시행일: 2026.09.11
개인정보보호법 개정, 9월 전에 확인할 3가지
2026년 2월 12일 국회 본회의 통과 → 3월 10일 공포 → 9월 11일 시행. 시간이 얼마 남지 않았습니다.
과징금이 3%에서 10%로 오른다는 말의 진짜 의미
솔직히 말하면, 대부분의 블로그가 “최대 10% 과징금”이라고만 적고 끝냅니다. 그런데 그게 전체 매출 기준인지, 관련 매출 기준인지는 아무도 짚어주지 않아요. 이 차이가 실제로 얼마나 큰지, SKT 사례를 통해 직접 확인했습니다.
💡 공식 발표문과 실제 과징금 산정 구조를 같이 놓고 보니 이런 차이가 보였습니다
개인정보위는 2025년 SKT 유심 유출 사고에 1,347억 9,100만 원을 부과했습니다. SKT의 전체 연매출은 약 17조 원 규모인데, 과징금 기준은 전체 매출이 아닌 ‘위반행위 관련 매출’인 이동통신서비스 매출액이었습니다. (출처: 네플라 과징금 산정 분석, 2026)
개정된 제64조의2는 “전체 매출액의 최대 10%”라고 쓰여 있지만, 실제 산정은 ① 관련 매출액 추출 → ② 중대성 등급별 부과기준율(0.03~2.7%) 적용 → ③ 위반 기간 가중·감경 → ④ 조사 협조·피해 복구 반영 순서로 이뤄집니다. 10%는 이 다단계 과정의 상한이지, 자동으로 적용되는 수치가 아닙니다.
그럼에도 이번 개정이 무거운 이유는 적용 요건 때문입니다. 아래 세 가지 중 하나라도 해당되면 강화된 특례가 가동됩니다.
| 적용 요건 | 상한 |
|---|---|
| 최근 3년간 고의·중과실 위반 반복 | 매출액 10% |
| 고의·중과실로 1,000만 명 이상 피해 | 매출액 10% |
| 시정명령 불이행으로 유출 발생 | 매출액 10% |
| 매출 없거나 산정 곤란한 경우 | 50억 원 이하 |
1,000만 명 이상이라는 기준은 대기업만의 문제처럼 보이지만, 반복 위반 요건은 규모와 무관합니다. 과태료를 한 번 받은 적 있는 중소기업이라면 다음 위반 시 3년 이내 반복 요건에 걸릴 수 있습니다.
‘유출 가능성’만으로도 통지해야 하는 이유
기존 법은 “유출된 사실을 알았을 때” 통지하도록 규정했습니다. 그런데 막상 사고가 나면 기업들은 내부 조사부터 시작하고, 실제 통지까지 수일이 걸리는 경우가 많았습니다. SKT 유심 사고가 대표적입니다.
개정 제34조는 통지 시점을 ‘유출 가능성이 있음을 알게 된 때’로 앞당겼습니다. 확인이 완료되지 않아도, 가능성을 인지한 순간부터 지체 없이 알려야 합니다. (출처: 개인정보보호법 제34조 개정, 2026.03.10 공포)
⚠️ 통지 범위 확대로 생기는 실무 부담
통지 대상이 기존 분실·도난·유출에서 위조·변조·훼손까지 늘어났습니다. 랜섬웨어로 파일이 훼손된 경우에도 통지 의무가 생깁니다. 한국인터넷기업협회는 “시스템 업그레이드 중 발생하는 일시적 데이터 오류까지 포함될 우려가 있다”고 지적했습니다. (출처: 개인정보보호법 개정 동향 세미나, 2026.03.19)
통지할 때는 이제 손해배상 청구 방법, 분쟁조정 신청 방법도 함께 안내해야 합니다. 단순히 “유출됐습니다”만으로는 법적 의무를 다한 게 아닙니다. 통지 양식 자체를 다시 손봐야 한다는 뜻입니다.
법무법인 광장은 “사고 대응 매뉴얼이 ‘유출 확인 후’를 전제로 설계돼 있다면 전면 재정비가 필요하다”고 밝혔습니다. 기존 내규를 그대로 두면 9월 이후 첫 사고 때 바로 위반 상태가 됩니다.
