개인정보보호법 과징금 10%:
“유출 확인 후 대응하면 된다” 믿으면
9월에 매출 10% 날리는 이유
2026년 3월 10일 공포 완료 · 시행 D-185 · 준비 기간이 곧 경쟁력입니다
개인정보보호법 개정 과징금 상한이 기존 매출액 3%에서 최대 10%로 뛰었습니다. 연 매출 1,000억 원 기업이라면 단 한 번의 위반으로 100억 원의 과징금을 맞을 수 있는 시대가 열린 것입니다. 그런데도 대부분의 중소·중견 기업은 “9월 시행이니 아직 시간 있다”고 여깁니다. 그 6개월이 바로 법이 설계한 ‘준비 기간’인데, 기업들은 이 기간을 유예 기간으로 착각하고 있습니다.
1. 왜 지금 이 법이 문제인가 — 배경과 트리거
2025년 하반기부터 국내 대형 플랫폼과 통신사에서 연이어 대규모 개인정보 유출 사고가 터졌습니다. 수백만 명의 주민등록번호와 금융정보가 다크웹에 유통되었고, 기존 법으로는 과징금 상한이 ‘해당 서비스 매출의 3%’에 불과해 실질적 억지력이 없다는 비판이 쏟아졌습니다. 연 매출 10조 원 기업이 유출 사고를 내도 최대 3,000억 원 수준의 과징금으로 끝나는 구조였고, 이는 사고 수습 비용에 비해 오히려 저렴했습니다.
개인정보보호위원회(이하 개인정보위)는 2025년 12월 국회 정무위를 통과시키고, 2026년 2월 12일 본회의 의결, 3월 3일 국무회의 의결, 3월 10일 대통령 공포까지 전광석화처럼 입법을 마무리했습니다. 공포일로부터 정확히 6개월 후인 2026년 9월 11일이 시행일입니다. EU의 GDPR이 매출의 4%까지 과징금을 부과하는 것과 비교해도, 한국의 새 법은 10%로 글로벌 최고 수준에 근접합니다.
💡 인사이트: 이번 개정은 제재 강화만이 아닙니다. 개인정보 보호를 ‘운영팀의 업무’에서 ‘이사회의 경영 어젠다’로 끌어올리는 구조적 전환입니다. 그 핵심에 CEO 책임 명문화와 CPO 이사회 의결 의무가 있습니다.
2. 핵심 변화 ① 과징금 3배 상향 — 정확한 조건과 계산법
기존 3%에서 10%로, 단 ‘세 가지 조건’ 충족 시
주의할 점은 과징금 10%는 자동 적용이 아니라 특례 조건 충족 시에 발동된다는 것입니다. 개정 개인정보 보호법 제64조의2 제2항은 다음 세 가지 중 하나에 해당하면 전체 매출액의 10%까지 과징금을 부과할 수 있다고 명시합니다.
| 조건 | 내용 |
|---|---|
| ① 반복 위반 | 최근 3년 내 고의·중과실로 같은 위반행위 반복 |
| ② 대규모 피해 | 고의·중과실로 1,000만 명 이상 피해 초래 |
| ③ 시정명령 불이행 | 시정조치 명령을 따르지 않아 유출 등 사고 발생 |
매출액 산정 기준도 핵심입니다. 개인정보위가 아직 시행령으로 구체화하지 않았지만, 업계에서는 ‘해당 서비스 매출’이 아닌 기업 전체 매출 기준이 될 것으로 보고 있습니다. 만약 전체 매출 기준이 확정된다면, 개인정보를 처리하는 사업 부문이 일부에 불과한 대기업도 그룹 전체 매출의 10%를 과징금으로 맞을 수 있습니다. 이것이 이번 개정이 사실상 ‘핵폭탄급’이라는 이유입니다.
💡 반전 포인트: 법은 당근도 준비했습니다. 개인정보 보호 관련 예산·인력·설비를 미리 투자·운영했다면 과징금을 필수 감경받을 수 있습니다(단, 고의·중과실 제외). 즉, 지금 보안에 투자한 기록이 곧 9월 이후의 방패가 됩니다.
