‘개인정보 유출 최대 과징금, 매출 10%’, 개정 개인정보보호법 9월11일 시행
앞으로 개인정보 유출 사고를 반복하거나 중대한 피해를 낸 기업·기관에는 전체 매출의 최대 10%까지 과징금을 부과할 수 있게 된다.
개인정보보호위원회는 최고경영자(CEO)의 책임 강화와 정보 보호 및 개인정보보호관리체계(ISMS-P) 인증 의무화 등을 담은 ‘개인정보보호법’ 개정안을 10일 공포하고, 오는 9월11일부터 시행한다고 9일 밝혔다.
이번 개정은 최근 대규모 개인정보 유출 사고가 잇따르면서 기업·기관의 보호 책임을 더 무겁게 묻고, 사전 예방 투자도 함께 유도하려는 취지다. 단순히 사고 이후 제재를 강화하는 데 그치지 않고, CEO와 최고 개인정보보호책임자(CPO)의 역할을 법에 명확히 넣고, 주요 개인정보처리자에는 ISMS-P 인증도 의무화한다.
핵심은 제재 수위 상향이다. 개정안은 반복적이거나 중대한 위반행위에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 했다. 지금까지는 전체 매출액의 3% 이하 과징금이 상한이었다. 앞으로는 최근 3년간 고의 또는 중대한 과실로 위반행위를 반복했거나, 고의 또는 중대한 과실로 1000만명 이상 피해를 냈거나, 시정명령을 이행하지 않아 개인정보 유출 사고가 발생한 경우 더 강한 제재가 가능해진다.
반면 사전 예방 투자에 대한 유인도 넣었다. 기업이나 기관이 개인정보 보호를 위해 예산, 인력, 설비, 장치 등에 투자·운영한 경우에는 과징금을 반드시 감경하도록 했다. 다만 고의나 중과실이 인정되는 경우는 제외한다. 정부가 사고 이후 처벌만 강화하는 방식이 아니라, 평소 보호 체계에 돈과 인력을 투입하도록 압박하는 구조로 제도를 바꿨다.
정보주체 통지 기준도 바뀐다. 현행법은 개인정보처리자가 개인정보가 유출됐다는 사실을 알았을 때만 정보주체에게 알리도록 했다. 개정안은 여기서 한발 더 나아가 유출 가능성이 있다는 사실을 알게 된 때에도 지체 없이 통지하도록 의무를 넓혔다. 사고 초기 단계부터 이용자가 비밀번호 변경, 계정 보호 조치 같은 대응을 할 수 있도록 하려는 조치다.
사고 범위도 넓어진다. 지금까지는 분실, 도난, 유출 중심으로 통지·신고가 이뤄졌지만, 앞으로는 위조, 변조, 훼손도 ‘유출 등 사고’ 범위에 포함된다. 랜섬웨어 공격처럼 개인정보를 망가뜨리거나 바꿔버리는 경우도 통지 대상이 되는 것이다. 개인정보 유출 통지 때 손해배상 청구나 분쟁조정 신청 같은 피해구제 방법을 함께 안내해야 하는 의무도 신설됐다.
CEO와 CPO의 책임도 더 무거워진다. 개정안은 CEO에게 개인정보 처리와 보호의 최종 책임자로서 관리·감독 의무를 명확히 부여했다. 일정 규모 이상 개인정보처리자는 CPO를 지정·변경·해제할 때 이사회 의결을 거쳐야 하고, 그 내용을 개인정보보호위원회에 신고해야 한다.
CPO의 역할도 실무 수준에서 강화했다. 앞으로 개인정보보호책임자는 보호 업무에 필요한 전문 인력을 관리하고, 예산 확보 업무도 맡아야 한다. 또 개인정보 보호 관련 사항을 CEO와 이사회에 보고해야 한다. 개인정보 보호책임자를 형식적으로 두는 수준을 넘어서, 조직 안에서 예산과 인력, 보고 체계를 실제로 움직이는 책임자로 두겠다는 의미다.
공공·민간의 주요 개인정보처리자에는 ISMS-P 인증도 의무화된다. 지금까지는 자율 인증으로 운영됐지만, 앞으로는 파급력이 큰 기업과 기관은 의무적으로 인증을 받아야 한다. ISMS-P는 기업이나 기관이 주요 정보자산 유출과 피해를 막기 위해 구축·운영하는 정보보호, 개인정보보호 관리체계가 적정한지 심사하는 제도다. 의무화 대상 범위는 앞으로 시행령 개정 과정에서 구체화할 예정이다.
시행 시점은 나뉜다. 개정 개인정보보호법은 올해 9월 11일부터 시행된다. 다만 ISMS-P 인증 의무화 규정은 예산 확보와 준비 기간을 고려해 2027년 7월 1일부터 적용한다. 개인정보보호위원회는 후속 시행령 개정을 추진하고, 산업계와 공공기관과의 소통도 강화할 계획이다.
글. 바이라인네트워크|
<곽중희 기자> god8889@byline.network
