본문 바로가기
privacy/국내

[privacy] 사후 처벌에서 사전 예방으로

by ramo 2026. 5. 16.

국민 10명 중 6명이 개인정보 유출에 불안을 느낀다는 조사 결과가 있다.

대규모 유출 사고 뉴스는 이제 연례행사처럼 반복되고, 정작 사고 이후 기업이 받는 제재는 실질적인 부담이 되지 않는다는 지적도 오래전부터 나왔다. 유통·플랫폼·통신 분야를 중심으로 수천만 명 규모의 개인정보가 유출되는 사고가 반복되면서, "과징금이 기업 경영에 실질적 부담이 되지 않는다"는 지적이 잇따랐다. 그런데 그 구조를 이번에 바꾸겠다는 계획이 나왔다.

개인정보보호위원회는 2026년 5월 12일 대통령 주재 국무회의에서 「예방 중심 개인정보 관리체계 전환 계획」을 보고했다. 핵심 메시지는 간단하다. "사고 후 처벌하는 관리"에서 "사고 전 예방·관리하고 사고 피해도 최소화"하는 체계로 전환하겠다는 것이다. 크게 세 축으로 구성된다. 제재 강화, 자발적 투자 유도, 피해구제 강화.

징벌적 과징금

가장 눈에 띄는 변화는 과징금 상한이다. 2026년 2월 12일 국회 본회의를 통과한 개정 개인정보보호법은 오는 9월 11일부터 시행되며, 반복적이거나 중대한 위반행위에 대해 전체 매출액의 최대 10%에 달하는 징벌적 과징금을 부과한다. 기존 상한이 매출액의 3%였다는 점을 감안하면, 제재 수준이 3배 이상 뛰어오른 셈이다. 법정 요건은 고의·중과실로 3년 내 반복 사고가 발생하거나 피해 규모가 1천만 명 이상인 경우다. 매출액 산정 기준도 바뀐다. 기존 '3년 평균 매출액'에서 '직전 연도 매출액'과 '3년 평균 매출액' 중 높은 금액을 적용하는 방식으로 강화된다.

단, 영세·소상공인의 경미한 위반은 개선 기회를 먼저 부여하고, 반복될 경우에만 엄정 제재하는 방향이다. 제재의 목적이 처벌 자체가 아니라 억지력 확보에 있다는 점을 생각하면 균형 잡힌 설계이긴 하다.

인센티브, 잘하면 과징금을 깎아준다

제재를 강화하면서 동시에 당근도 설계했다. 개정안은 개인정보보호 예산, 인력, 설비, 장치 등의 투자 및 운영을 과징금 감경 사유로 추가하고 있다. 이러한 투자가 과징금 리스크를 줄이는 실질적 수단이기도 한 만큼, 사업자들은 개인정보보호 관련 투자를 선제적으로 이행하는 것이 바람직하다. 법정 기준을 넘어서는 선제적 보호조치, 실효적 안전관리체계 운영 여부를 종합 평가해 인센티브를 부여하는 방식이다. 형식적인 준수가 아니라 실질적인 투자에 보상하겠다는 구조다.

개인정보 보호가 비용이 아니라 경영 경쟁력이라는 논리를 제도 안에 녹이려는 시도로 읽힌다. 사실 이 방향은 맞다고 생각한다. 지금까지는 보안에 돈을 쏟아부어도 아무 일이 없으면 잘 보이지 않고, 사고가 나면 과징금이 그나마 작으니 투자 유인이 약했던 게 현실이니까.

위험 기반 점검과 PbD 제도화

개인정보위는 위험 수준에 따라 차등 점검하는 위험기반 관리체계도 구축한다. 주요 공공시스템 387개와 교육·복지 등 고위험 분야는 직접 집중 관리하고, 대규모 개인정보를 처리하는 약 1,700개 고위험 시스템에 대해서는 금년 하반기부터 정기 점검을 실시할 계획이다. 점검 범위는 클라우드 사업자, 전문수탁사, 시스템 공급사를 포함해 공급망 전반으로 확대된다.

