[KJtimes=김은경 기자] 최근 잇따른 대규모 개인정보 유출 사고에 대응하기 위해 기업과 기관의 개인정보 보호 책임을 강화하는 법 개정이 추진돼 주목받고 있다.
정부는 반복적인 개인정보 침해에 대해 징벌적 수준의 과징금을 부과하고 최고경영자(CEO)와 개인정보 보호책임자(CPO)의 책임을 강화하는 내용을 담은 개정 개인정보 보호법을 10일 공포한다. 개정 법률은 국회 정무위원회 의결(2025년 12월 17일), 국회 본회의 통과(2026년 2월 12일), 국무회의 의결(2026년 3월 3일)을 거쳐 마련됐으며, 대부분 규정은 오는 9월 11일부터 시행된다.
이와 관련 정부는 "최근 잇따른 개인정보 유출 사건으로 국민 불안이 커진 상황에서 기업과 기관의 관리 책임을 강화하고 사전 예방 투자를 확대하기 위해 법 개정을 추진했다"고 설명했다.
개정안의 핵심은 반복적이거나 중대한 개인정보 침해에 대해 기존보다 강화된 제재를 도입하는 것이다. 기존에는 전체 매출액의 3% 이하 범위에서 과징금이 부과됐지만, 개정법에서는 일정 요건을 충족할 경우 최대 매출액의 10%까지 징벌적 과징금을 부과할 수 있도록 했다.
적용 대상은 최근 3년간 고의 또는 중대한 과실로 위반행위를 반복한 경우, 1000만 명 이상 피해가 발생한 대규모 개인정보 유출 사고, 시정명령 불이행으로 유출 사고가 발생한 경우 등이다.
다만 기업이 개인정보 보호를 위해 예산·인력·설비 등 사전 예방적 투자를 진행한 경우에는 과징금을 감경하도록 하는 인센티브도 함께 도입됐다.
◆유출 가능성 단계에서도 통지…CEO·CPO 책임 강화
개정법은 개인정보 유출 통지 기준도 대폭 강화했다. 기존에는 개인정보가 실제로 유출된 사실을 인지했을 때만 정보주체에게 통지하도록 규정돼 있었지만, 앞으로는 유출 가능성을 인지한 단계에서도 지체 없이 통지해야 한다.
또한 랜섬웨어 공격 등으로 발생하는 개인정보의 위조·변조·훼손 역시 '유출 등 사고' 범위에 포함해 신고와 통지 대상에 포함됐다. 개인정보 유출 사실을 알릴 때는 손해배상 청구나 분쟁조정 신청 등 피해 구제 방법도 함께 안내해야 한다.
기업 경영진의 책임도 강화된다. 개정법은 CEO를 개인정보 처리와 보호의 최종 책임자로 명확히 규정하고, 일정 규모 이상의 기업은 CPO 지정이나 변경, 해제 시 이사회 의결을 거쳐 개인정보 감독기관에 신고하도록 했다.
CPO의 역할도 확대된다. CPO는 개인정보 보호를 위한 전문 인력 관리와 예산 확보 업무를 맡고, 개인정보 보호 관련 사항을 대표자와 이사회에 정기적으로 보고해야 한다.
◆주요 기업·기관 ISMS-P 인증 의무화
공공기관과 민간 기업 가운데 파급력이 큰 주요 개인정보 처리자에 대해서는 정보보호 및 개인정보 보호 관리체계 인증인 ISMS‑P 인증 취득도 의무화된다. ISMS-P 인증은 기업이나 기관이 운영하는 정보보호 및 개인정보 보호 관리 체계가 적절한지 평가하는 제도로, 그동안 자율적으로 운영돼 왔다.
개정 법률에 따라 인증 의무화 대상과 범위는 시행령 개정을 통해 구체화될 예정이며, 관련 규정은 기업의 준비 기간을 고려해 2027년 7월 1일부터 시행된다.
개인정보 정책을 총괄하는 개인정보보호위원회 관계자는 "이번 법 개정은 개인정보 침해에 대한 실효적인 제재와 사전 예방 체계를 동시에 강화하기 위한 것"이라며 "제도 시행 과정에서 산업계와 공공기관과의 소통을 확대해 현장에서 안정적으로 정착되도록 하겠다"고 밝혔다.
정부는 앞으로 시행령 개정 등 후속 입법을 추진하고, 기업과 공공기관이 새로운 제도에 대비할 수 있도록 가이드라인과 설명회를 마련할 계획이다.
