본문 바로가기
privacy

[컨퍼런스] 2026 PIS FAIR 후기

by ramo 2026. 6. 23.

제15회 개인정보보호페어 & CPO워크숍(PIS FAIR 2026)이 서울 코엑스 그랜드볼룸에서 열렸다. 올해 행사 주제는 '안전한 AI를 위한 약속, 사전예방 기반 개인정보보호체계 구축'이었다. 실무 중심의 개인정보보호 관련 세션이 많은 6월 23일 둘째 날에 참석했다.

세션을 들으며 느낀 것은.. 발표마다 다른 각도로 주제에 접근하는데, 결국 같은 주제를 전달하고 있었다. 사고를 막는 것보다 사고가 났을 때 어떻게 대응하느냐가 기업의 운명을 가른다는 것. 그 말이 세션마다 다른 언어로 반복됐다.

 

리질리언스(resilience)

 

롯데카드는 사이버보안 리질리언스, 즉 회복탄력성 관점의 침해사고 인사이트를 다뤘다. 예방 체계를 갖추는 것의 중요성을 부정하는 게 아니라, 사고는 결국 일어나고 그때 어떻게 버티고 회복하느냐가 별개의 역량이라는 이야기였다.

 

김앤장(KIM & CHANG) 발표도 세 가지를 짚었는데, 첫째는 사이버 보안을 특정 부서 문제가 아니라 전사적·경영적 리스크로 인식해야 한다는 것, 둘째는 가시성(visibility)과 거버넌스의 문제로 봐야 한다는 것, 셋째가 바로 사이버 복원력(Resilience) 확보다. 사고는 언젠가 일어나고, 핵심은 어떻게 대응하느냐라고 했다. 법과 규제, 기술 분석, 커뮤니케이션, 복구와 개선이 일관되게 맞물려야 한다고.

대응의 시작

신앤킴(SHIN & KIM) 세션은 실무 밀도가 높았다. 침해사고가 터졌을 때 상대해야 하는 이해관계자를 기관별로 정리했는데, 과학기술정보통신부, 개인정보보호위원회, 방송통신위원회, 경찰, 국회, 언론, 피해 고객까지 일곱 방향이었다. 각각 대응 기한과 포인트가 달랐다. 과기정통부는 인지 후 24시간 이내 신고, 개인정보보호위원회는 72시간 이내. 이 두 신고 시한이 동시에 돌아간다는 게 조금 부담되긴 하다.

인상적이었던 건 '선의의 삭제'라는 표현이었다. 사고 초기에 담당자가 당황해서, 혹은 피해를 줄이려는 의도로 로그나 접속기록을 지우는 경우가 있는데.. 초동 대응 시 증거보존이 우선이어야 하고, 그 원칙을 사전에 설계해둬야 한다는 것. '보존 우선 원칙을 사전 설계'라는 표현이 꽤 인상적이었다.

사이버 사고는 이제 상수이니 발생 여부가 아니라 대응 수준이 기업의 운명을 가른다고 한다. CEO·CPO가 직접 책임지는 구조로 가고 있고, 서류 점검이 아닌 실제 모의해킹·도상훈련으로 대응 역량을 검증해야 한다는 권고도 나왔다.

신고는 왜 꺼려지나

 

KISA 개인정보조사단 발표에서는 신고에 관한 문제를 겨냥하고 있었다. 개인정보 유출 신고 범위가 확대되는 방향이 논의 중이고, 신고 자체를 늦추거나 기피하는 관행이 피해를 키운다는 메시지를 전달했다. 기업 입장에서 신고를 '처벌의 트리거'로 인식하는 경향이 있는데, 그 인식을 바꾸는 게 초기 대응 골든타임을 살리는 데 핵심이라고 봤다.