3. 핵심 변화 ② CEO 책임 명문화 — 경영진이 직접 맞는 법적 리스크
“나는 보안팀 얘기 못 들었다”가 더 이상 면피가 안 된다
개정 이전에는 개인정보 유출 사고가 터지면 CPO(최고개인정보보호책임자)나 보안 담당자가 책임을 졌습니다. CEO는 “나는 보고를 받지 못했다”고 해도 실질적으로 제재받기 어려운 구조였습니다. 하지만 이번 개정은 CEO를 개인정보 처리·보호의 최종책임자로 법에 명시하고, 관리·감독 의무를 직접 부여했습니다. 이는 단순한 선언이 아닙니다.
실무적으로는 CEO가 개인정보보호위원회의 조사를 받을 때 “관리·감독 의무를 다했는가”가 과징금 산정의 핵심 판단 기준이 됩니다. 즉, 이사회에 정기적인 보고 체계가 있었는지, CPO에게 예산과 권한을 실질적으로 부여했는지, 보안 사고 대응 매뉴얼이 최신화돼 있었는지 등이 모두 증거로 제출되는 구조입니다. 개인적인 관점으로는, 이 조항이 가장 혁명적이라고 생각합니다. 보안을 ‘비용’으로만 보던 경영진 시각을 강제로 바꾸는 조항이기 때문입니다.
4. 핵심 변화 ③ CPO 신고 의무 — 이사회 의결이 필수가 된다
CPO를 ‘임명’만 하면 끝났던 시대는 끝났다
일정 규모 이상의 개인정보처리자는 이제 CPO를 지정·변경·해제할 때 반드시 이사회 의결을 거쳐야 하고, 그 결과를 개인정보보호위원회에 신고해야 합니다. ‘일정 규모 이상’의 기준은 다음과 같습니다.
| 분류 | 대상 기준 |
|---|---|
| 민간 기업 | 연 매출 1,500억 원 이상 + 100만 명↑ 개인정보 또는 5만 명↑ 민감·고유식별정보 처리 |
| 대학교 | 재학생 2만 명 이상 (약 23곳) |
| 의료기관 | 대규모 민감정보(건강정보) 처리 상급종합병원 57곳 |
| 공공기관 | 공공시스템운영기관 등 |
CPO 자격 기준도 강화됐습니다. 개인정보보호·정보보호·정보기술 경력을 합산해 총 4년 이상이어야 하며, 이 중 개인정보 경력이 반드시 2년 이상 포함되어야 합니다. 현재 타 직무와 겸직 중인 CPO는 이 기준을 충족하지 못할 가능성이 높으므로, 지금 즉시 자격 요건 충족 여부를 점검해야 합니다.
5. 핵심 변화 ④ 유출 ‘가능성’만으로 통지 의무 발생
“확인되면 알린다”는 내부 지침, 이제 법 위반이다
기존 법은 “유출이 되었음을 알았을 때” 통지하도록 규정했습니다. 많은 기업이 내부 조사를 완료하고 확인 후에야 고객에게 알리는 방식을 택했습니다. 이 관행이 이번 개정으로 완전히 무너집니다. 이제는 “유출등의 가능성이 있음을 알게 되었을 때”도 지체 없이 정보주체에게 통지해야 합니다.
또한 기존에는 랜섬웨어 등으로 인한 위조·변조·훼손은 통지 대상이 아니었습니다. 해커가 데이터를 훔친 게 아니라 파괴했어도 알릴 필요가 없었다는 의미입니다. 개정법은 이를 모두 ‘유출 등 사고’ 범위에 포함시켰고, 통지 시 손해배상 청구·분쟁조정 신청 방법까지 함께 안내하도록 의무화했습니다. 현재 ‘유출이 확정된 경우에만 통보’하는 내부 대응 매뉴얼을 가진 기업은 9월 전에 반드시 개정해야 합니다.
