근하는지 파악하는 것이 징벌적 과징금 방어의 출발점입니다. CPO 거버넌스 개편과 이사회 보고 체계 수립을 9월 이전에 완료해야 합니다.
침해 사고 대응 프로세스 재정비: ‘유출 가능성 인지’ 시점부터 통지 의무가 발생하므로, 기존 사고 대응 매뉴얼의 통지 트리거 시점을 재설정해야 합니다. 3~4월 발표될 시행령 입법예고를 놓치지 마세요.
개인정보 유출 이력 조회 + 분쟁조정 신청권 인지: 개인정보 포털(privacy.go.kr)에서 내 개인정보 유출 이력을 조회하세요. 9월 이후 유출 통지를 받았다면 즉시 분쟁조정을 신청할 수 있고, 통지문에 방법이 명시됩니다.
Q&A — 가장 많이 궁금해하는 5가지
Q1. 개인정보 보호법 개정이 언제부터 적용되나요?
2026년 2월 12일 국회 통과, 3월 10일 공포되었으며 2026년 9월 11일부터 본격 시행됩니다. 단, ISMS-P 인증 의무화 규정만 2027년 7월 1일 시행됩니다. ‘대규모 피해(1,000만 명 이상)’ 조건의 징벌적 과징금은 시행 당시 종료되지 않은 위반행위에도 소급 적용됩니다.
Q2. 매출 10% 과징금은 중소기업에게도 적용되나요?
원칙적으로는 규모에 관계없이 위반 요건에 해당하면 적용 가능합니다. 다만 매출이 없거나 산정이 곤란한 경우엔 50억 원 이하로 부과됩니다. 사전에 보안 예산과 인력에 투자했다면 과징금 감경을 받을 수 있어, 중소기업도 선제적 투자가 더 경제적일 수 있습니다.
Q3. ‘유출 가능성 통지’의 구체적 기준은 어떻게 되나요?
아직 대통령령으로 위임되어 있으며 구체 기준은 미확정입니다. 개인정보보호위원회는 2026년 3~4월 중 시행령 입법예고를 통해 기준을 발표할 예정입니다. 해킹 흔적 감지, 비정상적 접근 로그 등이 ‘가능성 인지’ 사유로 포함될 것으로 예상됩니다.
Q4. 내 개인정보가 유출됐을 때 손해배상을 어떻게 청구하나요?
유출 통지를 받은 후 ① 개인정보분쟁조정위원회에 분쟁조정을 신청하거나, ② 개인정보보호위원회에 침해 신고를 할 수 있습니다. 법정손해배상(현행 최대 300만 원)을 법원에 청구하는 방법도 있으며, 9월 이후 발송되는 통지문에는 이 방법들이 반드시 포함됩니다.
Q5. 추가 개정안(입증책임 전환)은 언제 통과될까요?
2026년 2월 12일 함께 발의된 한정애 의원안·김용만 의원안·박범계 의원안 등이 현재 국회에서 논의 중입니다. 통과 시점은 미정이지만, 입증책임 전환(기업이 무과실 입증 필요) 및 이행강제금 도입 등이 핵심 내용입니다. 이 조항들이 통과되면 소비자의 손해배상 청구가 획기적으로 쉬워집니다.
마치며 — 이번 개정의 진짜 의미
솔직히 말해서, 이번 개인정보 보호법 개정은 한국이 오랫동안 미뤄온 숙제를 드디어 해치우는 이정표입니다. 매출 10% 과징금이라는 숫자 자체보다 더 중요한 건, 대형 플랫폼 기업들이 이제 더 이상 ‘유출 사고 = 이미지 타격 약간 + 소액 과징금’으로 퉁 칠 수 없게 됐다는 사실입니다.
반면 개인 소비자 입장에서는 피해 구제의 문이 넓어졌습니다. 유출 통지를 받으면 더 이상 “별수 없지 뭐”라며 넘기지 말고, 분쟁조정이나 손해배상 청구를 적극 활용해야 합니다. 법이 내 편이 되는 시대가 오고 있습니다.
2026년 9월 11일을 기억하세요. 그 전에 기업은 보안 체계를 점검하고, 개인은 자신의 권리를 확인해야 할 시간이 6개월밖에 남지 않았습니다.
※ 본 포스팅은 공개된 법령 및 공식 기관 자료를 기반으로 작성된 정보 제공 목적의 콘텐츠입니다. 구체적인 법적 판단이나 기업 컴플라이언스 대응은 반드시 전문 법률가의 자문을 받으시기 바랍니다. 개인정보보호위원회 시행령 등 하위 법령은 2026년 3~4월 중 입법예고 예정으로, 세부 기준은 변경될 수 있습니다.
댓글 남기기