솔직히 이 부분은 구조적으로 좀 풀기 어려운 문제 같기도 하다. 신고하면 조사받고, 조사받으면 시정명령이나 과징금이 따라오는 흐름이 굳어져 있는데, 신고를 독려하면서 동시에 제재를 강화하는 방향이 양립할 수 있는지는 여전히 물음표다. KISA가 공식적으로 "처벌이 아니라 대응"이라고 말하는 것 자체가, 그 불안이 실제로 존재한다는 방증이기도 하고..

법무법인 세종 세션에서는 기업도 어찌보면 피해자인데 기업을 너무 나무라고 처벌하는 분위기가 이런 분위기를 조장한다고 하기도 했다..ㅎㅎ

공공기관 사례, KOTRA

KOTRA(대한무역투자진흥공사) 발표는 결이 달랐다. 개인정보보호 수준 평가에서 어떻게 등급을 끌어올렸는지 실제 사례를 공유했다. 3대 개선 전략으로 CEO·CPO의 관심과 투자, 개인정보보호 문화 확산, 현장 실행력 확보를 제시했다. 기관장 주도의 활동 계획을 수립하고 보고·승인 체계로 운영했고, 표어 공모전이나 퀴즈대회 같은 캠페인으로 임직원 인식을 높였다. 실행력 면에서는 개인정보보호 전담 인력을 구성하고 개인정보파일 현행화를 꾸준히 실시했다는 내용이었다. ISO 27701 종료회의에서 모범 사례로 인정받은 항목으로 '담당 인력의 전문성과 업무에 대한 열의'가 언급됐다는 점이 흥미로웠다. 인증 서류보다 사람이 먼저라는 이야기처럼 들렸다.

랜섬웨어, 백업 여부가 중요하게 작용했다

오후 세션에서 최신 의결 사례를 정리한 부분도 흥미로웠다. 랜섬웨어 관련 사례 두 가지가 대조적으로 소개됐다.

테라스타와 아이스트로 모두 운영 중이던 서버가 랜섬웨어에 감염돼 데이터 파일이 암호화됐지만, 테라스타는 백업정보가 없어 시스템을 재구축하고 회원 개인정보를 새로 수집한 반면, 아이스트로는 백업해 둔 정보로 신속히 복구해 개인정보 효용에 침해가 발생하지 않았다. 전자에게는 과징금을, 후자에게는 과태료를 부과한 사례다.

개인정보위는 해당 제재를 통해 랜섬웨어로 개인정보가 암호화돼 처리 불가 상태가 되면 유출 여부와 관계없이 '훼손'으로 판단한다는 기준을 제시했다. 백업이 복구 가능한 상태로 실제로 작동했는지가 제재 여부를 갈랐다. 롯데카드 세션에서도 같은 맥락의 말이 나왔다. 백업 데이터가 실제로 복구 가능한 상태인지, 어느 시점까지 복구 가능한지, 복구 훈련을 실제로 해봤는지. 훈련 없는 백업은 없는 것과 비슷하다는 얘기였다.

KS한국고용정보 사건도 언급됐다. 임직원 정보 유출 사건임에도 정률과징금을 부과한 최초 사례로 소개됐다. 기존에는 내부 직원 관련 정보 유출에 과징금보다 과태료 부과가 일반적이었는데, 인사관리시스템이 콜센터 운영과 관련된 기능을 함께 수행하는 구조였다는 점이 콜센터 운영 매출액 기준으로 정률과징금 산정의 근거가 됐다는 내용이었다.

개정 개인정보보호법과 국외이전

최경진 교수님의 세션에서는 개정 개인정보보호법의 변화를 짚었다. 유출통지 대상 정보 범위가 확대되는 것, 그리고 유출 가능성 통지제 도입이 눈에 들어왔다. 기존에는 유출이 확인된 다음에 통지 의무가 발생했다면, 개정안은 유출 가능성이 있다고 알게 된 때에도 지체 없이 통지해야 하는 방향으로 강화된다. 위반 시 3천만원 이하의 과태료가 붉은색으로 강조돼 있었다. 징벌적 과징금 신설도 다뤘는데, 3년 이내 재위반이나 피해 규모 1천만 명 이상인 경우 등이 가중 요건으로 제시됐다.