6. 핵심 변화 ⑤ ISMS-P 인증 의무화 — 107곳, 그리고 당신 회사
자율 취득이었던 인증이 의무가 된다는 뜻
ISMS-P(정보보호 및 개인정보보호 관리체계) 인증은 그동안 기업이 자율적으로 취득하던 선택적 인증이었습니다. 인증을 받으면 “우리는 보안 수준이 높다”는 마케팅 도구로 쓰이는 정도였습니다. 이번 개정으로 공공·민간 합쳐 107곳(공공 57곳, 민간 50곳)에 대해 이 인증이 의무화됩니다. 시행은 다른 조항보다 늦은 2027년 7월 1일이지만, 인증 심사 준비 기간이 통상 6개월~1년이라는 점을 고려하면 사실상 지금 시작해야 합니다.
더 중요한 것은 의무화 대상이 아닌 기업들도 방심할 수 없다는 점입니다. 과징금 산정 시 ‘사전 예방적 투자’ 여부가 감경 요소로 작용하는데, ISMS-P 인증 취득 여부가 그 판단 기준 중 하나로 사용될 가능성이 높습니다. 즉, 법적 의무는 없더라도 ISMS-P 인증이 없는 기업은 사고 발생 시 과징금 감경을 받기 어려울 수 있습니다. 이 부분이 제가 ‘107곳 외에도 모든 기업이 관심을 가져야 한다’고 보는 이유입니다.
💡 주목할 대목: ISMS-P 인증은 한국인터넷진흥원(KISA)이 무료 사전점검 서비스를 제공합니다. 의무화 대상 기업이라면 KISA 공식 채널을 통해 무료 갭 분석(Gap Analysis)부터 시작하는 것이 최선입니다.
7. 9월 전에 반드시 해야 할 기업 대응 체크리스트
6개월을 진짜 준비 기간으로 써야 하는 이유
이번 개정의 핵심 메시지는 “법 시행 전 6개월을 어떻게 썼느냐가 과징금 감경 여부를 결정한다”입니다. 개인정보위는 사전 예방적 투자를 증명한 기업에게 과징금 필수 감경 혜택을 줍니다. 아래 7개 항목을 체크리스트로 활용하시기 바랍니다.
CEO 보고 체계 수립: 개인정보보호 현황을 CEO·이사회에 연 1회 이상 정기 보고하는 문서화된 체계를 마련하세요.
CPO 자격 요건 점검: 현 CPO가 개인정보 경력 2년+전체 4년 기준을 충족하는지 즉시 확인하세요.
사고 대응 매뉴얼 개정: ‘유출 확정 시 통보’ → ‘유출 가능성 인지 시 즉시 통보’로 내부 프로세스를 반드시 개정하세요.
보안 예산 기록 확보: 9월 이후 사고 발생 시 ‘사전 예방 투자 증빙’이 필요합니다. 보안 관련 예산 집행 내역을 체계적으로 보관하세요.
개인정보처리방침 업데이트: 위조·변조·훼손 포함 확대된 ‘유출 등 사고’ 범위와 손해배상·분쟁조정 안내 문구를 추가하세요.
ISMS-P 의무 대상 여부 확인: 해당되는 기업은 지금 KISA에 사전점검을 신청하고, 해당 없어도 취득 고려 시 지금 착수하세요.
시행령 모니터링: 과징금 산정 기준(해당 서비스 vs 전체 매출), 유출 가능성 판단 기준 등 세부 시행령이 수시로 업데이트됩니다. 개인정보위 공식 채널을 구독하세요.
❓ 자주 묻는 질문 (Q&A)
▶ Q1. 과징금 10%는 모든 위반에 적용되나요, 아니면 특정 조건만?
A. 10% 과징금은 특례 조건에 해당하는 경우에만 적용됩니다. ① 최근 3년 내 고의·중과실로 반복 위반, ② 고의·중과실로 1,000만 명 이상 대규모 피해, ③ 시정명령 불이행으로 사고 발생, 이 세 가지 중 하나에 해당해야 합니다. 단순 1회 과실 위반은 기존처럼 전체 매출의 3% 이하가 적용됩니다. 하지만 ‘중과실’의 범위가 넓게 해석될 수 있으므로 방심은 금물입니다.
▶ Q2. 소규모 스타트업이나 1인 사업자도 이 법의 적용을 받나요?