여기서 함께 언급된 개념이 PbD(Privacy by Design), 즉 개인정보 중심 설계다. 서비스 출시 이후에는 침해를 인지하거나 방지하기가 어렵다는 문제의식에서 나온 접근이다. 제품·서비스의 기획·설계 단계부터 개인정보 보호 요소를 반영하자는 원칙인데, 개인정보위는 이를 제도화하고 개인정보 영향평가 기준과 ISMS-P 인증 기준에도 반영할 계획이다. 솔루션 분야 PbD 인증도 추진한다. PbD가 구호가 아니라 인증 기준으로 들어오면 실제 설계 단계에서 체크리스트가 생기는 셈이니, 현장에서 체감되는 변화가 있을 것 같다.

CEO/CPO의 책임, 이제 경영 의제다

이번 개정에서 개인적으로 주목하는 지점이 이 부분이다. 사업주 또는 대표자를 개인정보 처리 및 보호에 관한 최종 책임자로 명확히 규정하고, 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 개인정보 보호책임자 지정에 관한 사항을 신고하도록 의무화하고 개인정보 보호에 필요한 인력관리 및 예산확보 등 역할을 강화한다. CPO를 지정하거나 변경·해제할 때는 이사회 의결을 거쳐야 하고, 이를 신고해야 하는 의무도 생긴다.

대표자(CEO)를 개인정보 보호의 최종 책임자로 명문화하는 조항이 도입되어, 데이터 유출 사고가 더 이상 기술적 오류가 아닌 경영적 실패로 규정된다. 개인정보 보호가 IT 부서의 기술 과제에서 경영진의 의제로 격상된다는 의미다. 물론 법 조항이 생긴다고 조직 문화가 바로 바뀌진 않는다. 하지만 이사회 의결이라는 절차가 생기면 적어도 CPO가 조직 내에서 묻히지 않을 구조가 만들어진다.

피해구제에서의 입증 책임의 변화

유출 사고가 났을 때 피해자가 기업의 잘못을 직접 증명해야 하는 구조도 바뀐다. 유출 시 기업·기관의 손해배상 책임을 원칙으로 하고, 전반적인 입증 책임을 기업이 지도록 해 법정 손해배상 제도를 활성화하는 방향이다. 개정안 시행 이후 기업은 유출이 확정되기 전, 유출 '가능성'을 인지한 시점부터 소비자에게 통지해야 한다. 통지 대상도 기존 분실·도난·유출에 위조·변조·훼손까지 추가돼 소비자가 더 넓은 범위의 피해 상황을 빠르게 파악할 수 있게 된다.

다크패턴 점검도 포함됐다. 이용자를 속이거나 오인하게 만들어 개인정보 수정·동의 철회·탈퇴를 어렵게 하는 행태를 집중 점검하고, 개인정보 침해신고센터의 기능도 법률 안내 중심에서 전문 법률상담·피해회복 조력 등 종합지원체계로 단계적으로 강화할 계획이다.

전체적으로 보면, 이번 전환 계획은 "사고는 막을 수 없다"는 전제를 거부하는 데서 출발한다. 제재를 키우고, 투자를 유도하고, 설계 단계부터 보호 원칙을 심고, 경영진에 책임을 지운다. 어느 하나만으로는 부족한 조치들이 맞물려 돌아가야 실질적인 변화가 생긴다. 단발성 제재를 넘어 구조적 책임을 묻는 제도 개편이 필요하다는 요구가 정책 전환의 배경으로 작용했다. 9월 시행을 앞두고 하위 법령 정비가 어떻게 마무리되는지, 그리고 공급망 점검이나 PbD 인증 기준이 실제로 어떻게 구체화되는지가 앞으로 지켜볼 지점이다.

 

 

※ 참고자료:  “사후 처벌에서 사고 예방 중심으로” 개인정보 보호체계, 근본적 전환 추진 / 개인정보보호위원회

https://pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=12059#LINK