개정 개인정보보호법의 시행이 올해 9월로 다가와 있다는 맥락에서, 대규모 개인정보 유출 사고가 잇따르고 9월 개정 개인정보보호법 시행을 앞두면서 이번 행사의 인기가 높았던 것도 이해가 됐다.

개인정보 국외이전 세션에서는 한국-EU 동등성 인정 이후 사후 관리 체계를 설명했다. 고시일로부터 3년마다 재검토가 이뤄지고, 보호 수준이 유지되지 않으면 동등성 인정을 변경하거나 취소할 수 있다는 내용이었다. 한국이 EU 외에 영국, 두바이경제특구, 우루과이로부터도 적정성을 인정받았다는 내용도 정리돼 있었고, 향후 영국·일본·스위스로 동등성 인정을 확대하는 방향도 검토 중이라고 했다. 미국의 경우에는 법 체계 차이 때문에 동등성 인정 방식이 아닌 맞춤형 데이터 이전 수단을 별도로 마련한다는 방침이 제시됐다.

9월 11일, 뭐가 바뀌나

2026년 2월 국회 본회의를 통과한 개정 개인정보보호법은 오는 9월 11일부터 시행되며, 반복적이거나 중대한 위반행위에 대해 전체 매출액의 최대 10%에 달하는 징벌적 과징금을 부과한다.

변화의 핵심은 세 가지다.

첫째, 징벌적 과징금이다. 기존에는 전체 매출액의 3% 범위 내에서 부과했지만, 개정안은 고의 또는 중대한 과실로 3년 이내 같은 위반행위를 반복하거나, 고의 또는 중대한 과실로 1천만 명 이상의 정보주체에게 피해를 초래하거나, 시정조치 명령에 따르지 않아 유출이 발생한 경우 전체 매출액의 10% 범위 내에서 과징금을 부과할 수 있도록 강화됐다. 다만 개인정보보호 예산·인력·설비·장치 등의 투자 및 운영 등 대통령령으로 정하는 사유가 있는 경우, 고의 또는 중대한 과실로 위반한 것이 아닌 한 과징금을 필수적으로 감경하도록 했다. 투자 실적이 실질적인 방어 수단이 된다는 뜻이다.

둘째, CEO·CPO 책임 강화다. 개정안은 사업주 또는 대표자를 개인정보 보호의 최종 책임자로 명시하고, 일정 규모 이상의 개인정보처리자에 대해서는 CPO 지정 시 이사회 의결 및 보호위원회 신고 절차를 요구한다.

셋째, ISMS-P 의무화다. (2027년 7월 1일)

'유출등' 정의가 개인정보 보호법 제34조에서 제23조(민감정보 처리 제한 조항)로 이동한 것도 소개됐다. 그리고 현행법은 개인정보 유출을 인지한 이후 통지 의무를 이행하면 충분했지만, 개정안은 유출의 가능성만을 인지한 단계에서도 지체 없이 정보주체에게 그 사실 및 피해 최소화를 위한 정보를 통지하도록 의무화했다. 랜섬웨어 감염처럼 실제 유출 여부가 불분명한 상황에서도 초기 통지 판단이 필요해지는 것이다.

결론

사고는 막는 것만으로 끝나지 않는다. 막지 못했을 때를 어떻게 설계해두느냐가 이제는 경영 판단의 영역이라는 것. 사고 후 대응에 나서기보다 사고 발생 가능성을 선제적으로 예방하는 관리 거버넌스를 구축하고, 불가피하게 침해 피해를 입었을 때 신속히 복구할 수 있는 회복력이 경영 핵심 과제로 자리잡았다. 그 흐름이 올해 PIS FAIR 전체를 관통하고 있었다.

'privacy' 카테고리의 다른 글

[privacy] PCI-DSS란?  (0) 2025.08.22
버스에 설치된 CCTV의 안내판  (0) 2025.04.11