A. 개인정보보호법은 원칙적으로 개인정보를 처리하는 모든 사업자에게 적용됩니다. 단, CPO 이사회 의결 신고 의무, ISMS-P 인증 의무 등 강화된 특정 조항들은 ‘일정 규모 이상’ 기준을 두고 있습니다. 그러나 유출 통지 의무, 과징금 부과 기준 등 기본 조항은 규모와 무관하게 적용되므로, 고객 정보를 처리하는 모든 사업자는 기본 준수가 필수입니다.
▶ Q3. 과징금 산정 기준이 ‘전체 매출’인지 ‘해당 서비스 매출’인지 아직 확정이 안 됐다고요?
A. 맞습니다. 법 조문에는 ‘전체 매출액의 10%’라고 되어 있으나, 이 ‘전체 매출액’을 어떻게 산정할지는 시행령에서 구체화될 예정입니다. 업계에서는 GDPR의 경우처럼 ‘전 세계 연간 매출’ 기준이 될 가능성과, 한국 사업만의 매출 기준이 될 가능성을 모두 염두에 두고 있습니다. 시행령 발표 시점을 주시해야 하며, 그 전까지는 보수적으로 전체 매출 기준으로 리스크를 산정하는 것이 안전합니다.
▶ Q4. 유출 ‘가능성’ 통지는 구체적으로 어느 시점부터 해야 하나요?
A. 법은 “유출 등의 가능성이 있음을 알게 되었을 때 지체 없이”라고 규정합니다. ‘알게 된 시점’과 ‘지체 없이’의 구체적 판단 기준은 시행령에서 정할 예정입니다. 현재 업계에서는 사이버 침해 징후를 인지한 시점, 즉 내부 보안 시스템 경보가 울린 시점부터 기산될 가능성이 높다고 봅니다. 따라서 자동화된 침해 탐지·경보 시스템 도입과 통지 연동 프로세스 구축이 매우 중요합니다.
▶ Q5. 보안 투자를 했다는 증빙은 어떻게 남겨야 하나요?
A. 과징금 필수 감경을 받으려면 ‘개인정보 보호 관련 예산·인력·설비·장치 등을 투자·운영했음’을 입증해야 합니다. 구체적으로는 ① 보안 솔루션·인프라 구매 계약서 및 세금계산서, ② 전담 보안 인력 채용·급여 내역, ③ 직원 개인정보보호 교육 이수 기록, ④ ISMS-P 인증서 또는 자체 점검 보고서, ⑤ CPO의 이사회 보고 의사록 등을 문서화해 보관하는 것을 권장합니다. 사고 발생 후 소급해서 만들 수 없으므로, 지금부터 날짜가 기록된 증빙을 체계적으로 관리하는 것이 핵심입니다.
📝 마치며 — 총평
이번 개인정보보호법 개정은 한국 개인정보 규제 역사에서 가장 큰 전환점입니다. 과징금 10%라는 숫자가 자극적이지만, 본질은 따로 있습니다. 바로 개인정보 보호를 사후 수습에서 사전 거버넌스로 바꾸겠다는 국가의 의지입니다. CEO 책임, CPO 이사회 의결, ISMS-P 의무화 모두 같은 방향을 가리킵니다.
9월 11일 시행까지 약 6개월이 남았습니다. 개인정보위는 이 기간을 유예 기간이 아니라 준비 기간으로 명확히 정의했습니다. 지금 시행령 동향을 모니터링하고, 내부 매뉴얼을 개정하고, CPO 자격 요건을 점검하고, 보안 투자 기록을 남기는 기업과 그렇지 않은 기업의 격차는 사고가 터지는 순간 수십억 원의 과징금 차이로 나타납니다. 6개월은 짧지 않습니다. 하지만 아무것도 안 하면 0일과 다름없습니다.
※ 본 포스팅은 공개된 법령 및 공식 기관 자료를 바탕으로 작성된 정보 제공 목적의 콘텐츠입니다. 개별 기업의 법적 대응에 대해서는 반드시 법률 전문가 또는 개인정보보호 전문 컨설턴트와 상담하시기 바랍니다. 시행령 세부 내용은 추후 변경될 수 있으며, 본 포스팅은 2026년 3월 16일 기준으로 작성되었습니다.
댓글 남기기