![[개인정보, 과징금, 데이터보호] 기사 대표 이미지 - 정부, 9월부터 ‘반복·중대 개인정보 유출’ 징벌적 과징금 최대 10% 도입](https://alzzaking.s3.ap-northeast-2.amazonaws.com/wp-content/uploads/2026/05/12160216/1778569330615-768x512.png)
개인정보보호위원회(개보위)가 오는 9월 11일부터 반복적이거나 중대한 개인정보 유출 사고를 낸 기업에 대해 ‘징벌적 과징금’을 부과한다. 최대 매출액의 10%까지 제재하는 내용이 포함됐으며, 과징금 산정 기준도 강화된다. 개보위는 12일 대통령 주재 국무회의에 이러한 내용을 담은 예방 중심 개인정보 관리체계 전환 계획을 보고했다.
반복·중대 유출에 ‘매출의 최대 10%’ 제재
개보위에 따르면 이번 조치는 개정 개인정보보호법 시행(9월 11일)을 앞두고 마련된 것이다. 징벌적 과징금이 적용되는 위반행위는 크게 두 가지 경우다. 첫째는 고의·중과실로 3년 내 반복된 사건이다. 둘째는 1천만 명 규모 이상의 개인정보 유출 피해가 발생한 경우다. 개보위는 경제적 제재의 실효성을 높이기 위해 과징금 수준을 ‘상대적으로 큰 부담’으로 설계했다고 설명했다.
또한 과징금 산정 방식도 바뀐다. 기존에는 최근 3년 평균 매출액을 기준으로 삼는 구조였다면, 9월부터는 직전 연도 매출액과 최근 3년 평균 매출액 중 더 높은 금액을 적용하기로 했다. 이처럼 기준을 상향하는 방식은 매출 변동성이 큰 기업도 징벌 효과를 실질적으로 받도록 하려는 의도로 해석된다.
사고 ‘사후 처벌’보다 ‘사전 점검’ 비중 확대
개보위는 처벌 규정 강화와 함께, 하반기부터는 위험도 중심의 점검 체계를 본격화한다. 정부가 직접 점검에 나서는 대상은 약 1천700개 고위험 정보시스템이다. 이들 시스템은 주요 공공시스템이거나 대규모 개인정보를 처리하는 범주에 해당한다.
![[개인정보, 과징금, 데이터보호] 기사 핵심 맥락을 보여주는 이미지 - 또한 과징금 산정 방식도 바뀐다. 기존에는 최근 3년 평균 매출액 을 기준으로 삼는 구조였다면, 9월부터는 직전 연도 매출액 과 최근 3년 평균...](https://alzzaking.s3.ap-northeast-2.amazonaws.com/wp-content/uploads/2026/05/12160441/body-1-1778569475237.png)
점검은 위험 수준에 따라 차등화된다. 개보위는 현재 주요 공공시스템 387개와 교육·복지 등 고위험 분야를 우선 집중 관리하고 있으며, 앞으로는 공급망 전반으로 점검 범위를 넓힐 방침이다. 구체적으로 클라우드 사업자, 전문 수탁사, 시스템 공급사 등도 점검 대상에 포함된다.
아울러 서비스 설계 단계부터 개인정보보호 요소를 반영하는 개인정보 중심 설계(PbD, Privacy by Design) 원칙도 제도화한다. 개인정보 영향평가 기준과 ISMS-P 인증 기준에도 이를 반영하겠다는 계획이다.
현장 인력·예산 확충과 ‘손해배상 입증 책임’ 강화
개보위는 공공 부문 인력과 예산 규모가 현저히 부족하다는 점도 문제로 제기했다. 개보위가 지난 3월 실시한 공공시스템 긴급 점검 결과를 보면, 개인정보보호 인력은 중앙 기준 1.1명, 기초지방정부 기준 0.3명 수준에 불과했다. 정부는 이와 같은 격차를 줄이기 위해 개인정보보호 전담인력의 처우 개선 및 관련 예산 확충을 추진할 계획이다.
피해 구제 체계도 강화한다. 개인정보 유출 사고 발생 시 기업·기관의 손해배상 책임을 원칙으로 하고, 입증 책임도 기업이 지도록 해 법정 손해배상 제도의 실효성을 높이겠다는 방침이다. 더불어 ‘동의 철회·수정’을 어렵게 만드는 다크패턴 같은 행태를 집중 점검하고, 개인정보 침해신고센터 기능을 확대한다.
민감정보 유출에 대해서는 SNS 등에서 불법 유통 여부를 모니터링하고 탐지·삭제를 지원하는 한편, 수사기관과 협력해 개인정보 불법 유포자 및 이용자에 대한 추적·처벌도 강화하겠다고 밝혔다.
![[개인정보, 과징금, 데이터보호] 기사 영향과 배경을 설명하는 이미지 - 피해 구제 체계도 강화한다. 개인정보 유출 사고 발생 시 기업·기관의 손해배상 책임을 원칙으로 하고, 입증 책임도 기업이 지도록 해 법정 손해배...](https://alzzaking.s3.ap-northeast-2.amazonaws.com/wp-content/uploads/2026/05/12160441/body-2-1778569475950.png)
쿠팡·KT 등 진행 중 사건엔 소급 적용이 어렵다
이번 계획에는 ‘법 적용의 시간적 범위’도 포함된다. 개보위는 개정 보호법과 시행령이 이후에 발생한 사건부터 적용되기 때문에, 현재 조사 중인 쿠팡이나 KT 관련 사건에 징벌적 과징금을 적용하기는 어렵다고 설명했다. 다만 개보위는 법정 기준을 넘어서는 보호조치와 보안 투자, 안전관리체계 운영 수준 등을 종합 평가해 과징금 감경 등 인센티브를 제공하는 방안도 병행하겠다고 덧붙였다.
개보위는 기업들에 대해 경영진의 개인정보 보호책임을 실질적으로 강화하고, 기업의 개인정보 보호 활동을 공개하도록 유도하는 방향도 제시했다. 송경희 개인정보위원장은 민간 분야도 공공과 같은 평가제도를 도입할지에 대해 “민간은 자발적으로 유도할 장치가 필요하다”며 ISMS-P 체계가 그 역할을 해 왔다고 언급했다. 이어 위험도에 따라 ISMS-P 체계를 차등 적용해 고위험 분야는 강화된 인증 기준을 적용하겠다고 설명했다.
향후 관전 포인트…과징금 산정·점검 확대의 속도
이번 제도는 개인정보보호를 ‘사고가 난 뒤의 처벌’에서 ‘사고가 나기 전의 구조적 예방’으로 무게중심을 옮기는 조치로 평가된다. 특히 반복·중대 유출에 매출 규모를 기준으로 하는 징벌적 과징금이 도입되면서, 기업들은 보안 투자와 내부 통제의 정교화를 서둘러야 한다는 압박을 받게 된다.
남은 변수는 과징금 산정이 실제 어떤 구체 사례에서 얼마나 엄격하게 적용될지, 그리고 9월 이후 고위험 시스템에 대한 정부 정기 점검이 얼마나 촘촘히 확대될지다. 개보위가 위험기반 관리체계를 통해 공급망까지 점검 범위를 넓히는 만큼, 기업들은 자사뿐 아니라 외부 파트너와 서비스 설계 전 과정에서 개인정보보호 의무를 재정비할 필요가 있어 보인다.
댓글