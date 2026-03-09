개인정보보호법 개정안 10일 공포…9월 11일부터 본격 시행
최근 3년내 위반 반복시 매출액 10% 과징금…랜섬웨어 공격 받아도 통지 대상
기업 CPO 지정하거나 변경할 때 반드시 이사회 의결
주요 기업 ISMS-P 인증 의무화 조항은 준비기간 거쳐 내년 7월부터 시행
오는 9월부터 중대한 보안 위반을 저지르거나 반복적으로 개인정보가 유출된 기업은 전체 매출액의 최대 10%까지 과징금을 물어야 한다. 개인정보가 유출된 정황을 확인하지 못했더라도 유출 가능성이 있거나 랜섬웨어 공격을 받아 데이터가 훼손된 경우에도 그 사실을 이용자들에게 고지해야 한다.
개인정보보호위원회는 이같은 내용을 골자로 한 개인정보 보호법 개정안을 10일 공포하고 9월 11일부터 시행한다고 9일 밝혔다. 개정 법률은 지난해 12월 국회 정무위원회를 통과한 뒤 지난달 국회 본회의와 이달 국무회의 의결을 거쳐 확정됐다.
핵심은 징벌적 과징금 제도 도입이다. 반복적이거나 중대한 개인정보 보호법 위반 행위에 대해 기업 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 했다. 기존에는 과징금 수준이 매출의 3% 수준에 그쳐 대규모 개인정보 유출 사고를 억제하는 데 한계가 있다는 지적이 제기돼 왔다.
강화된 제재는 최근 3년 동안 고의 또는 중대한 과실로 법 위반을 반복한 경우, 1000만 명 이상 피해가 발생한 경우, 시정명령을 이행하지 않아 개인정보 유출 사고가 발생한 경우 등에 적용된다.
제재가 강화되는 대신 기업의 개인정보 보호 투자에 대한 인센티브도 마련됐다. 기업이 개인정보 보호를 위해 예산, 인력, 설비 등에 적극 투자한 경우 과징금을 감경받을 수 있다. 다만 고의나 중대한 과실로 발생한 사고는 감경 대상에서 제외된다.
개정 법률은 개인정보 유출 사고 대응 체계도 강화했다. 지금까지는 기업이 개인정보 유출 사실을 확인한 경우에만 이용자에게 통지하도록 돼 있었지만 앞으로는 유출 가능성을 인지한 경우에도 즉시 이용자에게 알려야 한다.
개인정보 분실, 도난, 유출뿐 아니라 위조, 변조, 훼손까지 사고 범위에 포함된다. 랜섬웨어 공격 등으로 데이터가 훼손된 경우도 통지 대상이 된다. 개인정보 유출 통지 시에는 손해배상 청구나 분쟁조정 신청 등 피해 구제 방법도 함께 안내해야 한다.
경영진의 책임도 강화된다. CEO는 개인정보 보호의 최종 책임자로서 관리·감독 의무를 지게 된다. 일정 규모 이상의 기업은 개인정보 보호책임자(CPO)를 지정하거나 변경할 때 반드시 이사회 의결을 거쳐야 하며 이를 개인정보보호위원회에 신고해야 한다. 또 CPO는 개인정보 보호 관련 예산과 인력 관리 권한을 갖고 관련 사항을 대표이사와 이사회에 직접 보고하도록 했다.
이와 함께 공공기관과 주요 기업에 대해 개인정보 보호 인증 제도인 ‘ISMS-P’ 취득도 의무화된다. ISMS-P는 기업이나 기관이 구축한 정보보호 및 개인정보 보호 관리 체계가 적절한지를 평가하는 인증 제도다.
개정 개인정보 보호법은 오는 9월 11일부터 시행된다. 다만 ISMS-P 인증 의무화 규정은 기업의 준비 기간을 고려해 내년 7월 1일부터 적용될 예정이다.
개인정보위는 “법 개정 내용이 현장에서 안정적으로 정착할 수 있도록 시행령 개정 등 후속 조치를 신속히 추진할 계획”이라고 밝혔다.