CEO가 최종 책임자가 되면 달라지는 것
이전까지 개인정보보호 의무는 CPO(개인정보 보호책임자)에게 집중됐습니다. 그런데 개정 제30조의3 신설로 사업주 또는 대표자가 개인정보 처리 및 보호의 최종 책임자로 명문화됐습니다. (출처: 개인정보보호위원회 공식 보도자료, 2026.03.09)
CPO 측면에서도 변화가 큽니다. 일정 규모 이상의 기업은 CPO 지정·변경·해제 시 이사회 의결을 거쳐 개인정보보호위원회에 신고해야 합니다. CPO를 조용히 교체하거나 겸직으로 방치하던 관행이 어렵게 됩니다.
💡 CPO의 이사회 보고 의무가 새로 생겼다는 것의 실질적 의미
CPO는 이제 전문 인력 확보와 예산 편성을 직접 수행하고, 결과를 대표자와 이사회에 보고해야 합니다. 보안 예산을 깎는 결정이 이사회 의제로 올라가게 된다는 뜻입니다. 보안을 IT팀 내부 문제로만 다루던 기업 구조는 이 조항 하나로 흔들립니다.
법무법인 세종은 “‘고의 또는 중과실’ 판단 시 대표자·이사회 보고 체계 유무와 보안 투자 실적이 종합 고려된다”고 분석했습니다. 거버넌스 기록이 없으면 사고 이후 ‘관리 소홀’로 평가받을 가능성이 높아집니다.
사전 투자하면 과징금이 깎이는 조건
이번 개정의 구조에서 가장 많이 빠지는 내용이 바로 인센티브 조항입니다. 징벌적 과징금만 강조하는 기사들은 이 부분을 거의 다루지 않습니다.
개정법은 개인정보 보호를 위한 예산·인력·설비·장치에 사전 투자한 기업이 사고를 낸 경우, 고의·중과실이 아닌 한 과징금을 필수적으로 감경하도록 규정했습니다. (출처: 개인정보보호위원회 보도자료, 2026.03.09) 선택적 감경이 아니라 의무 감경입니다.
사전 투자 인센티브가 인정받으려면
- 보안 관련 예산 집행 내역이 문서로 남아 있을 것
- 전문 인력 채용·교육 이력이 있을 것
- ISMS-P 또는 그에 준하는 인증 취득 이력이 있을 것
- 이사회·경영진 보고 기록이 있을 것
SKT도 사후 조사 협조, 피해 복구 노력이 2차 조정 단계에서 감경 요소로 반영됐습니다. 투자 기록은 사고가 나기 전에 쌓아야 효과가 있습니다. 사고 후 급하게 만든 자료는 ‘사후 소명’으로 평가 받아 감경 폭이 제한됩니다.
중소기업·스타트업이 가장 많이 걸리는 조항
개인정보위 제재 사례를 돌아보면, 위반 업종의 상당수가 출판사·학원·병원·소규모 앱 서비스입니다. (출처: 이코리아, 개인정보법 위반 중소기업 사례 분석)
가장 빈번한 위반 조항 세 가지는 다음과 같습니다. 제21조(개인정보 파기 의무), 제29조(안전조치 의무), 제34조(유출 통지 의무)입니다. 이 중 제34조가 이번 개정으로 가장 크게 바뀌었습니다. “유출됐음을 알았을 때”에서 “가능성을 알았을 때”로 기준이 앞당겨졌기 때문입니다.
⚠️ 소규모 서비스가 특히 주의해야 할 지점
매출액이 없거나 산정이 곤란한 경우 과징금 상한이 50억 원으로 설정됩니다. (출처: 개인정보보호법 제64조의2, 2026.03.10 공포) 스타트업처럼 매출이 거의 없는 초기 서비스도 50억 원 상한에서 자유롭지 않습니다.
이미 한 번이라도 개인정보위 과태료 처분을 받은 곳은 지금부터가 더 중요합니다. 이번 개정의 반복 위반 기준은 3년이기 때문에, 2024~2025년 사이 처분을 받은 기업은 다음 위반 시 강화된 과징금 특례 대상에 해당될 수 있습니다.
9월 11일 전에 실제로 해둬야 할 것들
법 조문을 읽는 것과 실무에 반영하는 것은 다릅니다. 9월 전에 체크해야 할 항목을 정리했습니다.
유출 통지 매뉴얼 개정
‘가능성 인지 시’ 즉시 통지, 피해구제 방법 안내 항목 추가, 위조·변조·훼손 시나리오 포함 여부 확인
CEO·CPO 보고 체계 정비
CEO를 최종 책임자로 명시한 내부 규정 신설, CPO의 이사회 보고 절차 수립
보안 투자 기록 남기기
예산 집행 내역, 교육 이력, 보안 점검 결과 문서화 — 과징금 감경 인센티브의 핵심 근거
ISMS-P 의무 대상 여부 확인
의무 적용 기업 범위는 시행령에서 확정 예정. 2027년 7월 1일 시행이지만 준비 기간을 감안하면 지금이 시작점
4번 항목의 ISMS-P 의무 대상 기업 범위는 아직 시행령에서 정해지지 않았습니다. 개인정보보호위원회가 공식 답변을 내놓지 않은 부분이기 때문에, 공식 시행령 입법예고를 직접 확인하는 것이 가장 정확합니다. (관련 입법예고: 법제처, 개인정보보호법 시행령 개정령안)
Q&A 5가지
Q1. 매출이 아예 없는 스타트업도 50억 원 과징금이 나올 수 있나요?
개정법 제64조의2에 “매출액이 없거나 산정이 곤란한 경우 50억 원을 초과하지 않는 범위에서 부과할 수 있다”고 명시돼 있습니다. 이론적으로는 가능하지만, 실제 부과 금액은 위반의 중대성·피해 규모·사업 규모 등을 종합해 결정됩니다. 매출이 없다고 안심할 수 없고, 위반 자체를 피하는 것이 우선입니다.
Q2. ‘유출 가능성’의 기준이 모호한데, 어느 시점부터 통지해야 하나요?
개인정보보호위원회가 아직 구체적인 판단 기준을 공식 발표하지 않았습니다. 현재로서는 “개인정보처리자 관점에서 유출 가능성이 비교적 명확한 경우”라는 법안 해설이 전부입니다. 법무법인 신김 분석에 따르면, 랜섬웨어 감염·비인가 접근 흔적·시스템 비정상 접속이 포착된 시점이 통지 의무 발생 기준이 될 가능성이 높습니다. 시행령과 후속 가이드라인을 지속 모니터링해야 합니다.
Q3. CPO가 없는 소규모 사업장은 어떻게 해야 하나요?
CPO 지정·이사회 의결 의무는 ‘대통령령으로 정하는 규모 이상’으로 한정됩니다. 소규모 사업장의 의무 범위는 시행령에서 확정됩니다. 다만, CPO 지정 여부와 무관하게 CEO가 최종 책임자로 명시된 조항은 규모와 상관없이 적용됩니다. 사업주 본인이 개인정보 처리 관련 내부 절차를 직접 점검해야 합니다.
Q4. ISMS-P 인증이 의무화되면 비용이 얼마나 드나요?
의무 대상 범위가 시행령에서 아직 확정되지 않았습니다. ISMS-P 인증 비용은 기업 규모·시스템 복잡도에 따라 다르지만, 중소기업 기준 심사 비용만 수백만 원에서 수천만 원 수준입니다. 의무 대상 기업 범위는 한국인터넷진흥원(KISA) 공식 안내를 통해 확인해야 합니다.
Q5. 사전 보안 투자를 증명하려면 어떤 문서를 갖춰야 하나요?
개정법은 ‘예산·인력·설비·장치’를 투자·운영한 경우 감경한다고 규정합니다. 실무적으로는 ① 보안 예산 항목이 포함된 회계 자료, ② 직원 개인정보 교육 참가 확인서, ③ 보안 취약점 점검 보고서, ④ 개인정보 처리방침 정기 검토 기록이 핵심 증빙 서류로 활용될 가능성이 높습니다. 이는 현재 개인정보보호위원회의 공식 가이드라인이 아니며, 실제 집행 기준은 시행 이후 사례를 통해 구체화될 것입니다.
마치며
이번 개인정보보호법 개정에서 가장 오해하기 쉬운 부분은 두 가지입니다. 하나는 “10%는 대기업 얘기”라는 착각이고, 다른 하나는 “통지 의무가 강화됐으니 더 늦게 알려줘도 된다”는 거꾸로 된 이해입니다.
사전 투자를 기록해두면 과징금이 깎이는 구조가 새로 생겼다는 점, 그리고 사고 대응 매뉴얼이 “가능성 인지 시점”을 기준으로 재설계돼야 한다는 점이 핵심입니다. 9월 11일까지 남은 시간이 약 4개월입니다. 내부 규정 한 줄을 바꾸는 데도 이사회 결재가 필요한 조직이라면 지금 시작해도 빠듯합니다.
개정 법률의 세부 기준은 시행령이 확정되면서 계속 구체화될 예정입니다. 개인정보보호위원회 공식 채널(pipc.go.kr)과 법제처 입법예고를 주기적으로 확인하는 것이 지금으로선 가장 실용적인 대응입니다.
댓글 남기기